Descrição geral do Defender para Endpoint no Linux para dispositivos baseados em ARM64
Como já deve saber, Microsoft Defender para Ponto de Extremidade no Linux é uma solução de segurança de ponto final unificada que o ajuda a proteger os seus dispositivos de servidor contra ameaças avançadas. O Defender para Endpoint no Linux está agora a expandir o suporte para servidores Linux baseados em ARM64 em pré-visualização. Semelhante aos servidores Linux baseados em x64 (incluindo a plataforma Intel e AMD de 64 bits), estão incluídas as seguintes capacidades:
Microsoft Defender Antivírus
Detecção e resposta de ponto de extremidade (EDR)
Resposta Imediata
Isolamento do dispositivo
Busca avançada
Gerenciamento de Ameaças e Vulnerabilidades
Configuração de política centralizada com a gestão de definições de segurança
Inicialmente, as seguintes distribuições do Linux são suportadas na pré-visualização:
Ubuntu 20.04 ARM64
Ubuntu 22.04 ARM64
Amazon Linux 2 ARM64
Amazon Linux 2023 ARM64
Observação
O suporte para mais distribuições do Linux está planeado como parte deste programa de pré-visualização.
No dispositivo, execute o seguinte comando para marcar a status de estado de funcionamento. Um valor devolvido de true indica que o produto está a funcionar conforme esperado:
$ mdatp health --field healthy
No portal Microsoft Defender, emDispositivos de Recursos>, procure o dispositivo Linux que acabou de integrar. O dispositivo pode demorar aproximadamente 20 minutos a aparecer no portal.
Crie um ficheiro YAML de instalação no seu servidor Ansible. Por exemplo, /etc/ansible/playbooks/install_mdatp.yml, utilizando o mde_installer.sh que transferiu no passo 3.
name: Install and Onboard MDE
hosts: servers
tasks:
- name: Create a directory if it does not exist
ansible.builtin.file:
path: /tmp/mde_install
state: directory
mode: '0755'
- name: Copy Onboarding script
ansible.builtin.copy:
src: "{{ onboarding_script }}"
dest: /tmp/mde_install/mdatp_onboard.json
- name: Install MDE on host
ansible.builtin.script: "{{ mde_installer_script }} --install --channel {{ channel | default('insiders-slow') }} --onboard /tmp/mde_install/mdatp_onboard.json"
register: script_output
args:
executable: sudo
- name: Display the installation output
debug:
msg: "Return code [{{ script_output.rc }}] {{ script_output.stdout }}"
- name: Display any installation errors
debug:
msg: "{{ script_output.stderr }}"
Implemente o Defender para Endpoint no Linux com o seguinte comando. Edite os caminhos e o canal correspondentes, conforme adequado.
ansible-playbook -i /etc/ansible/hosts /etc/ansible/playbooks/install_mdatp.yml --extra-vars "onboarding_script=<path to mdatp_onboard.json > mde_installer_script=<path to mde_installer.sh> channel=<channel to deploy for: insiders-slow > "
Valide a implementação ao seguir estes passos:
No dispositivo, execute os seguintes comandos para marcar para deteções de estado de funcionamento, conectividade, antivírus e EDR do dispositivo:
- name: Run post-installation basic MDE test
hosts: myhosts
tasks:
- name: Check health
ansible.builtin.command: mdatp health --field healthy
register: health_status
- name: MDE health test failed
fail: msg="MDE is not healthy. health status => \n{{ health_status.stdout }}\nMDE deployment not complete"
when: health_status.stdout != "true"
- name: Run connectivity test
ansible.builtin.command: mdatp connectivity test
register: connectivity_status
- name: Connectivity failed
fail: msg="Connectivity failed. Connectivity result => \n{{ connectivity_status.stdout }}\n MDE deployment not complete"
when: connectivity_status.rc != 0
- name: Check RTP status
ansible.builtin.command: mdatp health --field real_time_protection_enabled
register: rtp_status
- name: Enable RTP
ansible.builtin.command: mdatp config real-time-protection --value enabled
become: yes
become_user: root
when: rtp_status.stdout != "true"
- name: Pause for 5 second to enable RTP
ansible.builtin.pause:
seconds: 5
- name: Download EICAR
ansible.builtin.get_url:
url: https://secure.eicar.org/eicar.com.txt
dest: /tmp/eicar.com.txt
- name: Pause for 5 second to detect eicar
ansible.builtin.pause:
seconds: 5
- name: Check for EICAR file
stat: path=/tmp/eicar.com.txt
register: eicar_test
- name: EICAR test failed
fail: msg="EICAR file not deleted. MDE deployment not complete"
when: eicar_test.stat.exists
- name: MDE Deployed
debug:
msg: "MDE succesfully deployed"
No portal Microsoft Defender, emDispositivos de Recursos>, procure o dispositivo Linux que acabou de integrar. O dispositivo pode demorar aproximadamente 20 minutos a aparecer no portal.
Utilize o manifesto do Puppet para instalar o Defender para Endpoint no Linux no seu dispositivo.
# Puppet manifest to install Microsoft Defender for Endpoint on Linux.
# @param channel The release channel based on your environment, insider-fast or prod.
class install_mdatp (
$channel = 'insiders-slow',
) {
# Ensure that the directory /tmp/mde_install exists
file { '/tmp/mde_install':
ensure => directory,
mode => '0755',
}
# Copy the installation script to the destination
file { '/tmp/mde_install/mde_installer.sh':
ensure => file,
source => 'puppet:///modules/install_mdatp/mde_installer.sh',
mode => '0777',
}
# Copy the onboarding script to the destination
file { '/tmp/mde_install/mdatp_onboard.json':
ensure => file,
source => 'puppet:///modules/install_mdatp/mdatp_onboard.json',
mode => '0777',
}
#Install MDE on the host using an external script
exec { 'install_mde':
command => "/tmp/mde_install/mde_installer.sh --install --channel ${channel} --onboard /tmp/mde_install/mdatp_onboard.json",
path => '/bin:/usr/bin',
user => 'root',
logoutput => true,
require => File['/tmp/mde_install/mde_installer.sh', '/tmp/mde_install/mdatp_onboard.json'], # Ensure the script is copied before running the installer
}
}
Valide a implementação. No portal Microsoft Defender, emDispositivos de Recursos>, procure o dispositivo Linux que acabou de integrar. O dispositivo pode demorar aproximadamente 20 minutos a aparecer no portal.
Implementar o Defender para Endpoint no Linux com o Microsoft Defender para a Cloud
Se a sua organização estiver a utilizar o Defender para a Cloud, pode utilizá-lo para implementar o Defender para Endpoint no Linux.
Recomendamos que ative a implementação automática nos seus dispositivos Linux baseados em ARM64. Após o aprovisionamento da VM, defina uma variável no ficheiro /etc/mde.arm.d/mde.conf no seu dispositivo da seguinte forma:
OPT_FOR_MDE_ARM_PREVIEW=1
Aguarde 1 a 6 horas para que a integração seja concluída.
No portal Microsoft Defender, emDispositivos> de Recursos, procure os dispositivos Linux que acabou de integrar.
Se se deparar com problemas ao implementar o Defender para Endpoint no Linux nos seus dispositivos baseados em ARM64, a ajuda estará disponível. Primeiro, reveja a nossa lista de problemas comuns e como resolve-los. Se o problema persistir, contacte-nos.
Problemas comuns e como resolve-los
A tabela seguinte resume problemas comuns e como resolve-los.
Mensagem de erro ou problema
O que fazer
mdatp not found
O repositório pode não estar configurado corretamente. Verifique se o canal está definido como insiders-slow no script do instalador
mdatp health indica uma licença em falta
Confirme que está a transmitir o script de inclusão ou o ficheiro json correto para o script ou ferramenta de automatização
As exclusões não estão a funcionar conforme esperado
Se tiver exclusões a funcionar noutros dispositivos, mas não estiverem a funcionar nos servidores Linux baseados em ARM64, contacte-nos através do mdearmsupport@microsoft.com. Precisa dos registos do analisador de cliente.
Quer ajuda para otimizar o mdatp.
Contacte-nos em mdearmsupport@microsoft.com.
Contacte-nos se precisar de ajuda
Quando nos contactar através mdearmsupport@microsoft.comdo , certifique-se de que descreve o problema em detalhe. Inclua capturas de ecrã, se possível, e os registos do analisador de cliente.
Pré-visualização do ARM do Analisador de Cliente XMDE
Para obter essa credencial de Habilidades Aplicadas da Microsoft, os alunos demonstram a capacidade de usar o Microsoft Defender XDR para detectar e responder a ameaças cibernéticas. Os candidatos a essa credencial devem estar familiarizados com a investigação e coleta de evidências sobre ataques a pontos de extremidade. Eles também devem ter experiência usando o Microsoft Defender para Ponto de Extremidade e a KQL (Linguagem de Consulta Kusto).
Planeje e execute uma estratégia de implantação de ponto de extremidade, usando elementos essenciais de gerenciamento moderno, abordagens de cogerenciamento e integração com o Microsoft Intune.