Ruční nasazení Microsoft Defender for Endpoint v Linuxu

Platí pro:

• Microsoft Defender for Endpoint Server
• Microsoft Defender pro servery

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tip

Hledáte pokročilé pokyny k nasazení Microsoft Defender for Endpoint v Linuxu? Viz Průvodce pokročilým nasazením v Defenderu for Endpoint v Linuxu.

Tento článek popisuje ruční nasazení Microsoft Defender for Endpoint v Linuxu. Úspěšné nasazení vyžaduje dokončení všech následujících úloh:

• Požadavky a požadavky na systém
• Konfigurace úložiště softwaru pro Linux
  • RHEL a varianty (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky a Alma)
  • SLES a varianty
  • Systémy Ubuntu a Debian
  • Námořník
• Instalace aplikace
  • RHEL a varianty (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky a Alma)
  • SLES a varianty
  • Systémy Ubuntu a Debian
  • Námořník
• Stažení balíčku pro onboarding
• Konfigurace klienta

Požadavky a požadavky na systém

Než začnete, přečtěte si Microsoft Defender for Endpoint v Linuxu popis požadavků a požadavků na systém pro aktuální verzi softwaru.

Upozornění

Upgrade operačního systému na novou hlavní verzi po instalaci produktu vyžaduje přeinstalaci produktu. Musíte odinstalovat existující defender for Endpoint v Linuxu, upgradovat operační systém a pak překonfigurovat Defender for Endpoint v Linuxu podle následujících kroků.

Konfigurace úložiště softwaru pro Linux

Defender for Endpoint v Linuxu je možné nasadit z jednoho z následujících kanálů (označených jako [channel]): insiders-fast, insiders-slow nebo prod. Každý z těchto kanálů odpovídá úložišti softwaru v Linuxu. Pokyny v tomto článku popisují konfiguraci zařízení tak, aby používalo jedno z těchto úložišť.

Volba kanálu určuje typ a frekvenci aktualizací nabízených vašemu zařízení. Zařízení v rychlém okruhu insiderů jsou prvními, kteří obdrží aktualizace a nové funkce, později je následují účastníci programu Insider-slow a nakonec prod.

Pokud chcete získat náhled nových funkcí a poskytnout včasnou zpětnou vazbu, doporučujeme nakonfigurovat některá zařízení ve vašem podniku tak, aby používala buď rychlé účastníkyprogramu Insider, nebo pomalé účastníky programu Insider.

Upozornění

Přepnutí kanálu po počáteční instalaci vyžaduje přeinstalaci produktu. Přepnutí kanálu produktu: Odinstalujte existující balíček, překonfigurujte zařízení tak, aby používalo nový kanál, a podle pokynů v tomto dokumentu nainstalujte balíček z nového umístění.

RHEL a varianty (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky a Alma)

1. Pokud ještě není nainstalovaná, nainstalujte yum-utils ji:

   sudo yum install yum-utils
   

2. Vyhledejte správný balíček pro vaši distribuci a verzi. Při hledání balíčku vám pomůže následující tabulka:

   Verze & distribuce	Balíček
   Alma 8.4 a novější	https://packages.microsoft.com/config/alma/8/prod.repo
   Alma 9.2 a novější	https://packages.microsoft.com/config/alma/9/prod.repo
   RHEL/Centos/Oracle 9.0-9.8	https://packages.microsoft.com/config/rhel/9/prod.repo
   RHEL/Centos/Oracle 8.0-8.10	https://packages.microsoft.com/config/rhel/8/prod.repo
   RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2	https://packages.microsoft.com/config/rhel/7.2/prod.repo
   Amazon Linux 2023	https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
   Fedora 33	https://packages.microsoft.com/config/fedora/33/prod.repo
   Fedora 34	https://packages.microsoft.com/config/fedora/34/prod.repo
   Rocky 8.7 a novější	https://packages.microsoft.com/config/rocky/8/prod.repo
   Rocky 9.2 a vyšší	https://packages.microsoft.com/config/rocky/9/prod.repo

   Poznámka

   Pro svoji distribuci a verzi v části identifikujte nejbližší položku (podle hlavní položky a potom podverze) v části https://packages.microsoft.com/config/rhel/.

3. V následujících příkazech nahraďte [version] a [channel] informacemi, které jste identifikovali:

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
   

   Tip

   Pomocí příkazu hostnamectl identifikujte informace související se systémem, včetně verze [verze].

   Pokud například používáte CentOS 7 a chcete nasadit Defender for Endpoint v Linuxu prod z kanálu:

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
   

   Nebo pokud chcete prozkoumat nové funkce na vybraných zařízeních, můžete chtít nasadit Microsoft Defender for Endpoint v Linuxu do kanálu insiders-fast:

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
   

4. Nainstalujte veřejný klíč Microsoft GPG:

   sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
   

SLES a varianty

Poznámka

Pro svoji distribuci a verzi v části identifikujte nejbližší položku (podle hlavní položky a potom podverze) v části https://packages.microsoft.com/config/sles/.

1. V následujících příkazech nahraďte [distribuce] a [version] informacemi, které jste identifikovali:

   sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
   

   Tip

   Pomocí příkazu SPident identifikujte informace související se systémem, včetně verze [verze].

   Pokud například používáte SLES 12 a chcete nasadit Microsoft Defender for Endpoint v Linuxu prod z kanálu:

   sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
   

2. Nainstalujte veřejný klíč Microsoft GPG:

   sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
   

Systémy Ubuntu a Debian

1. Pokud ještě není nainstalovaná, nainstalujte curl ji:

   sudo apt-get install curl
   

2. Pokud ještě není nainstalovaná, nainstalujte libplist-utils ji:

   sudo apt-get install libplist-utils
   

   Poznámka

   Pro svoji distribuci a verzi v části identifikujte nejbližší položku (podle hlavní položky a potom podverze) v části https://packages.microsoft.com/config/[distro]/.

3. V následujícím příkazu nahraďte [distribuce] a [version] informacemi, které jste identifikovali:

   curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
   

   Tip

   Pomocí příkazu hostnamectl identifikujte informace související se systémem, včetně verze [verze].

   Pokud například používáte Ubuntu 18.04 a chcete nasadit Microsoft Defender for Endpoint v Linuxu prod z kanálu:

   curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
   

4. Nainstalujte konfiguraci úložiště:

   sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
   

   Pokud jste například zvolili prod kanál:

   sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
   

5. Nainstalujte balíček, gpg pokud ještě není nainstalovaný:

   sudo apt-get install gpg
   

   Pokud gpg není k dispozici, nainstalujte gnupg.

   sudo apt-get install gnupg
   

6. Nainstalujte veřejný klíč Microsoft GPG:

   • Pro Debian 11 a starší spusťte následující příkaz.

     curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
     

   • Pro Debian 12 a novější spusťte následující příkaz.

     curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
     

7. Nainstalujte ovladač HTTPS, pokud ještě není nainstalovaný:

   sudo apt-get install apt-transport-https
   

8. Aktualizujte metadata úložiště:

   sudo apt-get update
   

Námořník

1. Pokud ještě není nainstalovaná, nainstalujte dnf-plugins-core ji:

   sudo dnf install dnf-plugins-core
   

2. Nakonfigurujte a povolte požadovaná úložiště.

   Poznámka

   Na marineru není k dispozici kanál Insider Fast.

   Pokud chcete nasadit Defender for Endpoint v Linuxu prod z kanálu. Použijte následující příkazy.

   sudo dnf install mariner-repos-extras
   sudo dnf config-manager --enable mariner-official-extras
   

   Nebo pokud chcete prozkoumat nové funkce na vybraných zařízeních, můžete chtít nasadit Microsoft Defender for Endpoint v Linuxu do kanálu insiders-slow. Použijte následující příkazy:

   sudo dnf install mariner-repos-extras-preview
   sudo dnf config-manager --enable mariner-official-extras-preview
   

Instalace aplikace

Pomocí příkazů v následujících částech nainstalujte Defender for Endpoint do distribuce Linuxu.

RHEL a varianty (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky a Alma)

sudo yum install mdatp

Poznámka

Pokud máte na svém zařízení nakonfigurovaných více úložišť Microsoftu, můžete určit, ze kterého úložiště chcete balíček nainstalovat. Následující příklad ukazuje, jak nainstalovat balíček z production kanálu, pokud máte insiders-fast na tomto zařízení nakonfigurovaný také kanál úložiště. K této situaci může dojít, pokud na svém zařízení používáte více produktů Microsoftu. V závislosti na distribuci a verzi vašeho serveru se alias úložiště může lišit od aliasu v následujícím příkladu.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES a varianty

sudo zypper install mdatp

Poznámka

Pokud máte na svém zařízení nakonfigurovaných více úložišť Microsoftu, můžete určit, ze kterého úložiště chcete balíček nainstalovat. Následující příklad ukazuje, jak nainstalovat balíček z production kanálu, pokud máte insiders-fast na tomto zařízení nakonfigurovaný také kanál úložiště. K této situaci může dojít, pokud na svém zařízení používáte více produktů Microsoftu.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Systémy Ubuntu a Debian

sudo apt-get install mdatp

Poznámka

Pokud máte na svém zařízení nakonfigurovaných více úložišť Microsoftu, můžete určit, ze kterého úložiště chcete balíček nainstalovat. Následující příklad ukazuje, jak nainstalovat balíček z production kanálu, pokud máte insiders-fast na tomto zařízení nakonfigurovaný také kanál úložiště. K této situaci může dojít, pokud na svém zařízení používáte více produktů Microsoftu.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Poznámka

Po instalaci nebo aktualizaci Microsoft Defender for Endpoint v Linuxu se restartování nevyžaduje, s výjimkou případů, kdy spouštíte auditD v neměnném režimu.

Námořník

sudo dnf install mdatp

Poznámka

Pokud máte na svém zařízení nakonfigurovaných více úložišť Microsoftu, můžete určit, ze kterého úložiště chcete balíček nainstalovat. Následující příklad ukazuje, jak nainstalovat balíček z production kanálu, pokud máte insiders-slow na tomto zařízení nakonfigurovaný také kanál úložiště. K této situaci může dojít, pokud na svém zařízení používáte více produktů Microsoftu.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Stažení balíčku pro onboarding

Stáhněte si balíček onboardingu z portálu Microsoft Defender.

Upozornění

Opětovné zabalení instalačního balíčku Defenderu for Endpoint není podporovaným scénářem. To může negativně ovlivnit integritu produktu a vést k nepříznivým výsledkům, mimo jiné včetně aktivace upozornění na manipulaci a selhání aktualizace.

Důležité

Pokud tento krok vynecháte, zobrazí se u každého spuštěného příkazu zpráva upozornění, že produkt není licencován. mdatp health Příkaz také vrátí hodnotu false.

1. Na portálu Microsoft Defender přejděte na Nastavení>Koncové body>Onboardingsprávy> zařízení.

2. V první rozevírací nabídce vyberte jako operační systém Linux Server . V druhé rozevírací nabídce vyberte jako metodu nasazení Místní skript .

3. Vyberte Stáhnout onboardingový balíček. Uložte soubor jako WindowsDefenderATPOnboardingPackage.zip.

   

4. Na příkazovém řádku ověřte, že máte soubor, a extrahujte obsah archivu:

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
   

Konfigurace klienta

1. Zkopírujte MicrosoftDefenderATPOnboardingLinuxServer.py do cílového zařízení.

   Poznámka

   Zpočátku není klientské zařízení přidružené k organizaci a atribut orgId je prázdný.

   mdatp health --field org_id
   

2. Spustit MicrosoftDefenderATPOnboardingLinuxServer.py.

   Poznámka

   Chcete-li spustit tento příkaz, musíte mít python nebo python3 nainstalovat v zařízení v závislosti na distribuci a verzi. V případě potřeby si projděte podrobné pokyny k instalaci Pythonu v Linuxu.

   Pokud chcete připojit zařízení, které bylo dříve offboardingové, musíte odebrat soubor mdatp_offboard.json umístěný na adrese /etc/opt/microsoft/mdatp.

   Pokud používáte RHEL 8.x nebo Ubuntu 20.04 nebo novější, musíte použít python3.

   sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
   

   Pro ostatní distribuce a verze musíte použít python.

   sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
   

3. Ověřte, že je zařízení teď přidružené k vaší organizaci a že nahlásí platný identifikátor organizace:

   mdatp health --field org_id
   

4. Spuštěním následujícího příkazu zkontrolujte stav produktu. Vrácená hodnota true označuje, že produkt funguje podle očekávání:

   mdatp health --field healthy
   

   Důležité

   Když se produkt poprvé spustí, stáhne si nejnovější antimalwarové definice. Tento proces může v závislosti na připojení k síti trvat až několik minut. Během této doby vrátí výše uvedený příkaz hodnotu false. Stav aktualizace definice můžete zkontrolovat pomocí následujícího příkazu:

   mdatp health --field definitions_status
   

   Po dokončení počáteční instalace může být také potřeba nakonfigurovat proxy server. Informace o zjišťování statického proxy serveru najdete v tématu Konfigurace Defenderu for Endpoint v Linuxu: Konfigurace po instalaci.

5. Spusťte test detekce antivirového softwaru, abyste ověřili, že je zařízení správně nasazené a hlásí se službě. Na nově nasazeném zařízení proveďte následující kroky:

   1. Ujistěte se, že je povolená ochrana v reálném čase (označená výsledkem true spuštění následujícího příkazu):

      mdatp health --field real_time_protection_enabled
      

      Pokud není povolená, spusťte následující příkaz:

      mdatp config real-time-protection --value enabled
      

   2. Otevřete okno terminálu a spuštěním následujícího příkazu spusťte test detekce:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. Další testy detekce u souborů ZIP můžete spustit pomocí některého z následujících příkazů:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

      Soubory by měl defender for Endpoint umístit do karantény v Linuxu.

   4. Pomocí následujícího příkazu vypíšete seznam všech zjištěných hrozeb:

      mdatp threat list
      

6. Spusťte test detekce EDR a simulujte detekci, abyste ověřili, že je zařízení správně nasazené a že se hlásí službě. Na nově nasazeném zařízení proveďte následující kroky:

   1. Ověřte, že se nasazený server s Linuxem zobrazí v Microsoft Defender XDR. Pokud se jedná o první onboarding počítače, může trvat až 20 minut, než se počítač objeví.

   2. Stáhněte a extrahujte soubor skriptu na nasazený server s Linuxem a spusťte následující příkaz: ./mde_linux_edr_diy.sh

      Po několika minutách by se měla v Microsoft Defender XDR zvýšit detekce.

   3. Podívejte se na podrobnosti o upozornění, časovou osu počítače a proveďte typické kroky šetření.

Microsoft Defender for Endpoint závislosti externích balíčků balíčků

Pro balíček existují následující závislosti externích mdatp balíčků:

• Balíček mdatp RPM vyžaduje glibc >= 2.17, policycoreutils, , , selinux-policy-targetedmde-netfilter
• Pro DEBIAN balíček mdatp vyžaduje libc6 >= 2.23, , uuid-runtime, mde-netfilter
• Pro Mariner balíček mdatp vyžaduje attr, , diffutilslibacl, , libattr, libselinux-utils, , selinux-policy, , policycoreutilsmde-netfilter

Poznámka

Od verze 101.24082.0004už Defender for Endpoint v Linuxu Auditd nepodporuje poskytovatele událostí. Zcela přecházíme na efektivnější technologii eBPF. Pokud se eBPF na vašich počítačích nepodporuje nebo pokud existují konkrétní požadavky, které je potřeba zachovat na auditovaném serveru, a vaše počítače používají Defender for Endpoint v Linuxu nebo nižší verzi 101.24072.0001 , existují pro mdatp následující další závislosti na auditovaném balíčku:

• Balíček mdatp RPM vyžaduje audit, . semanage
• Balíček mdatp pro DEBIAN vyžaduje auditd.
• Pro Mariner vyžaduje auditbalíček mdatp .

Balíček mde-netfilter má také následující závislosti balíčku:

• Pro DEBIAN balíček mde-netfilter vyžaduje libnetfilter-queue1, libglib2.0-0
• Pro RPM mde-netfilter balíček vyžaduje libmnl, , libnfnetlink, libnetfilter_queue, glib2
• Pro Mariner balíček mde-netfilter vyžaduje libnfnetlink, libnetfilter_queue

Pokud se instalace Microsoft Defender for Endpoint nezdaří kvůli chybám chybějících závislostí, můžete požadované závislosti stáhnout ručně.

Řešení potíží s instalací

• Podrobnosti o tom, jak najít protokol, který se vygeneruje, když dojde k chybě instalace, najdete v tématu Problémy s instalací protokolu.

• Informace o běžných problémech s instalací najdete v tématu Problémy s instalací.

• Pokud je stav zařízení nepravdivý, projděte si téma Zkoumání problémů se stavem agenta.

• Informace o problémech s výkonem produktu najdete v tématu Řešení potíží s výkonem Microsoft Defender for Endpoint v Linuxu.

• Informace o problémech s proxy serverem a připojením najdete v tématu Řešení potíží s připojením ke cloudu pro Microsoft Defender for Endpoint v Linuxu.

• Pokud chcete získat podporu od Microsoftu, otevřete lístek podpory a zadejte soubory protokolu vytvořené pomocí nástroje Microsoft Defender for Endpoint client Analyzer.

Jak přepínat mezi kanály

Pokud chcete například změnit kanál z Insiders-Fast na produkční, postupujte takto:

1. Insiders-Fast channel Odinstalujte verzi Defenderu for Endpoint v Linuxu.

   sudo yum remove mdatp
   

2. Zakázání defenderu for Endpoint v kanálu Insiders-Fast Linuxu

   sudo yum-config-manager --disable packages-microsoft-com-fast-prod
   

3. Přeinstalujte Microsoft Defender for Endpoint v Linuxu Production channelpomocí a připojte zařízení na portálu Microsoft Defender.

Konfigurace zásad pro Microsoft Defender for Endpoint v Linuxu

Na koncových bodech můžete nakonfigurovat nastavení antivirového softwaru a EDR. Další informace najdete v následujících článcích:

• Nastavení předvoleb pro Microsoft Defender for Endpoint v Linuxu popisuje dostupná nastavení.
• Správa nastavení zabezpečení popisuje, jak nakonfigurovat nastavení na portálu Microsoft Defender.

Odinstalace Microsoft Defender for Endpoint v Linuxu

Pokud chcete provést ruční odinstalaci, spusťte následující příkaz pro distribuci Linuxu.

• sudo yum remove mdatp pro RHEL a varianty (CentOS a Oracle Linux).
• sudo zypper remove mdatp pro SLES a varianty.
• sudo apt-get purge mdatp pro systémy Ubuntu a Debian.
• sudo dnf remove mdatp pro Mariner

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.