Compartir a través de

Uso de la implementación basada en scripts del instalador para implementar Microsoft Defender para punto de conexión en Linux

  • Artículo

Se aplica a:

  • Microsoft Defender para punto de conexión para servidores
  • Microsoft Defender para el plan 1 o el plan 2 de servidores

Introducción

Automatice la implementación de Microsoft Defender para punto de conexión en Linux mediante un script del instalador. Este script identifica la distribución y la versión, selecciona el repositorio adecuado, configura el dispositivo para extraer la versión más reciente del agente e incorpora el dispositivo a Defender para punto de conexión mediante el paquete de incorporación. Este método es muy recomendable para simplificar el proceso de implementación.

Requisitos previos y requisitos del sistema

Antes de empezar, consulte Microsoft Defender para punto de conexión en Linux para obtener una descripción de los requisitos previos y los requisitos del sistema.

Proceso de implementación

  1. Descargue el paquete de incorporación desde Microsoft Defender portal siguiendo estos pasos:

    1. En el portal de Microsoft Defender, vaya a Configuración>Puntos de conexión>Administración de> dispositivosIncorporación.

    2. En el primer menú desplegable, seleccione Servidor Linux como sistema operativo.

    3. En el segundo menú desplegable, seleccione Script local como método de implementación.

    4. Seleccione Descargar el paquete de incorporación Guarde el archivo como WindowsDefenderATPOnboardingPackage.zip.

      Captura de pantalla que muestra las opciones para seleccionar para descargar el paquete de incorporación.

    5. En un símbolo del sistema, extraiga el contenido del archivo:

      unzip WindowsDefenderATPOnboardingPackage.zip

      Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

      Advertencia

      Volver a empaquetar el paquete de instalación de Defender para punto de conexión no es un escenario compatible. Esto puede afectar negativamente a la integridad del producto y dar lugar a resultados adversos, incluidos, entre otros, el desencadenamiento de alertas de manipulación y la no aplicación de actualizaciones.

      Importante

      Si se pierde este paso, cualquier comando ejecutado muestra un mensaje de advertencia que indica que el producto no tiene licencia. Además, el comando mdatp health devuelve un valor de false.

  2. Descargue el script de Bash del instalador proporcionado en nuestro repositorio público de GitHub.

  3. Conceda permisos ejecutables al script del instalador:

    chmod +x mde_installer.sh

  4. Ejecute el script del instalador y proporcione el paquete de incorporación como parámetro para instalar el agente e incorporar el dispositivo al portal de Defender.

    
sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --min_req

    Este comando implementa la versión más reciente del agente en el canal de producción, comprueba los requisitos mínimos del sistema e incorpora el dispositivo al Portal de Defender.

    Además, puede pasar más parámetros según sus requisitos para modificar la instalación. Consulte la ayuda para ver todas las opciones disponibles:

    
❯ ./mde_installer.sh --help
mde_installer.sh v0.7.0
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel         specify the channel(insiders-fast / insiders-slow / prod) from which you want to install. Default: prod
-i|--install         install the product
-r|--remove          uninstall the product
-u|--upgrade         upgrade the existing product to a newer version if available
-l|--downgrade       downgrade the existing product to a older version if available
-o|--onboard         onboard the product with <onboarding_script>
-f|--offboard        offboard the product with <offboarding_script>
-p|--passive-mode    set real time protection to passive mode
-a|--rtp-mode        set real time protection to active mode. passive-mode and rtp-mode are mutually exclusive
-t|--tag             set a tag by declaring <name> and <value>, e.g: -t GROUP Coders
-m|--min_req         enforce minimum requirements
-x|--skip_conflict   skip conflicting application verification
-w|--clean           remove repo from package manager for a specific channel
-y|--yes             assume yes for all mid-process prompts (default, deprecated)
-n|--no              remove assume yes sign
-s|--verbose         verbose output
-v|--version         print out script version
-d|--debug           set debug mode
--log-path <PATH>    also log output to PATH
--http-proxy <URL>   set http proxy
--https-proxy <URL>  set https proxy
--ftp-proxy <URL>    set ftp proxy
--mdatp              specific version of mde to be installed. will use the latest if not provided
-h|--help            display help
    Escenario Get-Help
    Instalación de una versión específica del agente sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --min_req –-mdatp 101.24082.0004
    Actualización a la versión más reciente del agente sudo ./mde_installer.sh --upgrade
    Actualización a una versión específica del agente sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004
    Degradación a una versión específica del agente sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004
    Desinstalación del agente sudo ./mde_installer.sh --remove

    Nota:

    La actualización del sistema operativo a una nueva versión principal después de la instalación del producto requiere la reinstalación del producto. Debe desinstalar defender para punto de conexión existente en Linux, actualizar el sistema operativo y, a continuación, volver a configurar Defender para punto de conexión en Linux.

Comprobación del estado de la implementación

  1. En el portal de Microsoft Defender, abra el inventario de dispositivos. El dispositivo puede tardar entre 5 y 20 minutos en aparecer en el portal.

  2. Ejecute una prueba de detección de antivirus para comprobar que el dispositivo está incorporado correctamente e informar al servicio. Realice los pasos siguientes en el dispositivo recién incorporado:

    1. Asegúrese de que la protección en tiempo real está habilitada (indicada por el resultado de la ejecución del true siguiente comando):

      mdatp health --field real_time_protection_enabled

      Si no está habilitado, ejecute el siguiente comando:

      mdatp config real-time-protection --value enabled

    2. Abra una ventana terminal y ejecute el siguiente comando para ejecutar una prueba de detección:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Puede ejecutar más pruebas de detección en archivos ZIP mediante cualquiera de los siguientes comandos:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    4. Defender para punto de conexión en Linux debe poner en cuarentena los archivos. Use el siguiente comando para enumerar todas las amenazas detectadas:

      mdatp threat list

  3. Ejecute una prueba de detección de EDR y simule una detección para comprobar que el dispositivo está incorporado correctamente e informar al servicio. Realice los pasos siguientes en el dispositivo recién incorporado:

    1. Descargue y extraiga el archivo de script en un servidor Linux incorporado.

    2. Conceda permisos ejecutables al script:

      chmod +x mde_linux_edr_diy.sh

    3. Ejecute el siguiente comando:

      ./mde_linux_edr_diy.sh

    4. Después de unos minutos, se debe generar una detección en el Microsoft Defender XDR.

    5. Compruebe los detalles de la alerta, la escala de tiempo de la máquina y realice los pasos de investigación típicos.

Microsoft Defender para punto de conexión dependencias de paquetes externos del paquete

Si se produce un error en la instalación de Microsoft Defender para punto de conexión debido a errores de dependencias que faltan, puede descargar manualmente las dependencias necesarias.

Existen las siguientes dependencias de paquetes externos para el mdatp paquete:

  • El mdatp RPM paquete requiere : glibc >= 2.17,policycoreutils ,selinux-policy-targeted , mde-netfilter.
  • Para DEBIAN, el mdatp paquete requiere libc6 >= 2.23,uuid-runtime, mde-netfilter
  • Para Mariner, el mdatp paquete requiere attr,diffutils , libacl,libselinux-utilslibattr , selinux-policy, , , policycoreutilsmde-netfilter

Nota:

A partir de la versión 101.24082.0004, Defender para punto de conexión en Linux ya no admite el proveedor de Auditd eventos. Estamos realizando la transición completamente a la tecnología eBPF más eficiente. Si eBPF no se admite en las máquinas o si hay requisitos específicos para permanecer en Auditdy las máquinas usan Defender para punto de conexión en la versión 101.24072.0001 de Linux o inferior, existe la siguiente dependencia adicional en el paquete auditado para mdatp:

mdatp dependencias del paquete

  • El mdatp RPM paquete requiere audit, semanage.
  • Para DEBIAN, el mdatp paquete requiere auditd.
  • Para Mariner, el mdatp paquete requiere audit.

mde-netfilter Dependencias

El mde-netfilter paquete también tiene las siguientes dependencias del paquete:

  • Para DEBIAN, el mde-netfilter paquete requiere libnetfilter-queue1, libglib2.0-0.
  • Para RPM, el mde-netfilter paquete requiere libmnl, libnfnetlink, ,glib2libnetfilter_queue .
  • Para Mariner, el mde-netfilter paquete requiere libnfnetlink, libnetfilter_queue.

Solucionar de problemas de instalación y actualización

Si experimenta algún problema de instalación, para solucionarlo por sí mismo, siga estos pasos:

  1. Para obtener información sobre cómo buscar el registro que se genera automáticamente cuando se produce un error de instalación, consulte Problemas de instalación de registros.

  2. Para obtener información sobre problemas comunes de instalación, consulte Problemas de instalación.

  3. Si el estado del dispositivo es false, consulte Problemas de estado del agente de Defender para punto de conexión.

  4. Para ver los problemas de rendimiento del producto, consulte Solución de problemas de rendimiento.

  5. Para ver los problemas de proxy y conectividad, consulte Solución de problemas de conectividad en la nube.

Para obtener soporte técnico de Microsoft, abra una incidencia de soporte técnico y proporcione los archivos de registro creados mediante el analizador de cliente.

Cómo cambiar entre canales

Por ejemplo, para cambiar el canal de Insiders-Fast a Producción, haga lo siguiente:

  1. Desinstale la Insiders-Fast channel versión de Defender para punto de conexión en Linux.

    sudo yum remove mdatp

  2. Deshabilite el repositorio de Insiders-Fast de Defender para punto de conexión en Linux.

    sudo yum repolist

    Nota:

    La salida debe mostrar packages-microsoft-com-fast-prod.

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Vuelva a implementar Microsoft Defender para punto de conexión en Linux mediante el canal de producción.

Defender para punto de conexión en Linux se puede implementar desde uno de los siguientes canales (denominado [canal]):

  • insiders-fast
  • insiders-slow
  • prod

Cada uno de estos canales corresponde a un repositorio de software linux. En las instrucciones de este artículo se describe cómo configurar el dispositivo para usar uno de estos repositorios.

La elección del canal determina el tipo y la frecuencia de las actualizaciones que se ofrecen al dispositivo. Los dispositivos de insiders-fast son los primeros en recibir actualizaciones y nuevas características, seguidos más adelante por los usuarios internos lentos y, por último, por producción.

Para obtener una vista previa de las nuevas características y proporcionar comentarios anticipados, se recomienda configurar algunos dispositivos de la empresa para que usen insiders-fast o insiders-slow.

Advertencia

Cambiar el canal después de la instalación inicial requiere que se vuelva a instalar el producto. Para cambiar el canal del producto: desinstale el paquete existente, vuelva a configurar el dispositivo para usar el nuevo canal y siga los pasos de este documento para instalar el paquete desde la nueva ubicación.

Configuración de directivas para Microsoft Defender en Linux

Puede configurar los valores de antivirus y EDR en los puntos de conexión. Para más información, consulte los siguientes artículos:

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community