Ota Microsoft Defender for Endpoint käyttöön Linuxissa manuaalisesti

Koskee seuraavia:

• palvelimien Microsoft Defender for Endpoint
• palvelinten palvelupaketin 1 tai palvelupaketin 2 Microsoft Defender

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tässä artikkelissa kuvataan, miten Microsoft Defender for Endpoint otetaan käyttöön Linuxissa manuaalisesti. Onnistunut käyttöönotto edellyttää, että kaikki seuraavat tehtävät on suoritettu loppuun:

• Edellytykset ja järjestelmävaatimukset
• Linux-ohjelmistosäilön määrittäminen
  • RHEL ja variantit (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky ja Alma)
  • SLES ja variantit
  • Ubuntu- ja Debian-järjestelmät
  • Merimies
• Sovelluksen asennus
  • RHEL ja variantit (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky ja Alma)
  • SLES ja variantit
  • Ubuntu- ja Debian-järjestelmät
  • Merimies
• Perehdytyspaketin lataaminen
• Asiakasmääritys

Edellytykset ja järjestelmävaatimukset

Ennen kuin aloitat, katso Microsoft Defender for Endpoint Linuxissa kuvaus nykyisen ohjelmistoversion edellytyksistä ja järjestelmävaatimuksista.

Varoitus

Käyttöjärjestelmän päivittäminen uuteen pääversioon tuotteen asennuksen jälkeen edellyttää tuotteen uudelleenasentamista. Sinun on poistettava aiemmin luodun Defender for Endpointin asennus Linuxissa, päivitettävä käyttöjärjestelmä ja määritettävä sitten Defender Linuxin päätepisteelle seuraavien vaiheiden mukaisesti.

Linux-ohjelmistosäilön määrittäminen

Defender for Endpoint on Linux voidaan ottaa käyttöön jostakin seuraavista kanavista (merkitään nimellä [kanava]): insider-fast, insiders-slow tai prod. Jokainen näistä kanavista vastaa Linux-ohjelmistosäilöä. Tämän artikkelin ohjeissa kuvataan laitteen määrittäminen käyttämään jotakin näistä säilöistä.

Kanavan valinta määrittää laitteellesi tarjottavien päivitysten tyypin ja esiintymistiheyden. Insider-laitteissa nopeasti toimivat laitteet saavat ensimmäisenä päivityksiä ja uusia ominaisuuksia, minkä jälkeen insider-käyttäjät ovat hitaita ja viimeistään prod.

Jotta voit esikatsella uusia ominaisuuksia ja antaa varhaista palautetta, on suositeltavaa, että määrität jotkin yrityksesi laitteet käyttämään joko insider-laitteita nopeasti tai insider-hitaita.

Varoitus

Kanavan vaihtaminen ensimmäisen asennuksen jälkeen edellyttää tuotteen uudelleenasentamista. Tuotekanavan vaihtaminen: poista aiemmin luodun paketin asennus, määritä laitteesi käyttämään uutta kanavaa ja asenna paketti uudesta sijainnista tämän asiakirjan ohjeiden mukaisesti.

RHEL ja variantit (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky ja Alma)

1. Asenna yum-utils , jos sitä ei ole vielä asennettu:

   sudo yum install yum-utils
   

2. Etsi oikea paketti jakelua ja versiota varten. Seuraavan taulukon avulla voit paikantaa paketin:

   Distro & versio	Paketti
   Alma 8.4 ja uudemmat	https://packages.microsoft.com/config/alma/8/prod.repo
   Alma 9.2 ja uudemmat	https://packages.microsoft.com/config/alma/9/prod.repo
   RHEL/Centos/Oracle 9.0-9.8	https://packages.microsoft.com/config/rhel/9/prod.repo
   RHEL/Centos/Oracle 8.0-8.10	https://packages.microsoft.com/config/rhel/8/prod.repo
   RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2	https://packages.microsoft.com/config/rhel/7.2/prod.repo
   Amazon Linux 2023	https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
   Fedora 33	https://packages.microsoft.com/config/fedora/33/prod.repo
   Fedora 34	https://packages.microsoft.com/config/fedora/34/prod.repo
   Rocky 8.7 ja uudempi	https://packages.microsoft.com/config/rocky/8/prod.repo
   Rocky 9.2 ja uudempi	https://packages.microsoft.com/config/rocky/9/prod.repo

   Huomautus

   Määritä jakelun ja version osalta sen lähin merkintä (pääarvon mukaan, sitten alimerkintä) kohdasta https://packages.microsoft.com/config/rhel/.

3. Korvaa seuraavissa komennoissa [version] ja [channel] tunnistamillasi tiedoilla:

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
   

   Vihje

   Käytä hostnamectl-komentoa tunnistamaan järjestelmään liittyviä tietoja, mukaan lukien julkaisu [versio].

   Jos käytössäsi on esimerkiksi CentOS 7 ja haluat ottaa Defender for Endpointin käyttöön Linuxissa kanavasta prod :

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
   

   Jos haluat tutustua uusiin ominaisuuksiin valituissa laitteissa, haluat ehkä ottaa Microsoft Defender for Endpoint käyttöön Linuxissa insider-käyttäjille nopeasti:

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
   

4. Asenna Microsoft GPG:n julkinen avain:

   sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
   

SLES ja variantit

Huomautus

Määritä jakelun ja version osalta sen lähin merkintä (pääarvon mukaan, sitten alimerkintä) kohdasta https://packages.microsoft.com/config/sles/.

1. Korvaa seuraavissa komennoissa [distro] ja [version] tunnistamillasi tiedoilla:

   sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
   

   Vihje

   Käytä SPident-komentoa tunnistamaan järjestelmään liittyviä tietoja, mukaan lukien julkaisu [versio].

   Jos käytössäsi on esimerkiksi SLES 12 ja haluat ottaa Microsoft Defender for Endpoint käyttöön Linuxissa kanavastaprod:

   sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
   

2. Asenna Microsoft GPG:n julkinen avain:

   sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
   

Ubuntu- ja Debian-järjestelmät

1. Asenna curl , jos sitä ei ole vielä asennettu:

   sudo apt-get install curl
   

2. Asenna libplist-utils , jos sitä ei ole vielä asennettu:

   sudo apt-get install libplist-utils
   

   Huomautus

   Määritä jakelun ja version osalta sen lähin merkintä (pääarvon mukaan, sitten alimerkintä) kohdasta https://packages.microsoft.com/config/[distro]/.

3. Korvaa seuraavassa komennossa [distro] ja [version] tunnistamillasi tiedoilla:

   curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
   

   Vihje

   Käytä hostnamectl-komentoa tunnistamaan järjestelmään liittyviä tietoja, mukaan lukien julkaisu [versio].

   Jos käytössäsi on esimerkiksi Ubuntu 18.04 ja haluat ottaa Microsoft Defender for Endpoint käyttöön Linuxissa kanavastaprod:

   curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
   

4. Asenna säilön määritys:

   sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
   

   Jos esimerkiksi valitset prod kanavan:

   sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
   

5. Asenna paketti, gpg jos sitä ei ole vielä asennettu:

   sudo apt-get install gpg
   

   Jos gpg ei ole käytettävissä, asenna gnupg.

   sudo apt-get install gnupg
   

6. Asenna Microsoft GPG:n julkinen avain:

   • Suorita seuraava komento Debian 11:lle ja sitä aiemmille.

     curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
     

   • Suorita seuraava komento Debian 12:lle ja sitä uudemmissa versioissa.

     curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
     

7. Asenna HTTPS-ohjain, jos sitä ei ole vielä asennettu:

   sudo apt-get install apt-transport-https
   

8. Päivitä säilön metatiedot:

   sudo apt-get update
   

Merimies

1. Asenna dnf-plugins-core , jos sitä ei ole vielä asennettu:

   sudo dnf install dnf-plugins-core
   

2. Määritä ja ota käyttöön tarvittavat säilöt.

   Huomautus

   Marinerissa Insider Fast Channel ei ole käytettävissä.

   Jos haluat ottaa Defender for Endpointin käyttöön Linuxissa kanavasta prod . Käytä seuraavia komentoja

   sudo dnf install mariner-repos-extras
   sudo dnf config-manager --enable mariner-official-extras
   

   Tai jos haluat tutustua uusiin ominaisuuksiin valituissa laitteissa, haluat ehkä ottaa Microsoft Defender for Endpoint käyttöön Linuxissa insider-hitaille kanavilla. Käytä seuraavia komentoja:

   sudo dnf install mariner-repos-extras-preview
   sudo dnf config-manager --enable mariner-official-extras-preview
   

Sovelluksen asennus

Asenna Defender for Endpoint Linux-jakeluun seuraavien osien komentojen avulla.

RHEL ja variantit (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky ja Alma)

sudo yum install mdatp

Huomautus

Jos laitteessasi on useita Microsoft-säilöjä, voit olla tarkka siitä, mistä säilöstä paketti asennetaan. Seuraavassa esimerkissä näytetään, miten paketti asennetaan kanavasta production , jos sinulla on insiders-fast myös säilökanava määritettynä tässä laitteessa. Näin voi käydä, jos käytät useita Microsoft-tuotteita laitteessasi. Palvelimesi jakelusta ja versiosta riippuen säilön alias voi olla eri kuin seuraavassa esimerkissä.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES ja variantit

sudo zypper install mdatp

Huomautus

Jos laitteessasi on useita Microsoft-säilöjä, voit olla tarkka siitä, mistä säilöstä paketti asennetaan. Seuraavassa esimerkissä näytetään, miten paketti asennetaan kanavasta production , jos sinulla on insiders-fast myös säilökanava määritettynä tässä laitteessa. Näin voi käydä, jos käytät useita Microsoft-tuotteita laitteessasi.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu- ja Debian-järjestelmät

sudo apt-get install mdatp

Huomautus

Jos laitteessasi on useita Microsoft-säilöjä, voit olla tarkka siitä, mistä säilöstä paketti asennetaan. Seuraavassa esimerkissä näytetään, miten paketti asennetaan kanavasta production , jos sinulla on insiders-fast myös säilökanava määritettynä tässä laitteessa. Näin voi käydä, jos käytät useita Microsoft-tuotteita laitteessasi.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Huomautus

Uudelleenkäynnistystä EI tarvita Microsoft Defender for Endpoint Linuxissa asentamisen tai päivittämisen jälkeen, paitsi silloin, kun valvonta on käynnissä muuttumattomassa tilassa.

Merimies

sudo dnf install mdatp

Huomautus

Jos laitteessasi on useita Microsoft-säilöjä, voit olla tarkka siitä, mistä säilöstä paketti asennetaan. Seuraavassa esimerkissä näytetään, miten paketti asennetaan kanavasta production , jos sinulla on insiders-slow myös säilökanava määritettynä tässä laitteessa. Näin voi käydä, jos käytät useita Microsoft-tuotteita laitteessasi.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Perehdytyspaketin lataaminen

Lataa perehdytyspaketti Microsoft Defender portaalista.

Varoitus

Defender for Endpoint -asennuspaketin uudelleenpakkaamista ei tueta. Tämä voi vaikuttaa kielteisesti tuotteen eheyteen ja johtaa haitallisiin tuloksiin, mukaan lukien muun muassa peukalointiilmoitusten ja päivitysten epäonnistumiseen.

Tärkeää

Jos et näe tätä vaihetta, suoritettavassa komennossa näkyy varoitussanoma, joka ilmaisee, että tuotteella ei ole käyttöoikeutta. mdatp health Komento palauttaa myös -arvonfalse.

1. Siirry Microsoft Defender portaalissa kohtaan Asetukset>Päätepisteet>Laitteiden hallinta>Perehdytys.

2. Valitse ensimmäisestä avattavasta valikosta käyttöjärjestelmäksi Linux Server . Valitse käyttöönottomenetelmäksi paikallinen komentosarja toisesta avattavasta valikosta.

3. Valitse Lataa perehdytyspaketti. Tallenna tiedosto nimellä WindowsDefenderATPOnboardingPackage.zip.

   

4. Tarkista komentokehotteesta, että sinulla on tiedosto, ja pura arkiston sisältö:

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
   

Asiakasmääritys

1. Kopioi MicrosoftDefenderATPOnboardingLinuxServer.py kohdelaitteeseen.

   Huomautus

   Aluksi asiakaslaitetta ei ole liitetty organisaatioon ja orgId-määrite on tyhjä.

   mdatp health --field org_id
   

2. Suorita jokin alla olevista skenaarioista.

   Huomautus

   Tämän komennon suorittaminen edellyttää python , että olet asentanut tai python3 asentanut sen laitteeseen distro- ja version mukaan. Katso tarvittaessa vaiheittaiset ohjeet Pythonin asentamiseen Linuxiin.

   Jos haluat lisätä aiemmin käytöstä poistetun laitteen, sinun on poistettava mdatp_offboard.json-tiedosto, joka sijaitsee sijainnissa /etc/opt/microsoft/mdatp.

   Jos käytössäsi on RHEL 8.x tai Ubuntu 20.04 tai uudempi, sinun on käytettävä -python3 Suorita seuraava komento:

   sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
   

   Jos haluat käyttää muita esittelyjä ja versioita, sinun on käytettävä -python Suorita seuraava komento:

   sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
   

3. Varmista, että laite on nyt liitetty organisaatioosi ja raportoi kelvollisen organisaatiotunnuksen:

   mdatp health --field org_id
   

4. Tarkista tuotteen kunto suorittamalla seuraava komento. Palautusarvo true , joka ilmaisee, että tuote toimii odotetulla tavalla:

   mdatp health --field healthy
   

   Tärkeää

   Kun tuote käynnistyy ensimmäistä kertaa, se lataa uusimmat haittaohjelmien torjuntamääritykset. Tämä prosessi voi kestää jopa muutaman minuutin verkkoyhteyden mukaan. Tänä aikana aiemmin mainittu komento palauttaa arvon false. Voit tarkistaa määrityspäivityksen tilan seuraavalla komennolla:

   mdatp health --field definitions_status
   

   Saatat myös joutua määrittämään välityspalvelimen alkuperäisen asennuksen suorittamisen jälkeen. Lisätietoja staattisen välityspalvelimen etsimisestä on kohdassa Defenderin määrittäminen Linux-päätepisteelle: asennuksen jälkeinen määritys.

5. Suorita virustentorjunnan tunnistustesti varmistaaksesi, että laite on otettu käyttöön oikein, ja raportoi palveluun. Suorita seuraavat vaiheet juuri perehdytetyssä laitteessa:

   1. Varmista, että reaaliaikainen suojaus on käytössä (seuraavan komennon suorittamisen true tuloksena):

      mdatp health --field real_time_protection_enabled
      

      Jos se ei ole käytössä, suorita seuraava komento:

      mdatp config real-time-protection --value enabled
      

   2. Jos haluat suorittaa tunnistustestin, avaa Pääte-ikkuna. ja suorita sitten seuraava komento:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. Voit suorittaa lisää tunnistustestejä zip-tiedostoille käyttämällä jompaakumpaa seuraavista komennoista:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

      Defenderin pitää asettaa tiedostot karanteeniin Linux-päätepistettä varten.

   4. Luettele kaikki havaitut uhat seuraavan komennon avulla:

      mdatp threat list
      

6. Suorita EDR-tunnistustesti ja simuloi tunnistamista varmistaaksesi, että laite on oikein otettu käyttöön, ja raportoi palveluun. Suorita seuraavat vaiheet juuri perehdytetyssä laitteessa:

   1. Varmista, että käytössä oleva Linux-palvelin näkyy Microsoft Defender XDR. Jos tämä on koneen ensimmäinen perehdytys, sen ilmestymiseen voi mennä jopa 20 minuuttia.

   2. Lataa ja pura komentosarjatiedosto perehdyttämälle Linux-palvelimelle ja suorita sitten seuraava komento: ./mde_linux_edr_diy.sh

      Muutaman minuutin kuluttua tunnistaminen tulee nostaa Microsoft Defender XDR.

   3. Katso ilmoituksen tietoja, koneen aikajanaa ja suorita tyypilliset tutkimusvaiheet.

Ulkoisten pakettien riippuvuuksien Microsoft Defender for Endpoint

Paketille on seuraavat ulkoisen mdatp paketin riippuvuudet:

• Mdatp RPM -paketti edellyttää glibc >= 2.17, policycoreutils, , selinux-policy-targetedmde-netfilter
• DEBIAN-parametria varten mdatp-paketti edellyttää libc6 >= 2.23, , uuid-runtimemde-netfilter
• Marinerille mdatp-paketti edellyttää attr: , diffutils, libacl, libattr, libselinux-utils, selinux-policy, , policycoreutilsmde-netfilter

Huomautus

Versiosta 101.24082.0004alkaen Defender for Endpoint on Linux ei enää tue tapahtumapalvelua Auditd . Olemme siirtymässä täysin tehokkaampaan eBPF-teknologiaan. Jos eBPF:tä ei tueta koneissasi tai jos auditoinnissa on tiettyjä vaatimuksia ja laitteesi käyttävät Defender for Endpointia Linux-versiossa 101.24072.0001 tai sitä alemmassa versiossa, mdatp:lle on olemassa seuraavat muut riippuvuussuhteet valvottuun pakettiin:

• Mdatp RPM -paketti edellyttää : audit. semanage
• DEBIAN:ssä mdatp-paketti edellyttää .auditd
• Marinerille mdatp-paketti edellyttää audit.

mde-netfilter Paketilla on myös seuraavat pakettiriippuvuudet:

• DEBIAN-paketissa tarvitaan mde-netfilterlibnetfilter-queue1, libglib2.0-0
• RPM-turvapiiriä mde-netfilter varten paketti edellyttää libmnl, libnfnetlink, , libnetfilter_queueglib2
• Mariner-paketti mde-netfilter edellyttää libnfnetlink: libnetfilter_queue

Jos Microsoft Defender for Endpoint asennus epäonnistuu puuttuvien riippuvuusvirheiden vuoksi, voit ladata edellytettävät riippuvuudet manuaalisesti.

Asennusongelmien vianmääritys

Jos kohtaat asennusongelmia, suorita itse vianmääritys seuraavasti:

1. Lisätietoja automaattisesti asennusvirheen ilmetessä luodun lokin löytämisestä on artikkelissa Kirjaa asennusongelmat lokiin.

2. Lisätietoja yleisistä asennusongelmista on kohdassa Asennusongelmat.

3. Jos laitteen kunto on false, katso Defender for Endpoint agentin kunto-ongelmat.

4. Lisätietoja tuotteen suorituskykyongelmista on artikkelissa Suorituskykyongelmien vianmääritys.

5. Katso välityspalvelin- ja yhteysongelmat kohdasta Pilvipalveluun liittyvien ongelmien vianmääritys.

Jos haluat saada tukea Microsoftilta, avaa tukipalvelupyyntö ja anna lokitiedostot, jotka on luotu asiakasanalysaattorin avulla.

Kanavien välillä vaihtaminen

Voit esimerkiksi muuttaa kanavan Insiders-Fast tuotantokanavaksi seuraavasti:

1. Insiders-Fast channel Poista Defender for Endpointin version asennus Linuxissa.

   sudo yum remove mdatp
   

2. Defender for Endpointin poistaminen käytöstä Linux-Insiders-Fast kanavassa

   sudo yum-config-manager --disable packages-microsoft-com-fast-prod
   

3. Asenna Microsoft Defender for Endpoint uudelleen Linuxissa Microsoft Defender Production channelportaalin -laitteessa ja -laitteessa.

Microsoft Defender for Endpoint käytäntöjen määrittäminen Linuxissa

Voit määrittää virustentorjunnan ja EDR-asetukset päätepisteissäsi. Lisätietoja on seuraavissa artikkeleissa:

• Määritä asetukset Microsoft Defender for Endpoint Linuxissa kuvaa käytettävissä olevia asetuksia
• Suojausasetusten hallinta kuvailee, miten voit määrittää asetuksia Microsoft Defender portaalissa.

Poista Microsoft Defender for Endpoint Linuxissa

Manuaalista asennuksen poistoa varten suorita seuraava komento Linux-jakelulle.

• sudo yum remove mdatp RHEL:lle ja varianteille (CentOS ja Oracle Linux).
• sudo zypper remove mdatp SLES-suodattimien ja varianttien osalta.
• sudo apt-get purge mdatp Ubuntu- ja Debian-järjestelmissä.
• sudo dnf remove mdatp Marinerille

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.