Udrul Microsoft Defender for Endpoint på Linux manuelt

Gælder for:

• Microsoft Defender for Endpoint-server
• Microsoft Defender til servere

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Tip

Leder du efter avanceret vejledning i udrulning af Microsoft Defender for Endpoint på Linux? Se Avanceret installationsvejledning på Defender for Endpoint på Linux.

I denne artikel beskrives det, hvordan du installerer Microsoft Defender for Endpoint på Linux manuelt. En vellykket installation kræver fuldførelse af alle følgende opgaver:

• Forudsætninger og systemkrav
• Konfigurer Linux-softwarelageret
  • RHEL og varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky og Alma)
  • SLES og varianter
  • Ubuntu- og Debian-systemer
  • Mariner
• Programinstallation
  • RHEL og varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky og Alma)
  • SLES og varianter
  • Ubuntu- og Debian-systemer
  • Mariner
• Download onboardingpakken
• Klientkonfiguration

Forudsætninger og systemkrav

Før du begynder, skal du se Microsoft Defender for Endpoint på Linux for at få en beskrivelse af forudsætninger og systemkrav til den aktuelle softwareversion.

Advarsel

Opgradering af operativsystemet til en ny overordnet version, efter at produktinstallationen kræver, at produktet geninstalleres. Du skal fjerne det eksisterende Defender for Endpoint på Linux, opgradere operativsystemet og derefter konfigurere Defender for Endpoint igen på Linux ved at følge nedenstående trin.

Konfigurer Linux-softwarelageret

Defender for Endpoint på Linux kan installeres fra en af følgende kanaler (kaldet [channel]): insiders-fast, insiders-slow eller prod. Hver af disse kanaler svarer til et Linux-softwarelager. I vejledningen i denne artikel beskrives, hvordan du konfigurerer din enhed til at bruge et af disse lagre.

Valget af kanalen bestemmer typen og hyppigheden af opdateringer, der tilbydes til din enhed. Enheder i insiders-fast er de første, der modtager opdateringer og nye funktioner, efterfulgt senere af insiders-langsomme og til sidst af prod.

For at få forhåndsvist nye funktioner og give tidlig feedback anbefales det, at du konfigurerer nogle enheder i din virksomhed til at bruge enten insiders-fast eller insiders-slow.

Advarsel

Hvis du skifter kanal efter den første installation, skal produktet geninstalleres. Hvis du vil skifte produktkanal: Fjern den eksisterende pakke, konfigurer enheden til at bruge den nye kanal, og følg trinnene i dette dokument for at installere pakken fra den nye placering.

RHEL og varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky og Alma)

1. Installér yum-utils , hvis den ikke er installeret endnu:

   sudo yum install yum-utils
   

2. Find den korrekte pakke til din distribution og version. Brug følgende tabel til at hjælpe dig med at finde pakken:

   Distro & version	Pakke
   Alma 8,4 og nyere	https://packages.microsoft.com/config/alma/8/prod.repo
   Alma 9.2 og nyere	https://packages.microsoft.com/config/alma/9/prod.repo
   RHEL/Centos/Oracle 9.0-9.8	https://packages.microsoft.com/config/rhel/9/prod.repo
   RHEL/Centos/Oracle 8.0-8.10	https://packages.microsoft.com/config/rhel/8/prod.repo
   RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2	https://packages.microsoft.com/config/rhel/7.2/prod.repo
   Amazon Linux 2023	https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
   Fedora 33	https://packages.microsoft.com/config/fedora/33/prod.repo
   Fedora 34	https://packages.microsoft.com/config/fedora/34/prod.repo
   Rocky 8,7 og højere	https://packages.microsoft.com/config/rocky/8/prod.repo
   Rocky 9,2 og højere	https://packages.microsoft.com/config/rocky/9/prod.repo

   Bemærk!

   For din distribution og version skal du identificere den nærmeste post for den (efter overordnet og derefter underordnet) under https://packages.microsoft.com/config/rhel/.

3. I følgende kommandoer skal du erstatte [version] og [channel] med de oplysninger, du har identificeret:

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
   

   Tip

   Brug kommandoen hostnamectl til at identificere systemrelaterede oplysninger, herunder version [version].

   Hvis du f.eks. kører CentOS 7 og vil installere Defender for Endpoint på Linux fra prod kanalen:

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
   

   Eller hvis du vil udforske nye funktioner på udvalgte enheder, kan det være en god idé at udrulle Microsoft Defender for Endpoint på Linux til en kanal, der er hurtig for insidere:

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
   

4. Installér den offentlige nøgle til Microsoft GPG:

   sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
   

SLES og varianter

Bemærk!

For din distribution og version skal du identificere den nærmeste post for den (efter overordnet og derefter underordnet) under https://packages.microsoft.com/config/sles/.

1. I følgende kommandoer skal du erstatte [distro] og [version] med de oplysninger, du har identificeret:

   sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
   

   Tip

   Brug kommandoen SPident til at identificere systemrelaterede oplysninger, herunder version [version].

   Hvis du f.eks. kører SLES 12 og ønsker at udrulle Microsoft Defender for Endpoint på Linux fra prod kanalen:

   sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
   

2. Installér den offentlige nøgle til Microsoft GPG:

   sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
   

Ubuntu- og Debian-systemer

1. Installér curl , hvis den ikke er installeret endnu:

   sudo apt-get install curl
   

2. Installér libplist-utils , hvis den ikke er installeret endnu:

   sudo apt-get install libplist-utils
   

   Bemærk!

   For din distribution og version skal du identificere den nærmeste post for den (efter overordnet og derefter underordnet) under https://packages.microsoft.com/config/[distro]/.

3. I følgende kommando skal du erstatte [distro] og [version] med de oplysninger, du har identificeret:

   curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
   

   Tip

   Brug kommandoen hostnamectl til at identificere systemrelaterede oplysninger, herunder version [version].

   Hvis du f.eks. kører Ubuntu 18.04 og ønsker at installere Microsoft Defender for Endpoint på Linux fra prod kanalen:

   curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
   

4. Installér lagerkonfigurationen:

   sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
   

   Hvis du f.eks. vælger prod kanal:

   sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
   

5. Installér pakken, hvis den gpg ikke allerede er installeret:

   sudo apt-get install gpg
   

   Hvis gpg ikke er tilgængelig, skal du installere gnupg.

   sudo apt-get install gnupg
   

6. Installér den offentlige nøgle til Microsoft GPG:

   • Kør følgende kommando for Debian 11 og tidligere.

     curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
     

   • Kør følgende kommando for Debian 12 og nyere.

     curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
     

7. Installér HTTPS-driveren, hvis den ikke allerede er installeret:

   sudo apt-get install apt-transport-https
   

8. Opdater metadataene for lageret:

   sudo apt-get update
   

Mariner

1. Installér dnf-plugins-core , hvis den ikke er installeret endnu:

   sudo dnf install dnf-plugins-core
   

2. Konfigurer og aktivér de påkrævede lagre.

   Bemærk!

   På Mariner er Insider Fast Channel ikke tilgængelig.

   Hvis du vil installere Defender for Endpoint på Linux fra prod kanalen. Brug følgende kommandoer

   sudo dnf install mariner-repos-extras
   sudo dnf config-manager --enable mariner-official-extras
   

   Eller hvis du vil udforske nye funktioner på udvalgte enheder, kan det være en god idé at udrulle Microsoft Defender for Endpoint på Linux til en kanal, der er langsom for insidere. Brug følgende kommandoer:

   sudo dnf install mariner-repos-extras-preview
   sudo dnf config-manager --enable mariner-official-extras-preview
   

Programinstallation

Brug kommandoerne i følgende afsnit til at installere Defender for Endpoint på din Linux-distribution.

RHEL og varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky og Alma)

sudo yum install mdatp

Bemærk!

Hvis du har flere Microsoft-lagre konfigureret på din enhed, kan du være specifik om, hvilket lager pakken skal installeres fra. I følgende eksempel kan du se, hvordan du installerer pakken fra production kanalen, hvis lagerkanalen insiders-fast også er konfigureret på denne enhed. Denne situation kan opstå, hvis du bruger flere Microsoft-produkter på din enhed. Afhængigt af distributionen og versionen af din server kan lagerets alias være anderledes end det i følgende eksempel.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES og varianter

sudo zypper install mdatp

Bemærk!

Hvis du har flere Microsoft-lagre konfigureret på din enhed, kan du være specifik om, hvilket lager pakken skal installeres fra. I følgende eksempel kan du se, hvordan du installerer pakken fra production kanalen, hvis lagerkanalen insiders-fast også er konfigureret på denne enhed. Denne situation kan opstå, hvis du bruger flere Microsoft-produkter på din enhed.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu- og Debian-systemer

sudo apt-get install mdatp

Bemærk!

Hvis du har flere Microsoft-lagre konfigureret på din enhed, kan du være specifik om, hvilket lager pakken skal installeres fra. I følgende eksempel kan du se, hvordan du installerer pakken fra production kanalen, hvis lagerkanalen insiders-fast også er konfigureret på denne enhed. Denne situation kan opstå, hvis du bruger flere Microsoft-produkter på din enhed.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Bemærk!

Genstart er IKKE påkrævet efter installation eller opdatering af Microsoft Defender for Endpoint på Linux, undtagen når du kører overvåget i uforanderlig tilstand.

Mariner

sudo dnf install mdatp

Bemærk!

Hvis du har flere Microsoft-lagre konfigureret på din enhed, kan du være specifik om, hvilket lager pakken skal installeres fra. I følgende eksempel kan du se, hvordan du installerer pakken fra production kanalen, hvis lagerkanalen insiders-slow også er konfigureret på denne enhed. Denne situation kan opstå, hvis du bruger flere Microsoft-produkter på din enhed.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Download onboardingpakken

Download onboardingpakken fra Microsoft Defender portalen.

Advarsel

Ompakning af Defender for Endpoint-installationspakken er ikke et understøttet scenarie. Hvis du gør det, kan det påvirke produktets integritet negativt og føre til negative resultater, herunder, men ikke begrænset til, at udløse manipulation af beskeder og opdateringer, der ikke kan anvendes.

Vigtigt!

Hvis du går glip af dette trin, vises der en advarselsmeddelelse om, at produktet er uden licens. mdatp health Kommandoen returnerer også værdien .false

1. I Microsoft Defender-portalen skal du gå til Indstillinger>Slutpunkter>Onboarding af enhedshåndtering>.

2. Vælg Linux Server som operativsystem i den første rullemenu. I den anden rullemenu skal du vælge Lokalt script som installationsmetode.

3. Vælg Download onboarding-pakke. Gem filen som WindowsDefenderATPOnboardingPackage.zip.

   

4. Kontrollér, at du har filen, i en kommandoprompt, og udtræk indholdet af arkivet:

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
   

Klientkonfiguration

1. Kopiér MicrosoftDefenderATPOnboardingLinuxServer.py til destinationsenheden.

   Bemærk!

   Indledningsvist er klientenheden ikke knyttet til en organisation, og attributten orgId er tom.

   mdatp health --field org_id
   

2. Kør et af nedenstående scenarier.

   Bemærk!

   Hvis du vil køre denne kommando, skal du have python eller python3 installeret på enheden, afhængigt af distributionen og versionen. Hvis det er nødvendigt, skal du se Trinvise instruktioner til installation af Python på Linux.

   Hvis du vil onboarde en enhed, der tidligere var offboard, skal du fjerne den mdatp_offboard.json fil, der er placeret på /etc/opt/microsoft/mdatp.

   Hvis du kører RHEL 8.x eller Ubuntu 20.04 eller nyere, skal du bruge python3. Kør følgende kommando:

   sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
   

   I resten af distributioner og versioner skal du bruge python. Kør følgende kommando:

   sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
   

3. Bekræft, at enheden nu er knyttet til din organisation, og rapporterer et gyldigt organisations-id:

   mdatp health --field org_id
   

4. Kontrollér status for produktet ved at køre følgende kommando. En returværdi for true angiver, at produktet fungerer som forventet:

   mdatp health --field healthy
   

   Vigtigt!

   Når produktet starter for første gang, downloades de nyeste definitioner af antimalware. Denne proces kan tage op til et par minutter afhængigt af netværksforbindelsen. I denne periode returnerer den tidligere nævnte kommando værdien .false Du kan kontrollere status for definitionsopdateringen ved hjælp af følgende kommando:

   mdatp health --field definitions_status
   

   Du skal muligvis også konfigurere en proxy, når du har fuldført den første installation. Se Konfigurer Defender for Endpoint på Linux for at få oplysninger om registrering af statisk proxy: Konfiguration efter installation.

5. Kør en test til registrering af antivirus for at bekræfte, at enheden er onboardet korrekt, og rapportering til tjenesten. Udfør følgende trin på den nyligt onboardede enhed:

   1. Sørg for, at beskyttelse i realtid er aktiveret (angivet af et resultat af true at køre følgende kommando):

      mdatp health --field real_time_protection_enabled
      

      Hvis den ikke er aktiveret, skal du udføre følgende kommando:

      mdatp config real-time-protection --value enabled
      

   2. Hvis du vil køre en registreringstest, skal du åbne vinduet Terminal. og kør derefter følgende kommando:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. Du kan køre flere registreringstest på zip-filer ved hjælp af en af følgende kommandoer:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

      Filerne skal sættes i karantæne af Defender for Endpoint på Linux.

   4. Brug følgende kommando til at få vist alle registrerede trusler:

      mdatp threat list
      

6. Kør en EDR-registreringstest, og simuler en registrering for at bekræfte, at enheden er onboardet korrekt, og rapportere til tjenesten. Udfør følgende trin på den nyligt onboardede enhed:

   1. Bekræft, at den onboardede Linux-server vises i Microsoft Defender XDR. Hvis dette er den første onboarding af maskinen, kan det tage op til 20 minutter, indtil det vises.

   2. Download og udpak scriptfilen til en onboardet Linux-server, og kør derefter følgende kommando: ./mde_linux_edr_diy.sh

      Efter et par minutter skal en registrering opløftes i Microsoft Defender XDR.

   3. Se beskedoplysningerne, computerens tidslinje, og udfør dine typiske undersøgelsestrin.

Microsoft Defender for Endpoint pakkeafhængigheder for eksterne pakker

Der findes følgende eksterne pakkeafhængigheder for mdatp pakken:

• Mdatp RPM-pakken kræver glibc >= 2.17, policycoreutils, selinux-policy-targeted, mde-netfilter
• For DEBIAN kræver libc6 >= 2.23mdatp-pakken , , uuid-runtimemde-netfilter
• For Mariner kræver attrmdatp-pakken , diffutils, libacl, libattr, libselinux-utils, selinux-policy, policycoreutilsmde-netfilter

Bemærk!

Fra og med version 101.24082.0004understøtter Defender for Endpoint på Linux ikke længere hændelsesudbyderen Auditd . Vi er ved at gå helt over til den mere effektive eBPF-teknologi. Hvis eBPF ikke understøttes på dine maskiner, eller hvis der er specifikke krav om at forblive på Auditd, og dine maskiner bruger Defender for Endpoint på Linux-version 101.24072.0001 eller lavere, findes følgende andre afhængigheder af den overvågede pakke for mdatp:

• Mdatp RPM-pakken kræver audit, semanage.
• For DEBIAN kræver auditdmdatp-pakken .
• For Mariner kræver auditmdatp-pakken .

Pakken mde-netfilter har også følgende pakkeafhængigheder:

• For DEBIAN mde-netfilter kræver libnetfilter-queue1pakken , libglib2.0-0
• For RPM mde-netfilter kræver libmnlpakken , libnfnetlink, libnetfilter_queue, glib2
• For Mariner mde-netfilter kræver libnfnetlinkpakken , libnetfilter_queue

Hvis Microsoft Defender for Endpoint installationen mislykkes på grund af manglende afhængighedsfejl, kan du manuelt downloade de påkrævede afhængigheder.

Fejlfinding af installationsproblemer

• Du kan finde flere oplysninger om, hvordan du finder den logfil, der genereres, når der opstår en installationsfejl, under Problemer med loginstallation.

• Du kan få oplysninger om almindelige installationsproblemer under Installationsproblemer.

• Hvis enhedens tilstand er falsk, skal du se Undersøg agenttilstandsproblemer.

• Hvis du har problemer med produktets ydeevne, skal du se Fejlfinding af problemer med ydeevnen for Microsoft Defender for Endpoint på Linux.

• Hvis du har problemer med proxy og forbindelse, skal du se Fejlfinding af problemer med cloudforbindelsen for Microsoft Defender for Endpoint på Linux.

• Hvis du vil have support fra Microsoft, skal du åbne en supportanmodning og angive de logfiler, der er oprettet ved hjælp af værktøjet Microsoft Defender for Endpoint klientanalyse.

Sådan skifter du mellem kanaler

Hvis du f.eks. vil ændre kanal fra Insiders-Fast til Produktion, skal du gøre følgende:

1. Fjern versionen Insiders-Fast channel af Defender for Endpoint på Linux.

   sudo yum remove mdatp
   

2. Deaktiver Defender for Endpoint på Linux-Insiders-Fast-kanalen

   sudo yum-config-manager --disable packages-microsoft-com-fast-prod
   

3. Geninstaller Microsoft Defender for Endpoint på Linux ved hjælp af Production channel, og onboarder enheden på Microsoft Defender-portalen.

Sådan konfigurerer du politikker for Microsoft Defender for Endpoint på Linux

Du kan konfigurere antivirus- og EDR-indstillinger på dine slutpunkter. Du kan finde flere oplysninger i følgende artikler:

• Angiv indstillinger for Microsoft Defender for Endpoint på Linux beskriver de tilgængelige indstillinger
• Administration af sikkerhedsindstillinger beskriver, hvordan du konfigurerer indstillinger på Microsoft Defender-portalen.

Fjern Microsoft Defender for Endpoint på Linux

Udfør følgende kommando for din Linux-distribution for at fjerne den manuelt.

• sudo yum remove mdatp for RHEL og varianter(CentOS og Oracle Linux).
• sudo zypper remove mdatp for SLES og varianter.
• sudo apt-get purge mdatp til Ubuntu- og Debian-systemer.
• sudo dnf remove mdatp for Mariner

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.