Distribuera Microsoft Defender för Endpoint i Linux manuellt

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender XDR

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Tips

Letar du efter avancerad vägledning om hur du distribuerar Microsoft Defender för Endpoint i Linux? Se Avancerad distributionsguide för Defender för Endpoint i Linux.

Den här artikeln beskriver hur du distribuerar Microsoft Defender för Endpoint i Linux manuellt. En lyckad distribution kräver att alla följande uppgifter slutförs:

• Krav och systemkrav
• Konfigurera Linux-programvarulagringsplatsen
  • RHEL och varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky och Alma)
  • SLES och varianter
  • Ubuntu- och Debiansystem
  • Mariner
• Programinstallation
  • RHEL och varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky och Alma)
  • SLES och varianter
  • Ubuntu- och Debiansystem
  • Mariner
• Ladda ned onboarding-paketet
• Klientkonfiguration

Krav och systemkrav

Innan du börjar kan du läsa Microsoft Defender för Endpoint på Linux för en beskrivning av krav och systemkrav för den aktuella programvaruversionen.

Varning

Om du uppgraderar operativsystemet till en ny huvudversion efter produktinstallationen måste produkten installeras om. Du måste avinstallera den befintliga Defender för Endpoint i Linux, uppgradera operativsystemet och sedan konfigurera om Defender för Endpoint i Linux genom att följa stegen nedan.

Konfigurera Linux-programvarulagringsplatsen

Defender för Endpoint i Linux kan distribueras från någon av följande kanaler (anges nedan som [kanal]): insiders-fast, insiders-slow eller prod. Var och en av dessa kanaler motsvarar en Linux-programvarulagringsplats. Anvisningarna i den här artikeln beskriver hur du konfigurerar enheten så att den använder någon av dessa lagringsplatser.

Valet av kanal avgör typ och frekvens för uppdateringar som erbjuds till din enhet. Enheter i insiders-snabb är de första som tar emot uppdateringar och nya funktioner, följt senare av insiders-långsam och slutligen av prod.

För att kunna förhandsgranska nya funktioner och ge tidig feedback rekommenderar vi att du konfigurerar vissa enheter i företaget för att använda insiders-fast eller insiders-slow.

Varning

Om du byter kanal efter den första installationen måste produkten installeras om. Så här växlar du produktkanalen: avinstallera det befintliga paketet, konfigurera om enheten så att den använder den nya kanalen och följ stegen i det här dokumentet för att installera paketet från den nya platsen.

Installationsskript

Vi diskuterar manuell installation, men du kan också använda ett bash-skript för automatiserat installationsprogram som finns på vår offentliga GitHub-lagringsplats. Skriptet identifierar distributionen och versionen, förenklar valet av rätt lagringsplats, konfigurerar enheten för att hämta det senaste paketet och kombinerar stegen för produktinstallation och registrering.

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

Läs mer här.

RHEL och varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky och Alma)

• Installera yum-utils om den inte är installerad än:

  sudo yum install yum-utils
  

  Obs!

  Din distribution och version och identifiera den närmaste posten (efter huvudnamn och sedan del) för den under https://packages.microsoft.com/config/rhel/.

  Använd följande tabell för att hjälpa dig att hitta paketet:

  Distribution & version	Paket
  För Alma 8.4 och senare	https://packages.microsoft.com/config/alma/8/prod.repo
  För Alma 9.2 och senare	https://packages.microsoft.com/config/alma/9/prod.repo
  För RHEL/Centos/Oracle 9.0-9.8	https://packages.microsoft.com/config/rhel/9/prod.repo
  För RHEL/Centos/Oracle 8.0-8.9	https://packages.microsoft.com/config/rhel/8/prod.repo
  För RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2	https://packages.microsoft.com/config/rhel/7.2/prod.repo
  För Amazon Linux 2023	https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
  För Fedora 33	https://packages.microsoft.com/config/fedora/33/prod.repo
  För Fedora 34	https://packages.microsoft.com/config/fedora/34/prod.repo
  För Rocky 8,7 och högre	https://packages.microsoft.com/config/rocky/8/prod.repo
  För Rocky 9,2 och högre	https://packages.microsoft.com/config/rocky/9/prod.repo

  Ersätt [version] och [kanal] med den information som du har identifierat i följande kommandon:

  sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
  

  Tips

  Använd hostnamectl-kommandot för att identifiera systemrelaterad information, inklusive versionen [version].

  Om du till exempel kör CentOS 7 och vill distribuera Defender för Endpoint på Linux från prod-kanalen :

  sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
  

  Eller om du vill utforska nya funktioner på valda enheter kanske du vill distribuera Microsoft Defender för Endpoint på Linux till en insiders-snabb kanal:

  sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
  

• Installera den offentliga Microsoft GPG-nyckeln:

  sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
  

SLES och varianter

Obs!

Din distribution och version och identifiera den närmaste posten (efter huvudnamn och sedan del) för den under https://packages.microsoft.com/config/sles/.

Ersätt [distro] och [version] med den information som du har identifierat i följande kommandon:

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

Tips

Använd SPident-kommandot för att identifiera systemrelaterad information, inklusive version [version].

Om du till exempel kör SLES 12 och vill distribuera Microsoft Defender för Endpoint på Linux från prod-kanalen:

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

• Installera den offentliga Microsoft GPG-nyckeln:

  sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
  

Ubuntu- och Debiansystem

• Installera curl om den inte är installerad än:

  sudo apt-get install curl
  

• Installera libplist-utils om den inte är installerad än:

  sudo apt-get install libplist-utils
  

  Obs!

  Din distribution och version och identifiera den närmaste posten (efter huvudnamn och sedan del) för den under https://packages.microsoft.com/config/[distro]/.

  I följande kommando ersätter du [distro] och [version] med den information som du har identifierat:

  curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
  

  Tips

  Använd hostnamectl-kommandot för att identifiera systemrelaterad information, inklusive versionen [version].

  Om du till exempel kör Ubuntu 18.04 och vill distribuera Microsoft Defender för Endpoint på Linux från prod-kanalen:

  curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
  

• Installera lagringsplatsens konfiguration:

  sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
  

  Om du till exempel väljer prod-kanal :

  sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
  

• Installera paketet om det gpg inte redan är installerat:

  sudo apt-get install gpg
  

  Om gpg inte är tillgängligt installerar gnupgdu .

  sudo apt-get install gnupg
  

• Installera den offentliga Microsoft GPG-nyckeln:

  • Kör följande kommando för Debian 11 och tidigare.

  curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
  

Kör följande kommando för Debian 12 och senare.

curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

• Installera HTTPS-drivrutinen om den inte redan är installerad:

  sudo apt-get install apt-transport-https
  

• Uppdatera lagringsplatsens metadata:

  sudo apt-get update
  

Mariner

• Installera dnf-plugins-core om den inte är installerad än:

  sudo dnf install dnf-plugins-core
  

• Konfigurera och aktivera de lagringsplatser som krävs

  Obs!

  Insider Fast Channel är inte tillgängligt på Mariner.

  Om du vill distribuera Defender för Endpoint i Linux från prod-kanalen . Använd följande kommandon

  sudo dnf install mariner-repos-extras
  sudo dnf config-manager --enable mariner-official-extras
  

  Eller om du vill utforska nya funktioner på valda enheter kanske du vill distribuera Microsoft Defender för Endpoint på Linux till en insiderbaserad långsam kanal. Använd följande kommandon:

  sudo dnf install mariner-repos-extras-preview
  sudo dnf config-manager --enable mariner-official-extras-preview
  

Programinstallation

RHEL och varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky och Alma)

sudo yum install mdatp

Obs!

Om du har flera Microsoft-lagringsplatser konfigurerade på din enhet kan du vara specifik om vilken lagringsplats du vill installera paketet från. I följande exempel visas hur du installerar paketet från production kanalen om du också har insiders-fast konfigurerat lagringsplatskanalen på den här enheten. Den här situationen kan inträffa om du använder flera Microsoft-produkter på din enhet. Beroende på distributionen och versionen av servern kan lagringsplatsens alias skilja sig från det i följande exempel.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES och varianter

sudo zypper install mdatp

Obs!

Om du har flera Microsoft-lagringsplatser konfigurerade på din enhet kan du vara specifik om vilken lagringsplats du vill installera paketet från. I följande exempel visas hur du installerar paketet från production kanalen om du också har insiders-fast konfigurerat lagringsplatskanalen på den här enheten. Den här situationen kan inträffa om du använder flera Microsoft-produkter på din enhet.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu- och Debiansystem

sudo apt-get install mdatp

Obs!

Om du har flera Microsoft-lagringsplatser konfigurerade på din enhet kan du vara specifik om vilken lagringsplats du vill installera paketet från. I följande exempel visas hur du installerar paketet från production kanalen om du också har insiders-fast konfigurerat lagringsplatskanalen på den här enheten. Den här situationen kan inträffa om du använder flera Microsoft-produkter på din enhet.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Obs!

Omstarter krävs INTE när du har installerat eller uppdaterat Microsoft Defender för Endpoint i Linux, förutom när du kör auditD i oföränderligt läge.

Mariner

sudo dnf install mdatp

Obs!

Om du har flera Microsoft-lagringsplatser konfigurerade på din enhet kan du vara specifik om vilken lagringsplats du vill installera paketet från. I följande exempel visas hur du installerar paketet från production kanalen om du också har insiders-slow konfigurerat lagringsplatskanalen på den här enheten. Den här situationen kan inträffa om du använder flera Microsoft-produkter på din enhet.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Ladda ned onboarding-paketet

Ladda ned registreringspaketet från Microsoft Defender-portalen.

Varning

Det går inte att paketera om installationspaketet för Defender för Endpoint. Detta kan påverka produktens integritet negativt och leda till negativa resultat, inklusive men inte begränsat till att utlösa manipuleringsaviseringar och uppdateringar som inte kan tillämpas.

Viktigt

Om du missar det här steget visas ett varningsmeddelande om att produkten är olicensierad. mdatp health Kommandot returnerar också värdet false.

1. I Microsoft Defender-portalen går du till Inställningar > Slutpunkter > Enhetshantering > Registrering.

2. I den första nedrullningsbara menyn väljer du Linux Server som operativsystem. I den andra nedrullningsbara menyn väljer du Lokalt skript som distributionsmetod.

3. Välj Ladda ned registreringspaket. Spara filen som WindowsDefenderATPOnboardingPackage.zip.

   

4. Kontrollera att du har filen från en kommandotolk och extrahera innehållet i arkivet:

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
   

Klientkonfiguration

1. Kopiera MicrosoftDefenderATPOnboardingLinuxServer.py till målenheten.

   Obs!

   Inledningsvis är klientenheten inte associerad med en organisation och orgId-attributet är tomt.

   mdatp health --field org_id
   

2. Kör MicrosoftDefenderATPOnboardingLinuxServer.py.

   Obs!

   Om du vill köra det här kommandot måste du ha python eller python3 installerat på enheten beroende på distribution och version. Om det behövs kan du läsa Stegvisa instruktioner för att installera Python på Linux.

   Obs!

   Om du vill registrera en enhet som tidigare var avregistrerad måste du ta bort den mdatp_offboard.json filen som finns på /etc/opt/microsoft/mdatp.

   Om du kör RHEL 8.x eller Ubuntu 20.04 eller senare måste du använda python3.

   sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
   

   För resten av distributioner och versioner måste du använda python.

   sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
   

3. Kontrollera att enheten nu är associerad med din organisation och rapporterar en giltig organisationsidentifierare:

   mdatp health --field org_id
   

4. Kontrollera produktens hälsostatus genom att köra följande kommando. Ett returvärde true för anger att produkten fungerar som förväntat:

   mdatp health --field healthy
   

   Viktigt

   När produkten startar för första gången hämtar den de senaste definitionerna för program mot skadlig kod. Det kan ta upp till några minuter beroende på nätverksanslutningen. Under den här tiden returnerar kommandot ovan värdet false. Du kan kontrollera statusen för definitionsuppdateringen med hjälp av följande kommando:

   mdatp health --field definitions_status
   

   Observera att du även kan behöva konfigurera en proxy när du har slutfört den första installationen. Se Konfigurera Defender för Endpoint på Linux för identifiering av statisk proxy: Konfiguration efter installation.

5. Kör ett AV-identifieringstest för att verifiera att enheten är korrekt registrerad och rapporterar till tjänsten. Utför följande steg på den nyligen registrerade enheten:

   • Kontrollera att realtidsskydd är aktiverat (betecknas av ett resultat av true att följande kommando körs):

     mdatp health --field real_time_protection_enabled
     

     Om den inte är aktiverad kör du följande kommando:

     mdatp config real-time-protection --value enabled
     

   • Öppna ett terminalfönster och kör följande kommando:

     curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
     

   • Filen ska placeras i karantän av Defender för Endpoint i Linux. Använd följande kommando för att lista alla identifierade hot:

     mdatp threat list
     

6. Kör ett EDR-identifieringstest och simulera en identifiering för att verifiera att enheten är korrekt registrerad och rapporterar till tjänsten. Utför följande steg på den nyligen registrerade enheten:

   • Kontrollera att den registrerade Linux-servern visas i Microsoft Defender XDR. Om det här är den första registreringen av datorn kan det ta upp till 20 minuter tills den visas.

   • Ladda ned och extrahera skriptfilen till en registrerad Linux-server och kör följande kommando: ./mde_linux_edr_diy.sh

   • Efter några minuter bör en identifiering aktiveras i Microsoft Defender XDR.

   • Titta på aviseringsinformationen, datorns tidslinje och utför vanliga undersökningssteg.

Microsoft Defender för Endpoint paketera externa paketberoenden

Följande externa paketberoenden finns för mdatp-paketet:

• Mdatp RPM-paketet kräver "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
• För RHEL6 kräver mdatp RPM-paketet "audit", "policycoreutils", "libselinux", "mde-netfilter"
• För DEBIAN kräver mdatp-paketet "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"
• För Mariner kräver mdatp-paketet "attr", "audit", "diffutils", "libacl", "libattr", "libselinux-utils", "selinux-policy", "policycoreutils", "mde-netfilter"

Paketet mde-netfilter har också följande paketberoenden:

• För DEBIAN kräver paketet mde-netfilter "libnetfilter-queue1", "libglib2.0-0"
• För RPM kräver paketet mde-netfilter "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"
• För Mariner kräver paketet mde-netfilter "libnfnetlink", "libnetfilter_queue"

Om Microsoft Defender för Endpoint installationen misslyckas på grund av saknade beroenden kan du manuellt ladda ned de nödvändiga beroendena.

Problem med logginstallation

Mer information om hur du hittar den automatiskt genererade loggen som skapas av installationsprogrammet när ett fel inträffar finns i Logginstallationsproblem .

Migrera från Insiders-Fast till produktionskanal

1. Avinstallera versionen "Insiders-Fast channel" av Defender för Endpoint i Linux.

   sudo yum remove mdatp
   

2. Inaktivera Lagringsplatsen Defender för Endpoint på Linux Insiders-Fast

   sudo yum repolist
   

   Obs!

   Utdata bör visa "packages-microsoft-com-fast-prod".

   sudo yum-config-manager --disable packages-microsoft-com-fast-prod
   

3. Distribuera om Microsoft Defender för Endpoint på Linux med hjälp av "Produktionskanal".

Avinstallation

Mer information om hur du tar bort Defender för Endpoint på Linux från klientenheter finns i Avinstallera .

Se även

• Undersöka hälsoproblem i agenten

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.