Manuelles Bereitstellen von Microsoft Defender for Endpoint unter Linux
Gilt für:
- Microsoft Defender for Endpoint-Server
- Microsoft Defender für Server
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Tipp
Suchen Sie nach erweiterten Anleitungen zum Bereitstellen von Microsoft Defender for Endpoint unter Linux? Weitere Informationen finden Sie im Erweiterten Bereitstellungshandbuch für Defender für Endpunkt unter Linux.
In diesem Artikel wird beschrieben, wie Sie Microsoft Defender for Endpoint unter Linux manuell bereitstellen. Eine erfolgreiche Bereitstellung erfordert den Abschluss aller folgenden Aufgaben:
- Voraussetzungen und Systemanforderungen
- Konfigurieren des Linux-Softwarerepositorys
- Anwendungsinstallation
- Herunterladen des Onboardingpakets
- Clientkonfiguration
Voraussetzungen und Systemanforderungen
Bevor Sie beginnen, finden Sie unter Microsoft Defender for Endpoint unter Linux eine Beschreibung der Voraussetzungen und Systemanforderungen für die aktuelle Softwareversion.
Warnung
Wenn Sie Ihr Betriebssystem nach der Produktinstallation auf eine neue Hauptversion aktualisieren, muss das Produkt neu installiert werden. Sie müssen den vorhandenen Defender für Endpunkt unter Linux deinstallieren , das Betriebssystem aktualisieren und dann Defender für Endpunkt für Linux neu konfigurieren, indem Sie die folgenden Schritte ausführen.
Konfigurieren des Linux-Softwarerepositorys
Defender für Endpunkt unter Linux kann über einen der folgenden Kanäle (bezeichnet als [Kanal]) bereitgestellt werden: insiders-fast, insiders-slow oder prod
. Jeder dieser Kanäle entspricht einem Linux-Softwarerepository. In den Anweisungen in diesem Artikel wird beschrieben, wie Sie Ihr Gerät für die Verwendung eines dieser Repositorys konfigurieren.
Die Wahl des Kanals bestimmt den Typ und die Häufigkeit der Updates, die Ihrem Gerät angeboten werden. Geräte in Insider-fast sind die ersten, die Updates und neue Features erhalten, später von Insidern langsam und zuletzt von prod
.
Um eine Vorschau neuer Features anzuzeigen und frühzeitig Feedback zu geben, wird empfohlen, einige Geräte in Ihrem Unternehmen so zu konfigurieren, dass sie entweder insiders-fast oder insiders-slow verwenden.
Warnung
Wenn Sie den Kanal nach der Erstinstallation wechseln, muss das Produkt neu installiert werden. Um den Produktkanal zu wechseln: Deinstallieren Sie das vorhandene Paket, konfigurieren Sie Ihr Gerät neu, um den neuen Kanal zu verwenden, und führen Sie die Schritte in diesem Dokument aus, um das Paket vom neuen Speicherort aus zu installieren.
Installationsskript
Während wir die manuelle Installation besprechen, können Sie alternativ ein bash-Skript des automatisierten Installationsprogramms verwenden, das in unserem öffentlichen GitHub-Repository bereitgestellt wird. Das Skript identifiziert die Verteilung und Version, vereinfacht die Auswahl des richtigen Repositorys, richtet das Gerät ein, um das neueste Paket zu pullen, und kombiniert die Schritte zur Produktinstallation und zum Onboarding.
> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel specify the channel from which you want to install. Default: insiders-fast
-i|--install install the product
-r|--remove remove the product
-u|--upgrade upgrade the existing product
-o|--onboard onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req enforce minimum requirements
-w|--clean remove repo from package manager for a specific channel
-v|--version print out script version
-h|--help display help
Weitere Informationen finden Sie hier.
RHEL und Varianten (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky und Alma)
Installieren Sie
yum-utils
, wenn sie noch nicht installiert ist:sudo yum install yum-utils
Hinweis
Ihre Distribution und Version, und identifizieren Sie den nächstgelegenen Eintrag (nach Haupt- und dann Nebenversion) für sie unter
https://packages.microsoft.com/config/rhel/
.Verwenden Sie die folgende Tabelle, um Sie bei der Suche nach dem Paket zu unterstützen:
Distributionsversion & Paket Für Alma 8.4 und höher https://packages.microsoft.com/config/alma/8/prod.repo Für Alma 9.2 und höher https://packages.microsoft.com/config/alma/9/prod.repo Für RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo Für RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo Für RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo Für Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo Für Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo Für Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo Für Rocky 8.7 und höher https://packages.microsoft.com/config/rocky/8/prod.repo Für Rocky 9.2 und höher https://packages.microsoft.com/config/rocky/9/prod.repo Ersetzen Sie in den folgenden Befehlen [Version] und [Kanal] durch die von Ihnen identifizierten Informationen:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
Tipp
Verwenden Sie den Hostnamectl-Befehl, um systembezogene Informationen zu identifizieren, einschließlich release [version].
Wenn Sie beispielsweise CentOS 7 ausführen und Defender für Endpunkt unter Linux über den
prod
Kanal bereitstellen möchten:sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
Oder wenn Sie neue Features auf ausgewählten Geräten erkunden möchten, können Sie Microsoft Defender for Endpoint unter Linux im Insider-schnellen Kanal bereitstellen:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
Installieren Sie den öffentlichen Microsoft GPG-Schlüssel:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
SLES und Varianten
Hinweis
Ihre Distribution und Version, und identifizieren Sie den nächstgelegenen Eintrag (nach Haupt- und dann Nebenversion) für sie unter https://packages.microsoft.com/config/sles/
.
Ersetzen Sie in den folgenden Befehlen [Distribution] und [Version] durch die von Ihnen identifizierten Informationen:
sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
Tipp
Verwenden Sie den SPident-Befehl, um systembezogene Informationen zu identifizieren, einschließlich Release [Version].
Wenn Sie beispielsweise SLES 12 ausführen und Microsoft Defender for Endpoint unter Linux über den prod
Kanal bereitstellen möchten:
sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
Installieren Sie den öffentlichen Microsoft GPG-Schlüssel:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
Ubuntu- und Debian-Systeme
Installieren Sie
curl
, wenn sie noch nicht installiert ist:sudo apt-get install curl
Installieren Sie
libplist-utils
, wenn sie noch nicht installiert ist:sudo apt-get install libplist-utils
Hinweis
Ihre Distribution und Version, und identifizieren Sie den nächstgelegenen Eintrag (nach Haupt- und dann Nebenversion) für sie unter
https://packages.microsoft.com/config/[distro]/
.Ersetzen Sie im folgenden Befehl [distribution] und [version] durch die von Ihnen identifizierten Informationen:
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
Tipp
Verwenden Sie den Hostnamectl-Befehl, um systembezogene Informationen zu identifizieren, einschließlich release [version].
Wenn Sie beispielsweise Ubuntu 18.04 ausführen und Microsoft Defender for Endpoint unter Linux über den
prod
Kanal bereitstellen möchten:curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
Installieren Sie die Repositorykonfiguration:
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
Wenn Sie z. B. Kanal ausgewählt haben
prod
:sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
Installieren Sie das
gpg
Paket, wenn es noch nicht installiert ist:sudo apt-get install gpg
Wenn
gpg
nicht verfügbar ist, installieren Siegnupg
.sudo apt-get install gnupg
Installieren Sie den öffentlichen Microsoft GPG-Schlüssel:
Führen Sie für Debian 11 und früher den folgenden Befehl aus.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
Führen Sie für Debian 12 und höher den folgenden Befehl aus.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
Installieren Sie den HTTPS-Treiber, falls noch nicht installiert:
sudo apt-get install apt-transport-https
Aktualisieren Sie die Repositorymetadaten:
sudo apt-get update
Seemann
Installieren Sie
dnf-plugins-core
, wenn sie noch nicht installiert ist:sudo dnf install dnf-plugins-core
Konfigurieren und Aktivieren der erforderlichen Repositorys
Hinweis
Auf Mariner ist Insider Fast Channel nicht verfügbar.
Wenn Sie Defender für Endpunkt unter Linux über den
prod
Kanal bereitstellen möchten. Verwenden Sie die folgenden Befehle:sudo dnf install mariner-repos-extras sudo dnf config-manager --enable mariner-official-extras
Oder wenn Sie neue Features auf ausgewählten Geräten erkunden möchten, können Sie Microsoft Defender for Endpoint unter Linux für insiders-langsame Kanäle bereitstellen. Verwenden Sie die folgenden Befehle:
sudo dnf install mariner-repos-extras-preview sudo dnf config-manager --enable mariner-official-extras-preview
Anwendungsinstallation
RHEL und Varianten (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky und Alma)
sudo yum install mdatp
Hinweis
Wenn Sie mehrere Microsoft-Repositorys auf Ihrem Gerät konfiguriert haben, können Sie genau festlegen, aus welchem Repository das Paket installiert werden soll. Das folgende Beispiel zeigt, wie Sie das Paket über den production
Kanal installieren, wenn Sie auch den insiders-fast
Repositorykanal auf diesem Gerät konfiguriert haben. Diese Situation kann auftreten, wenn Sie mehrere Microsoft-Produkte auf Ihrem Gerät verwenden. Abhängig von der Verteilung und der Version Ihres Servers kann sich der Repositoryalias vom im folgenden Beispiel unterscheiden.
# list all repositories
yum repolist
...
packages-microsoft-com-prod packages-microsoft-com-prod 316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins 2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
SLES und Varianten
sudo zypper install mdatp
Hinweis
Wenn Sie mehrere Microsoft-Repositorys auf Ihrem Gerät konfiguriert haben, können Sie genau festlegen, aus welchem Repository das Paket installiert werden soll. Das folgende Beispiel zeigt, wie Sie das Paket über den production
Kanal installieren, wenn Sie auch den insiders-fast
Repositorykanal auf diesem Gerät konfiguriert haben. Diese Situation kann auftreten, wenn Sie mehrere Microsoft-Produkte auf Ihrem Gerät verwenden.
zypper repos
...
# | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp
Ubuntu- und Debian-Systeme
sudo apt-get install mdatp
Hinweis
Wenn Sie mehrere Microsoft-Repositorys auf Ihrem Gerät konfiguriert haben, können Sie genau festlegen, aus welchem Repository das Paket installiert werden soll. Das folgende Beispiel zeigt, wie Sie das Paket über den production
Kanal installieren, wenn Sie auch den insiders-fast
Repositorykanal auf diesem Gerät konfiguriert haben. Diese Situation kann auftreten, wenn Sie mehrere Microsoft-Produkte auf Ihrem Gerät verwenden.
cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp
Hinweis
Neustarts sind nach der Installation oder Aktualisierung von Microsoft Defender for Endpoint unter Linux NICHT erforderlich, außer wenn Sie auditD im unveränderlichen Modus ausführen.
Seemann
sudo dnf install mdatp
Hinweis
Wenn Sie mehrere Microsoft-Repositorys auf Ihrem Gerät konfiguriert haben, können Sie genau festlegen, aus welchem Repository das Paket installiert werden soll. Das folgende Beispiel zeigt, wie Sie das Paket über den production
Kanal installieren, wenn Sie auch den insiders-slow
Repositorykanal auf diesem Gerät konfiguriert haben. Diese Situation kann auftreten, wenn Sie mehrere Microsoft-Produkte auf Ihrem Gerät verwenden.
sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras
Herunterladen des Onboardingpakets
Laden Sie das Onboardingpaket aus Microsoft Defender Portal herunter.
Warnung
Das Erneute Packen des Defender für Endpunkt-Installationspakets wird nicht unterstützt. Dies kann sich negativ auf die Integrität des Produkts auswirken und zu negativen Ergebnissen führen, einschließlich, aber nicht beschränkt auf das Auslösen von Manipulationswarnungen und nicht angewendeten Updates.
Wichtig
Wenn Sie diesen Schritt verpassen, wird bei jedem ausgeführten Befehl eine Warnmeldung angezeigt, die darauf hinweist, dass das Produkt nicht lizenziert ist. Außerdem gibt der mdatp health
Befehl den Wert zurück false
.
Wechseln Sie im Microsoft Defender-Portal zu Einstellungen > Endpunkte > Geräteverwaltung > Onboarding.
Wählen Sie im ersten Dropdownmenü Linux Server als Betriebssystem aus. Wählen Sie im zweiten Dropdownmenü Lokales Skript als Bereitstellungsmethode aus.
Wählen Sie "Onboardingpaket herunterladen" aus. Speichern Sie die Datei als WindowsDefenderATPOnboardingPackage.zip.
Vergewissern Sie sich an einer Eingabeaufforderung, dass Sie über die Datei verfügen, und extrahieren Sie den Inhalt des Archivs:
ls -l
total 8 -rw-r--r-- 1 test staff 5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
unzip WindowsDefenderATPOnboardingPackage.zip
Archive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
Clientkonfiguration
Kopieren Sie MicrosoftDefenderATPOnboardingLinuxServer.py auf das Zielgerät.
Hinweis
Anfänglich ist das Clientgerät keinem organization zugeordnet, und das attribut orgId ist leer.
mdatp health --field org_id
Führen Sie MicrosoftDefenderATPOnboardingLinuxServer.py aus.
Hinweis
Um diesen Befehl ausführen zu können, müssen Sie je nach Distribution und Version auf dem Gerät installiert oder
python3
installiert habenpython
. Weitere Informationen finden Sie unter Schritt-für-Schritt-Anweisungen zum Installieren von Python unter Linux.Hinweis
Zum Onboarding eines Geräts, das zuvor offboarded wurde, müssen Sie die mdatp_offboard.json Datei entfernen, die sich unter /etc/opt/microsoft/mdatp befindet.
Wenn Sie RHEL 8.x oder Ubuntu 20.04 oder höher ausführen, müssen Sie verwenden
python3
.sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
Für die restlichen Distributionen und Versionen müssen Sie verwenden
python
.sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
Vergewissern Sie sich, dass das Gerät jetzt Ihrem organization zugeordnet ist und einen gültigen organization-Bezeichner meldet:
mdatp health --field org_id
Überprüfen Sie die Integritäts-status des Produkts, indem Sie den folgenden Befehl ausführen. Ein Rückgabewert von
true
gibt an, dass das Produkt wie erwartet funktioniert:mdatp health --field healthy
Wichtig
Wenn das Produkt zum ersten Mal gestartet wird, lädt es die neuesten Antischadsoftwaredefinitionen herunter. Dies kann je nach Netzwerkkonnektivität einige Minuten dauern. Während dieser Zeit gibt der obige Befehl den Wert zurück
false
. Sie können die status des Definitionsupdates mit dem folgenden Befehl überprüfen:mdatp health --field definitions_status
Beachten Sie, dass Sie nach Abschluss der Erstinstallation möglicherweise auch einen Proxy konfigurieren müssen. Weitere Informationen finden Sie unter Konfigurieren von Defender für Endpunkt unter Linux für die statische Proxyermittlung: Konfiguration nach der Installation.
Führen Sie einen AV-Erkennungstest durch, um zu überprüfen, ob das Gerät ordnungsgemäß eingebunden ist und dem Dienst Bericht erstattet. Führen Sie die folgenden Schritte auf dem neu eingebundenen Gerät durch:
Stellen Sie sicher, dass der Echtzeitschutz aktiviert ist (gekennzeichnet durch das Ergebnis der Ausführung des
true
folgenden Befehls):mdatp health --field real_time_protection_enabled
Wenn sie nicht aktiviert ist, führen Sie den folgenden Befehl aus:
mdatp config real-time-protection --value enabled
Öffnen Sie ein Terminalfenster, und führen Sie den folgenden Befehl aus, um einen Erkennungstest auszuführen:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
Sie können weitere Erkennungstests für ZIP-Dateien ausführen, indem Sie einen der folgenden Befehle verwenden:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
Die Dateien sollten von Defender für Endpunkt unter Linux unter Quarantäne gesetzt werden. Verwenden Sie den folgenden Befehl, um alle entdeckten Bedrohungen aufzulisten:
mdatp threat list
Führen Sie einen EDR-Erkennungstest aus, und simulieren Sie eine Erkennung, um zu überprüfen, ob das Gerät ordnungsgemäß integriert ist, und melden Sie es an den Dienst. Führen Sie die folgenden Schritte auf dem neu eingebundenen Gerät durch:
Vergewissern Sie sich, dass der integrierte Linux-Server in Microsoft Defender XDR angezeigt wird. Wenn dies das erste Onboarding des Computers ist, kann es bis zu 20 Minuten dauern, bis es angezeigt wird.
Laden Sie die Skriptdatei herunter, extrahieren Sie sie auf einen integrierten Linux-Server, und führen Sie den folgenden Befehl aus:
./mde_linux_edr_diy.sh
Nach einigen Minuten sollte eine Erkennung in Microsoft Defender XDR ausgelöst werden.
Sehen Sie sich die Warnungsdetails an, computer Zeitleiste, und führen Sie Ihre typischen Untersuchungsschritte aus.
Microsoft Defender for Endpoint externe Paketabhängigkeiten
Die folgenden externen Paketabhängigkeiten sind für das mdatp-Paket vorhanden:
- Das mdatp-RPM-Paket erfordert
glibc >= 2.17
,policycoreutils
, ,selinux-policy-targeted
,mde-netfilter
- Für DEBIAN erfordert
libc6 >= 2.23
das mdatp-Paket ,uuid-runtime
,mde-netfilter
- Für Mariner erfordert
attr
das mdatp-Paket , ,libacl
diffutils
,libattr
,libselinux-utils
,selinux-policy
, ,policycoreutils
mde-netfilter
Hinweis
Ab Version 101.24082.0004
unterstützt Defender für Endpunkt unter Linux den Auditd
Ereignisanbieter nicht mehr. Wir sind dabei, vollständig auf die effizientere eBPF-Technologie umzusteigen.
Wenn eBPF auf Ihren Computern nicht unterstützt wird oder bestimmte Anforderungen bestehen, um auf Auditd zu bleiben, und Ihre Computer Defender für Endpunkt unter Linux 101.24072.0001
oder niedriger verwenden, besteht die folgende zusätzliche Abhängigkeit vom überwachten Paket für mdatp:
- Das mdatp-RPM-Paket erfordert
audit
,semanage
. - Für DEBIAN erfordert
auditd
das mdatp-Paket . - Für Mariner erfordert
audit
das mdatp-Paket .
Das mde-netfilter-Paket verfügt außerdem über die folgenden Paketabhängigkeiten:
- Für DEBIAN erfordert
libnetfilter-queue1
das mde-netfilter-Paket ,libglib2.0-0
- Für RPM erfordert
libmnl
das mde-netfilter-Paket ,libnfnetlink
,libnetfilter_queue
, ,glib2
- Für Mariner erfordert
libnfnetlink
das mde-netfilter-Paket ,libnetfilter_queue
Wenn die Microsoft Defender for Endpoint Installation aufgrund fehlender Abhängigkeitsfehler fehlschlägt, können Sie die erforderlichen Abhängigkeiten manuell herunterladen.
Protokollieren von Installationsproblemen
Weitere Informationen dazu, wie Sie das automatisch generierte Protokoll finden, das beim Auftreten eines Fehlers vom Installationsprogramm erstellt wird, finden Sie unter Protokollinstallationsprobleme .
Migrieren von Insiders-Fast zum Produktionskanal
Deinstallieren Sie die
Insiders-Fast channel
Version von Defender für Endpunkt unter Linux.sudo yum remove mdatp
Deaktivieren des Repositorys defender für Endpunkt unter Linux Insiders-Fast
sudo yum repolist
Hinweis
Die Ausgabe sollte anzeigen
packages-microsoft-com-fast-prod
.sudo yum-config-manager --disable packages-microsoft-com-fast-prod
Stellen Sie Microsoft Defender for Endpoint unter Linux mithilfe des Produktionskanals erneut bereit.
Deinstallation
Weitere Informationen zum Entfernen von Defender für Endpunkt unter Linux von Clientgeräten finden Sie unter Deinstallieren .
Siehe auch
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.