Udrul Microsoft Defender for Endpoint på Linux manuelt
Gælder for:
- Microsoft Defender for Endpoint-server
- Microsoft Defender til servere
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Tip
Leder du efter avanceret vejledning i udrulning af Microsoft Defender for Endpoint på Linux? Se Avanceret installationsvejledning på Defender for Endpoint på Linux.
I denne artikel beskrives det, hvordan du installerer Microsoft Defender for Endpoint på Linux manuelt. En vellykket installation kræver fuldførelse af alle følgende opgaver:
- Forudsætninger og systemkrav
- Konfigurer Linux-softwarelageret
- Programinstallation
- Download onboardingpakken
- Klientkonfiguration
Forudsætninger og systemkrav
Før du begynder, skal du se Microsoft Defender for Endpoint på Linux for at få en beskrivelse af forudsætninger og systemkrav til den aktuelle softwareversion.
Advarsel
Opgradering af operativsystemet til en ny overordnet version, efter at produktinstallationen kræver, at produktet geninstalleres. Du skal fjerne det eksisterende Defender for Endpoint på Linux, opgradere operativsystemet og derefter konfigurere Defender for Endpoint igen på Linux ved at følge nedenstående trin.
Konfigurer Linux-softwarelageret
Defender for Endpoint på Linux kan installeres fra en af følgende kanaler (kaldet [channel]): insiders-fast, insiders-slow eller prod
. Hver af disse kanaler svarer til et Linux-softwarelager. I vejledningen i denne artikel beskrives, hvordan du konfigurerer din enhed til at bruge et af disse lagre.
Valget af kanalen bestemmer typen og hyppigheden af opdateringer, der tilbydes til din enhed. Enheder i insiders-fast er de første, der modtager opdateringer og nye funktioner, efterfulgt senere af insiders-langsomme og til sidst af prod
.
For at få forhåndsvist nye funktioner og give tidlig feedback anbefales det, at du konfigurerer nogle enheder i din virksomhed til at bruge enten insiders-fast eller insiders-slow.
Advarsel
Hvis du skifter kanal efter den første installation, skal produktet geninstalleres. Hvis du vil skifte produktkanal: Fjern den eksisterende pakke, konfigurer enheden til at bruge den nye kanal, og følg trinnene i dette dokument for at installere pakken fra den nye placering.
RHEL og varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky og Alma)
Installér
yum-utils
, hvis den ikke er installeret endnu:sudo yum install yum-utils
Find den korrekte pakke til din distribution og version. Brug følgende tabel til at hjælpe dig med at finde pakken:
Distro & version Pakke Alma 8,4 og nyere https://packages.microsoft.com/config/alma/8/prod.repo Alma 9.2 og nyere https://packages.microsoft.com/config/alma/9/prod.repo RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo Rocky 8,7 og højere https://packages.microsoft.com/config/rocky/8/prod.repo Rocky 9,2 og højere https://packages.microsoft.com/config/rocky/9/prod.repo Bemærk!
For din distribution og version skal du identificere den nærmeste post for den (efter overordnet og derefter underordnet) under
https://packages.microsoft.com/config/rhel/
.I følgende kommandoer skal du erstatte [version] og [channel] med de oplysninger, du har identificeret:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
Tip
Brug kommandoen hostnamectl til at identificere systemrelaterede oplysninger, herunder version [version].
Hvis du f.eks. kører CentOS 7 og vil installere Defender for Endpoint på Linux fra
prod
kanalen:sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
Eller hvis du vil udforske nye funktioner på udvalgte enheder, kan det være en god idé at udrulle Microsoft Defender for Endpoint på Linux til en kanal, der er hurtig for insidere:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
Installér den offentlige nøgle til Microsoft GPG:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
SLES og varianter
Bemærk!
For din distribution og version skal du identificere den nærmeste post for den (efter overordnet og derefter underordnet) under https://packages.microsoft.com/config/sles/
.
I følgende kommandoer skal du erstatte [distro] og [version] med de oplysninger, du har identificeret:
sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
Tip
Brug kommandoen SPident til at identificere systemrelaterede oplysninger, herunder version [version].
Hvis du f.eks. kører SLES 12 og ønsker at udrulle Microsoft Defender for Endpoint på Linux fra
prod
kanalen:sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
Installér den offentlige nøgle til Microsoft GPG:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
Ubuntu- og Debian-systemer
Installér
curl
, hvis den ikke er installeret endnu:sudo apt-get install curl
Installér
libplist-utils
, hvis den ikke er installeret endnu:sudo apt-get install libplist-utils
Bemærk!
For din distribution og version skal du identificere den nærmeste post for den (efter overordnet og derefter underordnet) under
https://packages.microsoft.com/config/[distro]/
.I følgende kommando skal du erstatte [distro] og [version] med de oplysninger, du har identificeret:
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
Tip
Brug kommandoen hostnamectl til at identificere systemrelaterede oplysninger, herunder version [version].
Hvis du f.eks. kører Ubuntu 18.04 og ønsker at installere Microsoft Defender for Endpoint på Linux fra
prod
kanalen:curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
Installér lagerkonfigurationen:
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
Hvis du f.eks. vælger
prod
kanal:sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
Installér pakken, hvis den
gpg
ikke allerede er installeret:sudo apt-get install gpg
Hvis
gpg
ikke er tilgængelig, skal du installeregnupg
.sudo apt-get install gnupg
Installér den offentlige nøgle til Microsoft GPG:
Kør følgende kommando for Debian 11 og tidligere.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
Kør følgende kommando for Debian 12 og nyere.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
Installér HTTPS-driveren, hvis den ikke allerede er installeret:
sudo apt-get install apt-transport-https
Opdater metadataene for lageret:
sudo apt-get update
Mariner
Installér
dnf-plugins-core
, hvis den ikke er installeret endnu:sudo dnf install dnf-plugins-core
Konfigurer og aktivér de påkrævede lagre.
Bemærk!
På Mariner er Insider Fast Channel ikke tilgængelig.
Hvis du vil installere Defender for Endpoint på Linux fra
prod
kanalen. Brug følgende kommandoersudo dnf install mariner-repos-extras sudo dnf config-manager --enable mariner-official-extras
Eller hvis du vil udforske nye funktioner på udvalgte enheder, kan det være en god idé at udrulle Microsoft Defender for Endpoint på Linux til en kanal, der er langsom for insidere. Brug følgende kommandoer:
sudo dnf install mariner-repos-extras-preview sudo dnf config-manager --enable mariner-official-extras-preview
Programinstallation
Brug kommandoerne i følgende afsnit til at installere Defender for Endpoint på din Linux-distribution.
RHEL og varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky og Alma)
sudo yum install mdatp
Bemærk!
Hvis du har flere Microsoft-lagre konfigureret på din enhed, kan du være specifik om, hvilket lager pakken skal installeres fra. I følgende eksempel kan du se, hvordan du installerer pakken fra production
kanalen, hvis lagerkanalen insiders-fast
også er konfigureret på denne enhed. Denne situation kan opstå, hvis du bruger flere Microsoft-produkter på din enhed. Afhængigt af distributionen og versionen af din server kan lagerets alias være anderledes end det i følgende eksempel.
# list all repositories
yum repolist
...
packages-microsoft-com-prod packages-microsoft-com-prod 316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins 2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
SLES og varianter
sudo zypper install mdatp
Bemærk!
Hvis du har flere Microsoft-lagre konfigureret på din enhed, kan du være specifik om, hvilket lager pakken skal installeres fra. I følgende eksempel kan du se, hvordan du installerer pakken fra production
kanalen, hvis lagerkanalen insiders-fast
også er konfigureret på denne enhed. Denne situation kan opstå, hvis du bruger flere Microsoft-produkter på din enhed.
zypper repos
...
# | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp
Ubuntu- og Debian-systemer
sudo apt-get install mdatp
Bemærk!
Hvis du har flere Microsoft-lagre konfigureret på din enhed, kan du være specifik om, hvilket lager pakken skal installeres fra. I følgende eksempel kan du se, hvordan du installerer pakken fra production
kanalen, hvis lagerkanalen insiders-fast
også er konfigureret på denne enhed. Denne situation kan opstå, hvis du bruger flere Microsoft-produkter på din enhed.
cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp
Bemærk!
Genstart er IKKE påkrævet efter installation eller opdatering af Microsoft Defender for Endpoint på Linux, undtagen når du kører overvåget i uforanderlig tilstand.
Mariner
sudo dnf install mdatp
Bemærk!
Hvis du har flere Microsoft-lagre konfigureret på din enhed, kan du være specifik om, hvilket lager pakken skal installeres fra. I følgende eksempel kan du se, hvordan du installerer pakken fra production
kanalen, hvis lagerkanalen insiders-slow
også er konfigureret på denne enhed. Denne situation kan opstå, hvis du bruger flere Microsoft-produkter på din enhed.
sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras
Download onboardingpakken
Download onboardingpakken fra Microsoft Defender portalen.
Advarsel
Ompakning af Defender for Endpoint-installationspakken er ikke et understøttet scenarie. Hvis du gør det, kan det påvirke produktets integritet negativt og føre til negative resultater, herunder, men ikke begrænset til, at udløse manipulation af beskeder og opdateringer, der ikke kan anvendes.
Vigtigt!
Hvis du går glip af dette trin, vises der en advarselsmeddelelse om, at produktet er uden licens.
mdatp health
Kommandoen returnerer også værdien .false
I Microsoft Defender-portalen skal du gå til Indstillinger>Slutpunkter>Onboarding af enhedshåndtering>.
Vælg Linux Server som operativsystem i den første rullemenu. I den anden rullemenu skal du vælge Lokalt script som installationsmetode.
Vælg Download onboarding-pakke. Gem filen som
WindowsDefenderATPOnboardingPackage.zip
.Kontrollér, at du har filen, i en kommandoprompt, og udtræk indholdet af arkivet:
ls -l
total 8 -rw-r--r-- 1 test staff 5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
unzip WindowsDefenderATPOnboardingPackage.zip
Archive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
Klientkonfiguration
Kopiér
MicrosoftDefenderATPOnboardingLinuxServer.py
til destinationsenheden.Bemærk!
Indledningsvist er klientenheden ikke knyttet til en organisation, og attributten orgId er tom.
mdatp health --field org_id
Kør et af nedenstående scenarier.
Bemærk!
Hvis du vil køre denne kommando, skal du have
python
ellerpython3
installeret på enheden, afhængigt af distributionen og versionen. Hvis det er nødvendigt, skal du se Trinvise instruktioner til installation af Python på Linux.Hvis du vil onboarde en enhed, der tidligere var offboard, skal du fjerne den mdatp_offboard.json fil, der er placeret på /etc/opt/microsoft/mdatp.
Hvis du kører RHEL 8.x eller Ubuntu 20.04 eller nyere, skal du bruge
python3
. Kør følgende kommando:sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
I resten af distributioner og versioner skal du bruge
python
. Kør følgende kommando:sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
Bekræft, at enheden nu er knyttet til din organisation, og rapporterer et gyldigt organisations-id:
mdatp health --field org_id
Kontrollér status for produktet ved at køre følgende kommando. En returværdi for
true
angiver, at produktet fungerer som forventet:mdatp health --field healthy
Vigtigt!
Når produktet starter for første gang, downloades de nyeste definitioner af antimalware. Denne proces kan tage op til et par minutter afhængigt af netværksforbindelsen. I denne periode returnerer den tidligere nævnte kommando værdien .
false
Du kan kontrollere status for definitionsopdateringen ved hjælp af følgende kommando:mdatp health --field definitions_status
Du skal muligvis også konfigurere en proxy, når du har fuldført den første installation. Se Konfigurer Defender for Endpoint på Linux for at få oplysninger om registrering af statisk proxy: Konfiguration efter installation.
Kør en test til registrering af antivirus for at bekræfte, at enheden er onboardet korrekt, og rapportering til tjenesten. Udfør følgende trin på den nyligt onboardede enhed:
Sørg for, at beskyttelse i realtid er aktiveret (angivet af et resultat af
true
at køre følgende kommando):mdatp health --field real_time_protection_enabled
Hvis den ikke er aktiveret, skal du udføre følgende kommando:
mdatp config real-time-protection --value enabled
Hvis du vil køre en registreringstest, skal du åbne vinduet Terminal. og kør derefter følgende kommando:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
Du kan køre flere registreringstest på zip-filer ved hjælp af en af følgende kommandoer:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
Filerne skal sættes i karantæne af Defender for Endpoint på Linux.
Brug følgende kommando til at få vist alle registrerede trusler:
mdatp threat list
Kør en EDR-registreringstest, og simuler en registrering for at bekræfte, at enheden er onboardet korrekt, og rapportere til tjenesten. Udfør følgende trin på den nyligt onboardede enhed:
Bekræft, at den onboardede Linux-server vises i Microsoft Defender XDR. Hvis dette er den første onboarding af maskinen, kan det tage op til 20 minutter, indtil det vises.
Download og udpak scriptfilen til en onboardet Linux-server, og kør derefter følgende kommando:
./mde_linux_edr_diy.sh
Efter et par minutter skal en registrering opløftes i Microsoft Defender XDR.
Se beskedoplysningerne, computerens tidslinje, og udfør dine typiske undersøgelsestrin.
Microsoft Defender for Endpoint pakkeafhængigheder for eksterne pakker
Der findes følgende eksterne pakkeafhængigheder for mdatp
pakken:
- Mdatp RPM-pakken kræver
glibc >= 2.17
,policycoreutils
,selinux-policy-targeted
,mde-netfilter
- For DEBIAN kræver
libc6 >= 2.23
mdatp-pakken , ,uuid-runtime
mde-netfilter
- For Mariner kræver
attr
mdatp-pakken ,diffutils
,libacl
,libattr
,libselinux-utils
,selinux-policy
,policycoreutils
mde-netfilter
Bemærk!
Fra og med version 101.24082.0004
understøtter Defender for Endpoint på Linux ikke længere hændelsesudbyderen Auditd
. Vi er ved at gå helt over til den mere effektive eBPF-teknologi.
Hvis eBPF ikke understøttes på dine maskiner, eller hvis der er specifikke krav om at forblive på Auditd, og dine maskiner bruger Defender for Endpoint på Linux-version 101.24072.0001
eller lavere, findes følgende andre afhængigheder af den overvågede pakke for mdatp:
- Mdatp RPM-pakken kræver
audit
,semanage
. - For DEBIAN kræver
auditd
mdatp-pakken . - For Mariner kræver
audit
mdatp-pakken .
Pakken mde-netfilter
har også følgende pakkeafhængigheder:
- For DEBIAN
mde-netfilter
kræverlibnetfilter-queue1
pakken ,libglib2.0-0
- For RPM
mde-netfilter
kræverlibmnl
pakken ,libnfnetlink
,libnetfilter_queue
,glib2
- For Mariner
mde-netfilter
kræverlibnfnetlink
pakken ,libnetfilter_queue
Hvis Microsoft Defender for Endpoint installationen mislykkes på grund af manglende afhængighedsfejl, kan du manuelt downloade de påkrævede afhængigheder.
Fejlfinding af installationsproblemer
Du kan finde flere oplysninger om, hvordan du finder den logfil, der genereres, når der opstår en installationsfejl, under Problemer med loginstallation.
Du kan få oplysninger om almindelige installationsproblemer under Installationsproblemer.
Hvis enhedens tilstand er falsk, skal du se Undersøg agenttilstandsproblemer.
Hvis du har problemer med produktets ydeevne, skal du se Fejlfinding af problemer med ydeevnen for Microsoft Defender for Endpoint på Linux.
Hvis du har problemer med proxy og forbindelse, skal du se Fejlfinding af problemer med cloudforbindelsen for Microsoft Defender for Endpoint på Linux.
Hvis du vil have support fra Microsoft, skal du åbne en supportanmodning og angive de logfiler, der er oprettet ved hjælp af værktøjet Microsoft Defender for Endpoint klientanalyse.
Sådan skifter du mellem kanaler
Hvis du f.eks. vil ændre kanal fra Insiders-Fast til Produktion, skal du gøre følgende:
Fjern versionen
Insiders-Fast channel
af Defender for Endpoint på Linux.sudo yum remove mdatp
Deaktiver Defender for Endpoint på Linux-Insiders-Fast-kanalen
sudo yum-config-manager --disable packages-microsoft-com-fast-prod
Geninstaller Microsoft Defender for Endpoint på Linux ved hjælp af
Production channel
, og onboarder enheden på Microsoft Defender-portalen.
Sådan konfigurerer du politikker for Microsoft Defender for Endpoint på Linux
Du kan konfigurere antivirus- og EDR-indstillinger på dine slutpunkter. Du kan finde flere oplysninger i følgende artikler:
- Angiv indstillinger for Microsoft Defender for Endpoint på Linux beskriver de tilgængelige indstillinger
- Administration af sikkerhedsindstillinger beskriver, hvordan du konfigurerer indstillinger på Microsoft Defender-portalen.
Fjern Microsoft Defender for Endpoint på Linux
Udfør følgende kommando for din Linux-distribution for at fjerne den manuelt.
-
sudo yum remove mdatp
for RHEL og varianter(CentOS og Oracle Linux). -
sudo zypper remove mdatp
for SLES og varianter. -
sudo apt-get purge mdatp
til Ubuntu- og Debian-systemer. -
sudo dnf remove mdatp
for Mariner
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.