Jaa

Ota Microsoft Defender for Endpoint käyttöön Linuxissa asennusohjelman komentosarjapohjaisen käyttöönoton avulla

  • Artikkeli

Koskee seuraavia:

  • palvelimien Microsoft Defender for Endpoint
  • palvelinten palvelupaketin 1 tai palvelupaketin 2 Microsoft Defender

Johdanto

Automatisoi Microsoft Defender for Endpoint käyttöönottoa Linuxissa asennusohjelman komentosarjan avulla. Tämä komentosarja tunnistaa jakelun ja version, valitsee oikean säilön, määrittää laitteen hakemaan uusimman agentin version ja lisää laitteen Defender for Endpointiin perehdytyspaketin avulla. Tätä menetelmää suositellaan käyttöönottoprosessin yksinkertaistamiseen.

Edellytykset ja järjestelmävaatimukset

Ennen kuin aloitat, katso lisätietoja edellytyksistä ja järjestelmävaatimuksista kohdasta Microsoft Defender for Endpoint Linuxissa.

Käyttöönottoprosessi

  1. Lataa perehdytyspaketti Microsoft Defender portaalista seuraavasti:

    1. Siirry Microsoft Defender portaalissakohtaan Asetukset>Päätepisteet>Laitteiden hallinnan>perehdytys.

    2. Valitse ensimmäisestä avattavasta valikosta käyttöjärjestelmäksi Linux Server .

    3. Valitse käyttöönottomenetelmäksi paikallinen komentosarja toisesta avattavasta valikosta.

    4. Valitse Lataa perehdytyspaketti. Tallenna tiedosto nimellä WindowsDefenderATPOnboardingPackage.zip.

      Näyttökuva, jossa näkyvät vaihtoehdot perehdytyspaketin lataamiseksi.

    5. Poimi komentokehotteesta arkiston sisältö:

      unzip WindowsDefenderATPOnboardingPackage.zip

      Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

      Varoitus

      Defender for Endpoint -asennuspaketin uudelleenpakkaamista ei tueta. Tämä voi vaikuttaa kielteisesti tuotteen eheyteen ja johtaa haitallisiin tuloksiin, mukaan lukien muun muassa peukalointiilmoitusten ja päivitysten epäonnistumiseen.

      Tärkeää

      Jos et näe tätä vaihetta, suoritettavassa komennossa näkyy varoitussanoma, joka ilmaisee, että tuotteella ei ole käyttöoikeutta. Myös mdatp-kuntokomento palauttaa arvon false.

  2. Lataa asennusohjelman bash-komentosarja , joka on annettu julkisessa GitHub-säilössämme.

  3. Myönnä suoritettavat käyttöoikeudet asennusohjelman komentosarjaan:

    chmod +x mde_installer.sh

  4. Suorita asennusohjelman komentosarja ja anna perehdytyspaketti parametrina agentin asentamiseksi ja laitteen liittämiseksi Defender-portaaliin.

    
sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --min_req

    Tämä komento ottaa käyttöön uusimman agenttiversion tuotantokanavassa, tarkistaa järjestelmän vähimmäisvaatimuksista ja ottaa laitteen käyttöön Defender Portalissa.

    Lisäksi voit välittää lisää parametria sen mukaan, mitä asennusta on muokattava. Katso ohjeesta kaikki käytettävissä olevat vaihtoehdot:

    
❯ ./mde_installer.sh --help
mde_installer.sh v0.7.0
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel         specify the channel(insiders-fast / insiders-slow / prod) from which you want to install. Default: prod
-i|--install         install the product
-r|--remove          uninstall the product
-u|--upgrade         upgrade the existing product to a newer version if available
-l|--downgrade       downgrade the existing product to a older version if available
-o|--onboard         onboard the product with <onboarding_script>
-f|--offboard        offboard the product with <offboarding_script>
-p|--passive-mode    set real time protection to passive mode
-a|--rtp-mode        set real time protection to active mode. passive-mode and rtp-mode are mutually exclusive
-t|--tag             set a tag by declaring <name> and <value>, e.g: -t GROUP Coders
-m|--min_req         enforce minimum requirements
-x|--skip_conflict   skip conflicting application verification
-w|--clean           remove repo from package manager for a specific channel
-y|--yes             assume yes for all mid-process prompts (default, deprecated)
-n|--no              remove assume yes sign
-s|--verbose         verbose output
-v|--version         print out script version
-d|--debug           set debug mode
--log-path <PATH>    also log output to PATH
--http-proxy <URL>   set http proxy
--https-proxy <URL>  set https proxy
--ftp-proxy <URL>    set ftp proxy
--mdatp              specific version of mde to be installed. will use the latest if not provided
-h|--help            display help
    Skenaario Komento
    Asenna tietty agenttiversio sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --min_req –-mdatp 101.24082.0004
    Päivitä uusimpaan agenttiversioon sudo ./mde_installer.sh --upgrade
    Päivitä tiettyyn agenttiversioon sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004
    Tietyn agentin version alentaminen sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004
    Poista agentin asennus sudo ./mde_installer.sh --remove

    Huomautus

    Käyttöjärjestelmän päivittäminen uuteen pääversioon tuotteen asennuksen jälkeen edellyttää tuotteen uudelleenasentamista. Sinun on poistettava aiemmin luodun Defender for Endpointin asennus Linuxissa, päivitettävä käyttöjärjestelmä ja määritettävä sitten Defender linux-päätepisteelle uudelleen.

Tarkista käyttöönoton tila

  1. Avaa laitteen varasto Microsoft Defender portaalissa. Laitteen näkyminen portaalissa voi kestää 5–20 minuuttia.

  2. Suorita virustentorjunnan tunnistustesti varmistaaksesi, että laite on otettu käyttöön oikein, ja raportoi palveluun. Suorita seuraavat vaiheet juuri perehdytetyssä laitteessa:

    1. Varmista, että reaaliaikainen suojaus on käytössä (seuraavan komennon suorittamisen true tuloksena):

      mdatp health --field real_time_protection_enabled

      Jos se ei ole käytössä, suorita seuraava komento:

      mdatp config real-time-protection --value enabled

    2. Avaa Pääte-ikkuna ja suorita seuraava komento tunnistustestin suorittamiseksi:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Voit suorittaa lisää tunnistustestejä zip-tiedostoille käyttämällä jompaakumpaa seuraavista komennoista:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    4. Defenderin pitää asettaa tiedostot karanteeniin Linux-päätepistettä varten. Luettele kaikki havaitut uhat seuraavan komennon avulla:

      mdatp threat list

  3. Suorita EDR-tunnistustesti ja simuloi tunnistamista varmistaaksesi, että laite on oikein otettu käyttöön, ja raportoi palveluun. Suorita seuraavat vaiheet juuri perehdytetyssä laitteessa:

    1. Lataa komentosarjatiedosto ja pura se linux-palvelimeen.

    2. Myönnä suoritettavan tiedoston käyttöoikeudet komentosarjaan:

      chmod +x mde_linux_edr_diy.sh

    3. Suorita seuraava komento:

      ./mde_linux_edr_diy.sh

    4. Muutaman minuutin kuluttua Microsoft Defender XDR pitäisi havaita.

    5. Tarkista ilmoituksen tiedot, koneen aikajana ja suorita tyypilliset tutkintavaiheet.

Ulkoisten pakettien riippuvuuksien Microsoft Defender for Endpoint

Jos Microsoft Defender for Endpoint asennus epäonnistuu puuttuvien riippuvuusvirheiden vuoksi, voit ladata vaaditut riippuvuudet manuaalisesti.

Paketille on seuraavat ulkoisen mdatp paketin riippuvuudet:

  • Paketti mdatp RPM edellyttää - glibc >= 2.17,policycoreutils,selinux-policy-targeted, . mde-netfilter
  • DEBIAN-paketille mdatp vaaditaan libc6 >= 2.23,uuid-runtime, mde-netfilter
  • Mariner-paketti mdatp edellyttää attr,diffutils, , libacl, libattrlibselinux-utils, selinux-policy, , policycoreutilsmde-netfilter

Huomautus

Versiosta 101.24082.0004alkaen Defender for Endpoint on Linux ei enää tue tapahtumapalvelua Auditd . Olemme siirtymässä täysin tehokkaampaan eBPF-teknologiaan. Jos eBPF tietokoneita ei tueta tai jos on olemassa erityisiä vaatimuksia , Auditdja tietokoneet käyttävät Defender for Endpointia Linux-versiossa 101.24072.0001 tai sitä alemmassa versiossa, valvotun paketin seuraava lisäriippuvuus on olemassa kohteelle mdatp:

mdatp pakettiriippuvuudet

  • mdatp RPM Paketin edellytyknen on audit, semanage.
  • DEBIAN-paketissa mdatp tarvitaan auditd.
  • Marinerille mdatp paketti vaatii audit.

mde-netfilter Riippuvuudet

mde-netfilter Paketilla on myös seuraavat pakettiriippuvuudet:

  • DEBIAN-paketissa mde-netfilter tarvitaan libnetfilter-queue1, libglib2.0-0.
  • RPM:n mde-netfilter osalta paketti edellyttää :libmnla libnfnetlink, ,libnetfilter_queueglib2 .
  • Mariner-paketti mde-netfilter edellyttää : libnfnetlinklibnetfilter_queue.

Asennusongelmien vianmääritys

Jos kohtaat asennusongelmia, suorita itse vianmääritys seuraavasti:

  1. Lisätietoja automaattisesti asennusvirheen ilmetessä luodun lokin löytämisestä on artikkelissa Kirjaa asennusongelmat lokiin.

  2. Lisätietoja yleisistä asennusongelmista on kohdassa Asennusongelmat.

  3. Jos laitteen kunto on false, katso Defender for Endpoint agentin kunto-ongelmat.

  4. Lisätietoja tuotteen suorituskykyongelmista on artikkelissa Suorituskykyongelmien vianmääritys.

  5. Katso välityspalvelin- ja yhteysongelmat kohdasta Pilvipalveluun liittyvien ongelmien vianmääritys.

Jos haluat saada tukea Microsoftilta, avaa tukipalvelupyyntö ja anna lokitiedostot, jotka on luotu asiakasanalysaattorin avulla.

Kanavien välillä vaihtaminen

Voit esimerkiksi muuttaa kanavan Insiders-Fast tuotantokanavaksi seuraavasti:

  1. Insiders-Fast channel Poista Defender for Endpointin version asennus Linuxissa.

    sudo yum remove mdatp

  2. Poista Defender for Endpoint käytöstä Linux Insiders-Fast säilössä.

    sudo yum repolist

    Huomautus

    Tulosteen pitäisi näyttää packages-microsoft-com-fast-prod.

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Microsoft Defender for Endpoint uudelleen Linuxissa tuotantokanavan avulla.

Defender for Endpoint Linuxissa voidaan ottaa käyttöön jostakin seuraavista kanavista (merkitään muodossa [kanava]):

  • insiders-fast
  • insiders-slow
  • prod

Jokainen näistä kanavista vastaa Linux-ohjelmistosäilöä. Tämän artikkelin ohjeissa kuvataan laitteen määrittäminen käyttämään jotakin näistä säilöistä.

Kanavan valinta määrittää laitteellesi tarjottavien päivitysten tyypin ja esiintymistiheyden. Insider-laitteiden laitteet ovat ensimmäisiä, jotka saavat päivityksiä ja uusia ominaisuuksia, ja niitä seuraavat myöhemmin insider-käyttäjät, jotka ovat hitaita ja viimeiseksi prod.

Jotta voit esikatsella uusia ominaisuuksia ja antaa varhaista palautetta, on suositeltavaa määrittää jotkin yrityksen laitteet käyttämään joko insiders-fast tai insiders-slow.

Varoitus

Kanavan vaihtaminen ensimmäisen asennuksen jälkeen edellyttää tuotteen uudelleenasentamista. Tuotekanavan vaihtaminen: poista aiemmin luodun paketin asennus, määritä laitteesi käyttämään uutta kanavaa ja asenna paketti uudesta sijainnista tämän asiakirjan ohjeiden mukaisesti.

Microsoft Defender käytäntöjen määrittäminen Linuxissa

Voit määrittää virustentorjunnan ja EDR-asetukset päätepisteissäsi. Lisätietoja on seuraavissa artikkeleissa:

Vihje

Haluatko tietää lisää? Engage Microsoft Security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community