Jaa

Microsoft Defender for Endpoint Linuxissa ARM64-pohjaisille laitteille (esikatselu)

  • Artikkeli

Yleiskatsaus Defender for Endpointista Linuxissa ARM64-pohjaisille laitteille

Kuten ehkä jo tiedät, Microsoft Defender for Endpoint Linuxissa on yhdistetty päätepisteen suojausratkaisu, joka auttaa suojaamaan palvelinlaitteita kehittyneiltä uhilta. Defender for Endpoint on Linux laajentaa nyt TUKEA ARM64-pohjaisille Linux-palvelimille esikatselussa. Kuten x64-pohjaiset Linux-palvelimet (mukaan lukien Intel ja AMD 64-bittinen ympäristö), seuraavat ominaisuudet sisältyvät:

  • Microsoft Defenderin virustentorjunta
  • Päätepisteen tunnistaminen ja vastaus (EDR)
  • Reaaliaikainen vastaus
  • Laitteen eristys
  • Tarkennettu etsintä
  • Haavoittuvuuksien hallinta
  • Keskitetty käytäntömääritys suojausasetusten hallinnan avulla

Aluksi esiversio tukee seuraavia Linux-jakeluja:

  • Ubuntu 20.04 ARM64

  • Ubuntu 22.04 ARM64

  • Ubuntu 24.04 ARM64

  • Amazon Linux 2 ARM64

  • Amazon Linux 2023 ARM64

  • RHEL 8.x ARM64

  • RHEL 9.x ARM64

  • Oracle Linux 8.x ARM64

  • Oracle Linux 9.x ARM64

  • SUSE Linux Enterprise Server 15 (SP5, SP6) ARM64

Huomautus

Tämän esiversio-ohjelman osana suunnitellaan tukea useammille Linux-jakeluille.

Defender for Endpointin käyttöönotto Linuxissa ARM64-pohjaisille laitteille

Tämän artikkelin käyttöönottomenetelmät asentavat agentin version 101.24102.0003 insider-hitaiden kanavien kautta ARM64-pohjaiseen laitteeseen. (Katso Microsoft Defender for Endpoint uudet ominaisuudet Linuxissa.)

Voit ottaa Defender for Endpointin käyttöön Linuxissa ARM64-pohjaisessa laitteessa useilla tavoilla:

Alkuvalmistelut

  • Varmista, että Defender for Endpoint on Linuxin edellytykset täyttyvät

  • Palvelinkäyttöoikeudet vaaditaan, jotta palvelin voidaan lisätä Defender for Endpointiin. Voit valita seuraavista vaihtoehdoista:

    • Microsoft Defender palvelupakettiin 1 tai 2 (osana Defender for Cloudia) tarjoomaan tai
    • Microsoft Defender for Endpoint Server

Käyttöönotto asennusohjelman komentosarjan avulla

  1. Siirry Microsoft Defender portaalissakohtaan Asetukset>Päätepisteet>Laitteiden hallinnan>perehdytys.

  2. Valitse perehdytysnäytössä seuraavat vaihtoehdot:

    Näyttökuva, jossa näkyy MDE käyttöönotto asennusohjelman komentosarjan avulla.

    1. Valitse Valitse käyttöjärjestelmä perehdyttämisprosessin aloittamista varten -luettelosta Linux-palvelin.

    2. Valitse Yhteystyyppi-luettelostaVirtaviivaistettu. Voit myös tarvittaessa valita Standard. (Lisätietoja on kohdassa Laitteiden käyttöönotto virtaviivaistetun Microsoft Defender for Endpoint liitettävyyden avulla.)

    3. Valitse Käyttöönottomenetelmä-luettelostaPaikallinen komentosarja (Python)..

    4. Valitse Lataa perehdytyspaketti.

  3. Lataa uudessa selainikkunassa Defender for Endpoint installer bash -komentosarja.

  4. Seuraavan komennon avulla voit myöntää komentosarjalle tarvittavat käyttöoikeudet:

    $chmod +x /mde_installer.sh

  5. Suorita seuraava komento asennusohjelman komentosarjan suorittamiseksi:

    $sudo ~/mde_installer.sh --install --channel insiders-slow --onboard ~/MicrosoftDefenderATPOnboardingLinuxServer.py

  6. Vahvista käyttöönotto seuraavasti:

    1. Tarkista kunnon tila suorittamalla seuraava komento laitteessa. Palautusarvo true , joka ilmaisee, että tuote toimii odotetulla tavalla:

      $ mdatp health --field healthy

    2. Etsi Microsoft Defender-portaalinAssets Devices> -kohdasta Juuri perehdyttämäsi Linux-laite. Laitteen näkyminen portaalissa voi kestää noin 20 minuuttia.

  7. Jos kohtaat ongelman, katso käyttöönotto-ongelmien vianmääritys (tässä artikkelissa).

Käyttöönotto asennusohjelman komentosarjan ja Ansiblen avulla

  1. Siirry Microsoft Defender portaalissakohtaan Asetukset>Päätepisteet>Laitteiden hallinnan>perehdytys.

  2. Valitse perehdytysnäytössä seuraavat vaihtoehdot:

    Näyttökuva, jossa näkyy Ansible MDE perehdytysnäyttö.

    1. Valitse Valitse käyttöjärjestelmä perehdyttämisprosessin aloittamista varten -luettelosta Linux-palvelin.

    2. Valitse Yhteystyyppi-luettelostaVirtaviivaistettu. Voit myös tarvittaessa valita Standard. (Lisätietoja on kohdassa Laitteiden käyttöönotto virtaviivaistetun Microsoft Defender for Endpoint liitettävyyden avulla.)

    3. Valitse Käyttöönottomenetelmä-luettelostaHaluamasi Linux-määritysten hallintatyökalu.

    4. Valitse Lataa perehdytyspaketti.

  3. Lataa uudessa selainikkunassa Defender for Endpoint installer bash -komentosarja.

  4. Luo YAML-asennuksen tiedosto Ansible-palvelimeen. Esimerkiksi /etc/ansible/playbooks/install_mdatp.yml, käyttämällä mde_installer.sh vaiheessa 3 lataamaasi kohdetta.

    
name: Install and Onboard MDE
hosts: servers
tasks:
- name: Create a directory if it does not exist
  ansible.builtin.file:
    path: /tmp/mde_install
    state: directory
    mode: '0755'

- name: Copy Onboarding script
  ansible.builtin.copy:
    src: "{{ onboarding_script }}"
    dest: /tmp/mde_install/mdatp_onboard.json
- name: Install MDE on host
  ansible.builtin.script: "{{ mde_installer_script }} --install --channel {{ channel | default('insiders-slow') }} --onboard /tmp/mde_install/mdatp_onboard.json"
  register: script_output
  args:
    executable: sudo

- name: Display the installation output
  debug:
    msg: "Return code [{{ script_output.rc }}] {{ script_output.stdout }}"

- name: Display any installation errors
  debug:
    msg: "{{ script_output.stderr }}"

  5. Ota Defender for Endpoint käyttöön Linuxissa seuraavan komennon avulla. Muokkaa vastaavia polkuja ja kanavaa tarpeen mukaan.

    
ansible-playbook -i  /etc/ansible/hosts /etc/ansible/playbooks/install_mdatp.yml --extra-vars "onboarding_script=<path to mdatp_onboard.json > mde_installer_script=<path to mde_installer.sh> channel=<channel to deploy for: insiders-slow > "

  6. Vahvista käyttöönotto seuraavasti:

    1. Tarkista laitteen kunto, yhteys, virustentorjunta ja EDR-tunnistuksia suorittamalla seuraavat komennot laitteessa:

      
- name: Run post-installation basic MDE test
  hosts: myhosts
  tasks:

   - name: Check health
     ansible.builtin.command: mdatp health --field healthy
     register: health_status

   - name: MDE health test failed
     fail: msg="MDE is not healthy. health status => \n{{ health_status.stdout       }}\nMDE deployment not complete"
     when: health_status.stdout != "true"

   - name: Run connectivity test
     ansible.builtin.command: mdatp connectivity test
     register: connectivity_status

   - name: Connectivity failed
     fail: msg="Connectivity failed. Connectivity result => \n{{ connectivity_status.stdout }}\n MDE deployment not complete"
     when: connectivity_status.rc != 0

   - name: Check RTP status
     ansible.builtin.command: mdatp health --field real_time_protection_enabled
     register: rtp_status

   - name: Enable RTP
     ansible.builtin.command: mdatp config real-time-protection --value enabled
     become: yes
     become_user: root
     when: rtp_status.stdout != "true"

   - name: Pause for 5 second to enable RTP
     ansible.builtin.pause:
     seconds: 5

   - name: Download EICAR
     ansible.builtin.get_url:
     url: https://secure.eicar.org/eicar.com.txt
     dest: /tmp/eicar.com.txt

   - name: Pause for 5 second to detect eicar 
     ansible.builtin.pause:
     seconds: 5

   - name: Check for EICAR file
     stat: path=/tmp/eicar.com.txt
     register: eicar_test

   - name: EICAR test failed
     fail: msg="EICAR file not deleted. MDE deployment not complete"
     when: eicar_test.stat.exists

   - name: MDE Deployed
     debug:
     msg: "MDE succesfully deployed"

    2. Etsi Microsoft Defender-portaalinAssets Devices> -kohdasta Juuri perehdyttämäsi Linux-laite. Laitteen näkyminen portaalissa voi kestää noin 20 minuuttia.

  7. Jos kohtaat ongelman, katso käyttöönotto-ongelmien vianmääritys (tässä artikkelissa).

Käyttöönotto asennusohjelman komentosarjan avulla Puppetn kanssa

  1. Siirry Microsoft Defender portaalissakohtaan Asetukset>Päätepisteet>Laitteiden hallinnan>perehdytys.

  2. Valitse perehdytysnäytössä seuraavat vaihtoehdot:

    Näyttökuva, jossa näkyy sätkynukke-MDE.

    1. Valitse Valitse käyttöjärjestelmä perehdyttämisprosessin aloittamista varten -luettelosta Linux-palvelin.

    2. Valitse Yhteystyyppi-luettelostaVirtaviivaistettu. Voit myös tarvittaessa valita Standard. (Lisätietoja on kohdassa Laitteiden käyttöönotto virtaviivaistetun Microsoft Defender for Endpoint liitettävyyden avulla.)

    3. Valitse Käyttöönottomenetelmä-luettelostaHaluamasi Linux-määritysten hallintatyökalu.

    4. Valitse Lataa perehdytyspaketti. Tallenna tiedosto nimellä WindowsDefenderATPOnboardingPackage.zip.

  3. Poimi perehdytyspaketin sisältö käyttämällä seuraavaa komentoa:

    unzip WindowsDefenderATPOnboardingPackage.zip

    Sinun pitäisi nähdä seuraava tuloste:

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: mdatp_onboard.json

  4. Lataa uudessa selainikkunassa Defender for Endpoint installer bash -komentosarja (tätä komentosarjaa kutsutaan ).mde_installer.sh

  5. Luo nukkeluettelo noudattamalla seuraavia ohjeita, joissa käytetään mde_installer.sh vaiheen 4 komentosarjaa.

    1. Luo Puppet-asennuksen Moduulit-kansioon seuraavat kansiot:

      • install_mdatp/files
      • install_mdatp/manifests

      Moduulit-kansio sijaitsee yleensä nukkepalvelimella/etc/puppetlabs/code/environments/production/modules.

    2. mdatp_onboard.json Kopioi aiemmin luotu tiedosto kansiooninstall_mdatp/files.

    3. Kopioi mde_installer.sh kohteeseen install_mdatp/files folder.

    4. init.pp Luo tiedosto, install_mdatp/manifests joka sisältää seuraavat käyttöönotto-ohjeet:

      tree install_mdatp
Output: 
install_mdatp
├── files
│   ├── mdatp_onboard.sh
│   └── mde_installer.sh
└── manifests
    └── init.pp

  6. Sätkynukkeluettelon avulla voit asentaa Defender for Endpointin Linuxiin laitteeseesi.

    
# Puppet manifest to install Microsoft Defender for Endpoint on Linux.
# @param channel The release channel based on your environment, insider-fast or prod.

class install_mdatp (
  $channel = 'insiders-slow',
) {
  # Ensure that the directory /tmp/mde_install exists
  file { '/tmp/mde_install':
    ensure => directory,
    mode   => '0755',
  }

# Copy the installation script to the destination
file { '/tmp/mde_install/mde_installer.sh':
  ensure => file,
  source => 'puppet:///modules/install_mdatp/mde_installer.sh',
  mode   => '0777',
  }

# Copy the onboarding script to the destination
file { '/tmp/mde_install/mdatp_onboard.json':
 ensure => file,
 source => 'puppet:///modules/install_mdatp/mdatp_onboard.json',
 mode   => '0777',
 }

#Install MDE on the host using an external script
exec { 'install_mde':
 command     => "/tmp/mde_install/mde_installer.sh --install --channel ${channel} --onboard /tmp/mde_install/mdatp_onboard.json",
 path        => '/bin:/usr/bin',
 user        => 'root',
 logoutput   => true,
 require     => File['/tmp/mde_install/mde_installer.sh', '/tmp/mde_install/mdatp_onboard.json'], # Ensure the script is copied before running the installer
}
}

  7. Vahvista käyttöönotto. Etsi Microsoft Defender-portaalinAssets Devices> -kohdasta Juuri perehdyttämäsi Linux-laite. Laitteen näkyminen portaalissa voi kestää noin 20 minuuttia.

Ota Defender for Endpoint käyttöön Linuxissa käyttämällä Microsoft Defender for Cloudia

Jos organisaatiosi käyttää Defender for Cloudia, voit käyttää sitä Defender for Endpointin käyttöönottoon Linuxissa.

  1. Suosittelemme automaattisen käyttöönoton käyttöönottoa ARM64-pohjaisissa Linux-laitteissa. Määritä näennäiskoneen valmistelun jälkeen muuttuja tiedostoon /etc/mde.arm.d/mde.conf laitteessasi seuraavasti:

    OPT_FOR_MDE_ARM_PREVIEW=1

  2. Odota 1–6 tuntia perehdytyksen valmistumista.

  3. Etsi Microsoft Defender-portaalinAssets Devices> -kohdasta juuri käyttöönotetut Linux-laitteet.

Tarvitsetko apua Defender for Cloudin kanssa?

Tutustu seuraaviin artikkeleihin:

Käyttöönotto-ongelmien vianmääritys

Jos kohtaat ongelmia Defender for Endpointin käyttöönotossa Linuxissa ARM64-pohjaisissa laitteissa, ohje on saatavilla. Tutustu ensin yleisten ongelmien luetteloon ja niiden ratkaisemiseen. Jos ongelma ei poistu, ota meihin yhteyttä.

Yleisiä ongelmia ja niiden ratkaiseminen

Seuraavassa taulukossa on yhteenveto yleisistä ongelmista ja niiden ratkaisemisesta.

Virhesanoma tai ongelma Mitä tehdä?
mdatp not found Säilöä ei ehkä ole määritetty oikein. Tarkista, onko kanava määritetty insiders-slow asennusohjelman komentosarjassa
mdatp health ilmaisee käyttöoikeuden puuttuvan Varmista, että välität oikean perehdyttämiskomentosarjan tai json-tiedoston automaation komentosarjaan tai työkaluun
Poikkeukset eivät toimi odotetulla tavalla Jos sinulla oli poissulkemisia työskentelyssä muissa laitteissa, mutta ne eivät toimi ARM64-pohjaisissa Linux-palvelimillasi, ota meihin yhteyttä osoitteessa mdearmsupport@microsoft.com. Tarvitset asiakasanalysaattorin lokit.
Tarvitset apua mdatp:n säätämiseen. Ota meihin yhteyttä osoitteessa mdearmsupport@microsoft.com.

Ota meihin yhteyttä, jos tarvitset apua

Kun otat meihin yhteyttä osoitteessa mdearmsupport@microsoft.com, muista kuvailla ongelma yksityiskohtaisesti. Sisällytä näyttökuvat, jos mahdollista, ja asiakasanalysaattorin lokit.

XMDE Client Analyzer ARM Preview

  1. Lataa Bashin avulla XMDE Client Analyzer ARM Preview.

    wget --quiet -O XMDEClientAnalyzerARMPreview.zip https://go.microsoft.com/fwlink/?linkid=2299668

  2. Suorita tukityökalu.

    sudo ./MDESupportTool -d --mdatp-log debug

  3. Noudata näytön ohjeita ja seuraa sitten lokikokoelman lopussa. Lokit sijaitsevat hakemistossa /tmp .

    Pääkäyttäjä omistaa lokijoukon, joten saatat tarvita pääoikeudet lokijoukon poistamiseen.

Tutustu myös seuraaviin ohjeartikkeleihin: