Defender dağıtım aracını kullanarak Linux cihazlara Microsoft Defender uç nokta güvenliği dağıtma (önizleme)

  • Şunlara uygulanır: Microsoft Defender for Business, Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Defender dağıtım aracı, Linux cihazlarda Uç Nokta için Microsoft Defender için verimli, kullanıcı dostu bir ekleme işlemi sağlar. Kullanıcıların Microsoft Defender portalından indirilebilen tek bir paket kullanarak Uç Nokta için Microsoft Defender yüklemesine ve eklemesine olanak tanır. Bu, Defender'ı yükleyici betiği/cli komutlarını kullanarak yükleme ve ardından portaldan ekleme paketini kullanarak cihazı ekleme gereksinimini ortadan kaldırır.

Defender dağıtım aracı Chef, Ansible, Puppet ve SaltStack gibi üçüncü taraf araçlar aracılığıyla el ile ve toplu ekleme işlemini destekler. Araç, büyük ölçekli dağıtımları özelleştirmek için kullanabileceğiniz çeşitli parametreleri destekler ve bu da farklı ortamlarda özel yüklemeler yapmayı mümkün hale getirir.

Önkoşullar ve sistem gereksinimleri

Başlamadan önce önkoşulların ve sistem gereksinimlerinin açıklaması için bkz. Linux'da Uç Nokta için Microsoft Defender önkoşulları. Ayrıca, aşağıdaki gereksinimlerin de karşılanması gerekir:

  • URL bağlantısına izin ver: msdefender.download.prss.microsoft.com. Dağıtıma başlamadan önce, Uç Nokta için Defender'ın kullandığı URL'lerin erişilebilir olup olmadığını denetleyen bağlantı testini çalıştırdığınızdan emin olun.
  • noktanın wget veya curl yüklü olması gerekir.

Dağıtım aracı, aşağıdaki önkoşul denetimleri kümesini zorunlu kılır ve karşılanmazsa dağıtım işlemi durdurulacaktır:

  • Cihaz belleği: 1 GB'tan büyük
  • Cihazda kullanılabilir disk alanı: 2 GB'tan büyük
  • Cihazda Glibc kitaplığı sürümü: 2.17'den yeni
  • cihazda mdatp sürümü: Desteklenen bir sürüm olmalıdır ve süresi dolmamalıdır. Ürünün son kullanma tarihini denetlemek için komutunu -mdatp healthçalıştırın.

İpucu

Defender'ı Linux sunucunuza eklemek için dağıtım aracını çalıştırmadan önce, dağıtımı etkileyebilecek olası sorunları belirlemeye ve düzeltmeye yardımcı olmak için aracı --pre-req çalıştırmanız önerilir.

Dağıtım: Adım adım kılavuz

  1. Aşağıdaki adımları kullanarak Defender portalından Defender dağıtım aracını indirin.

    1. Ayarlar>Uç Noktaları>Cihaz yönetimi>Ekleme'ye gidin.

    2. 1. Adım açılan menüsünde, işletim sistemi olarak Linux Sunucu (Önizleme) öğesini seçin.

    3. Ekleme paketlerini veya dosyalarını indir ve uygula'nın altında Paketi indir düğmesini seçin.

    Not

    Bu paket aracıyı yükleyip ekler, kiracıya özgü bir pakettir ve kiracılar arasında kullanılmamalıdır.

    Paket indir düğmesini gösteren ekran görüntüsü.

  2. Komut isteminden arşivin içeriğini ayıklayın:

    unzip GatewayLinuxDefenderDeploymentTool.zip

    Archive: GatewayLinuxDefenderDeploymentTool.zip
inflating: defender_deployment_tool.sh

  3. Betik için yürütülebilir izinler verin.

    chmod +x defender_deployment_tool.sh

  4. Uç noktanıza Uç Nokta için Microsoft Defender yüklemek ve eklemek için aşağıdaki komutu kullanarak betiği çalıştırın.

    sudo bash defender_deployment_tool.sh

    Bu komut üretim kanalından en son aracı sürümünü yükler ve cihazı Defender portalına ekler. Cihazın Cihaz Envanteri'nde görünmesi 5-20 dakika sürebilir.

    Not

    Uç Nokta trafiği için Defender'ı yeniden yönlendirmek için sistem genelinde bir ara sunucu ayarladıysanız, proxy'yi Defender dağıtım aracını kullanarak da yapılandırdığınızdan emin olun. Kullanılabilir ara sunucu seçenekleri için komut satırı yardımına (--help) bakın.

  5. Parametreleri gereksinimlerinize göre ara çubuğuna geçirerek dağıtımı daha da özelleştirebilirsiniz. Kullanılabilir tüm seçenekleri görmek için seçeneğini --help kullanın:

     ./defender_deployment_tool.sh --help

    Yardım komutu çıkışını gösteren ekran görüntüsü.

    Aşağıdaki tabloda yararlı senaryolara yönelik komut örnekleri verilmiştir.

    Senaryo Komut
    Karşılanmayan engelleyici olmayan önkoşulları denetleme sudo ./defender_deployment_tool.sh --pre-req-non-blocking
    Bağlantı testini çalıştırma sudo ./defender_deployment_tool.sh --connectivity-test
    Özel bir konuma dağıtma sudo ./defender_deployment_tool.sh --install-path /usr/microsoft/
    Insider yavaş kanalından dağıtma sudo ./defender_deployment_tool.sh --channel insiders-slow
    Ara sunucu kullanarak dağıtma sudo ./defender_deployment_tool.sh --http-proxy <http://username:password@proxy_host:proxy_port>
    Belirli bir aracı sürümünü dağıtma sudo ./defender_deployment_tool.sh --mdatp 101.25042.0003 --channel prod
    Belirli bir aracı sürümüne yükseltme sudo ./defender_deployment_tool.sh --upgrade --mdatp 101.24082.0004
    Belirli bir aracı sürümüne düşürme sudo ./defender_deployment_tool.sh --downgrade --mdatp 101.24082.0004
    Defender'ı kaldırma sudo ./defender_deployment_tool.sh --remove
    Yalnızca Defender zaten yüklüyse ekleme sudo ./defender_deployment_tool.sh --only-onboard
    Defender'ın dışına çıkarma sudo ./defender_deployment_tool.sh --offboard MicrosoftDefenderATPOffboardingLinuxServer.py
    (Not: En son çıkarma dosyası Microsoft Defender portalından indirilebilir)

Dağıtım durumunu doğrulama

  1. Microsoft Defender portalında cihaz envanterini açın. Cihazın portalda görünmesi 5-20 dakika sürebilir.

  2. Cihazın düzgün şekilde eklendiğini ve hizmete bildirildiğini doğrulamak için bir virüsten koruma algılama testi çalıştırın. Yeni eklenen cihazda aşağıdaki adımları gerçekleştirin:

    1. Gerçek zamanlı korumanın etkinleştirildiğinden emin olun (aşağıdaki komutu çalıştırmanın true sonucuyla belirtilir):

      mdatp health --field real_time_protection_enabled

      Etkinleştirilmemişse aşağıdaki komutu yürütür:

      mdatp config real-time-protection --value enabled

    2. Bir Terminal penceresi açın ve aşağıdaki komutu yürüterek bir algılama testi çalıştırın:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Aşağıdaki komutlardan birini kullanarak zip dosyalarında daha fazla algılama testi çalıştırabilirsiniz:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    4. Dosyalar Linux'da Uç Nokta için Defender tarafından karantinaya alınmalıdır. Algılanan tüm tehditleri listelemek için aşağıdaki komutu kullanın:

      mdatp threat list

  3. Bir EDR algılama testi çalıştırın ve cihazın düzgün şekilde eklendiğini ve hizmete bildirildiğini doğrulamak için algılama simülasyonu yapın. Yeni eklenen cihazda aşağıdaki adımları gerçekleştirin:

    1. Betik dosyasını indirip eklenen bir Linux sunucusuna ayıklayın.

    2. Betik için yürütülebilir izinler verin:

      chmod +x mde_linux_edr_diy.sh

    3. Aşağıdaki komutu çalıştırın:

      ./mde_linux_edr_diy.sh

    4. Birkaç dakika sonra, Microsoft Defender XDR bir algılama tetiklenmelidir.

    5. Uyarı ayrıntılarını, makine zaman çizelgesini denetleyin ve tipik araştırma adımlarınızı gerçekleştirin.

Bağlantı sorunlarını denetleme

Bağlantı sorunlarıyla karşılaşıyorsanız bağlantı testi gerçekleştirmek için şu komutu çalıştırın:

sudo ./defender_deployment_tool.sh --connectivity-test

Mdatp tarafından gereken her URL için denetimler gerçekleştirdiğinden ve varsa herhangi bir sorun bulunduğunda bu testin çalıştırılması biraz zaman alabilir. Sorun devam ederse sorun giderme kılavuzuna bakın.

Yükleme sorunlarını giderme

Defender dağıtım aracını her çalıştırdığınızda etkinlik şu dosyaya kaydedilir:

/tmp/defender_deployment_tool.log

Yükleme sorunlarıyla karşılaşırsanız önce günlük dosyasını denetleyin. Bu, sorunu çözmenize yardımcı olmazsa aşağıdaki adımları uygulamayı deneyin:

  1. Yükleme hatası oluştuğunda otomatik olarak oluşturulan günlüğü bulma hakkında bilgi için bkz . Günlük yükleme sorunları.

  2. Yaygın yükleme sorunları hakkında bilgi için bkz . Yükleme sorunları.

  3. Cihazın sistem durumu yanlışsa bkz . Uç Nokta için Defender aracısı sistem durumu sorunları.

  4. Ürün performansı sorunları için bkz. Performans sorunlarını giderme.

  5. Ara sunucu ve bağlantı sorunları için bkz. Bulut bağlantısı sorunlarını giderme.

Bir kanaldan dağıttıktan sonra kanallar arasında geçiş yapma

Linux üzerinde Uç Nokta için Defender aşağıdaki kanallardan birinden dağıtılabilir:

  • insider hızlı
  • insider'lar yavaş
  • prod (üretim)

Bu kanalların her biri bir Linux yazılım deposuna karşılık gelir. Kanal, cihazınıza sunulan güncelleştirmelerin türünü ve sıklığını belirler. Insider'ların hızlı olduğu cihazlar, güncelleştirmeleri ve yeni özellikleri ilk alanlardır ve daha sonra insider'lar yavaş ve son olarak prod tarafından takip edilir.

Varsayılan olarak, dağıtım aracı cihazınızı üretim kanalını kullanacak şekilde yapılandırılır. Farklı bir kanaldan dağıtmak için bu belgede açıklanan yapılandırma seçeneklerini kullanabilirsiniz.

Yeni özellikleri önizlemek ve erken geri bildirim sağlamak için kuruluşunuzdaki bazı cihazları insider hızlı veya insider yavaş kullanacak şekilde yapılandırmanız önerilir. Bir kanaldan Linux üzerinde Zaten Uç Nokta için Defender'ı dağıttıysanız ve farklı bir kanala geçmek istiyorsanız (örneğin, üretimden insider hızlıya), önce geçerli kanalı kaldırmanız, ardından geçerli kanal deposunu silmeniz ve son olarak kanalın insider hızlı olandan üretime geçtiği yeni kanaldan Defender'ı yüklemeniz gerekir:

  1. uç nokta için Defender'ın insider hızlı kanal sürümünü Linux..

    sudo ./defender_deployment_tool.sh --remove --channel insiders-fast

  2. insider hızlı Linux deposunda Uç Nokta için Defender'ın silinmesi.

    sudo ./defender_deployment_tool.sh --clean --channel insiders-fast

  3. üretim kanalını kullanarak Uç Nokta için Microsoft Defender Linux yükleyin.

    sudo ./defender_deployment_tool.sh --channel prod

İlgili içerik

  • Last updated on