Dela via

Använda skriptbaserad distribution för installationsprogram för att distribuera Microsoft Defender för Endpoint på Linux

  • Gäller för: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Inledning

Du kan distribuera Defender för Endpoint på Linux med hjälp av olika verktyg och metoder. Den här artikeln beskriver hur du automatiserar distributionen av Defender för Endpoint på Linux med hjälp av ett installationsskript. Det här skriptet identifierar distributionen och versionen, väljer rätt lagringsplats, konfigurerar enheten för att hämta den senaste agentversionen och registrerar enheten till Defender för Endpoint med hjälp av registreringspaketet. Den här metoden rekommenderas starkt för att förenkla distributionsprocessen.

Om du vill använda en annan metod läser du avsnittet Relaterat innehåll.

Viktigt

Om du vill köra flera säkerhetslösningar sida vid sida kan du läsa Överväganden för prestanda, konfiguration och support.

Du kanske redan har konfigurerat ömsesidiga säkerhetsundantag för enheter som registrerats för Microsoft Defender för Endpoint. Om du fortfarande behöver ange ömsesidiga undantag för att undvika konflikter kan du läsa Lägga till Microsoft Defender för Endpoint i undantagslistan för din befintliga lösning.

Krav och systemkrav

Innan du börjar kan du läsa Krav för Defender för Endpoint på Linux för en beskrivning av krav och systemkrav.

Tips

Innan du kör installationsskriptet för att distribuera Defender på Linux-servern rekommenderar vi att du kör skriptet med alternativet att kontrollera minimikraven --pre-req för systemet (minne, processor, diskutrymme, operativsystem som stöds) före distributionen.

Distributionsprocess

  1. Ladda ned registreringspaketet från Microsoft Defender portalen genom att följa dessa steg:

    1. I Microsoft Defender-portalen expanderar du avsnittet System och väljer Inställningar>Slutpunkter>Enhetshantering>Registrering.

    2. I den första nedrullningsbara menyn väljer du Linux Server som operativsystem.

    3. I den andra nedrullningsbara menyn väljer du Lokalt skript som distributionsmetod.

    4. Välj Ladda ned registreringspaket. Spara filen som WindowsDefenderATPOnboardingPackage.zip.

      Skärmbild som visar alternativen för att välja att ladda ned onboarding-paketet.

    5. Extrahera innehållet i arkivet från en kommandotolk:

      unzip WindowsDefenderATPOnboardingPackage.zip

      Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

      Varning

      Det går inte att paketera om installationspaketet för Defender för Endpoint. Detta kan negativt påverka produktens integritet och leda till negativa resultat, inklusive men inte begränsat till att utlösa manipulationsaviseringar och uppdateringar som inte kan tillämpas.

      Viktigt

      Om du missar det här steget visar alla kommandon som körs ett varningsmeddelande som anger att produkten är olicensierad. Även mdatp health-kommandot returnerar värdet false.

  2. Ladda ned bash-skriptet för installationsprogrammet som finns på vår offentliga GitHub-lagringsplats.

  3. Bevilja körbara behörigheter till installationsskriptet:

    chmod +x mde_installer.sh

  4. Kör installationsskriptet och ange onboarding-paketet som en parameter för att installera agenten och registrera enheten på Defender-portalen.

    sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --pre-req

    Det här kommandot distribuerar den senaste agentversionen till produktionskanalen, kontrollerar minimikraven för systemet (minne, CPU, diskutrymme, operativsystem som stöds) och registrerar enheten på Defender-portalen.

    Dessutom kan du skicka fler parametrar baserat på dina krav för att ändra installationen. Kontrollera hjälpen för alla tillgängliga alternativ:

     ❯ ./mde_installer.sh --help
mde_installer.sh v0.7.0
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel              specify the channel (insiders-fast / insiders-slow / prod) from which to install. Default: prod
-i|--install              install the product
-r|--remove               uninstall the product
-u|--upgrade              upgrade the existing product to a newer version if available
-l|--downgrade            downgrade the existing product to an older version if available
-o|--onboard <script>     onboard MDE with the specified onboarding script
-f|--offboard <script>    offboard MDE with the specified offboarding script
-p|--passive-mode         set real-time protection to passive mode
-a|--rtp-mode             set real-time protection to active mode. Passive-mode and rtp-mode are mutually exclusive
-t|--tag                  set a tag by declaring <name> and <value>, e.g.: -t GROUP Coders
-q|--pre-req              check minimum system requirements for MDE (memory, CPU, disk space, supported OS) without installing
-x|--skip_conflict        skip conflicting application verification
-w|--clean                remove MDE repository from the package manager for the specified channel
-y|--yes                  assume yes for all mid-process prompts (default, deprecated)
-n|--no                   disable the default assume-yes behavior for prompts
-s|--verbose              enable verbose output
-v|--version              print the script version
-d|--debug                enable debug mode
--log-path <PATH>         also log output to PATH
--http-proxy <URL>        set http proxy
--https-proxy <URL>       set https proxy
--ftp-proxy <URL>         set ftp proxy
--mdatp <version>         install a specific version of MDE; uses the latest if not provided
--use-local-repo          skip MDE repository setup and use the locally configured repository
-b|--install-path <PATH>  specify the installation and configuration path for MDE. Default: /
-h|--help                 display help
Scenario Kommando
Installera på en anpassad sökväg sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --pre-req --install-path /custom/path/location
Installera en specifik agentversion sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --pre-req –-mdatp 101.24082.0004
Uppgradera till den senaste agentversionen sudo ./mde_installer.sh --upgrade
Uppgradera till en specifik agentversion sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004
Nedgradera till en specifik agentversion sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004
Avinstallera agent sudo ./mde_installer.sh --remove
Kör endast förreq-kontroller (ingen installation) sudo ./mde_installer.sh --pre-req

Mer information om hur du installerar på en anpassad sökväg finns i: Installera Defender för Endpoint på Linux till en anpassad sökväg.

Obs!

  • Om du uppgraderar operativsystemet till en ny huvudversion efter produktinstallationen måste produkten installeras om. Du måste avinstallera den befintliga Defender för Endpoint på Linux, uppgradera operativsystemet och sedan konfigurera om Defender för Endpoint på Linux.
  • Installationssökvägen kan inte ändras när Defender för Endpoint har installerats. Om du vill använda en annan sökväg avinstallerar och installerar du om produkten på den nya platsen.

Verifiera distributionsstatus

  1. Öppna enhetsinventeringen i Microsoft Defender-portalen. Det kan ta 5–20 minuter innan enheten visas i portalen.

  2. Kör ett antivirusidentifieringstest för att kontrollera att enheten är korrekt registrerad och rapportera till tjänsten. Utför följande steg på den nyligen registrerade enheten:

    1. Kontrollera att realtidsskydd är aktiverat (betecknas av ett resultat av true att följande kommando körs):

      mdatp health --field real_time_protection_enabled

      Om den inte är aktiverad kör du följande kommando:

      mdatp config real-time-protection --value enabled

    2. Öppna ett terminalfönster och kör följande kommando för att köra ett identifieringstest:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Du kan köra fler identifieringstester på zip-filer med något av följande kommandon:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    4. Filerna ska placeras i karantän av Defender för Endpoint på Linux. Använd följande kommando för att lista alla identifierade hot:

      mdatp threat list

  3. Kör ett EDR-identifieringstest och simulera en identifiering för att verifiera att enheten är korrekt registrerad och rapporterar till tjänsten. Utför följande steg på den nyligen registrerade enheten:

    1. Ladda ned och extrahera skriptfilen till en registrerad Linux-server.

    2. Bevilja körbara behörigheter till skriptet:

      chmod +x mde_linux_edr_diy.sh

    3. Kör följande kommando:

      ./mde_linux_edr_diy.sh

    4. Efter några minuter bör en identifiering aktiveras i Microsoft Defender XDR.

    5. Kontrollera aviseringsinformationen, datorns tidslinje och utför vanliga undersökningssteg.

Microsoft Defender för Endpoint paketera externa paketberoenden

Om Microsoft Defender för Endpoint installationen misslyckas på grund av saknade beroenden kan du manuellt ladda ned nödvändiga beroenden.

Följande externa paketberoenden finns för mdatp paketet:

  • Paketet mdatp RPM kräver - glibc >= 2.17
  • För DEBIAN mdatp kräver paketet libc6 >= 2.23
  • För Mariner mdatp kräver attrpaketet ,diffutils, libacl, libattr,libselinux-utils, selinux-policy, policycoreutils

Obs!

Från och med version 101.24082.0004stöder Auditd Defender för Endpoint på Linux inte längre händelseprovidern. Vi övergår helt till den effektivare eBPF-tekniken. Om eBPF inte stöds på dina datorer, eller om det finns specifika krav som måste finnas kvar på Auditd, och dina datorer använder Defender för Endpoint på Linux version 101.24072.0001 eller tidigare, finns det andra beroenden för det granskade paketet för mdatp. För version som är äldre än 101.25032.0000:

  • RPM-paketbehov: mde-netfilter, pcre
  • DEBIAN-paket behöver: mde-netfilter, libpcre3
  • Paketet mde-netfilter har också följande paketberoenden: – För DEBIAN kräver libnetfilter-queue1 paketet mde-netfilter och libglib2.0-0 – För RPM kräver libmnlmde-netfilter-paketet , libnfnetlink, libnetfilter_queueoch från och glib2 med version 101.25042.0003, krävs inte längre uuid-runtime som externt beroende.

Felsöka installationsproblem

Om du får problem med installationen följer du dessa steg för självfelsökning:

  1. Information om hur du hittar loggen som genereras automatiskt när ett installationsfel inträffar finns i Problem med logginstallation.

  2. Information om vanliga installationsproblem finns i Installationsproblem.

  3. Om enhetens hälsa är falseläser du Hälsoproblem med Defender för Endpoint-agenten.

  4. Information om problem med produktprestanda finns i Felsöka prestandaproblem.

  5. Information om proxy- och anslutningsproblem finns i Felsöka problem med molnanslutning.

Om du vill få support från Microsoft öppnar du ett supportärende och anger loggfilerna som skapats med hjälp av klientanalyseraren.

Växla mellan kanaler

Om du till exempel vill ändra kanal från Insiders-Fast till Produktion gör du följande:

  1. Avinstallera versionen Insiders-Fast channel av Defender för Endpoint på Linux.

    sudo yum remove mdatp

  2. Inaktivera Defender för Endpoint på Linux Insiders-Fast lagringsplats.

    sudo yum repolist

    Obs!

    Utdata ska visa packages-microsoft-com-fast-prod.

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Distribuera om Microsoft Defender för Endpoint på Linux med hjälp av produktionskanalen.

Defender för Endpoint på Linux kan distribueras från någon av följande kanaler (betecknas som [kanal]):

  • insiders-fast
  • insiders-slow
  • prod

Var och en av dessa kanaler motsvarar en Linux programvarulagringsplats. Anvisningarna i den här artikeln beskriver hur du konfigurerar enheten så att den använder någon av dessa lagringsplatser.

Valet av kanal avgör typ och frekvens för uppdateringar som erbjuds till din enhet. Enheter i insiders-snabb är de första som tar emot uppdateringar och nya funktioner, följt senare av insiders-långsam och slutligen av prod.

För att förhandsgranska nya funktioner och ge tidig feedback rekommenderar vi att du konfigurerar vissa enheter i företaget att använda antingen insiders-fast eller insiders-slow.

Varning

Om du byter kanal efter den första installationen måste produkten installeras om. Så här växlar du produktkanalen: avinstallera det befintliga paketet, konfigurera om enheten så att den använder den nya kanalen och följ stegen i det här dokumentet för att installera paketet från den nya platsen.

Konfigurera principer för Microsoft Defender på Linux

Information om hur du konfigurerar inställningar för antivirus och EDR finns i följande artiklar:

Relaterat innehåll

  • Last updated on