다음을 통해 공유

설치 관리자 스크립트를 사용하여 Linux에 엔드포인트용 Microsoft Defender 배포

  • 아티클

적용 대상:

Linux에서 엔드포인트용 Microsoft Defender 배포하는 방법에 대한 고급 지침을 찾고 있나요? Linux의 엔드포인트용 Defender에 대한 고급 배포 가이드를 참조하세요.

소개

설치 관리자 스크립트를 사용하여 Linux에서 엔드포인트용 Microsoft Defender 배포를 자동화합니다. 이 스크립트는 배포 및 버전을 식별하고, 올바른 리포지토리를 선택하고, 최신 에이전트 버전을 끌어오도록 디바이스를 설정하고, 온보딩 패키지를 사용하여 엔드포인트용 Defender에 디바이스를 온보딩합니다. 이 메서드는 배포 프로세스를 간소화하는 데 권장됩니다.

필수 구성 요소 및 시스템 요구 사항

시작하기 전에 필수 구성 요소 및 시스템 요구 사항에 대한 설명은 Linux의 엔드포인트용 Microsoft Defender 참조하세요.

배포 프로세스

  1. 다음 단계에 따라 Microsoft Defender 포털에서 온보딩 패키지를 다운로드합니다.

    1. Microsoft Defender 포털에서 설정>엔드포인트>디바이스 관리>온보딩으로 이동합니다.

    2. 첫 번째 드롭다운 메뉴에서 Linux Server 를 운영 체제로 선택합니다.

    3. 두 번째 드롭다운 메뉴에서 배포 방법으로 로컬 스크립트 를 선택합니다.

    4. 온보딩 패키지 다운로드를 선택합니다. 파일을 로 WindowsDefenderATPOnboardingPackage.zip저장합니다.

    온보딩 패키지를 다운로드하기 위해 선택할 수 있는 옵션을 보여 주는 스크린샷

    1. 명령 프롬프트에서 보관 파일의 내용을 추출합니다.

      unzip WindowsDefenderATPOnboardingPackage.zip

      Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

      경고

      엔드포인트용 Defender 설치 패키지를 다시 패키징하는 것은 지원되는 시나리오가 아닙니다. 이렇게 하면 제품의 무결성에 부정적인 영향을 미칠 수 있으며 변조 경고 및 업데이트가 적용되지 않는 것을 포함하지만 이에 국한되지 않는 부정적인 결과를 초래할 수 있습니다.

      중요

      이 단계를 놓치면 실행된 모든 명령에는 제품의 사용이 허가되지 않았음을 나타내는 경고 메시지가 표시됩니다. 또한 mdatp health 명령은 false 값을 반환합니다.

  2. 공용 GitHub 리포지토리에 제공된 설치 관리자 bash 스크립트를 다운로드합니다.

  3. 설치 관리자 스크립트에 실행 파일 권한을 부여합니다.

    chmod +x mde_installer.sh

  4. 설치 관리자 스크립트를 실행하고 온보딩 패키지를 매개 변수로 제공하여 에이전트를 설치하고 디바이스를 Defender 포털에 온보딩합니다.

    
sudo ./mde_installer.sh --install --onboard ~/MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --min_req -y

    이 명령은 최신 에이전트 버전을 프로덕션 채널에 배포하고, 최소 시스템 요구 사항에 검사, 디바이스를 Defender Portal에 온보딩합니다.

    또한 설치를 수정하기 위한 요구 사항에 따라 더 많은 매개 변수를 전달할 수 있습니다. 사용 가능한 모든 옵션에 대한 도움말을 확인합니다.

    
 ❯ ./mde_installer.sh --help
mde_installer.sh v0.7.0
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel         specify the channel(insiders-fast / insiders-slow / prod) from which you want to install. Default: prod
-i|--install         install the product
-r|--remove          uninstall the product
-u|--upgrade         upgrade the existing product to a newer version if available
-l|--downgrade       downgrade the existing product to a older version if available
-o|--onboard         onboard the product with <onboarding_script>
-f|--offboard        offboard the product with <offboarding_script>
-p|--passive-mode    set real time protection to passive mode
-a|--rtp-mode        set real time protection to active mode. passive-mode and rtp-mode are mutually exclusive
-t|--tag             set a tag by declaring <name> and <value>, e.g: -t GROUP Coders
-m|--min_req         enforce minimum requirements
-x|--skip_conflict   skip conflicting application verification
-w|--clean           remove repo from package manager for a specific channel
-y|--yes             assume yes for all mid-process prompts (default, depracated)
-n|--no              remove assume yes sign
-s|--verbose         verbose output
-v|--version         print out script version
-d|--debug           set debug mode
--log-path <PATH>    also log output to PATH
--http-proxy <URL>   set http proxy
--https-proxy <URL>  set https proxy
--ftp-proxy <URL>    set ftp proxy
--mdatp              specific version of mde to be installed. will use the latest if not provided
-h|--help            display help
    시나리오 명령
    특정 에이전트 버전 설치 sudo ~/mde_installer.sh --install --channel prod --onboard ~/MicrosoftDefenderATPOnboardingLinuxServer.py --min_req -y –-mdatp 101.24082.0004
    최신 버전으로 업그레이드하려면 sudo ~/mde_installer.sh --upgrade -y
    특정 버전으로 업그레이드하는 경우 sudo ~/mde_installer.sh --upgrade -y –-mdatp 101.24082.0004
    특정 버전으로 다운그레이드하려면 sudo ~/mde_installer.sh --downgrade -y –-mdatp 101.24082.0004
    제거하려면 mdatp sudo ~/mde_installer.sh --remove -y

    참고

    제품을 설치한 후 운영 체제를 새 주 버전으로 업그레이드하려면 제품을 다시 설치해야 합니다. Linux에서 기존 엔드포인트용 Defender를 제거하고, 운영 체제를 업그레이드한 다음, Linux에서 엔드포인트용 Defender를 다시 구성해야 합니다.

배포 상태 확인

  1. Microsoft Defender 포털에서 디바이스 인벤토리를 엽니다. 디바이스가 포털에 표시되는 데 5~20분이 걸릴 수 있습니다.

  2. 바이러스 백신 검색 테스트를 실행하여 디바이스가 제대로 온보딩되고 서비스에 보고되는지 확인합니다. 새로 온보딩된 디바이스에서 다음 단계를 수행합니다.

    1. 실시간 보호가 사용하도록 설정되어 있는지 확인합니다(다음 명령을 실행한 결과로 true 표시됨).

      mdatp health --field real_time_protection_enabled

      사용하도록 설정되지 않은 경우 다음 명령을 실행합니다.

      mdatp config real-time-protection --value enabled

    2. 터미널 창을 열고 다음 명령을 실행하여 검색 테스트를 실행합니다.

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. 다음 명령 중 하나를 사용하여 zip 파일에서 더 많은 검색 테스트를 실행할 수 있습니다.

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    4. 파일은 Linux의 엔드포인트용 Defender에 의해 격리되어야 합니다. 다음 명령을 사용하여 검색된 모든 위협을 나열합니다.

      mdatp threat list

  3. EDR 검색 테스트를 실행하고 검색을 시뮬레이션하여 디바이스가 제대로 온보딩되고 서비스에 보고되는지 확인합니다. 새로 온보딩된 디바이스에서 다음 단계를 수행합니다.

    1. 온보딩된 Linux 서버가 Microsoft Defender 포털에 표시되는지 확인합니다. 컴퓨터의 첫 번째 온보딩인 경우 머신이 나타날 때까지 최대 20분이 걸릴 수 있습니다.

    2. 스크립트 파일을 다운로드하여 온보딩된 Linux 서버에 추출하고 다음 명령을 실행합니다.

      ./mde_linux_edr_diy.sh

    3. 몇 분 후 Microsoft Defender XDR 검색을 발생시켜야 합니다.

    4. 경고 세부 정보, 컴퓨터 타임라인 확인하고 일반적인 조사 단계를 수행합니다.

패키지 외부 패키지 종속성 엔드포인트용 Microsoft Defender

종속성 오류 누락으로 인해 엔드포인트용 Microsoft Defender 설치가 실패하는 경우 필요한 종속성을 수동으로 다운로드할 수 있습니다.

패키지에 대해 mdatp 다음과 같은 외부 패키지 종속성이 있습니다.

  • 패키지에는 mdatp RPM ,policycoreutils,,selinux-policy-targetedmde-netfilterglibc >= 2.17필요합니다.
  • DEBIAN의 경우 패키지에 mdatp ,uuid-runtime, 가 필요합니다.libc6 >= 2.23mde-netfilter
  • Mariner의 경우 패키지에는 mdatp ,, , libacllibattr,libselinux-utils , selinux-policy, 가 policycoreutils필요합니다.diffutilsattrmde-netfilter

참고

버전 101.24082.0004부터 Linux의 엔드포인트용 Defender는 더 이상 이벤트 공급자를 Auditd 지원하지 않습니다. 보다 효율적인 eBPF 기술로 완전히 전환하고 있습니다. 컴퓨터에서 지원되지 않거나 에 남아 Auditd있어야 하는 특정 요구 사항이 있고 컴퓨터가 Linux 버전 101.24072.0001 이하의 엔드포인트용 Defender를 사용하는 경우 eBPF 감사된 패키지에 대한 다음과 같은 추가 종속성이 에 mdatp존재합니다.

mdatp 패키지 종속성

  • 패키지에는 mdatp RPM , 가 auditsemanage필요합니다.
  • DEBIAN의 경우 패키지에 가 mdatpauditd필요합니다.
  • Mariner의 경우 패키지에 가 mdatpaudit필요합니다.

mde-netfilter 종속성

mde-netfilter 패키지에는 다음 패키지 종속성도 있습니다.

  • DEBIAN의 경우 패키지에는 mde-netfilter , libglib2.0-0libnetfilter-queue1필요합니다.
  • RPM의 경우 패키지에는 mde-netfilter , , libnfnetlink, 가libnetfilter_queueglib2 필요합니다libmnl.
  • Mariner의 경우 패키지에는 mde-netfilter , libnetfilter_queuelibnfnetlink필요합니다.

설치 문제 해결

채널 간에 전환하는 방법

예를 들어 채널을 Insiders-Fast 프로덕션으로 변경하려면 다음을 수행합니다.

  1. Linux에서 Insiders-Fast channel 엔드포인트용 Defender 버전을 제거합니다.

    sudo yum remove mdatp

  2. Linux Insiders-Fast 리포지토리에서 엔드포인트용 Defender를 사용하지 않도록 설정합니다.

    sudo yum repolist

    참고

    출력에 가 표시됩니다 packages-microsoft-com-fast-prod.

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. 프로덕션 채널을 사용하여 Linux에서 엔드포인트용 Microsoft Defender 다시 배포합니다.

Linux의 엔드포인트용 Defender는 다음 채널 중 하나에서 배포할 수 있습니다([채널]로 표시됨).

  • insiders-fast
  • insiders-slow
  • prod

이러한 각 채널은 Linux 소프트웨어 리포지토리에 해당합니다. 이 문서의 지침에서는 이러한 리포지토리 중 하나를 사용하도록 디바이스를 구성하는 방법을 설명합니다.

채널의 선택은 디바이스에 제공되는 업데이트의 유형과 빈도를 결정합니다. 참가자 속도가 빠른 디바이스는 업데이트 및 새로운 기능을 받은 첫 번째 장치이며, 나중에는 내부자가 느리고 마지막으로 prod에 의해 뒤따릅니다.

새 기능을 미리 보고 초기 피드백을 제공하려면 또는 insiders-slow를 사용하도록 insiders-fast 엔터프라이즈의 일부 디바이스를 구성하는 것이 좋습니다.

경고

초기 설치 후 채널을 전환하려면 제품을 다시 설치해야 합니다. 제품 채널을 전환하려면 기존 패키지를 제거하고, 새 채널을 사용하도록 디바이스를 다시 구성하고, 이 문서의 단계에 따라 새 위치에서 패키지를 설치합니다.

Linux에서 Microsoft Defender 대한 정책을 구성하는 방법

엔드포인트에서 바이러스 백신 및 EDR 설정을 구성할 수 있습니다. 자세한 내용은 다음 문서를 참조하세요.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티에서 Microsoft 보안 커뮤니티와 Engage: 엔드포인트용 Microsoft Defender Tech Community