Поделиться через

Развертывание на основе скриптов установщика для развертывания Microsoft Defender для конечной точки в Linux

  • Применяется к: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Введение

Вы можете развернуть Defender для конечной точки в Linux с помощью различных средств и методов. В этой статье описывается, как автоматизировать развертывание Defender для конечной точки в Linux с помощью скрипта установщика. Этот скрипт определяет дистрибутив и версию, выбирает правильный репозиторий, настраивает устройство для извлечения последней версии агента и устанавливает устройство в Defender для конечной точки с помощью пакета подключения. Этот метод настоятельно рекомендуется для упрощения процесса развертывания.

Чтобы использовать другой метод, см. раздел Связанное содержимое.

Важно!

Если вы хотите параллельно запустить несколько решений безопасности, см. раздел Рекомендации по производительности, конфигурации и поддержке.

Возможно, вы уже настроили взаимные исключения безопасности для устройств, подключенных к Microsoft Defender для конечной точки. Если вам по-прежнему нужно настроить взаимные исключения, чтобы избежать конфликтов, см. раздел Добавление Microsoft Defender для конечной точки в список исключений для существующего решения.

Предварительные требования и требования к системе

Прежде чем приступить к работе, ознакомьтесь с описанием предварительных требований и системных требований к Defender для конечной точки в Linux .

Процесс развертывания

  1. Скачайте пакет подключения с портала Microsoft Defender, выполнив следующие действия.

    1. На портале Microsoft Defender разверните раздел Система и выберите Параметры Конечные>>точкиПодключение управления устройствами>.

    2. В первом раскрывающемся меню выберите Сервер Linux в качестве операционной системы.

    3. Во втором раскрывающемся меню выберите Локальный скрипт в качестве метода развертывания.

    4. Выберите Скачать пакет подключения. Сохраните файл как WindowsDefenderATPOnboardingPackage.zip.

      Снимок экрана: параметры для скачивания пакета подключения.

    5. Из командной строки извлеките содержимое архива:

      unzip WindowsDefenderATPOnboardingPackage.zip

      Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

      Предупреждение

      Переупаковка пакета установки Defender для конечной точки не поддерживается. Это может негативно повлиять на целостность продукта и привести к неблагоприятным результатам, включая, помимо прочего, активацию оповещений и обновлений о незаконном изменении.

      Важно!

      Если вы пропустите этот шаг, любая выполненная команда отображает предупреждающее сообщение о том, что продукт не лицензирован. Кроме того, команда mdatp health возвращает значение false.

  2. Скачайте скрипт bash установщика , предоставленный в общедоступном репозитории GitHub.

  3. Предоставьте исполняемые разрешения скрипту установщика:

    chmod +x mde_installer.sh

  4. Выполните скрипт установщика и укажите пакет подключения в качестве параметра для установки агента и подключения устройства к порталу Defender.

    sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --min_req

    Эта команда развертывает последнюю версию агента в рабочем канале, проверка минимальные системные требования и подключение устройства к порталу Defender.

    Кроме того, вы можете передать дополнительный параметр в зависимости от ваших требований для изменения установки. Проверьте справку для всех доступных параметров:

     ❯ ./mde_installer.sh --help
mde_installer.sh v0.7.0
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel         specify the channel(insiders-fast / insiders-slow / prod) from which you want to install. Default: prod
-i|--install         install the product
-r|--remove          uninstall the product
-u|--upgrade         upgrade the existing product to a newer version if available
-l|--downgrade       downgrade the existing product to a older version if available
-o|--onboard         onboard the product with <onboarding_script>
-f|--offboard        offboard the product with <offboarding_script>
-p|--passive-mode    set real time protection to passive mode
-a|--rtp-mode        set real time protection to active mode. passive-mode and rtp-mode are mutually exclusive
-t|--tag             set a tag by declaring <name> and <value>, e.g: -t GROUP Coders
-m|--min_req         enforce minimum requirements
-x|--skip_conflict   skip conflicting application verification
-w|--clean           remove repo from package manager for a specific channel
-y|--yes             assume yes for all mid-process prompts (default, deprecated)
-n|--no              remove assume yes sign
-s|--verbose         verbose output
-v|--version         print out script version
-d|--debug           set debug mode
--log-path <PATH>    also log output to PATH
--http-proxy <URL>   set http proxy
--https-proxy <URL>  set https proxy
--ftp-proxy <URL>    set ftp proxy
--mdatp              specific version of mde to be installed. will use the latest if not provided
-b|--install-path    specify the installation and configuration path for MDE. Default: /
-h|--help            display help
    Сценарий Command
    Установка в пользовательское расположение пути sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --min_req --install-path /custom/path/location
    Установка определенной версии агента sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --min_req –-mdatp 101.24082.0004
    Обновление до последней версии агента sudo ./mde_installer.sh --upgrade
    Обновление до определенной версии агента sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004
    Переход на определенную версию агента sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004
    Агент удаления sudo ./mde_installer.sh --remove

    Дополнительные сведения об установке по пользовательскому пути см. в статье Установка Defender для конечной точки в Linux по пользовательскому пути.

    Примечание.

    1. Для обновления операционной системы до новой основной версии после установки продукта требуется переустановка продукта. Необходимо удалить существующий Defender для конечной точки в Linux, обновить операционную систему, а затем перенастроить Defender для конечной точки в Linux.

    2. Путь установки нельзя изменить после установки Defender для конечной точки. Чтобы использовать другой путь, удалите и переустановите продукт в новом расположении.

Проверка состояния развертывания

  1. На портале Microsoft Defender откройте инвентаризацию устройств. На отображение устройства на портале может потребоваться 5–20 минут.

  2. Запустите тест обнаружения антивирусной программы, чтобы убедиться, что устройство правильно подключено и сообщает службе. На недавно подключенном устройстве выполните следующие действия.

    1. Убедитесь, что включена защита в режиме реального true времени (обозначается результатом выполнения следующей команды):

      mdatp health --field real_time_protection_enabled

      Если он не включен, выполните следующую команду:

      mdatp config real-time-protection --value enabled

    2. Откройте окно терминала и выполните следующую команду, чтобы запустить тест обнаружения:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Вы можете выполнить дополнительные тесты обнаружения в ZIP-файлах с помощью любой из следующих команд:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    4. Файлы должны быть помещены в карантин Defender для конечной точки в Linux. Используйте следующую команду, чтобы получить список всех обнаруженных угроз:

      mdatp threat list

  3. Запустите тест обнаружения EDR и имитируйте обнаружение, чтобы убедиться, что устройство правильно подключено и сообщает службе. На недавно подключенном устройстве выполните следующие действия.

    1. Скачайте и извлеките файл скрипта на подключенный сервер Linux.

    2. Предоставьте исполняемые разрешения скрипту:

      chmod +x mde_linux_edr_diy.sh

    3. Выполните следующую команду:

      ./mde_linux_edr_diy.sh

    4. Через несколько минут в Microsoft Defender XDR должно быть поднято обнаружение.

    5. Проверьте сведения об оповещении, временная шкала компьютера и выполните типичные действия по расследованию.

Microsoft Defender для конечной точки зависимости внешнего пакета

Если установка Microsoft Defender для конечной точки завершается сбоем из-за отсутствующих зависимостей, можно вручную скачать необходимые зависимости.

Для пакета существуют следующие внешние mdatp зависимости пакета:

  • Для пакета требуется mdatp RPM : glibc >= 2.17
  • Для DEBIAN требуется mdatp пакет libc6 >= 2.23
  • Для Mariner пакет mdatp требует attr,diffutils , libacl, libattr,libselinux-utils , selinux-policy. policycoreutils

Примечание.

Начиная с версии 101.24082.0004Defender для конечной точки в Linux больше не поддерживает Auditd поставщик событий. Мы полностью переходим на более эффективную технологию eBPF. Если eBPF на ваших компьютерах не поддерживается или существуют определенные требования, чтобы остаться на Auditd, а на ваших компьютерах используется Defender для конечной точки в linux или более ранней версии101.24072.0001, для существуют другие зависимости от пакета аудита.mdatp Для версии старше :101.25032.0000

  • Пакет RPM требует: mde-netfilter, pcre
  • Для пакета DEBIAN требуется: mde-netfilter, libpcre3
  • Пакет mde-netfilter также имеет следующие зависимости пакета: - Для DEBIAN требуется libnetfilter-queue1 пакет mde-netfilter и libglib2.0-0 - Для rpm пакет mde-netfilter требует libmnl, , libnfnetlinklibnetfilter_queueи glib2 Начиная с версии 101.25042.0003, uuid-runtime больше не требуется в качестве внешней зависимости.

Устранение неполадок при установке

Если у вас возникли проблемы с установкой, для самостоятельного устранения неполадок выполните следующие действия.

  1. Сведения о том, как найти журнал, который создается автоматически при возникновении ошибки установки, см. в разделе Проблемы с установкой журнала.

  2. Сведения о распространенных проблемах с установкой см. в разделе Проблемы с установкой.

  3. Если работоспособность устройства — false, см. статью Проблемы работоспособности агента Конечной точки в Defender.

  4. Сведения о проблемах с производительностью продукта см. в статье Устранение проблем с производительностью.

  5. Сведения о проблемах с прокси-сервером и подключением см. в статье Устранение неполадок с подключением к облаку.

Чтобы получить поддержку от Корпорации Майкрософт, откройте запрос в службу поддержки и предоставьте файлы журнала, созданные с помощью анализатора клиента.

Переключение между каналами

Например, чтобы изменить канал с Insiders-Fast на рабочий, выполните следующие действия.

  1. Удалите версию Insiders-Fast channel Defender для конечной точки в Linux.

    sudo yum remove mdatp

  2. Отключите репозиторий Defender для конечной точки в Linux Insiders-Fast.

    sudo yum repolist

    Примечание.

    В выходных данных должно отображаться значение packages-microsoft-com-fast-prod.

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Повторное развертывание Microsoft Defender для конечной точки в Linux с помощью производственного канала.

Defender для конечной точки в Linux можно развернуть из одного из следующих каналов (обозначается как [канал]):

  • insiders-fast
  • insiders-slow
  • prod

Каждый из этих каналов соответствует репозиторию программного обеспечения Linux. Инструкции в этой статье описывают настройку устройства для использования одного из этих репозиториев.

Выбор канала определяет тип и частоту обновлений, предлагаемых вашему устройству. Устройства в инсайдерской программе являются первыми, кто получает обновления и новые функции, а затем инсайдеры медленно и, наконец, prod.

Для предварительного просмотра новых функций и предоставления ранних отзывов рекомендуется настроить некоторые устройства в организации для использования insiders-fast или insiders-slow.

Предупреждение

Переключение канала после начальной установки требует переустановки продукта. Чтобы переключить канал продукта, удалите существующий пакет, перенастройте устройство для использования нового канала и выполните действия, описанные в этом документе, чтобы установить пакет из нового расположения.

Настройка политик для Microsoft Defender в Linux

Сведения о настройке параметров антивирусной программы и EDR см. в следующих статьях:

Связанные материалы

  • Last updated on