Implementación manual de Microsoft Defender para punto de conexión en Linux

Se aplica a:

• Servidor de Microsoft Defender para punto de conexión
• Microsoft Defender para servidores

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Sugerencia

¿Busca instrucciones avanzadas sobre la implementación de Microsoft Defender para punto de conexión en Linux? Consulte La guía de implementación avanzada en Defender para punto de conexión en Linux.

En este artículo se describe cómo implementar manualmente Microsoft Defender para punto de conexión en Linux. Una implementación correcta requiere la finalización de todas las tareas siguientes:

• Requisitos previos y requisitos del sistema
• Configuración del repositorio de software linux
  • RHEL y variantes (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky y Alma)
  • SLES y variantes
  • Sistemas Ubuntu y Debian
  • Marinero
• Instalación de la aplicación
  • RHEL y variantes (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky y Alma)
  • SLES y variantes
  • Sistemas Ubuntu y Debian
  • Marinero
• Descarga del paquete de incorporación
• Configuración del cliente

Requisitos previos y requisitos del sistema

Antes de empezar, consulte Microsoft Defender para punto de conexión en Linux para obtener una descripción de los requisitos previos y los requisitos del sistema para la versión de software actual.

Advertencia

La actualización del sistema operativo a una nueva versión principal después de la instalación del producto requiere la reinstalación del producto. Debe desinstalar defender para punto de conexión existente en Linux, actualizar el sistema operativo y, a continuación, volver a configurar Defender para punto de conexión en Linux siguiendo los pasos siguientes.

Configuración del repositorio de software linux

Defender para punto de conexión en Linux se puede implementar desde uno de los siguientes canales (denominado [canal]): insiders-fast, insiders-slow o prod. Cada uno de estos canales corresponde a un repositorio de software linux. En las instrucciones de este artículo se describe cómo configurar el dispositivo para usar uno de estos repositorios.

La elección del canal determina el tipo y la frecuencia de las actualizaciones que se ofrecen al dispositivo. Los dispositivos de insiders-fast son los primeros en recibir actualizaciones y nuevas características, seguidos más adelante por los usuarios internos lentos y, por último, por prod.

Para obtener una vista previa de las nuevas características y proporcionar comentarios anticipados, se recomienda configurar algunos dispositivos en la empresa para usar insiders-fast o insiders-slow.

Advertencia

Cambiar el canal después de la instalación inicial requiere que se vuelva a instalar el producto. Para cambiar el canal del producto: desinstale el paquete existente, vuelva a configurar el dispositivo para usar el nuevo canal y siga los pasos de este documento para instalar el paquete desde la nueva ubicación.

RHEL y variantes (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky y Alma)

1. Instale yum-utils si aún no está instalado:

   sudo yum install yum-utils
   

2. Busque el paquete correcto para la distribución y la versión. Use la tabla siguiente para ayudarle a localizar el paquete:

   Distro & versión	Package
   Alma 8.4 y versiones posteriores	https://packages.microsoft.com/config/alma/8/prod.repo
   Alma 9.2 y versiones posteriores	https://packages.microsoft.com/config/alma/9/prod.repo
   RHEL/Centos/Oracle 9.0-9.8	https://packages.microsoft.com/config/rhel/9/prod.repo
   RHEL/Centos/Oracle 8.0-8.10	https://packages.microsoft.com/config/rhel/8/prod.repo
   RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2	https://packages.microsoft.com/config/rhel/7.2/prod.repo
   Amazon Linux 2023	https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
   Fedora 33	https://packages.microsoft.com/config/fedora/33/prod.repo
   Fedora 34	https://packages.microsoft.com/config/fedora/34/prod.repo
   Rocky 8.7 y versiones posteriores	https://packages.microsoft.com/config/rocky/8/prod.repo
   Rocky 9.2 y versiones posteriores	https://packages.microsoft.com/config/rocky/9/prod.repo

   Nota:

   Para la distribución y la versión, identifique la entrada más cercana (por principal y, a continuación, secundaria) en https://packages.microsoft.com/config/rhel/.

3. En los siguientes comandos, reemplace [version] y [channel] por la información que ha identificado:

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
   

   Sugerencia

   Use el comando hostnamectl para identificar la información relacionada con el sistema, incluida la versión [versión].

   Por ejemplo, si ejecuta CentOS 7 y quiere implementar Defender para punto de conexión en Linux desde el prod canal:

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
   

   O bien, si desea explorar nuevas características en dispositivos seleccionados, es posible que desee implementar Microsoft Defender para punto de conexión en Linux en un canal rápido de insiders:

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
   

4. Instale la clave pública de Microsoft GPG:

   sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
   

SLES y variantes

Nota:

Para la distribución y la versión, identifique la entrada más cercana (por principal y, a continuación, secundaria) en https://packages.microsoft.com/config/sles/.

1. En los comandos siguientes, reemplace [distro] y [version] por la información que ha identificado:

   sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
   

   Sugerencia

   Use el comando SPident para identificar la información relacionada con el sistema, incluida la versión [versión].

   Por ejemplo, si ejecuta SLES 12 y desea implementar Microsoft Defender para punto de conexión en Linux desde el prod canal:

   sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
   

2. Instale la clave pública de Microsoft GPG:

   sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
   

Sistemas Ubuntu y Debian

1. Instale curl si aún no está instalado:

   sudo apt-get install curl
   

2. Instale libplist-utils si aún no está instalado:

   sudo apt-get install libplist-utils
   

   Nota:

   Para la distribución y la versión, identifique la entrada más cercana (por principal y, a continuación, secundaria) en https://packages.microsoft.com/config/[distro]/.

3. En el siguiente comando, reemplace [distro] y [version] por la información que ha identificado:

   curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
   

   Sugerencia

   Use el comando hostnamectl para identificar la información relacionada con el sistema, incluida la versión [versión].

   Por ejemplo, si ejecuta Ubuntu 18.04 y desea implementar Microsoft Defender para punto de conexión en Linux desde el prod canal:

   curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
   

4. Instale la configuración del repositorio:

   sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
   

   Por ejemplo, si eligió el prod canal:

   sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
   

5. Instale el gpg paquete si aún no está instalado:

   sudo apt-get install gpg
   

   Si gpg no está disponible, instale gnupg.

   sudo apt-get install gnupg
   

6. Instale la clave pública de Microsoft GPG:

   • Para Debian 11 y versiones anteriores, ejecute el siguiente comando.

     curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
     

   • Para Debian 12 y versiones posteriores, ejecute el siguiente comando.

     curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
     

7. Instale el controlador HTTPS si aún no está instalado:

   sudo apt-get install apt-transport-https
   

8. Actualice los metadatos del repositorio:

   sudo apt-get update
   

Marinero

1. Instale dnf-plugins-core si aún no está instalado:

   sudo dnf install dnf-plugins-core
   

2. Configure y habilite los repositorios necesarios.

   Nota:

   En Mariner, Insider Fast Channel no está disponible.

   Si desea implementar Defender para punto de conexión en Linux desde el prod canal. Use los siguientes comandos.

   sudo dnf install mariner-repos-extras
   sudo dnf config-manager --enable mariner-official-extras
   

   O bien, si desea explorar nuevas características en dispositivos seleccionados, es posible que quiera implementar Microsoft Defender para punto de conexión en Linux en un canal lento para usuarios internos. Use los siguientes comandos:

   sudo dnf install mariner-repos-extras-preview
   sudo dnf config-manager --enable mariner-official-extras-preview
   

Instalación de la aplicación

Use los comandos de las secciones siguientes para instalar Defender para punto de conexión en la distribución de Linux.

RHEL y variantes (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky y Alma)

sudo yum install mdatp

Nota:

Si tiene varios repositorios de Microsoft configurados en el dispositivo, puede ser específico sobre desde qué repositorio instalar el paquete. En el ejemplo siguiente se muestra cómo instalar el paquete desde el production canal si también tiene el canal del insiders-fast repositorio configurado en este dispositivo. Esta situación puede ocurrir si usa varios productos de Microsoft en el dispositivo. En función de la distribución y la versión del servidor, el alias del repositorio podría ser diferente al del ejemplo siguiente.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES y variantes

sudo zypper install mdatp

Nota:

Si tiene varios repositorios de Microsoft configurados en el dispositivo, puede ser específico sobre desde qué repositorio instalar el paquete. En el ejemplo siguiente se muestra cómo instalar el paquete desde el production canal si también tiene el canal del insiders-fast repositorio configurado en este dispositivo. Esta situación puede ocurrir si usa varios productos de Microsoft en el dispositivo.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Sistemas Ubuntu y Debian

sudo apt-get install mdatp

Nota:

Si tiene varios repositorios de Microsoft configurados en el dispositivo, puede ser específico sobre desde qué repositorio instalar el paquete. En el ejemplo siguiente se muestra cómo instalar el paquete desde el production canal si también tiene el canal del insiders-fast repositorio configurado en este dispositivo. Esta situación puede ocurrir si usa varios productos de Microsoft en el dispositivo.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Nota:

Los reinicios NO son necesarios después de instalar o actualizar Microsoft Defender para punto de conexión en Linux, excepto cuando se ejecuta auditD en modo inmutable.

Marinero

sudo dnf install mdatp

Nota:

Si tiene varios repositorios de Microsoft configurados en el dispositivo, puede ser específico sobre desde qué repositorio instalar el paquete. En el ejemplo siguiente se muestra cómo instalar el paquete desde el production canal si también tiene el canal del insiders-slow repositorio configurado en este dispositivo. Esta situación puede ocurrir si usa varios productos de Microsoft en el dispositivo.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Descarga del paquete de incorporación

Descargue el paquete de incorporación desde el portal de Microsoft Defender.

Advertencia

Volver a empaquetar el paquete de instalación de Defender para punto de conexión no es un escenario compatible. Esto puede afectar negativamente a la integridad del producto y dar lugar a resultados adversos, incluidos, entre otros, el desencadenamiento de alertas de manipulación y la no aplicación de actualizaciones.

Importante

Si se pierde este paso, cualquier comando ejecutado muestra un mensaje de advertencia que indica que el producto no tiene licencia. Además, el mdatp health comando devuelve un valor de false.

1. En el portal de Microsoft Defender, vaya a Configuración>Puntos de conexión>Incorporación deadministración de> dispositivos.

2. En el primer menú desplegable, seleccione Servidor Linux como sistema operativo. En el segundo menú desplegable, seleccione Script local como método de implementación.

3. Seleccione Descargar el paquete de incorporación Guarde el archivo como WindowsDefenderATPOnboardingPackage.zip.

   

4. Desde un símbolo del sistema, compruebe que tiene el archivo y extraiga el contenido del archivo:

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
   

Configuración de clientes

1. Copie MicrosoftDefenderATPOnboardingLinuxServer.py en el dispositivo de destino.

   Nota:

   Inicialmente, el dispositivo cliente no está asociado a una organización y el atributo orgId está en blanco.

   mdatp health --field org_id
   

2. Ejecute uno de los escenarios siguientes.

   Nota:

   Para ejecutar este comando, debe tener python o python3 instalar en el dispositivo en función de la distribución y la versión. Si es necesario, consulte Instrucciones paso a paso para instalar Python en Linux.

   Para incorporar un dispositivo que anteriormente estaba fuera del panel, debe quitar el archivo de mdatp_offboard.json ubicado en /etc/opt/microsoft/mdatp.

   Si ejecuta RHEL 8.x o Ubuntu 20.04 o posterior, debe usar python3. Ejecute el siguiente comando:

   sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
   

   Para el resto de distribuciones y versiones, debe usar python. Ejecute el siguiente comando:

   sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
   

3. Compruebe que el dispositivo ahora está asociado a su organización e informa de un identificador de organización válido:

   mdatp health --field org_id
   

4. Compruebe el estado de mantenimiento del producto ejecutando el siguiente comando. Un valor devuelto de true indica que el producto funciona según lo esperado:

   mdatp health --field healthy
   

   Importante

   Cuando el producto se inicia por primera vez, descarga las definiciones de antimalware más recientes. Este proceso puede tardar hasta unos minutos en función de la conectividad de red. Durante este tiempo, el comando mencionado anteriormente devuelve un valor de false. Puede comprobar el estado de la actualización de definición mediante el siguiente comando:

   mdatp health --field definitions_status
   

   Es posible que también tenga que configurar un proxy después de completar la instalación inicial. Consulte Configuración de Defender para punto de conexión en Linux para la detección de proxy estático: configuración posterior a la instalación.

5. Ejecute una prueba de detección de antivirus para comprobar que el dispositivo está incorporado correctamente e informar al servicio. Realice los pasos siguientes en el dispositivo recién incorporado:

   1. Asegúrese de que la protección en tiempo real está habilitada (indicada por el resultado de la ejecución del true siguiente comando):

      mdatp health --field real_time_protection_enabled
      

      Si no está habilitado, ejecute el siguiente comando:

      mdatp config real-time-protection --value enabled
      

   2. Para ejecutar una prueba de detección, abra una ventana terminal. y, a continuación, ejecute el siguiente comando:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. Puede ejecutar más pruebas de detección en archivos ZIP mediante cualquiera de los siguientes comandos:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

      Defender para punto de conexión en Linux debe poner en cuarentena los archivos.

   4. Use el siguiente comando para enumerar todas las amenazas detectadas:

      mdatp threat list
      

6. Ejecute una prueba de detección de EDR y simule una detección para comprobar que el dispositivo está incorporado correctamente e informar al servicio. Realice los pasos siguientes en el dispositivo recién incorporado:

   1. Compruebe que el servidor Linux incorporado aparece en Microsoft Defender XDR. Si se trata de la primera incorporación de la máquina, puede tardar hasta 20 minutos en aparecer.

   2. Descargue y extraiga el archivo de script en un servidor Linux incorporado y, a continuación, ejecute el siguiente comando: ./mde_linux_edr_diy.sh

      Después de unos minutos, se debe generar una detección en Microsoft Defender XDR.

   3. Examine los detalles de la alerta, la escala de tiempo de la máquina y realice los pasos de investigación típicos.

Microsoft Defender para punto de conexión dependencias de paquetes externos del paquete

Existen las siguientes dependencias de paquetes externos para el mdatp paquete:

• El paquete RPM de mdatp requiere glibc >= 2.17, policycoreutils, , selinux-policy-targetedmde-netfilter
• Para DEBIAN, el paquete mdatp requiere libc6 >= 2.23, , uuid-runtimemde-netfilter
• Para Mariner, el paquete mdatp requiere attr, , libacldiffutils, libattr, libselinux-utils, selinux-policy, , , policycoreutilsmde-netfilter

Nota:

A partir de la versión 101.24082.0004, Defender para punto de conexión en Linux ya no admite el proveedor de Auditd eventos. Estamos realizando la transición completamente a la tecnología eBPF más eficiente. Si eBPF no se admite en las máquinas o si hay requisitos específicos para permanecer en Auditd y las máquinas usan Defender para punto de conexión en la versión 101.24072.0001 de Linux o versiones inferiores, existen otras dependencias siguientes en el paquete auditado para mdatp:

• El paquete RPM mdatp requiere audit, semanage.
• Para DEBIAN, el paquete mdatp requiere auditd.
• Para Mariner, el paquete mdatp requiere audit.

El mde-netfilter paquete también tiene las siguientes dependencias del paquete:

• Para DEBIAN, el mde-netfilter paquete requiere libnetfilter-queue1, libglib2.0-0
• Para RPM, el mde-netfilter paquete requiere libmnl, libnfnetlink, , libnetfilter_queueglib2
• Para Mariner, el mde-netfilter paquete requiere libnfnetlink, libnetfilter_queue

Si se produce un error en la instalación de Microsoft Defender para punto de conexión debido a errores de dependencias que faltan, puede descargar manualmente las dependencias de requisitos previos.

Solucionar de problemas de instalación y actualización

• Para obtener más información sobre cómo buscar el registro que se genera cuando se produce un error de instalación, consulte Problemas de instalación de registros.

• Para obtener información sobre problemas comunes de instalación, consulte Problemas de instalación.

• Si el estado del dispositivo es false, consulte Investigación de problemas de mantenimiento del agente.

• Para ver los problemas de rendimiento del producto, consulte Solución de problemas de rendimiento para Microsoft Defender para punto de conexión en Linux.

• Para ver los problemas de proxy y conectividad, consulte Solución de problemas de conectividad en la nube para Microsoft Defender para punto de conexión en Linux.

• Para obtener soporte técnico de Microsoft, abra una incidencia de soporte técnico y proporcione los archivos de registro creados mediante la herramienta Microsoft Defender para punto de conexión analizador de cliente.

Cómo cambiar entre canales

Por ejemplo, para cambiar el canal de Insiders-Fast a Producción, haga lo siguiente:

1. Desinstale la Insiders-Fast channel versión de Defender para punto de conexión en Linux.

   sudo yum remove mdatp
   

2. Deshabilitación del canal de Insiders-Fast de Defender para punto de conexión en Linux

   sudo yum-config-manager --disable packages-microsoft-com-fast-prod
   

3. Vuelva a instalar Microsoft Defender para punto de conexión en Linux mediante Production channely incorpore el dispositivo en el portal de Microsoft Defender.

Configuración de directivas para Microsoft Defender para punto de conexión en Linux

Puede configurar los valores de antivirus y EDR en los puntos de conexión. Para más información, consulte los siguientes artículos:

• Establecer preferencias para Microsoft Defender para punto de conexión en Linux describe la configuración disponible
• La administración de la configuración de seguridad describe cómo configurar las opciones en el portal de Microsoft Defender.

Desinstalación de Microsoft Defender para punto de conexión en Linux

Para la desinstalación manual, ejecute el siguiente comando para la distribución de Linux.

• sudo yum remove mdatp para RHEL y variantes (CentOS y Oracle Linux).
• sudo zypper remove mdatp para SLES y variantes.
• sudo apt-get purge mdatp para sistemas Ubuntu y Debian.
• sudo dnf remove mdatp para Mariner

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.