Implantar Microsoft Defender para Ponto de Extremidade no Linux manualmente
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Dica
Procurando orientações avançadas sobre como implantar Microsoft Defender para Ponto de Extremidade no Linux? Consulte Guia de implantação avançada no Defender para Ponto de Extremidade no Linux.
Este artigo descreve como implantar Microsoft Defender para Ponto de Extremidade no Linux manualmente. Uma implantação bem-sucedida requer a conclusão de todas as seguintes tarefas:
- Pré-requisitos e requisitos do sistema
- Configurar o repositório de software do Linux
- Instalação do aplicativo
- Baixar o pacote de integração
- Configuração do cliente
Pré-requisitos e requisitos do sistema
Antes de começar, consulte Microsoft Defender para Ponto de Extremidade no Linux para obter uma descrição dos pré-requisitos e dos requisitos do sistema para a versão de software atual.
Aviso
Atualizar seu sistema operacional para uma nova versão principal após a instalação do produto requer que o produto seja reinstalado. Você precisa desinstalar o Defender para Ponto de Extremidade existente no Linux, atualizar o sistema operacional e reconfigurar o Defender para Ponto de Extremidade no Linux seguindo as etapas abaixo.
Configurar o repositório de software do Linux
O Defender para Ponto de Extremidade no Linux pode ser implantado em um dos seguintes canais (denotado abaixo como [canal]): insiders-fast, insiders-slow ou prod. Cada um desses canais corresponde a um repositório de software do Linux. As instruções neste artigo descrevem a configuração do dispositivo para usar um desses repositórios.
A escolha do canal determina o tipo e a frequência das atualizações oferecidas ao seu dispositivo. Os dispositivos em insiders rápidos são os primeiros a receber atualizações e novos recursos, seguidos posteriormente por insiders lentos e, por fim, por prod.
Para visualizar novos recursos e fornecer comentários antecipados, é recomendável que você configure alguns dispositivos em sua empresa para usar insiders rápido ou insiders-slow.
Aviso
Alternar o canal após a instalação inicial requer que o produto seja reinstalado. Para alternar o canal do produto: desinstale o pacote existente, configure novamente seu dispositivo para usar o novo canal e siga as etapas neste documento para instalar o pacote a partir do novo local.
Script do instalador
Enquanto discutimos a instalação manual, como alternativa, você pode usar um script de bash instalador automatizado fornecido em nosso repositório público do GitHub. O script identifica a distribuição e a versão, simplifica a seleção do repositório direito, configura o dispositivo para puxar o pacote mais recente e combina as etapas de instalação e integração do produto.
> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel specify the channel from which you want to install. Default: insiders-fast
-i|--install install the product
-r|--remove remove the product
-u|--upgrade upgrade the existing product
-o|--onboard onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req enforce minimum requirements
-w|--clean remove repo from package manager for a specific channel
-v|--version print out script version
-h|--help display help
Leia mais aqui.
RHEL e variantes (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky e Alma)
Instale
yum-utils
se ainda não estiver instalado:sudo yum install yum-utils
Observação
Sua distribuição e versão e identificar a entrada mais próxima (por major, depois menor) para ela em
https://packages.microsoft.com/config/rhel/
.Use a tabela a seguir para ajudá-lo a localizar o pacote:
Distro & versão Pacote Para Alma 8.4 e superior https://packages.microsoft.com/config/alma/8/prod.repo Para Alma 9.2 e superior https://packages.microsoft.com/config/alma/9/prod.repo Para RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo Para RHEL/Centos/Oracle 8.0-8.9 https://packages.microsoft.com/config/rhel/8/prod.repo Para RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo Para o Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo Para Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo Para Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo Para Rocky 8.7 e superior https://packages.microsoft.com/config/rocky/8/prod.repo Para Rocky 9.2 e superior https://packages.microsoft.com/config/rocky/9/prod.repo Nos seguintes comandos, substitua [versão] e [canal] pelas informações que você identificou:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
Dica
Use o comando hostnamectl para identificar informações relacionadas ao sistema, incluindo a versão [versão].
Por exemplo, se você estiver executando o CentOS 7 e quiser implantar o Defender para Ponto de Extremidade no Linux a partir do canal prod :
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
Ou se você quiser explorar novos recursos em dispositivos selecionados, talvez deseje implantar Microsoft Defender para Ponto de Extremidade no Linux em um canal rápido para insiders:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
Instale a chave pública do Microsoft GPG:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
SLES e variantes
Observação
Sua distribuição e versão e identificar a entrada mais próxima (por major, depois menor) para ela em https://packages.microsoft.com/config/sles/
.
Nos seguintes comandos, substitua [distro] e [versão] pelas informações que você identificou:
sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
Dica
Use o comando SPident para identificar informações relacionadas ao sistema, incluindo a versão [versão].
Por exemplo, se você estiver executando o SLES 12 e desejar implantar Microsoft Defender para Ponto de Extremidade no Linux a partir do canal prod:
sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
Instale a chave pública do Microsoft GPG:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
Sistemas Ubuntu e Debian
Instale
curl
se ainda não estiver instalado:sudo apt-get install curl
Instale
libplist-utils
se ainda não estiver instalado:sudo apt-get install libplist-utils
Observação
Sua distribuição e versão e identificar a entrada mais próxima (por major, depois menor) para ela em
https://packages.microsoft.com/config/[distro]/
.No comando a seguir, substitua [distro] e [versão] pelas informações que você identificou:
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
Dica
Use o comando hostnamectl para identificar informações relacionadas ao sistema, incluindo a versão [versão].
Por exemplo, se você estiver executando o Ubuntu 18.04 e desejar implantar Microsoft Defender para Ponto de Extremidade no Linux a partir do canal prod:
curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
Instale a configuração do repositório:
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
Por exemplo, se você escolheu o canal prod :
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
Instale o
gpg
pacote se ainda não estiver instalado:sudo apt-get install gpg
Se
gpg
não estiver disponível, instalegnupg
.sudo apt-get install gnupg
Instale a chave pública do Microsoft GPG:
- Para o Debian 11 e anterior, execute o comando a seguir.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
Para o Debian 12 e posterior, execute o comando a seguir.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
Instale o driver HTTPS se ainda não estiver instalado:
sudo apt-get install apt-transport-https
Atualize os metadados do repositório:
sudo apt-get update
Mariner
Instale
dnf-plugins-core
se ainda não estiver instalado:sudo dnf install dnf-plugins-core
Configurar e Habilitar os repositórios necessários
Observação
No Mariner, o Insider Fast Channel não está disponível.
Se você quiser implantar o Defender para Ponto de Extremidade no Linux a partir do canal prod . Usar os comandos a seguir
sudo dnf install mariner-repos-extras sudo dnf config-manager --enable mariner-official-extras
Ou se você quiser explorar novos recursos em dispositivos selecionados, talvez deseje implantar Microsoft Defender para Ponto de Extremidade no Linux em um canal mais lento. Use os seguintes comandos:
sudo dnf install mariner-repos-extras-preview sudo dnf config-manager --enable mariner-official-extras-preview
Instalação do aplicativo
RHEL e variantes (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky e Alma)
sudo yum install mdatp
Observação
Se você tiver vários repositórios da Microsoft configurados em seu dispositivo, poderá ser específico sobre qual repositório instalar o pacote. O exemplo a seguir mostra como instalar o pacote do production
canal se você também tiver o canal de insiders-fast
repositório configurado neste dispositivo. Essa situação pode acontecer se você estiver usando vários produtos da Microsoft em seu dispositivo. Dependendo da distribuição e da versão do servidor, o alias do repositório pode ser diferente do do exemplo a seguir.
# list all repositories
yum repolist
...
packages-microsoft-com-prod packages-microsoft-com-prod 316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins 2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
SLES e variantes
sudo zypper install mdatp
Observação
Se você tiver vários repositórios da Microsoft configurados em seu dispositivo, poderá ser específico sobre qual repositório instalar o pacote. O exemplo a seguir mostra como instalar o pacote do production
canal se você também tiver o canal de insiders-fast
repositório configurado neste dispositivo. Essa situação pode acontecer se você estiver usando vários produtos da Microsoft em seu dispositivo.
zypper repos
...
# | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp
Sistemas Ubuntu e Debian
sudo apt-get install mdatp
Observação
Se você tiver vários repositórios da Microsoft configurados em seu dispositivo, poderá ser específico sobre qual repositório instalar o pacote. O exemplo a seguir mostra como instalar o pacote do production
canal se você também tiver o canal de insiders-fast
repositório configurado neste dispositivo. Essa situação pode acontecer se você estiver usando vários produtos da Microsoft em seu dispositivo.
cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp
Observação
Reinicializações NÃO são necessárias depois de instalar ou atualizar Microsoft Defender para Ponto de Extremidade no Linux, exceto quando você estiver executando auditD no modo imutável.
Mariner
sudo dnf install mdatp
Observação
Se você tiver vários repositórios da Microsoft configurados em seu dispositivo, poderá ser específico sobre qual repositório instalar o pacote. O exemplo a seguir mostra como instalar o pacote do production
canal se você também tiver o canal de insiders-slow
repositório configurado neste dispositivo. Essa situação pode acontecer se você estiver usando vários produtos da Microsoft em seu dispositivo.
sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras
Baixar o pacote de integração
Baixe o pacote de integração do portal Microsoft Defender.
Aviso
Reempacotar o pacote de instalação do Defender para Ponto de Extremidade não é um cenário com suporte. Isso pode afetar negativamente a integridade do produto e levar a resultados adversos, incluindo, mas não se limitando a disparar alertas de adulteração e atualizações que não se aplicam.
Importante
Se você perder esta etapa, qualquer comando executado mostrará uma mensagem de aviso indicando que o produto não foi habilitado. Além disso, o mdatp health
comando retorna um valor de false
.
No portal Microsoft Defender, acesse Configurações Endpoints >> Gerenciamento > de dispositivo Integração.
No primeiro menu suspenso, selecione Linux Server como o sistema operacional. No segundo menu suspenso, selecione Script Local como o método de implantação.
Selecione Baixar pacote de integração. Salve o arquivo como WindowsDefenderATPOnboardingPackage.zip.
Em um prompt de comando, verifique se você tem o arquivo e extraia o conteúdo do arquivo:
ls -l
total 8 -rw-r--r-- 1 test staff 5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
unzip WindowsDefenderATPOnboardingPackage.zip
Archive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
Configuração do cliente
Copie MicrosoftDefenderATPOnboardingLinuxServer.py para o dispositivo de destino.
Observação
Inicialmente, o dispositivo cliente não está associado a uma organização e o atributo orgId está em branco.
mdatp health --field org_id
Execute MicrosoftDefenderATPOnboardingLinuxServer.py.
Observação
Para executar esse comando, você deve ter
python
oupython3
instalado no dispositivo, dependendo da distribuição e da versão. Se necessário, consulte Instruções passo a passo para instalar o Python no Linux.Observação
Para integrar um dispositivo que foi desativado anteriormente, você deve remover o arquivo mdatp_offboard.json localizado em /etc/opt/microsoft/mdatp.
Se você estiver executando o RHEL 8.x ou Ubuntu 20.04 ou superior, precisará usar
python3
.sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
Para o restante das distribuições e versões, você precisa usar
python
.sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
Verifique se o dispositivo agora está associado à sua organização e relata um identificador de organização válido:
mdatp health --field org_id
Verifique o status de integridade do produto executando o comando a seguir. Um valor retornado de
true
denota que o produto está funcionando conforme o esperado:mdatp health --field healthy
Importante
Quando o produto é iniciado pela primeira vez, ele baixa as definições antimalware mais recentes. Isso pode levar até alguns minutos, dependendo da conectividade de rede. Durante esse tempo, o comando acima retorna um valor de
false
. Você pode marcar o status da atualização de definição usando o seguinte comando:mdatp health --field definitions_status
Observe que você também pode precisar configurar um proxy depois de concluir a instalação inicial. Consulte Configurar o Defender para Ponto de Extremidade no Linux para obter a descoberta de proxy estático: configuração pós-instalação.
Execute um teste de detecção de AV para verificar se o dispositivo está devidamente integrado e relatando ao serviço. Execute as seguintes etapas no dispositivo recém-integrado:
Verifique se a proteção em tempo real está habilitada (denotada por um resultado da execução do
true
seguinte comando):mdatp health --field real_time_protection_enabled
Se ele não estiver habilitado, execute o seguinte comando:
mdatp config real-time-protection --value enabled
Abra uma janela do Terminal e execute o seguinte comando para executar um teste de detecção:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
Você pode executar testes de detecção adicionais em arquivos zip usando um dos seguintes comandos:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
Os arquivos devem ser colocados em quarentena pelo Defender para Ponto de Extremidade no Linux. Use o seguinte comando para listar todas as ameaças detectadas:
mdatp threat list
Execute um teste de detecção EDR e simule uma detecção para verificar se o dispositivo está devidamente integrado e relatando ao serviço. Execute as seguintes etapas no dispositivo recém-integrado:
Verifique se o servidor Linux integrado é exibido no Microsoft Defender XDR. Se essa for a primeira integração do computador, ela pode levar até 20 minutos até que ela apareça.
Baixe e extraia o arquivo de script para um servidor Linux integrado e execute o seguinte comando:
./mde_linux_edr_diy.sh
Após alguns minutos, uma detecção deve ser gerada em Microsoft Defender XDR.
Examine os detalhes do alerta, linha do tempo do computador e execute suas etapas típicas de investigação.
Microsoft Defender para Ponto de Extremidade dependências de pacote externo do pacote
As seguintes dependências de pacote externo existem para o pacote mdatp:
- O pacote de RPM mdatp requer "glibc >= 2,17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
- Para RHEL6, o pacote de RPM mdatp requer "audit", "policycoreutils", "libselinux", "mde-netfilter"
- Para DEBIAN, o pacote mdatp requer "libc6 >= 2,23", "uuid-runtime", "auditd", "mde-netfilter"
- Para Mariner, o pacote mdatp requer "attr", "audit", "diffutils", "libacl", "libattr", "libselinux-utils", "selinux-policy", "policycoreutils", "mde-netfilter"
O pacote mde-netfilter também tem as seguintes dependências de pacote:
- Para DEBIAN, o pacote mde-netfilter requer "libnetfilter-queue1", "libglib2.0-0"
- Para RPM, o pacote mde-netfilter requer "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"
- Para o Mariner, o pacote mde-netfilter requer "libnfnetlink", "libnetfilter_queue"
Se a instalação Microsoft Defender para Ponto de Extremidade falhar devido a erros de dependência ausentes, você poderá baixar manualmente as dependências do pré-requisito.
Problemas de instalação de log
Consulte Problemas de instalação de log para obter mais informações sobre como encontrar o log gerado automaticamente criado pelo instalador quando ocorrer um erro.
Como migrar de Insiders-Fast para o canal Production
Desinstale a versão "Insiders-Fast channel" do Defender para Ponto de Extremidade no Linux.
sudo yum remove mdatp
Desabilitar o Ponto de Extremidade do Defender no repositório linux Insiders-Fast
sudo yum repolist
Observação
A saída deve mostrar "packages-microsoft-com-fast-prod".
sudo yum-config-manager --disable packages-microsoft-com-fast-prod
Reimplantar Microsoft Defender para Ponto de Extremidade no Linux usando o "Canal de produção".
Desinstalação
Consulte Desinstalar para obter detalhes sobre como remover o Defender para Ponto de Extremidade no Linux de dispositivos cliente.
Confira também
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de