Aracılığıyla paylaş

Linux'ta Uç Nokta için Microsoft Defender dağıtmak için yükleyici betik tabanlı dağıtımı kullanma

  • Şunlara uygulanır: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Giriş

Çeşitli araçları ve yöntemleri kullanarak Linux'ta Uç Nokta için Defender'ı dağıtabilirsiniz. Bu makalede, bir yükleyici betiği kullanarak Linux'ta Uç Nokta için Defender dağıtımını otomatikleştirme açıklanmaktadır. Bu betik dağıtımı ve sürümü tanımlar, doğru depoyu seçer, en son aracı sürümünü çekmek için cihazı ayarlar ve ekleme paketini kullanarak cihazı Uç Nokta için Defender'a ekler. Dağıtım işlemini basitleştirmek için bu yöntem kesinlikle önerilir.

Başka bir yöntem kullanmak için İlgili içerik bölümüne bakın.

Önemli

Birden çok güvenlik çözümlerini yan yana çalıştırmak istiyorsanız bkz. Performans, yapılandırma ve destek konuları.

Uç Nokta için Microsoft Defender eklenen cihazlar için karşılıklı güvenlik dışlamalarını zaten yapılandırmış olabilirsiniz. Çakışmaları önlemek için yine de karşılıklı dışlamalar ayarlamanız gerekiyorsa bkz. Mevcut çözümünüz için dışlama listesine Uç Nokta için Microsoft Defender ekleme.

Önkoşullar ve sistem gereksinimleri

Başlamadan önce önkoşulların ve sistem gereksinimlerinin açıklaması için bkz. Linux'ta Uç Nokta için Defender önkoşulları.

İpucu

Linux sunucunuzda Defender'ı dağıtmak için yükleyici betiğini çalıştırmadan önce, dağıtımdan önce en düşük sistem gereksinimlerini (bellek, CPU, disk alanı, desteklenen işletim sistemi) denetleme seçeneğiyle --pre-req betiği çalıştırmanız önerilir.

Dağıtım işlemi

  1. Aşağıdaki adımları izleyerek ekleme paketini Microsoft Defender portalından indirin:

    1. Microsoft Defender portalındaSistem bölümünü genişletin ve Ayarlar>Uç Noktaları>Cihaz yönetimi>Ekleme'yi seçin.

    2. İlk açılan menüde işletim sistemi olarak Linux Server'ı seçin.

    3. İkinci açılan menüde dağıtım yöntemi olarak Yerel Betik'i seçin.

    4. Ekleme paketini indir'i seçin. Dosyayı olarak WindowsDefenderATPOnboardingPackage.zipkaydedin.

      Ekleme paketini indirmek için seçebileceğiniz seçenekleri gösteren ekran görüntüsü.

    5. Komut isteminden arşivin içeriğini ayıklayın:

      unzip WindowsDefenderATPOnboardingPackage.zip

      Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

      Uyarı

      Uç Nokta için Defender yükleme paketini yeniden paketlemek desteklenen bir senaryo değildir. Bunun yapılması ürünün bütünlüğünü olumsuz etkileyebilir ve kurcalama uyarılarının ve güncelleştirmelerin uygulanamaması da dahil ancak bunlarla sınırlı olmamak üzere olumsuz sonuçlara yol açabilir.

      Önemli

      Bu adımı kaçırırsanız, yürütülen herhangi bir komut ürünün lisanssız olduğunu belirten bir uyarı iletisi gösterir. Ayrıca mdatp health komutu false değerini döndürür.

  2. Genel GitHub depomuzda sağlanan yükleyici bash betiğini indirin.

  3. Yükleyici betiğine yürütülebilir izinler verin:

    chmod +x mde_installer.sh

  4. Yükleyici betiğini yürüterek aracıyı yüklemek ve cihazı Defender portalına eklemek için ekleme paketini parametre olarak sağlayın.

    sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --pre-req

    Bu komut en son aracı sürümünü üretim kanalına dağıtır, en düşük sistem gereksinimlerini (bellek, CPU, disk alanı, desteklenen işletim sistemi) denetler ve cihazı Defender Portalı'na ekler.

    Ayrıca, yüklemeyi değiştirmek için gereksinimlerinize göre daha fazla parametre geçirebilirsiniz. Kullanılabilir tüm seçenekler için yardımı denetleyin:

     ❯ ./mde_installer.sh --help
mde_installer.sh v0.7.0
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel              specify the channel (insiders-fast / insiders-slow / prod) from which to install. Default: prod
-i|--install              install the product
-r|--remove               uninstall the product
-u|--upgrade              upgrade the existing product to a newer version if available
-l|--downgrade            downgrade the existing product to an older version if available
-o|--onboard <script>     onboard MDE with the specified onboarding script
-f|--offboard <script>    offboard MDE with the specified offboarding script
-p|--passive-mode         set real-time protection to passive mode
-a|--rtp-mode             set real-time protection to active mode. Passive-mode and rtp-mode are mutually exclusive
-t|--tag                  set a tag by declaring <name> and <value>, e.g.: -t GROUP Coders
-q|--pre-req              check minimum system requirements for MDE (memory, CPU, disk space, supported OS) without installing
-x|--skip_conflict        skip conflicting application verification
-w|--clean                remove MDE repository from the package manager for the specified channel
-y|--yes                  assume yes for all mid-process prompts (default, deprecated)
-n|--no                   disable the default assume-yes behavior for prompts
-s|--verbose              enable verbose output
-v|--version              print the script version
-d|--debug                enable debug mode
--log-path <PATH>         also log output to PATH
--http-proxy <URL>        set http proxy
--https-proxy <URL>       set https proxy
--ftp-proxy <URL>         set ftp proxy
--mdatp <version>         install a specific version of MDE; uses the latest if not provided
--use-local-repo          skip MDE repository setup and use the locally configured repository
-b|--install-path <PATH>  specify the installation and configuration path for MDE. Default: /
-h|--help                 display help
Senaryo Komut
Özel yol konumuna yükleme sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --pre-req --install-path /custom/path/location
Belirli bir aracı sürümünü yükleme sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --pre-req –-mdatp 101.24082.0004
En son aracı sürümüne yükseltme sudo ./mde_installer.sh --upgrade
Belirli bir aracı sürümüne yükseltme sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004
Belirli bir aracı sürümüne düşürme sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004
Aracıyı kaldırma sudo ./mde_installer.sh --remove
Yalnızca önkoşul denetimlerini çalıştırma (yükleme yok) sudo ./mde_installer.sh --pre-req

Özel yola yükleme hakkında ayrıntılı bilgi için bkz. Linux'ta Uç Nokta için Defender'ı özel bir yola yükleme.

Not

  • Ürün yüklendikten sonra işletim sisteminizi yeni bir ana sürüme yükseltmek için ürünün yeniden yüklenmesi gerekir. Linux'ta mevcut Uç Nokta için Defender'ı kaldırmanız, işletim sistemini yükseltmeniz ve ardından Linux'ta Uç Nokta için Defender'ı yeniden yapılandırmanız gerekir.
  • Uç Nokta için Defender yüklendikten sonra yükleme yolu değiştirilemez. Farklı bir yol kullanmak için ürünü kaldırıp yeni konuma yeniden yükleyin.

Dağıtım durumunu doğrulama

  1. Microsoft Defender portalında cihaz envanterini açın. Cihazın portalda görünmesi 5-20 dakika sürebilir.

  2. Cihazın düzgün şekilde eklendiğini ve hizmete bildirildiğini doğrulamak için bir virüsten koruma algılama testi çalıştırın. Yeni eklenen cihazda aşağıdaki adımları gerçekleştirin:

    1. Gerçek zamanlı korumanın etkinleştirildiğinden emin olun (aşağıdaki komutu çalıştırmanın true sonucu olarak belirtilir):

      mdatp health --field real_time_protection_enabled

      Etkinleştirilmemişse aşağıdaki komutu yürütür:

      mdatp config real-time-protection --value enabled

    2. Bir Terminal penceresi açın ve aşağıdaki komutu yürüterek bir algılama testi çalıştırın:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Aşağıdaki komutlardan birini kullanarak zip dosyalarında daha fazla algılama testi çalıştırabilirsiniz:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    4. Dosyalar Linux'ta Uç Nokta için Defender tarafından karantinaya alınmalıdır. Algılanan tüm tehditleri listelemek için aşağıdaki komutu kullanın:

      mdatp threat list

  3. Bir EDR algılama testi çalıştırın ve cihazın düzgün şekilde eklendiğini ve hizmete bildirildiğini doğrulamak için algılama simülasyonu yapın. Yeni eklenen cihazda aşağıdaki adımları gerçekleştirin:

    1. Betik dosyasını indirip ekli bir Linux sunucusuna ayıklayın.

    2. Betik için yürütülebilir izinler verin:

      chmod +x mde_linux_edr_diy.sh

    3. Aşağıdaki komutu çalıştırın:

      ./mde_linux_edr_diy.sh

    4. Birkaç dakika sonra, Microsoft Defender XDR bir algılama tetiklenmelidir.

    5. Uyarı ayrıntılarını, makine zaman çizelgesini denetleyin ve tipik araştırma adımlarınızı gerçekleştirin.

paket dış paket bağımlılıklarını Uç Nokta için Microsoft Defender

eksik bağımlılık hataları nedeniyle Uç Nokta için Microsoft Defender yüklemesi başarısız olursa, gerekli bağımlılıkları el ile indirebilirsiniz.

Paket için mdatp aşağıdaki dış paket bağımlılıkları vardır:

  • Paket mdatp RPM için - glibc >= 2.17
  • DEBIAN mdatp için paket gereklidir libc6 >= 2.23
  • Mariner mdatp için paket için attr,diffutils, , libacl, libattrlibselinux-utils, selinux-policy, gerekirpolicycoreutils

Not

Sürümünden 101.24082.0004başlayarak, Linux'ta Uç Nokta için Defender artık olay sağlayıcısını Auditd desteklememektedir. Tamamen daha verimli eBPF teknolojisine geçiş yapıyoruz. Makinelerinizde desteklenmiyorsa veya üzerinde Auditdkalması gereken belirli gereksinimler varsa ve makineleriniz Linux sürümünde veya önceki sürümlerinde 101.24072.0001 Uç Nokta için Defender kullanıyorsaeBPF, için mdatpdenetlenen pakete yönelik diğer bağımlılıklar vardır. sürümünden 101.25032.0000eski sürüm için:

  • RPM paketi gereksinimleri: mde-netfilter, pcre
  • DEBIAN paketi gereksinimleri: mde-netfilter, libpcre3
  • Paketin mde-netfilter şu paket bağımlılıkları da vardır: - DEBIAN için mde-netfilter paketi ve gerektirir libglib2.0-0libnetfilter-queue1 - RPM için, mde-netfilter paketi libmnl, , libnfnetlinklibnetfilter_queueve glib2 Sürümle 101.25042.0003başlayarak, uuid-runtime artık dış bağımlılık olarak gerekli değildir.

Yükleme sorunlarını giderin

Yükleme sorunlarıyla karşılaşırsanız, kendi kendine sorun giderme için şu adımları izleyin:

  1. Yükleme hatası oluştuğunda otomatik olarak oluşturulan günlüğü bulma hakkında bilgi için bkz . Günlük yükleme sorunları.

  2. Yaygın yükleme sorunları hakkında bilgi için bkz . Yükleme sorunları.

  3. Cihazın sistem durumu ise falsebkz . Uç Nokta için Defender aracısı sistem durumu sorunları.

  4. Ürün performansı sorunları için bkz. Performans sorunlarını giderme.

  5. Ara sunucu ve bağlantı sorunları için bkz. Bulut bağlantısı sorunlarını giderme.

Microsoft'tan destek almak için bir destek bileti açın ve istemci çözümleyicisi kullanılarak oluşturulan günlük dosyalarını sağlayın.

Kanallar arasında geçiş yapma

Örneğin, kanalı Insiders-Fast üretim olarak değiştirmek için aşağıdakileri yapın:

  1. Linux'ta Insiders-Fast channel Uç Nokta için Defender sürümünü kaldırın.

    sudo yum remove mdatp

  2. Linux Insiders-Fast deposunda Uç Nokta için Defender'ı devre dışı bırakın.

    sudo yum repolist

    Not

    Çıkışta gösterilmelidir packages-microsoft-com-fast-prod.

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Üretim kanalını kullanarak Linux'ta Uç Nokta için Microsoft Defender yeniden dağıtın.

Linux'ta Uç Nokta için Defender aşağıdaki kanallardan birinden dağıtılabilir ([kanal] olarak belirtilir):

  • insiders-fast
  • insiders-slow
  • prod

Bu kanalların her biri bir Linux yazılım deposuna karşılık gelir. Bu makaledeki yönergelerde cihazınızı bu depolardan birini kullanacak şekilde yapılandırma açıklanmaktadır.

Kanal seçimi, cihazınıza sunulan güncelleştirmelerin türünü ve sıklığını belirler. Insider'ların hızlı olduğu cihazlar, güncelleştirmeleri ve yeni özellikleri ilk alan cihazlardır ve daha sonra insider'ların yavaş ve son olarak prod tarafından takip edilir.

Yeni özellikleri önizlemek ve erken geri bildirim sağlamak için kuruluşunuzdaki bazı cihazları veya insiders-slowkullanacak insiders-fast şekilde yapılandırmanız önerilir.

Uyarı

İlk yüklemeden sonra kanalın değiştirilmesi için ürünün yeniden yüklenmesi gerekir. Ürün kanalını değiştirmek için: Mevcut paketi kaldırın, cihazınızı yeni kanalı kullanacak şekilde yeniden yapılandırın ve paketi yeni konumdan yüklemek için bu belgedeki adımları izleyin.

Linux'ta Microsoft Defender için ilkeleri yapılandırma

Virüsten koruma ve EDR ayarlarını yapılandırmak için aşağıdaki makalelere bakın:

İlgili içerik

  • Last updated on