Freigeben über


Manuelles Bereitstellen von Microsoft Defender for Endpoint unter Linux

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Tipp

Suchen Sie nach erweiterten Anleitungen zum Bereitstellen von Microsoft Defender for Endpoint unter Linux? Weitere Informationen finden Sie im Erweiterten Bereitstellungshandbuch für Defender für Endpunkt unter Linux.

In diesem Artikel wird beschrieben, wie Sie Microsoft Defender for Endpoint unter Linux manuell bereitstellen. Eine erfolgreiche Bereitstellung erfordert den Abschluss aller folgenden Aufgaben:

Voraussetzungen und Systemanforderungen

Bevor Sie beginnen, finden Sie unter Microsoft Defender for Endpoint unter Linux eine Beschreibung der Voraussetzungen und Systemanforderungen für die aktuelle Softwareversion.

Warnung

Wenn Sie Ihr Betriebssystem nach der Produktinstallation auf eine neue Hauptversion aktualisieren, muss das Produkt neu installiert werden. Sie müssen den vorhandenen Defender für Endpunkt unter Linux deinstallieren , das Betriebssystem aktualisieren und dann Defender für Endpunkt für Linux neu konfigurieren, indem Sie die folgenden Schritte ausführen.

Konfigurieren des Linux-Softwarerepositorys

Defender für Endpunkt unter Linux kann über einen der folgenden Kanäle (bezeichnet als [Kanal]) bereitgestellt werden: insiders-fast, insiders-slow oder prod. Jeder dieser Kanäle entspricht einem Linux-Softwarerepository. In den Anweisungen in diesem Artikel wird beschrieben, wie Sie Ihr Gerät für die Verwendung eines dieser Repositorys konfigurieren.

Die Wahl des Kanals bestimmt den Typ und die Häufigkeit der Updates, die Ihrem Gerät angeboten werden. Geräte in Insider-fast sind die ersten, die Updates und neue Features erhalten, später von Insidern langsam und zuletzt von prod.

Um eine Vorschau neuer Features anzuzeigen und frühzeitig Feedback zu geben, wird empfohlen, einige Geräte in Ihrem Unternehmen so zu konfigurieren, dass sie entweder insiders-fast oder insiders-slow verwenden.

Warnung

Wenn Sie den Kanal nach der Erstinstallation wechseln, muss das Produkt neu installiert werden. Um den Produktkanal zu wechseln: Deinstallieren Sie das vorhandene Paket, konfigurieren Sie Ihr Gerät neu, um den neuen Kanal zu verwenden, und führen Sie die Schritte in diesem Dokument aus, um das Paket am neuen Speicherort zu installieren.

RHEL und Varianten (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky und Alma)

  1. Installieren Sie yum-utils , wenn sie noch nicht installiert ist:

    sudo yum install yum-utils
    
  2. Suchen Sie das richtige Paket für Ihre Distribution und Version. Verwenden Sie die folgende Tabelle, um Sie bei der Suche nach dem Paket zu unterstützen:

    Distributionsversion & Paket
    Alma 8.4 und höher https://packages.microsoft.com/config/alma/8/prod.repo
    Alma 9.2 und höher https://packages.microsoft.com/config/alma/9/prod.repo
    RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo
    RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo
    RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo
    Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
    Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo
    Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo
    Rocky 8.7 und höher https://packages.microsoft.com/config/rocky/8/prod.repo
    Rocky 9.2 und höher https://packages.microsoft.com/config/rocky/9/prod.repo

    Hinweis

    Geben Sie für Ihre Distribution und Version den nächstgelegenen Eintrag (nach Hauptversion, dann nach Nebenversion) unter an https://packages.microsoft.com/config/rhel/.

  3. Ersetzen Sie in den folgenden Befehlen [Version] und [Kanal] durch die von Ihnen identifizierten Informationen:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
    

    Tipp

    Verwenden Sie den Hostnamectl-Befehl, um systembezogene Informationen zu identifizieren, einschließlich release [version].

    Wenn Sie beispielsweise CentOS 7 ausführen und Defender für Endpunkt unter Linux über den prod Kanal bereitstellen möchten:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
    

    Oder wenn Sie neue Features auf ausgewählten Geräten erkunden möchten, können Sie Microsoft Defender for Endpoint unter Linux im Insider-schnellen Kanal bereitstellen:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
    
  4. Installieren Sie den öffentlichen Microsoft GPG-Schlüssel:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
    

SLES und Varianten

Hinweis

Geben Sie für Ihre Distribution und Version den nächstgelegenen Eintrag (nach Hauptversion, dann nach Nebenversion) unter an https://packages.microsoft.com/config/sles/.

  1. Ersetzen Sie in den folgenden Befehlen [Distribution] und [Version] durch die von Ihnen identifizierten Informationen:

    sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
    

    Tipp

    Verwenden Sie den SPident-Befehl, um systembezogene Informationen zu identifizieren, einschließlich Release [Version].

    Wenn Sie beispielsweise SLES 12 ausführen und Microsoft Defender for Endpoint unter Linux über den prod Kanal bereitstellen möchten:

    sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
    
  2. Installieren Sie den öffentlichen Microsoft GPG-Schlüssel:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
    

Ubuntu- und Debian-Systeme

  1. Installieren Sie curl , wenn sie noch nicht installiert ist:

    sudo apt-get install curl
    
  2. Installieren Sie libplist-utils , wenn sie noch nicht installiert ist:

    sudo apt-get install libplist-utils
    

    Hinweis

    Geben Sie für Ihre Distribution und Version den nächstgelegenen Eintrag (nach Hauptversion, dann nach Nebenversion) unter an https://packages.microsoft.com/config/[distro]/.

  3. Ersetzen Sie im folgenden Befehl [distribution] und [version] durch die von Ihnen identifizierten Informationen:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
    

    Tipp

    Verwenden Sie den Hostnamectl-Befehl, um systembezogene Informationen zu identifizieren, einschließlich release [version].

    Wenn Sie beispielsweise Ubuntu 18.04 ausführen und Microsoft Defender for Endpoint unter Linux über den prod Kanal bereitstellen möchten:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
    
  4. Installieren Sie die Repositorykonfiguration:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
    

    Wenn Sie z. B. Kanal ausgewählt haben prod :

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
    
  5. Installieren Sie das gpg Paket, wenn es noch nicht installiert ist:

    sudo apt-get install gpg
    

    Wenn gpg nicht verfügbar ist, installieren Sie gnupg.

    sudo apt-get install gnupg
    
  6. Installieren Sie den öffentlichen Microsoft GPG-Schlüssel:

    • Führen Sie für Debian 11 und früher den folgenden Befehl aus.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
      
    • Führen Sie für Debian 12 und höher den folgenden Befehl aus.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
      
  7. Installieren Sie den HTTPS-Treiber, falls noch nicht installiert:

    sudo apt-get install apt-transport-https
    
  8. Aktualisieren Sie die Repositorymetadaten:

    sudo apt-get update
    

Seemann

  1. Installieren Sie dnf-plugins-core , wenn sie noch nicht installiert ist:

    sudo dnf install dnf-plugins-core
    
  2. Konfigurieren und aktivieren Sie die erforderlichen Repositorys.

    Hinweis

    Auf Mariner ist Insider Fast Channel nicht verfügbar.

    Wenn Sie Defender für Endpunkt unter Linux über den prod Kanal bereitstellen möchten. Verwenden Sie die folgenden Befehle:

    sudo dnf install mariner-repos-extras
    sudo dnf config-manager --enable mariner-official-extras
    

    Oder wenn Sie neue Features auf ausgewählten Geräten erkunden möchten, können Sie Microsoft Defender for Endpoint unter Linux für insiders-langsame Kanäle bereitstellen. Verwenden Sie die folgenden Befehle:

    sudo dnf install mariner-repos-extras-preview
    sudo dnf config-manager --enable mariner-official-extras-preview
    

Anwendungsinstallation

Verwenden Sie die Befehle in den folgenden Abschnitten, um Defender für Endpunkt auf Ihrer Linux-Distribution zu installieren.

RHEL und Varianten (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky und Alma)

sudo yum install mdatp

Hinweis

Wenn Sie mehrere Microsoft-Repositorys auf Ihrem Gerät konfiguriert haben, können Sie genau festlegen, aus welchem Repository das Paket installiert werden soll. Das folgende Beispiel zeigt, wie Sie das Paket über den production Kanal installieren, wenn Sie auch den insiders-fast Repositorykanal auf diesem Gerät konfiguriert haben. Diese Situation kann auftreten, wenn Sie mehrere Microsoft-Produkte auf Ihrem Gerät verwenden. Abhängig von der Verteilung und der Version Ihres Servers kann sich der Repositoryalias vom im folgenden Beispiel unterscheiden.

# list all repositories
yum repolist
...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES und Varianten

sudo zypper install mdatp

Hinweis

Wenn Sie mehrere Microsoft-Repositorys auf Ihrem Gerät konfiguriert haben, können Sie genau festlegen, aus welchem Repository das Paket installiert werden soll. Das folgende Beispiel zeigt, wie Sie das Paket über den production Kanal installieren, wenn Sie auch den insiders-fast Repositorykanal auf diesem Gerät konfiguriert haben. Diese Situation kann auftreten, wenn Sie mehrere Microsoft-Produkte auf Ihrem Gerät verwenden.

zypper repos
...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu- und Debian-Systeme

sudo apt-get install mdatp

Hinweis

Wenn Sie mehrere Microsoft-Repositorys auf Ihrem Gerät konfiguriert haben, können Sie genau festlegen, aus welchem Repository das Paket installiert werden soll. Das folgende Beispiel zeigt, wie Sie das Paket über den production Kanal installieren, wenn Sie auch den insiders-fast Repositorykanal auf diesem Gerät konfiguriert haben. Diese Situation kann auftreten, wenn Sie mehrere Microsoft-Produkte auf Ihrem Gerät verwenden.

cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp

Hinweis

Neustarts sind nach der Installation oder Aktualisierung von Microsoft Defender for Endpoint unter Linux NICHT erforderlich, außer wenn Sie auditD im unveränderlichen Modus ausführen.

Seemann

sudo dnf install mdatp

Hinweis

Wenn Sie mehrere Microsoft-Repositorys auf Ihrem Gerät konfiguriert haben, können Sie genau festlegen, aus welchem Repository das Paket installiert werden soll. Das folgende Beispiel zeigt, wie Sie das Paket über den production Kanal installieren, wenn Sie auch den insiders-slow Repositorykanal auf diesem Gerät konfiguriert haben. Diese Situation kann auftreten, wenn Sie mehrere Microsoft-Produkte auf Ihrem Gerät verwenden.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Herunterladen des Onboardingpakets

Laden Sie das Onboardingpaket aus dem Microsoft Defender-Portal herunter.

Warnung

Das Erneute Packen des Defender für Endpunkt-Installationspakets wird nicht unterstützt. Dies kann sich negativ auf die Integrität des Produkts auswirken und zu negativen Ergebnissen führen, einschließlich, aber nicht beschränkt auf das Auslösen von Manipulationswarnungen und nicht angewendeten Updates.

Wichtig

Wenn Sie diesen Schritt verpassen, zeigt jeder ausgeführte Befehl eine Warnmeldung an, die darauf hinweist, dass das Produkt nicht lizenziert ist. Außerdem gibt der mdatp health Befehl den Wert zurück false.

  1. Wechseln Sie im Microsoft Defender-Portal zu Einstellungen>Endpunkte>Geräteverwaltung>Onboarding.

  2. Wählen Sie im ersten Dropdownmenü Linux Server als Betriebssystem aus. Wählen Sie im zweiten Dropdownmenü Lokales Skript als Bereitstellungsmethode aus.

  3. Wählen Sie "Onboardingpaket herunterladen" aus. Speichern Sie die Datei als WindowsDefenderATPOnboardingPackage.zip.

    Herunterladen eines Onboardingpakets im Microsoft Defender-Portal

  4. Vergewissern Sie sich an einer Eingabeaufforderung, dass Sie über die Datei verfügen, und extrahieren Sie den Inhalt des Archivs:

    ls -l
    
    total 8
    -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
    
    unzip WindowsDefenderATPOnboardingPackage.zip
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
    

Clientkonfiguration

  1. Kopieren Sie MicrosoftDefenderATPOnboardingLinuxServer.py auf das Zielgerät.

    Hinweis

    Anfänglich ist das Clientgerät keinem organization zugeordnet, und das orgId-Attribut ist leer.

    mdatp health --field org_id
    
  2. Ausführen MicrosoftDefenderATPOnboardingLinuxServer.py.

    Hinweis

    Um diesen Befehl ausführen zu können, müssen Sie je nach Distribution und Version auf dem Gerät installiert oder python3 installiert habenpython. Weitere Informationen finden Sie unter Schritt-für-Schritt-Anweisungen zum Installieren von Python unter Linux.

    Zum Onboarding eines Geräts, das zuvor offboardet wurde, müssen Sie die mdatp_offboard.json Datei unter /etc/opt/microsoft/mdatp entfernen.

    Wenn Sie RHEL 8.x oder Ubuntu 20.04 oder höher ausführen, müssen Sie verwenden python3.

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
    

    Für die restlichen Distributionen und Versionen müssen Sie verwenden python.

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
    
  3. Vergewissern Sie sich, dass das Gerät jetzt Ihrem organization zugeordnet ist und einen gültigen organization-Bezeichner meldet:

    mdatp health --field org_id
    
  4. Überprüfen Sie die Integritäts-status des Produkts, indem Sie den folgenden Befehl ausführen. Ein Rückgabewert von true gibt an, dass das Produkt wie erwartet funktioniert:

    mdatp health --field healthy
    

    Wichtig

    Wenn das Produkt zum ersten Mal gestartet wird, lädt es die neuesten Anti-Malware-Definitionen herunter. Dieser Vorgang kann je nach Netzwerkkonnektivität einige Minuten dauern. Während dieser Zeit gibt der zuvor erwähnte Befehl den Wert zurück false. Sie können die status des Definitionsupdates mit dem folgenden Befehl überprüfen:

    mdatp health --field definitions_status
    

    Möglicherweise müssen Sie nach Abschluss der Erstinstallation auch einen Proxy konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von Defender für Endpunkt unter Linux für die statische Proxyermittlung: Konfiguration nach der Installation.

  5. Führen Sie einen Antivirenerkennungstest aus, um zu überprüfen, ob das Gerät ordnungsgemäß integriert ist und berichte an den Dienst. Führen Sie die folgenden Schritte auf dem neu eingebundenen Gerät durch:

    1. Stellen Sie sicher, dass der Echtzeitschutz aktiviert ist (gekennzeichnet durch das Ergebnis der Ausführung des true folgenden Befehls):

      mdatp health --field real_time_protection_enabled
      

      Wenn sie nicht aktiviert ist, führen Sie den folgenden Befehl aus:

      mdatp config real-time-protection --value enabled
      
    2. Öffnen Sie ein Terminalfenster, und führen Sie den folgenden Befehl aus, um einen Erkennungstest auszuführen:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      
    3. Sie können weitere Erkennungstests für ZIP-Dateien ausführen, indem Sie einen der folgenden Befehle verwenden:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

      Die Dateien sollten von Defender für Endpunkt unter Linux unter Quarantäne gesetzt werden.

    4. Verwenden Sie den folgenden Befehl, um alle entdeckten Bedrohungen aufzulisten:

      mdatp threat list
      
  6. Führen Sie einen EDR-Erkennungstest aus, und simulieren Sie eine Erkennung, um zu überprüfen, ob das Gerät ordnungsgemäß integriert ist, und melden Sie es an den Dienst. Führen Sie die folgenden Schritte auf dem neu eingebundenen Gerät durch:

    1. Vergewissern Sie sich, dass der integrierte Linux-Server in Microsoft Defender XDR angezeigt wird. Wenn dies das erste Onboarding des Computers ist, kann es bis zu 20 Minuten dauern, bis es angezeigt wird.

    2. Laden Sie die Skriptdatei herunter, extrahieren Sie sie auf einen integrierten Linux-Server, und führen Sie dann den folgenden Befehl aus: ./mde_linux_edr_diy.sh

      Nach einigen Minuten sollte eine Erkennung in Microsoft Defender XDR ausgelöst werden.

    3. Sehen Sie sich die Warnungsdetails an, computer Zeitleiste, und führen Sie Ihre typischen Untersuchungsschritte aus.

Microsoft Defender for Endpoint externe Paketabhängigkeiten

Für das Paket sind die mdatp folgenden externen Paketabhängigkeiten vorhanden:

  • Das mdatp-RPM-Paket erfordert glibc >= 2.17, policycoreutils, , selinux-policy-targeted, mde-netfilter
  • Für DEBIAN erfordert libc6 >= 2.23das mdatp-Paket , uuid-runtime, mde-netfilter
  • Für Mariner erfordert attrdas mdatp-Paket , , libacldiffutils, libattr, libselinux-utils, selinux-policy, , policycoreutilsmde-netfilter

Hinweis

Ab Version 101.24082.0004unterstützt Defender für Endpunkt unter Linux den Auditd Ereignisanbieter nicht mehr. Wir sind dabei, vollständig auf die effizientere eBPF-Technologie umzusteigen. Wenn eBPF auf Ihren Computern nicht unterstützt wird oder bestimmte Anforderungen bestehen, um auf Auditd zu bleiben, und Ihre Computer Defender für Endpunkt unter Linux 101.24072.0001 oder niedriger verwenden, bestehen für mdatp die folgenden anderen Abhängigkeiten vom überwachten Paket:

  • Das mdatp-RPM-Paket erfordert audit, semanage.
  • Für DEBIAN erfordert auditddas mdatp-Paket .
  • Für Mariner erfordert auditdas mdatp-Paket .

Das mde-netfilter Paket verfügt außerdem über die folgenden Paketabhängigkeiten:

  • Für DEBIAN erfordert libnetfilter-queue1das mde-netfilter Paket ,libglib2.0-0
  • Für RPM erfordert libmnldas mde-netfilter Paket , libnfnetlink, libnetfilter_queue, ,glib2
  • Für Mariner erfordert libnfnetlinkdas mde-netfilter Paket ,libnetfilter_queue

Wenn die Microsoft Defender for Endpoint Installation aufgrund fehlender Abhängigkeitsfehler fehlschlägt, können Sie die erforderlichen Abhängigkeiten manuell herunterladen.

Problembehandlung bei Installationsproblemen

Wechseln zwischen Kanälen

Gehen Sie beispielsweise wie folgt vor, um den Kanal von Insiders-Fast in Produktion zu ändern:

  1. Deinstallieren Sie die Insiders-Fast channel Version von Defender für Endpunkt unter Linux.

    sudo yum remove mdatp
    
  2. Deaktivieren des Insiders-Fast-Kanals von Defender für Endpunkt unter Linux

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod
    
  3. Installieren Sie Microsoft Defender for Endpoint unter Linux mit Production channelneu, und integrieren Sie das Gerät im Microsoft Defender-Portal.

Konfigurieren von Richtlinien für Microsoft Defender for Endpoint unter Linux

Sie können Antiviren- und EDR-Einstellungen auf Ihren Endpunkten konfigurieren. Weitere Informationen finden Sie in den folgenden Artikeln:

Deinstallieren von Microsoft Defender for Endpoint unter Linux

Führen Sie für die manuelle Deinstallation den folgenden Befehl für Ihre Linux-Distribution aus.

  • sudo yum remove mdatp für RHEL und Varianten (CentOS und Oracle Linux).
  • sudo zypper remove mdatp für SLES und Varianten.
  • sudo apt-get purge mdatp für Ubuntu- und Debian-Systeme.
  • sudo dnf remove mdatp für Mariner

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.