Udostępnij za pośrednictwem


Ręczne wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Porada

Szukasz zaawansowanych wskazówek dotyczących wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux? Zobacz Przewodnik wdrażania zaawansowanego w usłudze Defender for Endpoint w systemie Linux.

W tym artykule opisano sposób ręcznego wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux. Pomyślne wdrożenie wymaga wykonania wszystkich następujących zadań:

Wymagania wstępne i wymagania systemowe

Przed rozpoczęciem zobacz Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux, aby uzyskać opis wymagań wstępnych i wymagań systemowych dotyczących bieżącej wersji oprogramowania.

Ostrzeżenie

Uaktualnienie systemu operacyjnego do nowej wersji głównej po zainstalowaniu produktu wymaga ponownej instalacji produktu. Należy odinstalować istniejącą usługę Defender for Endpoint w systemie Linux, uaktualnić system operacyjny, a następnie ponownie skonfigurować usługę Defender dla punktu końcowego w systemie Linux, wykonując poniższe kroki.

Konfigurowanie repozytorium oprogramowania systemu Linux

Usługę Defender for Endpoint w systemie Linux można wdrożyć z jednego z następujących kanałów (oznaczonego jako [channel]): insiders-fast, insiders-slow lub prod. Każdy z tych kanałów odpowiada repozytorium oprogramowania systemu Linux. Instrukcje w tym artykule opisują konfigurowanie urządzenia do korzystania z jednego z tych repozytoriów.

Wybór kanału określa typ i częstotliwość aktualizacji oferowanych urządzeniu. Urządzenia w insiders-fast są pierwszymi, które otrzymują aktualizacje i nowe funkcje, a następnie insiders-slow i wreszcie przez prod.

Aby zapoznać się z nowymi funkcjami i przekazać wczesne opinie, zaleca się skonfigurowanie niektórych urządzeń w przedsiębiorstwie tak, aby korzystały z funkcji insiders-fast lub insiders-slow.

Ostrzeżenie

Przełączenie kanału po początkowej instalacji wymaga ponownej instalacji produktu. Aby przełączyć kanał produktu: odinstaluj istniejący pakiet, skonfiguruj ponownie urządzenie do korzystania z nowego kanału i wykonaj kroki opisane w tym dokumencie, aby zainstalować pakiet z nowej lokalizacji.

Skrypt instalatora

Podczas gdy omawiamy instalację ręczną, możesz też użyć zautomatyzowanego skryptu bash instalatora udostępnionego w naszym publicznym repozytorium GitHub. Skrypt identyfikuje dystrybucję i wersję, upraszcza wybór odpowiedniego repozytorium, konfiguruje urządzenie do ściągania najnowszego pakietu i łączy kroki instalacji produktu i dołączania.

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

Przeczytaj więcej tutaj.

RHEL i warianty (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky i Alma)

SLES i warianty

Uwaga

Twoja dystrybucja i wersja oraz zidentyfikuj najbliższy wpis (według głównych, a następnie pomocniczych) dla niego w obszarze https://packages.microsoft.com/config/sles/.

W następujących poleceniach zastąp ciąg [dystrybucja] i [wersja] zidentyfikowanymi informacjami:

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

Porada

Użyj polecenia SPident, aby zidentyfikować informacje związane z systemem, w tym wydanie [wersja].

Jeśli na przykład używasz protokołu SLES 12 i chcesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux z kanałuprod:

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
  • Zainstaluj klucz publiczny usługi Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
    

Systemy Ubuntu i Debian

  • Zainstaluj curl , jeśli nie jest jeszcze zainstalowana:

    sudo apt-get install curl
    
  • Zainstaluj libplist-utils , jeśli nie jest jeszcze zainstalowana:

    sudo apt-get install libplist-utils
    

    Uwaga

    Twoja dystrybucja i wersja oraz zidentyfikuj najbliższy wpis (według głównych, a następnie pomocniczych) dla niego w obszarze https://packages.microsoft.com/config/[distro]/.

    W poniższym poleceniu zastąp ciąg [dystrybucja] i [wersja] zidentyfikowanymi informacjami:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
    

    Porada

    Użyj polecenia hostnamectl, aby zidentyfikować informacje związane z systemem, w tym wydanie [wersja].

    Jeśli na przykład używasz systemu Ubuntu 18.04 i chcesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux z kanałuprod:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
    
  • Zainstaluj konfigurację repozytorium:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
    

    Jeśli na przykład wybrano prod kanał:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
    
  • Zainstaluj pakiet, gpg jeśli nie został jeszcze zainstalowany:

    sudo apt-get install gpg
    

    Jeśli gpg program nie jest dostępny, zainstaluj program gnupg.

    sudo apt-get install gnupg
    
  • Zainstaluj klucz publiczny usługi Microsoft GPG:

    • W przypadku systemu Debian 11 lub starszego uruchom następujące polecenie.
    curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
    

W przypadku systemu Debian 12 lub nowszego uruchom następujące polecenie.

curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
  • Zainstaluj sterownik HTTPS, jeśli nie został jeszcze zainstalowany:

    sudo apt-get install apt-transport-https
    
  • Zaktualizuj metadane repozytorium:

    sudo apt-get update
    

Marynarz

  • Zainstaluj dnf-plugins-core , jeśli nie jest jeszcze zainstalowana:

    sudo dnf install dnf-plugins-core
    
  • Konfigurowanie i włączanie wymaganych repozytoriów

    Uwaga

    Na Mariner, Insider Fast Channel nie jest dostępny.

    Jeśli chcesz wdrożyć usługę Defender for Endpoint w systemie Linux z kanału prod . Użyj następujących poleceń

    sudo dnf install mariner-repos-extras
    sudo dnf config-manager --enable mariner-official-extras
    

    Jeśli chcesz też eksplorować nowe funkcje na wybranych urządzeniach, możesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux na kanale z wolnym dostępem do informacji poufnych. Użyj następujących poleceń:

    sudo dnf install mariner-repos-extras-preview
    sudo dnf config-manager --enable mariner-official-extras-preview
    

Instalacja aplikacji

RHEL i warianty (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky i Alma)

sudo yum install mdatp

Uwaga

Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production , jeśli na tym urządzeniu skonfigurowano również insiders-fast kanał repozytorium. Taka sytuacja może wystąpić, jeśli na urządzeniu jest używanych wiele produktów firmy Microsoft. W zależności od dystrybucji i wersji serwera alias repozytorium może być inny niż w poniższym przykładzie.

# list all repositories
yum repolist
...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES i warianty

sudo zypper install mdatp

Uwaga

Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production , jeśli na tym urządzeniu skonfigurowano również insiders-fast kanał repozytorium. Taka sytuacja może wystąpić, jeśli na urządzeniu jest używanych wiele produktów firmy Microsoft.

zypper repos
...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp

Systemy Ubuntu i Debian

sudo apt-get install mdatp

Uwaga

Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production , jeśli na tym urządzeniu skonfigurowano również insiders-fast kanał repozytorium. Taka sytuacja może wystąpić, jeśli na urządzeniu jest używanych wiele produktów firmy Microsoft.

cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp

Uwaga

Ponowny rozruch nie jest wymagany po zainstalowaniu lub zaktualizowaniu Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux, z wyjątkiem sytuacji, gdy przeprowadzasz inspekcję w trybie niezmiennym.

Marynarz

sudo dnf install mdatp

Uwaga

Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production , jeśli na tym urządzeniu skonfigurowano również insiders-slow kanał repozytorium. Taka sytuacja może wystąpić, jeśli na urządzeniu jest używanych wiele produktów firmy Microsoft.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Pobieranie pakietu dołączania

Pobierz pakiet dołączania z portalu Microsoft Defender.

Ostrzeżenie

Ponowne pakowanie pakietu instalacyjnego usługi Defender for Endpoint nie jest obsługiwanym scenariuszem. Może to negatywnie wpłynąć na integralność produktu i prowadzić do niekorzystnych wyników, w tym między innymi do wyzwalania niestosowania alertów i aktualizacji powodujących naruszenie.

Ważna

Jeśli ten krok zostanie pominięty, każde wykonane polecenie wyświetli komunikat ostrzegawczy wskazujący, że produkt jest nielicencjonowany. mdatp health Również polecenie zwraca wartość false.

  1. W portalu Microsoft Defender przejdź do pozycji Ustawienia > Punkty końcowe > Dołączanie urządzeń do zarządzania urządzeniami>.

  2. W pierwszym menu rozwijanym wybierz pozycję Linux Server jako system operacyjny. W drugim menu rozwijanym wybierz pozycję Skrypt lokalny jako metodę wdrażania.

  3. Wybierz pozycję Pobierz pakiet dołączania. Zapisz plik jako WindowsDefenderATPOnboardingPackage.zip.

    Pobieranie pakietu dołączania w portalu Microsoft Defender

  4. W wierszu polecenia sprawdź, czy masz plik, i wyodrębnij zawartość archiwum:

    ls -l
    
    total 8
    -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
    
    unzip WindowsDefenderATPOnboardingPackage.zip
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
    

Konfiguracja klienta

  1. Skopiuj MicrosoftDefenderATPOnboardingLinuxServer.py na urządzenie docelowe.

    Uwaga

    Początkowo urządzenie klienckie nie jest skojarzone z organizacją, a atrybut orgId jest pusty.

    mdatp health --field org_id
    
  2. Uruchom MicrosoftDefenderATPOnboardingLinuxServer.py.

    Uwaga

    Aby uruchomić to polecenie, musisz mieć python lub python3 zainstalować na urządzeniu w zależności od dystrybucji i wersji. W razie potrzeby zobacz Instrukcje krok po kroku dotyczące instalowania języka Python w systemie Linux.

    Uwaga

    Aby dołączyć urządzenie, które zostało wcześniej odłączone, należy usunąć plik mdatp_offboard.json znajdujący się pod adresem /etc/opt/microsoft/mdatp.

    Jeśli używasz systemu RHEL 8.x lub Ubuntu 20.04 lub nowszego, musisz użyć programu python3.

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
    

    W pozostałych dystrybucjach i wersjach należy użyć polecenia python.

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
    
  3. Sprawdź, czy urządzenie jest teraz skojarzone z Twoją organizacją i zgłosi prawidłowy identyfikator organizacji:

    mdatp health --field org_id
    
  4. Sprawdź stan kondycji produktu, uruchamiając następujące polecenie. Zwracana wartość true oznacza, że produkt działa zgodnie z oczekiwaniami:

    mdatp health --field healthy
    

    Ważna

    Gdy produkt zostanie uruchomiony po raz pierwszy, pobierze najnowsze definicje ochrony przed złośliwym kodem. Może to potrwać do kilku minut w zależności od łączności sieciowej. W tym czasie powyższe polecenie zwraca wartość false. Stan aktualizacji definicji można sprawdzić za pomocą następującego polecenia:

    mdatp health --field definitions_status
    

    Należy pamiętać, że po zakończeniu instalacji początkowej może być konieczne skonfigurowanie serwera proxy. Zobacz Konfigurowanie usługi Defender dla punktu końcowego w systemie Linux w celu odnajdywania statycznego serwera proxy: konfiguracja po instalacji.

  5. Uruchom test wykrywania av, aby sprawdzić, czy urządzenie jest prawidłowo dołączone i raportuje do usługi. Wykonaj następujące kroki na nowo dołączonym urządzeniu:

    • Upewnij się, że ochrona w czasie rzeczywistym jest włączona (oznaczona wynikiem uruchomienia następującego true polecenia):

      mdatp health --field real_time_protection_enabled
      

      Jeśli nie jest włączona, wykonaj następujące polecenie:

      mdatp config real-time-protection --value enabled
      
    • Otwórz okno Terminal i wykonaj następujące polecenie, aby uruchomić test wykrywania:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      
    • Możesz uruchomić więcej testów wykrywania plików zip przy użyciu jednego z następujących poleceń:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      
    • Pliki powinny zostać poddane kwarantannie przez usługę Defender for Endpoint w systemie Linux. Użyj następującego polecenia, aby wyświetlić listę wszystkich wykrytych zagrożeń:

      mdatp threat list
      
  6. Uruchom test wykrywania EDR i symuluj wykrywanie, aby sprawdzić, czy urządzenie jest prawidłowo dołączone i raportuje do usługi. Wykonaj następujące kroki na nowo dołączonym urządzeniu:

  • Sprawdź, czy dołączony serwer z systemem Linux jest wyświetlany w Microsoft Defender XDR. Jeśli jest to pierwsze dołączenie maszyny, jej wyświetlenie może potrwać do 20 minut.

    • Pobierz i wyodrębnij plik skryptu na dołączonym serwerze z systemem Linux i uruchom następujące polecenie: ./mde_linux_edr_diy.sh

    • Po kilku minutach należy podnieść wykrywanie w Microsoft Defender XDR.

    • Przyjrzyj się szczegółom alertu, osi czasu maszyny i wykonaj typowe kroki badania.

Ochrona punktu końcowego w usłudze Microsoft Defender zależności pakietów zewnętrznych

Dla pakietu mdatp istnieją następujące zależności pakietów zewnętrznych:

  • Pakiet MDATP RPM wymaga glibc >= 2.17, , auditpolicycoreutils, , semanageselinux-policy-targetedmde-netfilter
  • W przypadku DEBIAN pakiet mdatp wymaga libc6 >= 2.23, , auditduuid-runtime,mde-netfilter
  • W przypadku programu Mariner pakiet mdatp wymaga attr, audit, diffutils, libacl, libattr, libselinux-utils, selinux-policy, , policycoreutilsmde-netfilter

Pakiet mde-netfilter ma również następujące zależności pakietów:

  • W przypadku debiana pakiet mde-netfilter wymaga ,libnetfilter-queue1libglib2.0-0
  • W przypadku modułu RPM pakiet mde-netfilter wymaga libmnl, , libnfnetlink, libnetfilter_queueglib2
  • W przypadku programu Mariner pakiet mde-netfilter wymaga polecenia libnfnetlink, libnetfilter_queue

Jeśli instalacja Ochrona punktu końcowego w usłudze Microsoft Defender zakończy się niepowodzeniem z powodu błędów braku zależności, możesz ręcznie pobrać zależności wymagań wstępnych.

Problemy z instalacją dziennika

Zobacz Problemy z instalacją dziennika , aby uzyskać więcej informacji na temat znajdowania automatycznie wygenerowanego dziennika utworzonego przez instalatora w przypadku wystąpienia błędu.

Jak przeprowadzić migrację z Insiders-Fast do kanału produkcyjnego

  1. Odinstaluj Insiders-Fast channel wersję usługi Defender for Endpoint w systemie Linux.

    sudo yum remove mdatp
    
  2. Wyłączanie repozytorium Defender for Endpoint w systemie Linux Insiders-Fast

    sudo yum repolist
    

    Uwaga

    Dane wyjściowe powinny zawierać wartość packages-microsoft-com-fast-prod.

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod
    
  3. Ponowne wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux przy użyciu kanału produkcyjnego.

Odinstalowywanie

Zobacz Odinstalowywanie , aby uzyskać szczegółowe informacje na temat usuwania usługi Defender for Endpoint w systemie Linux z urządzeń klienckich.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.