Aracılığıyla paylaş

Linux'ta Uç Nokta için Microsoft Defender dağıtmak için yükleyici betik tabanlı dağıtımı kullanma

  • Şunlara uygulanır: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Giriş

Çeşitli araçları ve yöntemleri kullanarak Linux'ta Uç Nokta için Defender'ı dağıtabilirsiniz. Bu makalede, bir yükleyici betiği kullanarak Linux'ta Uç Nokta için Defender dağıtımını otomatikleştirme açıklanmaktadır. Bu betik dağıtımı ve sürümü tanımlar, doğru depoyu seçer, en son aracı sürümünü çekmek için cihazı ayarlar ve ekleme paketini kullanarak cihazı Uç Nokta için Defender'a ekler. Dağıtım işlemini basitleştirmek için bu yöntem kesinlikle önerilir.

Başka bir yöntem kullanmak için İlgili içerik bölümüne bakın.

Önemli

Birden çok güvenlik çözümlerini yan yana çalıştırmak istiyorsanız bkz. Performans, yapılandırma ve destek konuları.

Uç Nokta için Microsoft Defender eklenen cihazlar için karşılıklı güvenlik dışlamalarını zaten yapılandırmış olabilirsiniz. Çakışmaları önlemek için yine de karşılıklı dışlamalar ayarlamanız gerekiyorsa bkz. Mevcut çözümünüz için dışlama listesine Uç Nokta için Microsoft Defender ekleme.

Önkoşullar ve sistem gereksinimleri

Başlamadan önce önkoşulların ve sistem gereksinimlerinin açıklaması için bkz. Linux'ta Uç Nokta için Defender önkoşulları.

Dağıtım işlemi

  1. Aşağıdaki adımları izleyerek ekleme paketini Microsoft Defender portalından indirin:

    1. Microsoft Defender portalındaSistem bölümünü genişletin ve Ayarlar>Uç Noktaları>Cihaz yönetimi>Ekleme'yi seçin.

    2. İlk açılan menüde işletim sistemi olarak Linux Server'ı seçin.

    3. İkinci açılan menüde dağıtım yöntemi olarak Yerel Betik'i seçin.

    4. Ekleme paketini indir'i seçin. Dosyayı olarak WindowsDefenderATPOnboardingPackage.zipkaydedin.

      Ekleme paketini indirmek için seçebileceğiniz seçenekleri gösteren ekran görüntüsü.

    5. Komut isteminden arşivin içeriğini ayıklayın:

      unzip WindowsDefenderATPOnboardingPackage.zip

      Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

      Uyarı

      Uç Nokta için Defender yükleme paketini yeniden paketlemek desteklenen bir senaryo değildir. Bunun yapılması ürünün bütünlüğünü olumsuz etkileyebilir ve kurcalama uyarılarının ve güncelleştirmelerin uygulanamaması da dahil ancak bunlarla sınırlı olmamak üzere olumsuz sonuçlara yol açabilir.

      Önemli

      Bu adımı kaçırırsanız, yürütülen herhangi bir komut ürünün lisanssız olduğunu belirten bir uyarı iletisi gösterir. Ayrıca mdatp health komutu false değerini döndürür.

  2. Genel GitHub depomuzda sağlanan yükleyici bash betiğini indirin.

  3. Yükleyici betiğine yürütülebilir izinler verin:

    chmod +x mde_installer.sh

  4. Yükleyici betiğini yürüterek aracıyı yüklemek ve cihazı Defender portalına eklemek için ekleme paketini parametre olarak sağlayın.

    sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --min_req

    Bu komut en son aracı sürümünü üretim kanalına dağıtır, en düşük sistem önkoşullarını denetler ve cihazı Defender Portal'a ekler.

    Ayrıca, yüklemeyi değiştirmek için gereksinimlerinize göre daha fazla parametre geçirebilirsiniz. Kullanılabilir tüm seçenekler için yardımı denetleyin:

     ❯ ./mde_installer.sh --help
mde_installer.sh v0.7.0
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel         specify the channel(insiders-fast / insiders-slow / prod) from which you want to install. Default: prod
-i|--install         install the product
-r|--remove          uninstall the product
-u|--upgrade         upgrade the existing product to a newer version if available
-l|--downgrade       downgrade the existing product to a older version if available
-o|--onboard         onboard the product with <onboarding_script>
-f|--offboard        offboard the product with <offboarding_script>
-p|--passive-mode    set real time protection to passive mode
-a|--rtp-mode        set real time protection to active mode. passive-mode and rtp-mode are mutually exclusive
-t|--tag             set a tag by declaring <name> and <value>, e.g: -t GROUP Coders
-m|--min_req         enforce minimum requirements
-x|--skip_conflict   skip conflicting application verification
-w|--clean           remove repo from package manager for a specific channel
-y|--yes             assume yes for all mid-process prompts (default, deprecated)
-n|--no              remove assume yes sign
-s|--verbose         verbose output
-v|--version         print out script version
-d|--debug           set debug mode
--log-path <PATH>    also log output to PATH
--http-proxy <URL>   set http proxy
--https-proxy <URL>  set https proxy
--ftp-proxy <URL>    set ftp proxy
--mdatp              specific version of mde to be installed. will use the latest if not provided
-b|--install-path    specify the installation and configuration path for MDE. Default: /
-h|--help            display help
    Senaryo Komut
    Özel yol konumuna yükleme sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --min_req --install-path /custom/path/location
    Belirli bir aracı sürümünü yükleme sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --min_req –-mdatp 101.24082.0004
    En son aracı sürümüne yükseltme sudo ./mde_installer.sh --upgrade
    Belirli bir aracı sürümüne yükseltme sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004
    Belirli bir aracı sürümüne düşürme sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004
    Aracıyı kaldırma sudo ./mde_installer.sh --remove

    Özel yola yükleme hakkında ayrıntılı bilgi için bkz. Linux'ta Uç Nokta için Defender'ı özel bir yola yükleme.

    Not

    1. Ürün yüklendikten sonra işletim sisteminizi yeni bir ana sürüme yükseltmek için ürünün yeniden yüklenmesi gerekir. Linux'ta mevcut Uç Nokta için Defender'ı kaldırmanız, işletim sistemini yükseltmeniz ve ardından Linux'ta Uç Nokta için Defender'ı yeniden yapılandırmanız gerekir.

    2. Uç Nokta için Defender yüklendikten sonra yükleme yolu değiştirilemez. Farklı bir yol kullanmak için ürünü kaldırıp yeni konuma yeniden yükleyin.

Dağıtım durumunu doğrulama

  1. Microsoft Defender portalında cihaz envanterini açın. Cihazın portalda görünmesi 5-20 dakika sürebilir.

  2. Cihazın düzgün şekilde eklendiğini ve hizmete bildirildiğini doğrulamak için bir virüsten koruma algılama testi çalıştırın. Yeni eklenen cihazda aşağıdaki adımları gerçekleştirin:

    1. Gerçek zamanlı korumanın etkinleştirildiğinden emin olun (aşağıdaki komutu çalıştırmanın true sonucu olarak belirtilir):

      mdatp health --field real_time_protection_enabled

      Etkinleştirilmemişse aşağıdaki komutu yürütür:

      mdatp config real-time-protection --value enabled

    2. Bir Terminal penceresi açın ve aşağıdaki komutu yürüterek bir algılama testi çalıştırın:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Aşağıdaki komutlardan birini kullanarak zip dosyalarında daha fazla algılama testi çalıştırabilirsiniz:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    4. Dosyalar Linux'ta Uç Nokta için Defender tarafından karantinaya alınmalıdır. Algılanan tüm tehditleri listelemek için aşağıdaki komutu kullanın:

      mdatp threat list

  3. Bir EDR algılama testi çalıştırın ve cihazın düzgün şekilde eklendiğini ve hizmete bildirildiğini doğrulamak için algılama simülasyonu yapın. Yeni eklenen cihazda aşağıdaki adımları gerçekleştirin:

    1. Betik dosyasını indirip ekli bir Linux sunucusuna ayıklayın.

    2. Betik için yürütülebilir izinler verin:

      chmod +x mde_linux_edr_diy.sh

    3. Aşağıdaki komutu çalıştırın:

      ./mde_linux_edr_diy.sh

    4. Birkaç dakika sonra, Microsoft Defender XDR bir algılama tetiklenmelidir.

    5. Uyarı ayrıntılarını, makine zaman çizelgesini denetleyin ve tipik araştırma adımlarınızı gerçekleştirin.

paket dış paket bağımlılıklarını Uç Nokta için Microsoft Defender

eksik bağımlılık hataları nedeniyle Uç Nokta için Microsoft Defender yüklemesi başarısız olursa, gerekli bağımlılıkları el ile indirebilirsiniz.

Paket için mdatp aşağıdaki dış paket bağımlılıkları vardır:

  • Paket mdatp RPM için - glibc >= 2.17
  • DEBIAN mdatp için paket gereklidir libc6 >= 2.23
  • Mariner mdatp için paket için attr,diffutils, , libacl, libattrlibselinux-utils, selinux-policy, gerekirpolicycoreutils

Not

Sürümünden 101.24082.0004başlayarak, Linux'ta Uç Nokta için Defender artık olay sağlayıcısını Auditd desteklememektedir. Tamamen daha verimli eBPF teknolojisine geçiş yapıyoruz. Makinelerinizde desteklenmiyorsa veya üzerinde Auditdkalması gereken belirli gereksinimler varsa ve makineleriniz Linux sürümünde veya önceki sürümlerinde 101.24072.0001 Uç Nokta için Defender kullanıyorsaeBPF, için mdatpdenetlenen pakete yönelik diğer bağımlılıklar vardır. sürümünden 101.25032.0000eski sürüm için:

  • RPM paketi gereksinimleri: mde-netfilter, pcre
  • DEBIAN paketi gereksinimleri: mde-netfilter, libpcre3
  • Paketin mde-netfilter şu paket bağımlılıkları da vardır: - DEBIAN için mde-netfilter paketi ve gerektirir libglib2.0-0libnetfilter-queue1 - RPM için, mde-netfilter paketi libmnl, , libnfnetlinklibnetfilter_queueve glib2 Sürümle 101.25042.0003başlayarak, uuid-runtime artık dış bağımlılık olarak gerekli değildir.

Yükleme sorunlarını giderin

Yükleme sorunlarıyla karşılaşırsanız, kendi kendine sorun giderme için şu adımları izleyin:

  1. Yükleme hatası oluştuğunda otomatik olarak oluşturulan günlüğü bulma hakkında bilgi için bkz . Günlük yükleme sorunları.

  2. Yaygın yükleme sorunları hakkında bilgi için bkz . Yükleme sorunları.

  3. Cihazın sistem durumu ise falsebkz . Uç Nokta için Defender aracısı sistem durumu sorunları.

  4. Ürün performansı sorunları için bkz. Performans sorunlarını giderme.

  5. Ara sunucu ve bağlantı sorunları için bkz. Bulut bağlantısı sorunlarını giderme.

Microsoft'tan destek almak için bir destek bileti açın ve istemci çözümleyicisi kullanılarak oluşturulan günlük dosyalarını sağlayın.

Kanallar arasında geçiş yapma

Örneğin, kanalı Insiders-Fast üretim olarak değiştirmek için aşağıdakileri yapın:

  1. Linux'ta Insiders-Fast channel Uç Nokta için Defender sürümünü kaldırın.

    sudo yum remove mdatp

  2. Linux Insiders-Fast deposunda Uç Nokta için Defender'ı devre dışı bırakın.

    sudo yum repolist

    Not

    Çıkışta gösterilmelidir packages-microsoft-com-fast-prod.

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Üretim kanalını kullanarak Linux'ta Uç Nokta için Microsoft Defender yeniden dağıtın.

Linux'ta Uç Nokta için Defender aşağıdaki kanallardan birinden dağıtılabilir ([kanal] olarak belirtilir):

  • insiders-fast
  • insiders-slow
  • prod

Bu kanalların her biri bir Linux yazılım deposuna karşılık gelir. Bu makaledeki yönergelerde cihazınızı bu depolardan birini kullanacak şekilde yapılandırma açıklanmaktadır.

Kanal seçimi, cihazınıza sunulan güncelleştirmelerin türünü ve sıklığını belirler. Insider'ların hızlı olduğu cihazlar, güncelleştirmeleri ve yeni özellikleri ilk alan cihazlardır ve daha sonra insider'ların yavaş ve son olarak prod tarafından takip edilir.

Yeni özellikleri önizlemek ve erken geri bildirim sağlamak için kuruluşunuzdaki bazı cihazları veya insiders-slowkullanacak insiders-fast şekilde yapılandırmanız önerilir.

Uyarı

İlk yüklemeden sonra kanalın değiştirilmesi için ürünün yeniden yüklenmesi gerekir. Ürün kanalını değiştirmek için: Mevcut paketi kaldırın, cihazınızı yeni kanalı kullanacak şekilde yeniden yapılandırın ve paketi yeni konumdan yüklemek için bu belgedeki adımları izleyin.

Linux'ta Microsoft Defender için ilkeleri yapılandırma

Virüsten koruma ve EDR ayarlarını yapılandırmak için aşağıdaki makalelere bakın:

İlgili içerik

  • Last updated on