Linux'ta Uç Nokta için Microsoft Defender dağıtmak için yükleyici betik tabanlı dağıtımı kullanma

Şunlar için geçerlidir:

• Sunucular için Uç Nokta için Microsoft Defender
• Sunucular için Microsoft Defender Plan 1 veya Plan 2

Giriş

Çeşitli araçları ve yöntemleri kullanarak Linux'ta Uç Nokta için Defender'ı dağıtabilirsiniz. Bu makalede, bir yükleyici betiği kullanarak Linux'ta Uç Nokta için Defender dağıtımını otomatikleştirme açıklanmaktadır. Bu betik dağıtımı ve sürümü tanımlar, doğru depoyu seçer, en son aracı sürümünü çekmek için cihazı ayarlar ve ekleme paketini kullanarak cihazı Uç Nokta için Defender'a ekler. Dağıtım işlemini basitleştirmek için bu yöntem kesinlikle önerilir.

Başka bir yöntem kullanmak için Ayrıca bkz . bölümüne bakın.

Önemli

Birden çok güvenlik çözümlerini yan yana çalıştırmak istiyorsanız bkz. Performans, yapılandırma ve destek konuları.

Uç Nokta için Microsoft Defender eklenen cihazlar için karşılıklı güvenlik dışlamalarını zaten yapılandırmış olabilirsiniz. Çakışmaları önlemek için yine de karşılıklı dışlamalar ayarlamanız gerekiyorsa bkz. Mevcut çözümünüz için dışlama listesine Uç Nokta için Microsoft Defender ekleme.

Önkoşullar ve sistem gereksinimleri

Başlamadan önce önkoşulların ve sistem gereksinimlerinin açıklaması için bkz. Linux'ta Uç Nokta için Defender önkoşulları.

Dağıtım işlemi

1. Aşağıdaki adımları izleyerek ekleme paketini Microsoft Defender portalından indirin:

   1. Microsoft Defender portalındaAyarlar>Uç Noktaları>Cihaz yönetimi>Ekleme'ye gidin.

   2. İlk açılan menüde işletim sistemi olarak Linux Server'ı seçin.

   3. İkinci açılan menüde dağıtım yöntemi olarak Yerel Betik'i seçin.

   4. Ekleme paketini indir'i seçin. Dosyayı olarak WindowsDefenderATPOnboardingPackage.zipkaydedin.

      

   5. Komut isteminden arşivin içeriğini ayıklayın:

      unzip WindowsDefenderATPOnboardingPackage.zip
      

      Archive:  WindowsDefenderATPOnboardingPackage.zip
      inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
      

      Uyarı

      Uç Nokta için Defender yükleme paketini yeniden paketlemek desteklenen bir senaryo değildir. Bunun yapılması ürünün bütünlüğünü olumsuz etkileyebilir ve kurcalama uyarılarının ve güncelleştirmelerin uygulanamaması da dahil ancak bunlarla sınırlı olmamak üzere olumsuz sonuçlara yol açabilir.

      Önemli

      Bu adımı kaçırırsanız, yürütülen herhangi bir komut ürünün lisanssız olduğunu belirten bir uyarı iletisi gösterir. Ayrıca mdatp health komutu false değerini döndürür.

2. Genel GitHub depomuzda sağlanan yükleyici bash betiğini indirin.

3. Yükleyici betiğine yürütülebilir izinler verin:

   chmod +x mde_installer.sh
   

4. Yükleyici betiğini yürüterek aracıyı yüklemek ve cihazı Defender portalına eklemek için ekleme paketini parametre olarak sağlayın.

   sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --min_req
   

   Bu komut en son aracı sürümünü üretim kanalına dağıtır, en düşük sistem önkoşullarını denetler ve cihazı Defender Portal'a ekler.

   Ayrıca, yüklemeyi değiştirmek için gereksinimlerinize göre daha fazla parametre geçirebilirsiniz. Kullanılabilir tüm seçenekler için yardımı denetleyin:

    ❯ ./mde_installer.sh --help
   mde_installer.sh v0.7.0
   usage: basename ./mde_installer.sh [OPTIONS]
   Options:
   -c|--channel         specify the channel(insiders-fast / insiders-slow / prod) from which you want to install. Default: prod
   -i|--install         install the product
   -r|--remove          uninstall the product
   -u|--upgrade         upgrade the existing product to a newer version if available
   -l|--downgrade       downgrade the existing product to a older version if available
   -o|--onboard         onboard the product with <onboarding_script>
   -f|--offboard        offboard the product with <offboarding_script>
   -p|--passive-mode    set real time protection to passive mode
   -a|--rtp-mode        set real time protection to active mode. passive-mode and rtp-mode are mutually exclusive
   -t|--tag             set a tag by declaring <name> and <value>, e.g: -t GROUP Coders
   -m|--min_req         enforce minimum requirements
   -x|--skip_conflict   skip conflicting application verification
   -w|--clean           remove repo from package manager for a specific channel
   -y|--yes             assume yes for all mid-process prompts (default, deprecated)
   -n|--no              remove assume yes sign
   -s|--verbose         verbose output
   -v|--version         print out script version
   -d|--debug           set debug mode
   --log-path <PATH>    also log output to PATH
   --http-proxy <URL>   set http proxy
   --https-proxy <URL>  set https proxy
   --ftp-proxy <URL>    set ftp proxy
   --mdatp              specific version of mde to be installed. will use the latest if not provided
   -h|--help            display help
   

   Senaryo	Komut
   Belirli bir aracı sürümünü yükleme	sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --min_req –-mdatp 101.24082.0004
   En son aracı sürümüne yükseltme	sudo ./mde_installer.sh --upgrade
   Belirli bir aracı sürümüne yükseltme	sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004
   Belirli bir aracı sürümüne düşürme	sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004
   Aracıyı kaldırma	sudo ./mde_installer.sh --remove

   Not

   Ürün yüklemesinin ardından işletim sisteminizi yeni bir ana sürüme yükseltmek için ürünün yeniden yüklenmesi gerekir. Linux'ta mevcut Uç Nokta için Defender'ı kaldırmanız, işletim sistemini yükseltmeniz ve ardından Linux'ta Uç Nokta için Defender'ı yeniden yapılandırmanız gerekir.

Dağıtım durumunu doğrulama

1. Microsoft Defender portalında cihaz envanterini açın. Cihazın portalda görünmesi 5-20 dakika sürebilir.

2. Cihazın düzgün şekilde eklendiğini ve hizmete bildirildiğini doğrulamak için bir virüsten koruma algılama testi çalıştırın. Yeni eklenen cihazda aşağıdaki adımları gerçekleştirin:

   1. Gerçek zamanlı korumanın etkinleştirildiğinden emin olun (aşağıdaki komutu çalıştırmanın true sonucu olarak belirtilir):

      mdatp health --field real_time_protection_enabled
      

      Etkinleştirilmemişse aşağıdaki komutu yürütür:

      mdatp config real-time-protection --value enabled
      

   2. Bir Terminal penceresi açın ve aşağıdaki komutu yürüterek bir algılama testi çalıştırın:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. Aşağıdaki komutlardan birini kullanarak zip dosyalarında daha fazla algılama testi çalıştırabilirsiniz:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

   4. Dosyalar Linux'ta Uç Nokta için Defender tarafından karantinaya alınmalıdır. Algılanan tüm tehditleri listelemek için aşağıdaki komutu kullanın:

      mdatp threat list
      

3. Bir EDR algılama testi çalıştırın ve cihazın düzgün şekilde eklendiğini ve hizmete bildirildiğini doğrulamak için algılama simülasyonu yapın. Yeni eklenen cihazda aşağıdaki adımları gerçekleştirin:

   1. Betik dosyasını indirip ekli bir Linux sunucusuna ayıklayın.

   2. Betik için yürütülebilir izinler verin:

      chmod +x mde_linux_edr_diy.sh
      

   3. Aşağıdaki komutu çalıştırın:

      ./mde_linux_edr_diy.sh
      

   4. Birkaç dakika sonra, Microsoft Defender XDR bir algılama tetiklenmelidir.

   5. Uyarı ayrıntılarını, makine zaman çizelgesini denetleyin ve tipik araştırma adımlarınızı gerçekleştirin.

paket dış paket bağımlılıklarını Uç Nokta için Microsoft Defender

eksik bağımlılık hataları nedeniyle Uç Nokta için Microsoft Defender yüklemesi başarısız olursa, gerekli bağımlılıkları el ile indirebilirsiniz.

Paket için mdatp aşağıdaki dış paket bağımlılıkları vardır:

• Paket mdatp RPM için - glibc >= 2.17
• DEBIAN mdatp için paket gerektirir libc6 >= 2.23,uuid-runtime
• Mariner mdatp için paket için attr,diffutils, , libacl, libattrlibselinux-utils, selinux-policy, gerekirpolicycoreutils

Not

Sürümünden 101.24082.0004başlayarak, Linux'ta Uç Nokta için Defender artık olay sağlayıcısını Auditd desteklememektedir. Tamamen daha verimli eBPF teknolojisine geçiş yapıyoruz. Makinelerinizde desteklenmiyorsa veya üzerinde Auditdkalması gereken belirli gereksinimler varsa ve makineleriniz Linux sürümünde veya önceki sürümlerinde 101.24072.0001 Uç Nokta için Defender kullanıyorsaeBPF, için mdatpdenetlenen pakete yönelik diğer bağımlılıklar vardır. sürümünden 101.25032.0000eski sürüm için:

• RPM paketi gereksinimleri: mde-netfilter, pcre
• DEBIAN paketi gereksinimleri: mde-netfilter, libpcre3
• Paket mde-netfilter aşağıdaki paket bağımlılıklarına da sahiptir: - DEBIAN için mde-netfilter paketi ve gerektirir libnetfilter-queue1libglib2.0-0 - RPM için mde-netfilter paketi , , libnfnetlinklibnetfilter_queueve gerektirir libmnlglib2

Yükleme sorunlarını giderin

Yükleme sorunlarıyla karşılaşırsanız, kendi kendine sorun giderme için şu adımları izleyin:

1. Yükleme hatası oluştuğunda otomatik olarak oluşturulan günlüğü bulma hakkında bilgi için bkz . Günlük yükleme sorunları.

2. Yaygın yükleme sorunları hakkında bilgi için bkz . Yükleme sorunları.

3. Cihazın sistem durumu ise falsebkz . Uç Nokta için Defender aracısı sistem durumu sorunları.

4. Ürün performansı sorunları için bkz. Performans sorunlarını giderme.

5. Ara sunucu ve bağlantı sorunları için bkz. Bulut bağlantısı sorunlarını giderme.

Microsoft'tan destek almak için bir destek bileti açın ve istemci çözümleyicisi kullanılarak oluşturulan günlük dosyalarını sağlayın.

Kanallar arasında geçiş yapma

Örneğin, kanalı Insiders-Fast üretim olarak değiştirmek için aşağıdakileri yapın:

1. Linux'ta Insiders-Fast channel Uç Nokta için Defender sürümünü kaldırın.

   sudo yum remove mdatp
   

2. Linux Insiders-Fast deposunda Uç Nokta için Defender'ı devre dışı bırakın.

   sudo yum repolist
   

   Not

   Çıkışta gösterilmelidir packages-microsoft-com-fast-prod.

   sudo yum-config-manager --disable packages-microsoft-com-fast-prod
   

3. Üretim kanalını kullanarak Linux'ta Uç Nokta için Microsoft Defender yeniden dağıtın.

Linux'ta Uç Nokta için Defender aşağıdaki kanallardan birinden dağıtılabilir ([kanal] olarak belirtilir):

• insiders-fast
• insiders-slow
• prod

Bu kanalların her biri bir Linux yazılım deposuna karşılık gelir. Bu makaledeki yönergelerde cihazınızı bu depolardan birini kullanacak şekilde yapılandırma açıklanmaktadır.

Kanal seçimi, cihazınıza sunulan güncelleştirmelerin türünü ve sıklığını belirler. Insider'ların hızlı olduğu cihazlar, güncelleştirmeleri ve yeni özellikleri ilk alan cihazlardır ve daha sonra insider'ların yavaş ve son olarak prod tarafından takip edilir.

Yeni özellikleri önizlemek ve erken geri bildirim sağlamak için kuruluşunuzdaki bazı cihazları veya insiders-slowkullanacak insiders-fast şekilde yapılandırmanız önerilir.

Uyarı

İlk yüklemeden sonra kanalın değiştirilmesi için ürünün yeniden yüklenmesi gerekir. Ürün kanalını değiştirmek için: Mevcut paketi kaldırın, cihazınızı yeni kanalı kullanacak şekilde yeniden yapılandırın ve paketi yeni konumdan yüklemek için bu belgedeki adımları izleyin.

Linux'ta Microsoft Defender için ilkeleri yapılandırma

Virüsten koruma ve EDR ayarlarını yapılandırmak için aşağıdaki makalelere bakın:

• Uç nokta için Defender güvenlik ayarları yönetimi, Microsoft Defender portalında ayarların nasıl yapılandırıldığı açıklanır. (Bu yöntem önerilir.)
• Linux'ta Uç Nokta için Defender tercihlerini ayarlama , yapılandırabileceğiniz ayarları açıklar.

Ayrıca bkz.

• Linux'ta Uç Nokta için Microsoft Defender önkoşulları
• Ansible ile Linux'ta Uç Nokta için Defender'ı dağıtma
• Uç Nokta için Defender’ı Chef ile Linux üzerinde dağıtın
• Puppet ile Linux'ta Uç Nokta için Defender'ı dağıtma
• Saltstack ile Linux'ta Uç Nokta için Defender'ı dağıtma
• Linux'ta Uç Nokta için Defender'ı el ile dağıtma
• Uç Nokta için Defender ile Azure dışı makinelerinizi Bulut için Microsoft Defender bağlama (Bulut için Defender'ı kullanarak doğrudan ekleme)
• SAP için Linux'ta Uç Nokta için Defender dağıtım kılavuzu

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu