Linux için Windows Alt Sistemi (WSL) için Uç Nokta için Microsoft Defender eklentisi

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 2
• Windows 11
• Windows 10, sürüm 2004 ve üzeri (derleme 19044 ve üzeri)

Genel Bakış

WSL'nin önceki sürümünün (eklenti olmadan Uç Nokta için Microsoft Defender tarafından desteklenir) yerini alan Linux için Windows Alt Sistemi (WSL) 2, Windows ile sorunsuz bir şekilde tümleştirilmiş ancak sanallaştırma teknolojisi kullanılarak yalıtılmış bir Linux ortamı sağlar. WSL için Uç Nokta için Defender eklentisi, Uç Nokta için Defender'ın yalıtılmış alt sisteme takarak çalışan tüm WSL kapsayıcılarına daha fazla görünürlük sağlamasına olanak tanır.

Bilinen sorunlar ve sınırlamalar

Başlamadan önce aşağıdakilere dikkat edin:

1. Eklenti, sürümünden önceki 1.24.522.2sürümlerde otomatik güncelleştirmeleri desteklemez. Sürüm ve sonraki sürümlerde 1.24.522.2 güncelleştirmeler tüm halkalarda Windows Update aracılığıyla desteklenir. Windows Server Update hizmetleri (WSUS), System Center Configuration Manager (SCCM) ve Microsoft Update kataloğu aracılığıyla Güncelleştirmeler, paket kararlılığını sağlamak için yalnızca Üretim halkasında desteklenir.

2. Eklentinin tam olarak örnek oluşturması birkaç dakika ve WSL2 örneğinin kendisini eklemesi 30 dakikaya kadar sürer. Kısa ömürlü WSL kapsayıcı örnekleri, WSL2 örneğinin Microsoft Defender portalında (https://security.microsoft.com ) görünmemesiyle sonuçlanabilir. Herhangi bir dağıtım yeterince uzun bir süre (en az 30 dakika) çalıştığında görünür.

3. Bu sürümde özel çekirdek ve özel çekirdek komut satırının çalıştırılması desteklenir; ancak, özel çekirdek ve özel çekirdek komut satırı çalıştırırken eklenti WSL içinde görünürlüğü garanti etmez.

4. İşletim Sistemi Dağıtımı, Microsoft Defender portalındaki WSL cihazının Cihaz genel bakış sayfasında Yok olarak görüntülenir.

5. Eklenti ARM64 işlemcili makinelerde desteklenmez.

Yazılım önkoşulları

• WSL sürüm 2.0.7.0 veya üzeri en az bir etkin dağıtımla çalışıyor olmalıdır.

  En son sürümde olduğunuzdan emin olmak için komutunu çalıştırın wsl --update . 2.0.7.0'dan eski bir sürüm gösteriyorsa wsl -–version , en son güncelleştirmeyi almak için komutunu çalıştırın wsl -–update –pre-release .

• Windows istemci cihazının Uç Nokta için Defender'a eklenmesi gerekir.

• Windows istemci cihazının eklentiyle çalışabilen WSL sürümlerini desteklemek için Windows 10, sürüm 2004 ve üzeri (derleme 19044 ve üzeri) veya Windows 11 çalıştırıyor olması gerekir.

Yazılım bileşenleri ve yükleyici dosya adları

Yükleyici: DefenderPlugin-x64-0.24.426.1.msi. Microsoft Defender portalındaki ekleme sayfasından indirebilirsiniz.

Yükleme dizinleri:

• %ProgramFiles%

• %ProgramData%

Yüklü bileşenler:

• DefenderforEndpointPlug-in.dll. Bu DLL, WSL içinde çalışmak üzere Uç Nokta için Defender'ı yüklemek için kullanılacak kitaplıktır. Bunu WSL\plug-in için %ProgramFiles%\Uç Nokta için Microsoft Defender eklentisinde bulabilirsiniz.

• healthcheck.exe. Bu program Uç Nokta için Defender'ın sistem durumunu denetler ve WSL, eklenti ve Uç Nokta için Defender'ın yüklü sürümlerini görmenizi sağlar. Bunu WSL\tools için %ProgramFiles%\Uç Nokta için Microsoft Defender eklentisinde bulabilirsiniz.

Yükleme adımları

Linux için Windows Alt Sistemi henüz yüklü değilse şu adımları izleyin:

1. Terminal veya Komut İstemi'ni açın. (Windows'ta Başlat'a> gidinKomut İstemi. İsterseniz başlangıç düğmesine sağ tıklayıp Terminal'i de seçebilirsiniz.)

2. wsl -–install komutunu çalıştırın.

3. WSL'nin yüklü ve çalışır durumda olduğunu onaylayın.

   1. En son sürüme sahip olduğunuzdan emin olmak için Terminal veya Komut İstemi'ni kullanarak komutunu çalıştırın wsl –-update .

   2. wsl Test etmeden önce WSL'nin çalıştığından emin olmak için komutunu çalıştırın.

4. Aşağıdaki adımları izleyerek eklentiyi yükleyin:

   1. Microsoft Defender portalındaki ekleme bölümünden indirilen MSI dosyasını yükleyin (Ayarlar>Uç Noktaları>Ekleme>Linux için Windows Alt Sistemi 2 (eklenti)).

   2. Bir komut istemi/terminal açın ve komutunu çalıştırın wsl.

   Paketi Microsoft Intune kullanarak dağıtabilirsiniz.

Not

WslService çalışıyorsa, yükleme işlemi sırasında durur. Alt sistemi ayrı olarak eklemeniz gerekmez; bunun yerine eklenti, Windows ana bilgisayarının eklendiği kiracıya otomatik olarak eklenir.

Yükleme doğrulama denetim listesi

1. Güncelleştirme veya yüklemeden sonra, eklentinin günlük çıkışını tam olarak başlatması ve yazması için en az beş dakika bekleyin.

2. Terminal veya Komut İstemi'ni açın. (Windows'ta Başlat'a> gidinKomut İstemi. İsterseniz başlangıç düğmesine sağ tıklayıp Terminal'i de seçebilirsiniz.)

3. komutunu çalıştırın: cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

4. .\healthcheck.exe komutunu çalıştırın.

5. Defender ve WSL ayrıntılarını gözden geçirin ve aşağıdaki gereksinimleri karşıladığından veya aştığından emin olun:

   • Eklenti Sürümü: 1.24.522.2
   • WSL Sürümü: 2.0.7.0 veya üzeri
   • Defender Uygulama Sürümü: 101.24032.0007
   • Defender Sistem Durumu: Healthy

WSL'de çalışan Defender için ara sunucu ayarlama

Bu bölümde, Uç Nokta için Defender eklentisi için ara sunucu bağlantısının nasıl yapılandırıldığı açıklanır. Kuruluşunuz Windows ana bilgisayarında çalışan Uç Nokta için Defender'a bağlantı sağlamak için bir ara sunucu kullanıyorsa, eklenti için yapılandırmanız gerekip gerekmediğini belirlemek için okumaya devam edin.

WSL eklentisi için MDE için konak windows EDR telemetri proxy yapılandırmasını kullanmak istiyorsanız, başka bir şey gerekmez. Bu yapılandırma eklenti tarafından otomatik olarak benimsenmiştir.

WSL eklentisi için MDE için konak winhttp proxy yapılandırmasını kullanmak istiyorsanız, başka bir şey gerekmez. Bu yapılandırma eklenti tarafından otomatik olarak benimsenmiştir.

WSL eklentisi için MDE için konak ağ ve ağ ara sunucusu ayarını kullanmak istiyorsanız, başka bir şey gerekmez. Bu yapılandırma eklenti tarafından otomatik olarak benimsenmiştir.

Eklenti Ara Sunucusu seçimi

Konak makineniz birden çok ara sunucu ayarı içeriyorsa, eklenti aşağıdaki hiyerarşiye sahip ara sunucu yapılandırmalarını seçer:

1. Uç nokta için Defender statik proxy ayarı (TelemetryProxyServer).

2. Winhttp proxy (komut aracılığıyla netsh yapılandırılır).

3. Ağ & İnternet proxy ayarları.

Örnek: Konak makinenizde hem Winhttp proxy hem de Ağ & internet proxy'si varsa, eklenti ara sunucu yapılandırması olarak seçer Winhttp proxy .

Not

DefenderProxyServer Kayıt defteri anahtarı artık desteklenmiyor. Eklentide ara sunucuyu yapılandırmak için yukarıdaki adımları izleyin.

WSL'de çalışan Defender için bağlantı testi

Aşağıdaki yordamda, WSL'de Uç Nokta'da Defender'ın İnternet bağlantısı olduğunu onaylama işlemi açıklanmaktadır.

1. Kayıt Defteri Düzenleyici yönetici olarak açın.

2. Aşağıdaki ayrıntıları içeren bir kayıt defteri anahtarı İçerik Oluşturucu:

   • Ad: ConnectivityTest
   • Tür: REG_DWORD
   • Değer: Number of seconds plug-in must wait before running the test. (Recommended: 60 seconds)
   • Yol: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

3. Kayıt defteri ayarlandıktan sonra aşağıdaki adımları kullanarak wsl'yi yeniden başlatın:

   1. Komut İstemi'ni açın ve komutunu wsl --shutdownçalıştırın.

   2. wsl komutunu çalıştırın.

4. 5 dakika bekleyin ve ardından çalıştırın healthcheck.exe (bağlantı testinin sonuçları için konumunda %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools bulunur).

   Başarılı olursa bağlantı testinin başarılı olduğunu görebilirsiniz. Başarısız olursa bağlantı testinin WSL'den invalid Uç Nokta için Defender hizmet URL'lerine istemci bağlantısının başarısız olduğunu gösterdiğini görebilirsiniz.

Not

WSL kapsayıcılarında (alt sistemde çalışan dağıtımlar) kullanılacak bir ara sunucu ayarlamak için bkz. WSL'de gelişmiş ayarlar yapılandırması.

İşlevselliği ve SOC analist deneyimini doğrulama

Eklenti yüklendikten sonra alt sistem ve çalışan tüm kapsayıcıları Microsoft Defender portalına eklenir.

1. Microsoft Defender portalında oturum açın ve Cihazlar görünümünü açın.

2. WSL2 etiketini kullanarak filtreleyin.

Ortamınızdaki tüm WSL örneklerini WSL için etkin bir Uç Nokta için Defender eklentisiyle görebilirsiniz. Bu örnekler, belirli bir konakta WSL içinde çalışan tüm dağıtımları temsil eder. Bir cihazın ana bilgisayar adı, Windows konağıyla eşleşir. Ancak, bir Linux cihazı olarak temsil edilir.

3. Cihaz sayfasını açın. Genel Bakış bölmesinde, cihazın barındırıldığı yer için bir bağlantı vardır. Bu bağlantı, cihazın bir Windows ana bilgisayarında çalıştığını anlamanıza olanak tanır. Daha sonra daha fazla araştırma ve/veya yanıt için konağa dönebilirsiniz.

   

Zaman çizelgesi, Linux'ta Uç Nokta için Defender'a benzer şekilde, alt sistemin içindeki olaylarla (dosya, işlem, ağ) doldurulur. Zaman çizelgesi görünümünde etkinliği ve algılamaları gözlemleyebilirsiniz. Uyarılar ve olaylar da uygun şekilde oluşturulur.

Eklentiyi test edin

Yüklemeden sonra eklentiyi test etmek için şu adımları izleyin:

1. Terminal veya Komut İstemi'ni açın. (Windows'ta Başlat'a> gidinKomut İstemi. İsterseniz başlangıç düğmesine sağ tıklayıp Terminal'i de seçebilirsiniz.)

2. wsl komutunu çalıştırın.

3. betik dosyasını adresinden https://aka.ms/LinuxDIYindirin ve ayıklayın.

4. Linux isteminde komutunu ./mde_linux_edr_diy.shçalıştırın.

   WSL2 örneğinde algılama için birkaç dakika sonra portalda bir uyarı görünmelidir.

   Not

   Olayların Microsoft Defender portalında görünmesi yaklaşık 5 dakika sürer.

Makineye ortamınızda test gerçekleştirmek için normal bir Linux konağı gibi davranın. Özellikle, yeni eklentiyi kullanarak kötü amaçlı olabilecek davranışları ortaya çıkarabilme özelliği hakkında geri bildiriminizi almak istiyoruz.

Gelişmiş avcılık örneği

Gelişmiş Tehdit Avcılığı şemasının DeviceInfo altında, bir WSL örneğini Windows konak cihazına eşlemek için kullanabileceğiniz adlı HostDeviceId yeni bir öznitelik vardır. Aşağıda birkaç örnek avcılık sorgusu verilmişti:

Geçerli kuruluş/kiracı için tüm WSL cihaz kimliklerini alma

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

WSL cihaz kimliklerini ve ilgili konak cihaz kimliklerini alma

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

Curl veya wget'in çalıştırıldığı WSL cihaz kimliklerinin listesini alma

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Sorun giderme

1. Komut healthcheck.exe , "WSL dağıtımını 'bash' komutuyla başlat ve 5 dakika içinde yeniden dene" çıkışını gösterir.

   

2. Daha önce bahsedilen hata oluşursa aşağıdaki adımları uygulayın:

   1. Bir terminal örneği açın ve komutunu wslçalıştırın.

   2. Sistem durumu denetimini yeniden çalıştırmadan önce en az 5 dakika bekleyin.

3. Komut şu healthcheck.exe çıkışı gösterebilir: "Telemetri bekleniyor. Lütfen 5 dakika içinde yeniden deneyin."

   

   Bu hata oluşursa, 5 dakika bekleyin ve komutunu yeniden çalıştırın healthcheck.exe.

4. Microsoft Defender portalında herhangi bir cihaz görmüyorsanız veya zaman çizelgesinde herhangi bir olay görmüyorsanız, aşağıdakilere bakın:

   • Makine nesnesi görmüyorsanız, ekleme işleminin tamamlanması için yeterli sürenin geçtiğinden emin olun (genellikle 10 dakikaya kadar).

   • Doğru filtreleri kullandığınızdan ve tüm cihaz nesnelerini görüntülemek için uygun izinlere sahip olduğunuzdan emin olun. (Örneğin, hesabınız/grubunuz belirli bir grupla sınırlı mı?)

   • Genel eklenti durumuyla ilgili genel bir genel bakış sağlamak için sistem durumu denetimi aracını kullanın. Terminal'i açın ve aracını konumundan healthcheck.exe%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\toolsçalıştırın.

     

   • WSL'de bağlantı testini etkinleştirin ve Uç Nokta için Defender bağlantısını denetleyin. Bağlantı testi başarısız olursa destek ekibimize sistem durumu denetimi aracının çıkışını sağlayın.

   • Bağlantı testi sistem durumu denetiminde "geçersiz" olduğunu bildirirse, aşağıdaki yapılandırma ayarlarını WSL'nizde .wslconfig%UserProfile% bulunan bölümüne ekleyin ve WSL'yi yeniden başlatın. Ayarlarla ilgili ayrıntılar WSL Ayarları'nda bulunabilir.

     • Windows 11

       # Settings apply across all Linux distros running on WSL 2
       [wsl2]
       
       dnsTunneling=true
       
       networkingMode=mirrored  
       

     • Windows 10

       # Settings apply across all Linux distros running on WSL 2
       [wsl2]
       
       dnsProxy=false
       

5. Başka zorluklarla veya sorunlarla karşılaşırsanız Terminal'i açın ve bir destek paketi oluşturmak için aşağıdaki komutları çalıştırın:

   cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
   

   .\healthcheck.exe --supportBundle 
   

   Destek paketi, önceki komut tarafından sağlanan yolda bulunabilir.

   

6. WSL için Microsoft Defender Uç Noktası, WSL 2 üzerinde çalışan Linux dağıtımlarını destekler. WSL 1 ile ilişkiliyse sorunlarla karşılaşabilirsiniz. Bu nedenle, WSL 1'i devre dışı bırakması tavsiye edilir. Intune ilkesiyle bunu yapmak için aşağıdaki adımları uygulayın:

   1. Microsoft Intune yönetim merkezinize gidin.

   2. Cihazlar>Yapılandırma Profilleri>İçerik Oluşturucu>Yeni İlke'ye gidin.

   3. Windows 10 ve üzeri>Ayarlar kataloğu'nu seçin.

   4. Yeni profil için bir ad İçerik Oluşturucu ve kullanılabilir ayarların tam listesini görmek ve eklemek için Linux için Windows Alt Sistemi arayın.

   5. Yalnızca WSL 2 dağıtımlarının kullanılabildiğinden emin olmak için WSL1'e İzin Ver ayarını Devre Dışı olarak ayarlayın.

      Alternatif olarak, WSL 1 kullanmaya devam etmek veya Intune İlkesi'ni kullanmamak istiyorsanız, PowerShell'de komutunu çalıştırarak yüklü dağıtımlarınızı WSL 2'de çalışacak şekilde seçmeli olarak ilişkilendirebilirsiniz:

      wsl --set-version <YourDistroName> 2
      

      Sistemde yüklenecek yeni dağıtımlar için WSL 2'yi varsayılan WSL sürümünüz olarak kullanmak için PowerShell'de aşağıdaki komutu çalıştırın:

      wsl --set-default-version 2
      

7. Eklenti varsayılan olarak Windows EDR halkasını kullanır. Önceki bir kademeye geçmek istiyorsanız kayıt defteri altında aşağıdakilerden birine ayarlayın OverrideReleaseRing ve WSL'yi yeniden başlatın:

• Ad: OverrideReleaseRing
• Tür: REG_SZ
• Değer: Dogfood or External or InsiderFast or Production
• Yol: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

8. WSL başlatılırken "'DefenderforEndpointPlug-in' eklentisi tarafından önemli bir hata döndürüldü' Hata kodu: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND" gibi bir hata görürseniz, WSL yüklemesi için Uç Nokta için Defender eklentisi hatalı demektir. Onarmak için şu adımları izleyin:

   1. Denetim Masası'da Programlar Programlar>ve Özellikler'e gidin.

   2. WSL için Uç Nokta için Microsoft Defender eklentisini arayın ve seçin. Ardından Onar'ı seçin.

   Bu, beklenen dizinlere doğru dosyaları yerleştirerek sorunu çözmelidir.