Ota Microsoft Defender for Endpoint käyttöön Linuxissa manuaalisesti
Koskee seuraavia:
- Microsoft Defender for Endpoint Server
- palvelimien Microsoft Defender
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Vihje
Etsitkö lisäohjeita Microsoft Defender for Endpoint käyttöönottoon Linuxissa? Katso Lisäkäyttöönoton opas Defender for Endpointista Linuxissa.
Tässä artikkelissa kuvataan, miten Microsoft Defender for Endpoint otetaan käyttöön Linuxissa manuaalisesti. Onnistunut käyttöönotto edellyttää, että kaikki seuraavat tehtävät on suoritettu loppuun:
- Edellytykset ja järjestelmävaatimukset
- Linux-ohjelmistosäilön määrittäminen
- Sovelluksen asennus
- Perehdytyspaketin lataaminen
- Asiakasmääritys
Edellytykset ja järjestelmävaatimukset
Ennen kuin aloitat, katso Microsoft Defender for Endpoint Linuxissa kuvaus nykyisen ohjelmistoversion edellytyksistä ja järjestelmävaatimuksista.
Varoitus
Käyttöjärjestelmän päivittäminen uuteen pääversioon tuotteen asennuksen jälkeen edellyttää tuotteen uudelleenasentamista. Sinun on poistettava aiemmin luodun Defender for Endpointin asennus Linuxissa, päivitettävä käyttöjärjestelmä ja määritettävä sitten Defender Linuxin päätepisteelle seuraavien vaiheiden mukaisesti.
Linux-ohjelmistosäilön määrittäminen
Defender for Endpoint on Linux voidaan ottaa käyttöön jostakin seuraavista kanavista (merkitään nimellä [kanava]): insider-fast, insiders-slow tai prod
. Jokainen näistä kanavista vastaa Linux-ohjelmistosäilöä. Tämän artikkelin ohjeissa kuvataan laitteen määrittäminen käyttämään jotakin näistä säilöistä.
Kanavan valinta määrittää laitteellesi tarjottavien päivitysten tyypin ja esiintymistiheyden.
Insider-laitteissa nopeasti toimivat laitteet saavat ensimmäisenä päivityksiä ja uusia ominaisuuksia, minkä jälkeen insider-käyttäjät ovat hitaita ja viimeistään prod
.
Jotta voit esikatsella uusia ominaisuuksia ja antaa varhaista palautetta, on suositeltavaa, että määrität jotkin yrityksesi laitteet käyttämään joko insider-laitteita nopeasti tai insider-hitaita.
Varoitus
Kanavan vaihtaminen ensimmäisen asennuksen jälkeen edellyttää tuotteen uudelleenasentamista. Tuotekanavan vaihtaminen: poista aiemmin luodun paketin asennus, määritä laitteesi käyttämään uutta kanavaa ja asenna paketti uudesta sijainnista tämän asiakirjan ohjeiden mukaisesti.
RHEL ja variantit (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky ja Alma)
Asenna
yum-utils
, jos sitä ei ole vielä asennettu:sudo yum install yum-utils
Etsi oikea paketti jakelua ja versiota varten. Seuraavan taulukon avulla voit paikantaa paketin:
Distro & versio Paketti Alma 8.4 ja uudemmat https://packages.microsoft.com/config/alma/8/prod.repo Alma 9.2 ja uudemmat https://packages.microsoft.com/config/alma/9/prod.repo RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo Rocky 8.7 ja uudempi https://packages.microsoft.com/config/rocky/8/prod.repo Rocky 9.2 ja uudempi https://packages.microsoft.com/config/rocky/9/prod.repo Huomautus
Määritä jakelun ja version osalta sen lähin merkintä (pääarvon mukaan, sitten alimerkintä) kohdasta
https://packages.microsoft.com/config/rhel/
.Korvaa seuraavissa komennoissa [version] ja [channel] tunnistamillasi tiedoilla:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
Vihje
Käytä hostnamectl-komentoa tunnistamaan järjestelmään liittyviä tietoja, mukaan lukien julkaisu [versio].
Jos käytössäsi on esimerkiksi CentOS 7 ja haluat ottaa Defender for Endpointin käyttöön Linuxissa kanavasta
prod
:sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
Jos haluat tutustua uusiin ominaisuuksiin valituissa laitteissa, haluat ehkä ottaa Microsoft Defender for Endpoint käyttöön Linuxissa insider-käyttäjille nopeasti:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
Asenna Microsoft GPG:n julkinen avain:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
SLES ja variantit
Huomautus
Määritä jakelun ja version osalta sen lähin merkintä (pääarvon mukaan, sitten alimerkintä) kohdasta https://packages.microsoft.com/config/sles/
.
Korvaa seuraavissa komennoissa [distro] ja [version] tunnistamillasi tiedoilla:
sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
Vihje
Käytä SPident-komentoa tunnistamaan järjestelmään liittyviä tietoja, mukaan lukien julkaisu [versio].
Jos käytössäsi on esimerkiksi SLES 12 ja haluat ottaa Microsoft Defender for Endpoint käyttöön Linuxissa kanavasta
prod
:sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
Asenna Microsoft GPG:n julkinen avain:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
Ubuntu- ja Debian-järjestelmät
Asenna
curl
, jos sitä ei ole vielä asennettu:sudo apt-get install curl
Asenna
libplist-utils
, jos sitä ei ole vielä asennettu:sudo apt-get install libplist-utils
Huomautus
Määritä jakelun ja version osalta sen lähin merkintä (pääarvon mukaan, sitten alimerkintä) kohdasta
https://packages.microsoft.com/config/[distro]/
.Korvaa seuraavassa komennossa [distro] ja [version] tunnistamillasi tiedoilla:
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
Vihje
Käytä hostnamectl-komentoa tunnistamaan järjestelmään liittyviä tietoja, mukaan lukien julkaisu [versio].
Jos käytössäsi on esimerkiksi Ubuntu 18.04 ja haluat ottaa Microsoft Defender for Endpoint käyttöön Linuxissa kanavasta
prod
:curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
Asenna säilön määritys:
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
Jos esimerkiksi valitset
prod
kanavan:sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
Asenna paketti,
gpg
jos sitä ei ole vielä asennettu:sudo apt-get install gpg
Jos
gpg
ei ole käytettävissä, asennagnupg
.sudo apt-get install gnupg
Asenna Microsoft GPG:n julkinen avain:
Suorita seuraava komento Debian 11:lle ja sitä aiemmille.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
Suorita seuraava komento Debian 12:lle ja sitä uudemmissa versioissa.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
Asenna HTTPS-ohjain, jos sitä ei ole vielä asennettu:
sudo apt-get install apt-transport-https
Päivitä säilön metatiedot:
sudo apt-get update
Merimies
Asenna
dnf-plugins-core
, jos sitä ei ole vielä asennettu:sudo dnf install dnf-plugins-core
Määritä ja ota käyttöön tarvittavat säilöt.
Huomautus
Marinerissa Insider Fast Channel ei ole käytettävissä.
Jos haluat ottaa Defender for Endpointin käyttöön Linuxissa kanavasta
prod
. Käytä seuraavia komentojasudo dnf install mariner-repos-extras sudo dnf config-manager --enable mariner-official-extras
Tai jos haluat tutustua uusiin ominaisuuksiin valituissa laitteissa, haluat ehkä ottaa Microsoft Defender for Endpoint käyttöön Linuxissa insider-hitaille kanavilla. Käytä seuraavia komentoja:
sudo dnf install mariner-repos-extras-preview sudo dnf config-manager --enable mariner-official-extras-preview
Sovelluksen asennus
Asenna Defender for Endpoint Linux-jakeluun seuraavien osien komentojen avulla.
RHEL ja variantit (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky ja Alma)
sudo yum install mdatp
Huomautus
Jos laitteessasi on useita Microsoft-säilöjä, voit olla tarkka siitä, mistä säilöstä paketti asennetaan. Seuraavassa esimerkissä näytetään, miten paketti asennetaan kanavasta production
, jos sinulla on insiders-fast
myös säilökanava määritettynä tässä laitteessa. Näin voi käydä, jos käytät useita Microsoft-tuotteita laitteessasi. Palvelimesi jakelusta ja versiosta riippuen säilön alias voi olla eri kuin seuraavassa esimerkissä.
# list all repositories
yum repolist
...
packages-microsoft-com-prod packages-microsoft-com-prod 316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins 2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
SLES ja variantit
sudo zypper install mdatp
Huomautus
Jos laitteessasi on useita Microsoft-säilöjä, voit olla tarkka siitä, mistä säilöstä paketti asennetaan. Seuraavassa esimerkissä näytetään, miten paketti asennetaan kanavasta production
, jos sinulla on insiders-fast
myös säilökanava määritettynä tässä laitteessa. Näin voi käydä, jos käytät useita Microsoft-tuotteita laitteessasi.
zypper repos
...
# | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp
Ubuntu- ja Debian-järjestelmät
sudo apt-get install mdatp
Huomautus
Jos laitteessasi on useita Microsoft-säilöjä, voit olla tarkka siitä, mistä säilöstä paketti asennetaan. Seuraavassa esimerkissä näytetään, miten paketti asennetaan kanavasta production
, jos sinulla on insiders-fast
myös säilökanava määritettynä tässä laitteessa. Näin voi käydä, jos käytät useita Microsoft-tuotteita laitteessasi.
cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp
Huomautus
Uudelleenkäynnistystä EI tarvita Microsoft Defender for Endpoint Linuxissa asentamisen tai päivittämisen jälkeen, paitsi silloin, kun valvonta on käynnissä muuttumattomassa tilassa.
Merimies
sudo dnf install mdatp
Huomautus
Jos laitteessasi on useita Microsoft-säilöjä, voit olla tarkka siitä, mistä säilöstä paketti asennetaan. Seuraavassa esimerkissä näytetään, miten paketti asennetaan kanavasta production
, jos sinulla on insiders-slow
myös säilökanava määritettynä tässä laitteessa. Näin voi käydä, jos käytät useita Microsoft-tuotteita laitteessasi.
sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras
Perehdytyspaketin lataaminen
Lataa perehdytyspaketti Microsoft Defender portaalista.
Varoitus
Defender for Endpoint -asennuspaketin uudelleenpakkaamista ei tueta. Tämä voi vaikuttaa kielteisesti tuotteen eheyteen ja johtaa haitallisiin tuloksiin, mukaan lukien muun muassa peukalointiilmoitusten ja päivitysten epäonnistumiseen.
Tärkeää
Jos et näe tätä vaihetta, suoritettavassa komennossa näkyy varoitussanoma, joka ilmaisee, että tuotteella ei ole käyttöoikeutta.
mdatp health
Komento palauttaa myös -arvonfalse
.
Siirry Microsoft Defender portaalissa kohtaan Asetukset>Päätepisteet>Laitteiden hallinta>Perehdytys.
Valitse ensimmäisestä avattavasta valikosta käyttöjärjestelmäksi Linux Server . Valitse käyttöönottomenetelmäksi paikallinen komentosarja toisesta avattavasta valikosta.
Valitse Lataa perehdytyspaketti. Tallenna tiedosto nimellä
WindowsDefenderATPOnboardingPackage.zip
.Tarkista komentokehotteesta, että sinulla on tiedosto, ja pura arkiston sisältö:
ls -l
total 8 -rw-r--r-- 1 test staff 5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
unzip WindowsDefenderATPOnboardingPackage.zip
Archive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
Asiakasmääritys
Kopioi
MicrosoftDefenderATPOnboardingLinuxServer.py
kohdelaitteeseen.Huomautus
Aluksi asiakaslaitetta ei ole liitetty organisaatioon ja orgId-määrite on tyhjä.
mdatp health --field org_id
Suorita jokin alla olevista skenaarioista.
Huomautus
Tämän komennon suorittaminen edellyttää
python
, että olet asentanut taipython3
asentanut sen laitteeseen distro- ja version mukaan. Katso tarvittaessa vaiheittaiset ohjeet Pythonin asentamiseen Linuxiin.Jos haluat lisätä aiemmin käytöstä poistetun laitteen, sinun on poistettava mdatp_offboard.json-tiedosto, joka sijaitsee sijainnissa /etc/opt/microsoft/mdatp.
Jos käytössäsi on RHEL 8.x tai Ubuntu 20.04 tai uudempi, sinun on käytettävä -
python3
Suorita seuraava komento:sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
Jos haluat käyttää muita esittelyjä ja versioita, sinun on käytettävä -
python
Suorita seuraava komento:sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
Varmista, että laite on nyt liitetty organisaatioosi ja raportoi kelvollisen organisaatiotunnuksen:
mdatp health --field org_id
Tarkista tuotteen kunto suorittamalla seuraava komento. Palautusarvo
true
, joka ilmaisee, että tuote toimii odotetulla tavalla:mdatp health --field healthy
Tärkeää
Kun tuote käynnistyy ensimmäistä kertaa, se lataa uusimmat haittaohjelmien torjuntamääritykset. Tämä prosessi voi kestää jopa muutaman minuutin verkkoyhteyden mukaan. Tänä aikana aiemmin mainittu komento palauttaa arvon
false
. Voit tarkistaa määrityspäivityksen tilan seuraavalla komennolla:mdatp health --field definitions_status
Saatat myös joutua määrittämään välityspalvelimen alkuperäisen asennuksen suorittamisen jälkeen. Lisätietoja staattisen välityspalvelimen etsimisestä on kohdassa Defenderin määrittäminen Linux-päätepisteelle: asennuksen jälkeinen määritys.
Suorita virustentorjunnan tunnistustesti varmistaaksesi, että laite on otettu käyttöön oikein, ja raportoi palveluun. Suorita seuraavat vaiheet juuri perehdytetyssä laitteessa:
Varmista, että reaaliaikainen suojaus on käytössä (seuraavan komennon suorittamisen
true
tuloksena):mdatp health --field real_time_protection_enabled
Jos se ei ole käytössä, suorita seuraava komento:
mdatp config real-time-protection --value enabled
Jos haluat suorittaa tunnistustestin, avaa Pääte-ikkuna. ja suorita sitten seuraava komento:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
Voit suorittaa lisää tunnistustestejä zip-tiedostoille käyttämällä jompaakumpaa seuraavista komennoista:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
Defenderin pitää asettaa tiedostot karanteeniin Linux-päätepistettä varten.
Luettele kaikki havaitut uhat seuraavan komennon avulla:
mdatp threat list
Suorita EDR-tunnistustesti ja simuloi tunnistamista varmistaaksesi, että laite on oikein otettu käyttöön, ja raportoi palveluun. Suorita seuraavat vaiheet juuri perehdytetyssä laitteessa:
Varmista, että käytössä oleva Linux-palvelin näkyy Microsoft Defender XDR. Jos tämä on koneen ensimmäinen perehdytys, sen ilmestymiseen voi mennä jopa 20 minuuttia.
Lataa ja pura komentosarjatiedosto perehdyttämälle Linux-palvelimelle ja suorita sitten seuraava komento:
./mde_linux_edr_diy.sh
Muutaman minuutin kuluttua tunnistaminen tulee nostaa Microsoft Defender XDR.
Katso ilmoituksen tietoja, koneen aikajanaa ja suorita tyypilliset tutkimusvaiheet.
Ulkoisten pakettien riippuvuuksien Microsoft Defender for Endpoint
Paketille on seuraavat ulkoisen mdatp
paketin riippuvuudet:
- Mdatp RPM -paketti edellyttää
glibc >= 2.17
,policycoreutils
, ,selinux-policy-targeted
mde-netfilter
- DEBIAN-parametria varten mdatp-paketti edellyttää
libc6 >= 2.23
, ,uuid-runtime
mde-netfilter
- Marinerille mdatp-paketti edellyttää
attr
: ,diffutils
,libacl
,libattr
,libselinux-utils
,selinux-policy
, ,policycoreutils
mde-netfilter
Huomautus
Versiosta 101.24082.0004
alkaen Defender for Endpoint on Linux ei enää tue tapahtumapalvelua Auditd
. Olemme siirtymässä täysin tehokkaampaan eBPF-teknologiaan.
Jos eBPF:tä ei tueta koneissasi tai jos auditoinnissa on tiettyjä vaatimuksia ja laitteesi käyttävät Defender for Endpointia Linux-versiossa 101.24072.0001
tai sitä alemmassa versiossa, mdatp:lle on olemassa seuraavat muut riippuvuussuhteet valvottuun pakettiin:
- Mdatp RPM -paketti edellyttää :
audit
.semanage
- DEBIAN:ssä mdatp-paketti edellyttää .
auditd
- Marinerille mdatp-paketti edellyttää
audit
.
mde-netfilter
Paketilla on myös seuraavat pakettiriippuvuudet:
- DEBIAN-paketissa tarvitaan
mde-netfilter
libnetfilter-queue1
,libglib2.0-0
- RPM-turvapiiriä
mde-netfilter
varten paketti edellyttäälibmnl
,libnfnetlink
, ,libnetfilter_queue
glib2
- Mariner-paketti
mde-netfilter
edellyttäälibnfnetlink
:libnetfilter_queue
Jos Microsoft Defender for Endpoint asennus epäonnistuu puuttuvien riippuvuusvirheiden vuoksi, voit ladata edellytettävät riippuvuudet manuaalisesti.
Asennusongelmien vianmääritys
Lisätietoja asennusvirheen ilmetessä luotavan lokin löytämisestä on kohdassa Kirjaa asennusongelmat lokiin.
Lisätietoja yleisistä asennusongelmista on kohdassa Asennusongelmat.
Jos laitteen kunto on epätosi, katso Agentin kunto-ongelmien tutkiminen.
Lisätietoja tuotteiden suorituskykyongelmista on artikkelissa Microsoft Defender for Endpoint suorituskykyongelmien vianmääritys Linuxissa.
Lisätietoja välityspalvelimen ja yhteyden ongelmista on artikkelissa Microsoft Defender for Endpoint Linuxin pilvipalveluyhteysongelmien vianmääritys.
Jos haluat saada tukea Microsoftilta, avaa tukipalvelupyyntö ja anna lokitiedostot, jotka on luotu Microsoft Defender for Endpoint asiakasanalysointityökalulla.
Kanavien välillä vaihtaminen
Voit esimerkiksi muuttaa kanavan Insiders-Fast tuotantokanavaksi seuraavasti:
Insiders-Fast channel
Poista Defender for Endpointin version asennus Linuxissa.sudo yum remove mdatp
Defender for Endpointin poistaminen käytöstä Linux-Insiders-Fast kanavassa
sudo yum-config-manager --disable packages-microsoft-com-fast-prod
Asenna Microsoft Defender for Endpoint uudelleen Linuxissa Microsoft Defender
Production channel
portaalin -laitteessa ja -laitteessa.
Microsoft Defender for Endpoint käytäntöjen määrittäminen Linuxissa
Voit määrittää virustentorjunnan ja EDR-asetukset päätepisteissäsi. Lisätietoja on seuraavissa artikkeleissa:
- Määritä asetukset Microsoft Defender for Endpoint Linuxissa kuvaa käytettävissä olevia asetuksia
- Suojausasetusten hallinta kuvailee, miten voit määrittää asetuksia Microsoft Defender portaalissa.
Poista Microsoft Defender for Endpoint Linuxissa
Manuaalista asennuksen poistoa varten suorita seuraava komento Linux-jakelulle.
-
sudo yum remove mdatp
RHEL:lle ja varianteille (CentOS ja Oracle Linux). -
sudo zypper remove mdatp
SLES-suodattimien ja varianttien osalta. -
sudo apt-get purge mdatp
Ubuntu- ja Debian-järjestelmissä. -
sudo dnf remove mdatp
Marinerille
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.