Ręczne wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Porada
Szukasz zaawansowanych wskazówek dotyczących wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux? Zobacz Przewodnik wdrażania zaawansowanego w usłudze Defender for Endpoint w systemie Linux.
W tym artykule opisano sposób ręcznego wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux. Pomyślne wdrożenie wymaga wykonania wszystkich następujących zadań:
- Wymagania wstępne i wymagania systemowe
- Konfigurowanie repozytorium oprogramowania systemu Linux
- Instalacja aplikacji
- Pobieranie pakietu dołączania
- Konfiguracja klienta
Wymagania wstępne i wymagania systemowe
Przed rozpoczęciem zobacz Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux, aby uzyskać opis wymagań wstępnych i wymagań systemowych dotyczących bieżącej wersji oprogramowania.
Ostrzeżenie
Uaktualnienie systemu operacyjnego do nowej wersji głównej po zainstalowaniu produktu wymaga ponownej instalacji produktu. Należy odinstalować istniejącą usługę Defender for Endpoint w systemie Linux, uaktualnić system operacyjny, a następnie ponownie skonfigurować usługę Defender dla punktu końcowego w systemie Linux, wykonując poniższe kroki.
Konfigurowanie repozytorium oprogramowania systemu Linux
Usługę Defender for Endpoint w systemie Linux można wdrożyć z jednego z następujących kanałów (oznaczonego jako [channel]): insiders-fast, insiders-slow lub prod
. Każdy z tych kanałów odpowiada repozytorium oprogramowania systemu Linux. Instrukcje w tym artykule opisują konfigurowanie urządzenia do korzystania z jednego z tych repozytoriów.
Wybór kanału określa typ i częstotliwość aktualizacji oferowanych urządzeniu. Urządzenia w insiders-fast są pierwszymi, które otrzymują aktualizacje i nowe funkcje, a następnie insiders-slow i wreszcie przez prod
.
Aby zapoznać się z nowymi funkcjami i przekazać wczesne opinie, zaleca się skonfigurowanie niektórych urządzeń w przedsiębiorstwie tak, aby korzystały z funkcji insiders-fast lub insiders-slow.
Ostrzeżenie
Przełączenie kanału po początkowej instalacji wymaga ponownej instalacji produktu. Aby przełączyć kanał produktu: odinstaluj istniejący pakiet, skonfiguruj ponownie urządzenie do korzystania z nowego kanału i wykonaj kroki opisane w tym dokumencie, aby zainstalować pakiet z nowej lokalizacji.
Skrypt instalatora
Podczas gdy omawiamy instalację ręczną, możesz też użyć zautomatyzowanego skryptu bash instalatora udostępnionego w naszym publicznym repozytorium GitHub. Skrypt identyfikuje dystrybucję i wersję, upraszcza wybór odpowiedniego repozytorium, konfiguruje urządzenie do ściągania najnowszego pakietu i łączy kroki instalacji produktu i dołączania.
> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel specify the channel from which you want to install. Default: insiders-fast
-i|--install install the product
-r|--remove remove the product
-u|--upgrade upgrade the existing product
-o|--onboard onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req enforce minimum requirements
-w|--clean remove repo from package manager for a specific channel
-v|--version print out script version
-h|--help display help
Przeczytaj więcej tutaj.
RHEL i warianty (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky i Alma)
Zainstaluj
yum-utils
, jeśli nie jest jeszcze zainstalowana:sudo yum install yum-utils
Uwaga
Twoja dystrybucja i wersja oraz zidentyfikuj najbliższy wpis (według głównych, a następnie pomocniczych) dla niego w obszarze
https://packages.microsoft.com/config/rhel/
.Skorzystaj z poniższej tabeli, aby ułatwić ci znalezienie pakietu:
Wersja & dystrybucji Pakiet Dla Almy 8.4 lub nowszej https://packages.microsoft.com/config/alma/8/prod.repo Dla Alma 9.2 i nowszych https://packages.microsoft.com/config/alma/9/prod.repo Dla RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo Dla RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo Dla RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo Dla systemu Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo Dla fedory 33 https://packages.microsoft.com/config/fedora/33/prod.repo Dla fedory 34 https://packages.microsoft.com/config/fedora/34/prod.repo Dla Rocky'ego 8,7 i nowszego https://packages.microsoft.com/config/rocky/8/prod.repo Dla rocky 9.2 i nowszych https://packages.microsoft.com/config/rocky/9/prod.repo W następujących poleceniach zastąp ciąg [version] i [channel] zidentyfikowanymi informacjami:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
Porada
Użyj polecenia hostnamectl, aby zidentyfikować informacje związane z systemem, w tym wydanie [wersja].
Jeśli na przykład używasz systemu CentOS 7 i chcesz wdrożyć usługę Defender for Endpoint w systemie Linux z kanału
prod
:sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
Jeśli chcesz eksplorować nowe funkcje na wybranych urządzeniach, możesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux na kanale insiders-fast:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
Zainstaluj klucz publiczny usługi Microsoft GPG:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
SLES i warianty
Uwaga
Twoja dystrybucja i wersja oraz zidentyfikuj najbliższy wpis (według głównych, a następnie pomocniczych) dla niego w obszarze https://packages.microsoft.com/config/sles/
.
W następujących poleceniach zastąp ciąg [dystrybucja] i [wersja] zidentyfikowanymi informacjami:
sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
Porada
Użyj polecenia SPident, aby zidentyfikować informacje związane z systemem, w tym wydanie [wersja].
Jeśli na przykład używasz protokołu SLES 12 i chcesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux z kanałuprod
:
sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
Zainstaluj klucz publiczny usługi Microsoft GPG:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
Systemy Ubuntu i Debian
Zainstaluj
curl
, jeśli nie jest jeszcze zainstalowana:sudo apt-get install curl
Zainstaluj
libplist-utils
, jeśli nie jest jeszcze zainstalowana:sudo apt-get install libplist-utils
Uwaga
Twoja dystrybucja i wersja oraz zidentyfikuj najbliższy wpis (według głównych, a następnie pomocniczych) dla niego w obszarze
https://packages.microsoft.com/config/[distro]/
.W poniższym poleceniu zastąp ciąg [dystrybucja] i [wersja] zidentyfikowanymi informacjami:
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
Porada
Użyj polecenia hostnamectl, aby zidentyfikować informacje związane z systemem, w tym wydanie [wersja].
Jeśli na przykład używasz systemu Ubuntu 18.04 i chcesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux z kanału
prod
:curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
Zainstaluj konfigurację repozytorium:
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
Jeśli na przykład wybrano
prod
kanał:sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
Zainstaluj pakiet,
gpg
jeśli nie został jeszcze zainstalowany:sudo apt-get install gpg
Jeśli
gpg
program nie jest dostępny, zainstaluj programgnupg
.sudo apt-get install gnupg
Zainstaluj klucz publiczny usługi Microsoft GPG:
- W przypadku systemu Debian 11 lub starszego uruchom następujące polecenie.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
W przypadku systemu Debian 12 lub nowszego uruchom następujące polecenie.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
Zainstaluj sterownik HTTPS, jeśli nie został jeszcze zainstalowany:
sudo apt-get install apt-transport-https
Zaktualizuj metadane repozytorium:
sudo apt-get update
Marynarz
Zainstaluj
dnf-plugins-core
, jeśli nie jest jeszcze zainstalowana:sudo dnf install dnf-plugins-core
Konfigurowanie i włączanie wymaganych repozytoriów
Uwaga
Na Mariner, Insider Fast Channel nie jest dostępny.
Jeśli chcesz wdrożyć usługę Defender for Endpoint w systemie Linux z kanału
prod
. Użyj następujących poleceńsudo dnf install mariner-repos-extras sudo dnf config-manager --enable mariner-official-extras
Jeśli chcesz też eksplorować nowe funkcje na wybranych urządzeniach, możesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux na kanale z wolnym dostępem do informacji poufnych. Użyj następujących poleceń:
sudo dnf install mariner-repos-extras-preview sudo dnf config-manager --enable mariner-official-extras-preview
Instalacja aplikacji
RHEL i warianty (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky i Alma)
sudo yum install mdatp
Uwaga
Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production
, jeśli na tym urządzeniu skonfigurowano również insiders-fast
kanał repozytorium. Taka sytuacja może wystąpić, jeśli na urządzeniu jest używanych wiele produktów firmy Microsoft. W zależności od dystrybucji i wersji serwera alias repozytorium może być inny niż w poniższym przykładzie.
# list all repositories
yum repolist
...
packages-microsoft-com-prod packages-microsoft-com-prod 316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins 2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
SLES i warianty
sudo zypper install mdatp
Uwaga
Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production
, jeśli na tym urządzeniu skonfigurowano również insiders-fast
kanał repozytorium. Taka sytuacja może wystąpić, jeśli na urządzeniu jest używanych wiele produktów firmy Microsoft.
zypper repos
...
# | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp
Systemy Ubuntu i Debian
sudo apt-get install mdatp
Uwaga
Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production
, jeśli na tym urządzeniu skonfigurowano również insiders-fast
kanał repozytorium. Taka sytuacja może wystąpić, jeśli na urządzeniu jest używanych wiele produktów firmy Microsoft.
cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp
Uwaga
Ponowny rozruch nie jest wymagany po zainstalowaniu lub zaktualizowaniu Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux, z wyjątkiem sytuacji, gdy przeprowadzasz inspekcję w trybie niezmiennym.
Marynarz
sudo dnf install mdatp
Uwaga
Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production
, jeśli na tym urządzeniu skonfigurowano również insiders-slow
kanał repozytorium. Taka sytuacja może wystąpić, jeśli na urządzeniu jest używanych wiele produktów firmy Microsoft.
sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras
Pobieranie pakietu dołączania
Pobierz pakiet dołączania z portalu Microsoft Defender.
Ostrzeżenie
Ponowne pakowanie pakietu instalacyjnego usługi Defender for Endpoint nie jest obsługiwanym scenariuszem. Może to negatywnie wpłynąć na integralność produktu i prowadzić do niekorzystnych wyników, w tym między innymi do wyzwalania niestosowania alertów i aktualizacji powodujących naruszenie.
Ważna
Jeśli ten krok zostanie pominięty, każde wykonane polecenie wyświetli komunikat ostrzegawczy wskazujący, że produkt jest nielicencjonowany.
mdatp health
Również polecenie zwraca wartość false
.
W portalu Microsoft Defender przejdź do pozycji Ustawienia > Punkty końcowe > Dołączanie urządzeń do zarządzania urządzeniami>.
W pierwszym menu rozwijanym wybierz pozycję Linux Server jako system operacyjny. W drugim menu rozwijanym wybierz pozycję Skrypt lokalny jako metodę wdrażania.
Wybierz pozycję Pobierz pakiet dołączania. Zapisz plik jako WindowsDefenderATPOnboardingPackage.zip.
W wierszu polecenia sprawdź, czy masz plik, i wyodrębnij zawartość archiwum:
ls -l
total 8 -rw-r--r-- 1 test staff 5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
unzip WindowsDefenderATPOnboardingPackage.zip
Archive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
Konfiguracja klienta
Skopiuj MicrosoftDefenderATPOnboardingLinuxServer.py na urządzenie docelowe.
Uwaga
Początkowo urządzenie klienckie nie jest skojarzone z organizacją, a atrybut orgId jest pusty.
mdatp health --field org_id
Uruchom MicrosoftDefenderATPOnboardingLinuxServer.py.
Uwaga
Aby uruchomić to polecenie, musisz mieć
python
lubpython3
zainstalować na urządzeniu w zależności od dystrybucji i wersji. W razie potrzeby zobacz Instrukcje krok po kroku dotyczące instalowania języka Python w systemie Linux.Uwaga
Aby dołączyć urządzenie, które zostało wcześniej odłączone, należy usunąć plik mdatp_offboard.json znajdujący się pod adresem /etc/opt/microsoft/mdatp.
Jeśli używasz systemu RHEL 8.x lub Ubuntu 20.04 lub nowszego, musisz użyć programu
python3
.sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
W pozostałych dystrybucjach i wersjach należy użyć polecenia
python
.sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
Sprawdź, czy urządzenie jest teraz skojarzone z Twoją organizacją i zgłosi prawidłowy identyfikator organizacji:
mdatp health --field org_id
Sprawdź stan kondycji produktu, uruchamiając następujące polecenie. Zwracana wartość
true
oznacza, że produkt działa zgodnie z oczekiwaniami:mdatp health --field healthy
Ważna
Gdy produkt zostanie uruchomiony po raz pierwszy, pobierze najnowsze definicje ochrony przed złośliwym kodem. Może to potrwać do kilku minut w zależności od łączności sieciowej. W tym czasie powyższe polecenie zwraca wartość
false
. Stan aktualizacji definicji można sprawdzić za pomocą następującego polecenia:mdatp health --field definitions_status
Należy pamiętać, że po zakończeniu instalacji początkowej może być konieczne skonfigurowanie serwera proxy. Zobacz Konfigurowanie usługi Defender dla punktu końcowego w systemie Linux w celu odnajdywania statycznego serwera proxy: konfiguracja po instalacji.
Uruchom test wykrywania av, aby sprawdzić, czy urządzenie jest prawidłowo dołączone i raportuje do usługi. Wykonaj następujące kroki na nowo dołączonym urządzeniu:
Upewnij się, że ochrona w czasie rzeczywistym jest włączona (oznaczona wynikiem uruchomienia następującego
true
polecenia):mdatp health --field real_time_protection_enabled
Jeśli nie jest włączona, wykonaj następujące polecenie:
mdatp config real-time-protection --value enabled
Otwórz okno Terminal i wykonaj następujące polecenie, aby uruchomić test wykrywania:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
Możesz uruchomić więcej testów wykrywania plików zip przy użyciu jednego z następujących poleceń:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
Pliki powinny zostać poddane kwarantannie przez usługę Defender for Endpoint w systemie Linux. Użyj następującego polecenia, aby wyświetlić listę wszystkich wykrytych zagrożeń:
mdatp threat list
Uruchom test wykrywania EDR i symuluj wykrywanie, aby sprawdzić, czy urządzenie jest prawidłowo dołączone i raportuje do usługi. Wykonaj następujące kroki na nowo dołączonym urządzeniu:
Sprawdź, czy dołączony serwer z systemem Linux jest wyświetlany w Microsoft Defender XDR. Jeśli jest to pierwsze dołączenie maszyny, jej wyświetlenie może potrwać do 20 minut.
Pobierz i wyodrębnij plik skryptu na dołączonym serwerze z systemem Linux i uruchom następujące polecenie:
./mde_linux_edr_diy.sh
Po kilku minutach należy podnieść wykrywanie w Microsoft Defender XDR.
Przyjrzyj się szczegółom alertu, osi czasu maszyny i wykonaj typowe kroki badania.
Ochrona punktu końcowego w usłudze Microsoft Defender zależności pakietów zewnętrznych
Dla pakietu mdatp istnieją następujące zależności pakietów zewnętrznych:
- Pakiet MDATP RPM wymaga
glibc >= 2.17
, ,audit
policycoreutils
, ,semanage
selinux-policy-targeted
mde-netfilter
- W przypadku DEBIAN pakiet mdatp wymaga
libc6 >= 2.23
, ,auditd
uuid-runtime
,mde-netfilter
- W przypadku programu Mariner pakiet mdatp wymaga
attr
,audit
,diffutils
,libacl
,libattr
,libselinux-utils
,selinux-policy
, ,policycoreutils
mde-netfilter
Pakiet mde-netfilter ma również następujące zależności pakietów:
- W przypadku debiana pakiet mde-netfilter wymaga ,
libnetfilter-queue1
libglib2.0-0
- W przypadku modułu RPM pakiet mde-netfilter wymaga
libmnl
, ,libnfnetlink
,libnetfilter_queue
glib2
- W przypadku programu Mariner pakiet mde-netfilter wymaga polecenia
libnfnetlink
,libnetfilter_queue
Jeśli instalacja Ochrona punktu końcowego w usłudze Microsoft Defender zakończy się niepowodzeniem z powodu błędów braku zależności, możesz ręcznie pobrać zależności wymagań wstępnych.
Problemy z instalacją dziennika
Zobacz Problemy z instalacją dziennika , aby uzyskać więcej informacji na temat znajdowania automatycznie wygenerowanego dziennika utworzonego przez instalatora w przypadku wystąpienia błędu.
Jak przeprowadzić migrację z Insiders-Fast do kanału produkcyjnego
Odinstaluj
Insiders-Fast channel
wersję usługi Defender for Endpoint w systemie Linux.sudo yum remove mdatp
Wyłączanie repozytorium Defender for Endpoint w systemie Linux Insiders-Fast
sudo yum repolist
Uwaga
Dane wyjściowe powinny zawierać wartość
packages-microsoft-com-fast-prod
.sudo yum-config-manager --disable packages-microsoft-com-fast-prod
Ponowne wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux przy użyciu kanału produkcyjnego.
Odinstalowywanie
Zobacz Odinstalowywanie , aby uzyskać szczegółowe informacje na temat usuwania usługi Defender for Endpoint w systemie Linux z urządzeń klienckich.
Zobacz też
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.