Ręczne wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

  • Artykuł

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Porada

Szukasz zaawansowanych wskazówek dotyczących wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux? Zobacz Przewodnik wdrażania zaawansowanego w usłudze Defender for Endpoint w systemie Linux.

W tym artykule opisano sposób ręcznego wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux. Pomyślne wdrożenie wymaga wykonania wszystkich następujących zadań:

Wymagania wstępne i wymagania systemowe

Przed rozpoczęciem zobacz Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux, aby uzyskać opis wymagań wstępnych i wymagań systemowych dotyczących bieżącej wersji oprogramowania.

Ostrzeżenie

Uaktualnienie systemu operacyjnego do nowej wersji głównej po zainstalowaniu produktu wymaga ponownej instalacji produktu. Należy odinstalować istniejącą usługę Defender for Endpoint w systemie Linux, uaktualnić system operacyjny, a następnie ponownie skonfigurować usługę Defender dla punktu końcowego w systemie Linux, wykonując poniższe kroki.

Konfigurowanie repozytorium oprogramowania systemu Linux

Usługę Defender for Endpoint w systemie Linux można wdrożyć z jednego z następujących kanałów (oznaczonego poniżej jako [channel]): insiders-fast, insiders-slow lub prod. Każdy z tych kanałów odpowiada repozytorium oprogramowania systemu Linux. Instrukcje w tym artykule opisują konfigurowanie urządzenia do korzystania z jednego z tych repozytoriów.

Wybór kanału określa typ i częstotliwość aktualizacji oferowanych urządzeniu. Urządzenia w insiders-fast są pierwszymi, które otrzymują aktualizacje i nowe funkcje, a następnie wewnętrznych powolny i ostatnio przez prod.

Aby zapoznać się z nowymi funkcjami i przekazać wczesne opinie, zaleca się skonfigurowanie niektórych urządzeń w przedsiębiorstwie tak, aby korzystały z funkcji insiders-fast lub insiders-slow.

Ostrzeżenie

Przełączenie kanału po początkowej instalacji wymaga ponownej instalacji produktu. Aby przełączyć kanał produktu: odinstaluj istniejący pakiet, skonfiguruj ponownie urządzenie do korzystania z nowego kanału i wykonaj kroki opisane w tym dokumencie, aby zainstalować pakiet z nowej lokalizacji.

Skrypt instalatora

Podczas gdy omawiamy instalację ręczną, możesz też użyć zautomatyzowanego skryptu bash instalatora udostępnionego w naszym publicznym repozytorium GitHub. Skrypt identyfikuje dystrybucję i wersję, upraszcza wybór odpowiedniego repozytorium, konfiguruje urządzenie do ściągania najnowszego pakietu i łączy kroki instalacji produktu i dołączania.

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

Przeczytaj więcej tutaj.

RHEL i warianty (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky i Alma)

SLES i warianty

Uwaga

Twoja dystrybucja i wersja oraz zidentyfikuj najbliższy wpis (według głównych, a następnie pomocniczych) dla niego w obszarze https://packages.microsoft.com/config/sles/.

W następujących poleceniach zastąp ciąg [dystrybucja] i [wersja] zidentyfikowanymi informacjami:

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

Porada

Użyj polecenia SPident, aby zidentyfikować informacje związane z systemem, w tym wydanie [wersja].

Jeśli na przykład używasz protokołu SLES 12 i chcesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux z kanału prod:

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  • Zainstaluj klucz publiczny usługi Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

Systemy Ubuntu i Debian

  • Zainstaluj curl , jeśli nie jest jeszcze zainstalowana:

    sudo apt-get install curl

  • Zainstaluj libplist-utils , jeśli nie jest jeszcze zainstalowana:

    sudo apt-get install libplist-utils

    Uwaga

    Twoja dystrybucja i wersja oraz zidentyfikuj najbliższy wpis (według głównych, a następnie pomocniczych) dla niego w obszarze https://packages.microsoft.com/config/[distro]/.

    W poniższym poleceniu zastąp ciąg [dystrybucja] i [wersja] zidentyfikowanymi informacjami:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    Porada

    Użyj polecenia hostnamectl, aby zidentyfikować informacje związane z systemem, w tym wydanie [wersja].

    Jeśli na przykład używasz systemu Ubuntu 18.04 i chcesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux z kanału prod:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  • Zainstaluj konfigurację repozytorium:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    Jeśli na przykład wybrano kanał prod :

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  • Zainstaluj pakiet, gpg jeśli nie został jeszcze zainstalowany:

    sudo apt-get install gpg

    Jeśli gpg program nie jest dostępny, zainstaluj program gnupg.

    sudo apt-get install gnupg

  • Zainstaluj klucz publiczny usługi Microsoft GPG:

    • W przypadku systemu Debian 11 lub starszego uruchom następujące polecenie.
    curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

W przypadku systemu Debian 12 lub nowszego uruchom następujące polecenie.

curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  • Zainstaluj sterownik HTTPS, jeśli nie został jeszcze zainstalowany:

    sudo apt-get install apt-transport-https

  • Zaktualizuj metadane repozytorium:

    sudo apt-get update

Mariner

  • Zainstaluj dnf-plugins-core , jeśli nie jest jeszcze zainstalowana:

    sudo dnf install dnf-plugins-core

  • Konfigurowanie i włączanie wymaganych repozytoriów

    Uwaga

    Na Mariner, Insider Fast Channel nie jest dostępny.

    Jeśli chcesz wdrożyć usługę Defender for Endpoint w systemie Linux z kanału prod . Użyj następujących poleceń

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    Jeśli chcesz też eksplorować nowe funkcje na wybranych urządzeniach, możesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux na kanale z wolnym dostępem do informacji poufnych. Użyj następujących poleceń:

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

Instalacja aplikacji

RHEL i warianty (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky i Alma)

sudo yum install mdatp

Uwaga

Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production , jeśli na tym urządzeniu skonfigurowano również insiders-fast kanał repozytorium. Taka sytuacja może wystąpić, jeśli na urządzeniu jest używanych wiele produktów firmy Microsoft. W zależności od dystrybucji i wersji serwera alias repozytorium może być inny niż w poniższym przykładzie.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES i warianty

sudo zypper install mdatp

Uwaga

Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production , jeśli na tym urządzeniu skonfigurowano również insiders-fast kanał repozytorium. Taka sytuacja może wystąpić, jeśli na urządzeniu jest używanych wiele produktów firmy Microsoft.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Systemy Ubuntu i Debian

sudo apt-get install mdatp

Uwaga

Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production , jeśli na tym urządzeniu skonfigurowano również insiders-fast kanał repozytorium. Taka sytuacja może wystąpić, jeśli na urządzeniu jest używanych wiele produktów firmy Microsoft.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Uwaga

Ponowny rozruch nie jest wymagany po zainstalowaniu lub zaktualizowaniu Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux, z wyjątkiem sytuacji, gdy przeprowadzasz inspekcję w trybie niezmiennym.

Mariner

sudo dnf install mdatp

Uwaga

Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production , jeśli na tym urządzeniu skonfigurowano również insiders-slow kanał repozytorium. Taka sytuacja może wystąpić, jeśli na urządzeniu jest używanych wiele produktów firmy Microsoft.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Pobieranie pakietu dołączania

Pobierz pakiet dołączania z portalu Microsoft Defender.

Ostrzeżenie

Ponowne pakowanie pakietu instalacyjnego usługi Defender for Endpoint nie jest obsługiwanym scenariuszem. Może to negatywnie wpłynąć na integralność produktu i prowadzić do niekorzystnych wyników, w tym między innymi do wyzwalania niestosowania alertów i aktualizacji powodujących naruszenie.

Ważna

Jeśli ten krok zostanie pominięty, każde wykonane polecenie wyświetli komunikat ostrzegawczy wskazujący, że produkt jest nielicencjonowany. mdatp health Również polecenie zwraca wartość false.

  1. W portalu Microsoft Defender przejdź do pozycji Ustawienia > Punkty końcowe > Dołączanie urządzeń do zarządzania urządzeniami>.

  2. W pierwszym menu rozwijanym wybierz pozycję Linux Server jako system operacyjny. W drugim menu rozwijanym wybierz pozycję Skrypt lokalny jako metodę wdrażania.

  3. Wybierz pozycję Pobierz pakiet dołączania. Zapisz plik jako WindowsDefenderATPOnboardingPackage.zip.

    Pobieranie pakietu dołączania w portalu Microsoft Defender

  4. W wierszu polecenia sprawdź, czy masz plik, i wyodrębnij zawartość archiwum:

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

Konfiguracja klienta

  1. Skopiuj MicrosoftDefenderATPOnboardingLinuxServer.py na urządzenie docelowe.

    Uwaga

    Początkowo urządzenie klienckie nie jest skojarzone z organizacją, a atrybut orgId jest pusty.

    mdatp health --field org_id

  2. Uruchom MicrosoftDefenderATPOnboardingLinuxServer.py.

    Uwaga

    Aby uruchomić to polecenie, musisz mieć python lub python3 zainstalować na urządzeniu w zależności od dystrybucji i wersji. W razie potrzeby zobacz Instrukcje krok po kroku dotyczące instalowania języka Python w systemie Linux.

    Uwaga

    Aby dołączyć urządzenie, które zostało wcześniej odłączone, należy usunąć plik mdatp_offboard.json znajdujący się pod adresem /etc/opt/microsoft/mdatp.

    Jeśli używasz systemu RHEL 8.x lub Ubuntu 20.04 lub nowszego, musisz użyć programu python3.

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    W pozostałych dystrybucjach i wersjach należy użyć polecenia python.

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. Sprawdź, czy urządzenie jest teraz skojarzone z Twoją organizacją i zgłosi prawidłowy identyfikator organizacji:

    mdatp health --field org_id

  4. Sprawdź stan kondycji produktu, uruchamiając następujące polecenie. Zwracana wartość true oznacza, że produkt działa zgodnie z oczekiwaniami:

    mdatp health --field healthy

    Ważna

    Gdy produkt zostanie uruchomiony po raz pierwszy, pobierze najnowsze definicje ochrony przed złośliwym kodem. Może to potrwać do kilku minut w zależności od łączności sieciowej. W tym czasie powyższe polecenie zwraca wartość false. Stan aktualizacji definicji można sprawdzić za pomocą następującego polecenia:

    mdatp health --field definitions_status

    Należy pamiętać, że po zakończeniu instalacji początkowej może być konieczne skonfigurowanie serwera proxy. Zobacz Konfigurowanie usługi Defender dla punktu końcowego w systemie Linux w celu odnajdywania statycznego serwera proxy: konfiguracja po instalacji.

  5. Uruchom test wykrywania av, aby sprawdzić, czy urządzenie jest prawidłowo dołączone i raportuje do usługi. Wykonaj następujące kroki na nowo dołączonym urządzeniu:

    • Upewnij się, że ochrona w czasie rzeczywistym jest włączona (oznaczona wynikiem uruchomienia następującego true polecenia):

      mdatp health --field real_time_protection_enabled

      Jeśli nie jest włączona, wykonaj następujące polecenie:

      mdatp config real-time-protection --value enabled

    • Otwórz okno Terminal i wykonaj następujące polecenie, aby uruchomić test wykrywania:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    • Możesz uruchomić dodatkowe testy wykrywania plików zip przy użyciu jednego z następujących poleceń:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    • Pliki powinny zostać poddane kwarantannie przez usługę Defender for Endpoint w systemie Linux. Użyj następującego polecenia, aby wyświetlić listę wszystkich wykrytych zagrożeń:

      mdatp threat list

  6. Uruchom test wykrywania EDR i symuluj wykrywanie, aby sprawdzić, czy urządzenie jest prawidłowo dołączone i raportuje do usługi. Wykonaj następujące kroki na nowo dołączonym urządzeniu:

  • Sprawdź, czy dołączony serwer z systemem Linux jest wyświetlany w Microsoft Defender XDR. Jeśli jest to pierwsze dołączenie maszyny, jej wyświetlenie może potrwać do 20 minut.

    • Pobierz i wyodrębnij plik skryptu na dołączonym serwerze z systemem Linux i uruchom następujące polecenie: ./mde_linux_edr_diy.sh

    • Po kilku minutach należy podnieść wykrywanie w Microsoft Defender XDR.

    • Przyjrzyj się szczegółom alertu, osi czasu maszyny i wykonaj typowe kroki badania.

Ochrona punktu końcowego w usłudze Microsoft Defender zależności pakietów zewnętrznych

Dla pakietu mdatp istnieją następujące zależności pakietów zewnętrznych:

  • Pakiet MDATP RPM wymaga "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
  • W przypadku programu RHEL6 pakiet RPM mdatp wymaga polecenia "audit", "policycoreutils", "libselinux", "mde-netfilter"
  • W przypadku debiana pakiet mdatp wymaga "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"
  • W przypadku programu Mariner pakiet mdatp wymaga "attr", "audit", "diffutils", "libacl", "libattr", "libselinux-utils", "selinux-policy", "policycoreutils", "mde-netfilter"

Pakiet mde-netfilter ma również następujące zależności pakietów:

  • W przypadku DEBIAN pakiet mde-netfilter wymaga polecenia "libnetfilter-queue1", "libglib2.0-0"
  • W przypadku modułu RPM pakiet mde-netfilter wymaga polecenia "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"
  • W przypadku programu Mariner pakiet mde-netfilter wymaga "libnfnetlink", "libnetfilter_queue"

Jeśli instalacja Ochrona punktu końcowego w usłudze Microsoft Defender zakończy się niepowodzeniem z powodu błędów braku zależności, możesz ręcznie pobrać zależności wymagań wstępnych.

Problemy z instalacją dziennika

Zobacz Problemy z instalacją dziennika , aby uzyskać więcej informacji na temat znajdowania automatycznie wygenerowanego dziennika utworzonego przez instalatora w przypadku wystąpienia błędu.

Jak przeprowadzić migrację z Insiders-Fast do kanału produkcyjnego

  1. Odinstaluj wersję "Insiders-Fast channel" usługi Defender for Endpoint w systemie Linux.

    sudo yum remove mdatp

  2. Wyłączanie repozytorium Defender for Endpoint w systemie Linux Insiders-Fast

    sudo yum repolist

    Uwaga

    Dane wyjściowe powinny zawierać ciąg "packages-microsoft-com-fast-prod".

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Ponowne wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux przy użyciu "kanału produkcyjnego".

Dezinstalacji

Zobacz Odinstalowywanie , aby uzyskać szczegółowe informacje na temat usuwania usługi Defender for Endpoint w systemie Linux z urządzeń klienckich.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.