Delen via

Microsoft Defender voor Eindpunt handmatig implementeren in Linux

  • Artikel

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Tip

Op zoek naar geavanceerde richtlijnen voor het implementeren van Microsoft Defender voor Eindpunt in Linux? Zie Geavanceerde implementatiehandleiding voor Defender voor Eindpunt in Linux.

In dit artikel wordt beschreven hoe u Microsoft Defender voor Eindpunt handmatig in Linux implementeert. Voor een geslaagde implementatie moeten alle volgende taken worden voltooid:

Vereisten en systeemvereisten

Voordat u begint, raadpleegt u Microsoft Defender voor Eindpunt op Linux voor een beschrijving van de vereisten en systeemvereisten voor de huidige softwareversie.

Waarschuwing

Voor het upgraden van uw besturingssysteem naar een nieuwe primaire versie na de productinstallatie moet het product opnieuw worden geïnstalleerd. U moet de bestaande Defender voor Eindpunt in Linux verwijderen , het besturingssysteem upgraden en Defender voor Eindpunt in Linux opnieuw configureren aan de hand van de onderstaande stappen.

De Linux-softwareopslagplaats configureren

Defender voor Eindpunt op Linux kan worden geïmplementeerd via een van de volgende kanalen (aangeduid als [kanaal]): insiders-fast, insiders-slow of prod. Elk van deze kanalen komt overeen met een Linux-softwareopslagplaats. In de instructies in dit artikel wordt beschreven hoe u uw apparaat configureert voor het gebruik van een van deze opslagplaatsen.

De keuze van het kanaal bepaalt het type en de frequentie van updates die aan uw apparaat worden aangeboden. Apparaten in insiders-fast zijn de eerste apparaten die updates en nieuwe functies ontvangen, gevolgd door insiders-slow en ten slotte door prod.

Als u een voorbeeld van nieuwe functies wilt bekijken en in een vroeg stadium feedback wilt geven, is het raadzaam dat u sommige apparaten in uw onderneming configureert voor het gebruik van insiders-fast of insiders-slow.

Waarschuwing

Als u het kanaal na de eerste installatie overschakelt, moet het product opnieuw worden geïnstalleerd. Als u wilt schakelen tussen het productkanaal, verwijdert u het bestaande pakket, configureert u het apparaat opnieuw om het nieuwe kanaal te gebruiken en volgt u de stappen in dit document om het pakket vanaf de nieuwe locatie te installeren.

RHEL en varianten (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky en Alma)

  1. Installeren yum-utils als deze nog niet is geïnstalleerd:

    sudo yum install yum-utils

  2. Zoek het juiste pakket voor uw distributie en versie. Gebruik de volgende tabel om u te helpen bij het zoeken naar het pakket:

    Distributieversie & Pak
    Alma 8.4 en hoger https://packages.microsoft.com/config/alma/8/prod.repo
    Alma 9.2 en hoger https://packages.microsoft.com/config/alma/9/prod.repo
    RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo
    RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo
    RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo
    Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
    Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo
    Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo
    Rocky 8.7 en hoger https://packages.microsoft.com/config/rocky/8/prod.repo
    Rocky 9.2 en hoger https://packages.microsoft.com/config/rocky/9/prod.repo

    Opmerking

    Voor uw distributie en versie identificeert u de dichtstbijzijnde vermelding (op primaire en vervolgens secundaire) onder https://packages.microsoft.com/config/rhel/.

  3. Vervang [versie] en [kanaal] in de volgende opdrachten door de informatie die u hebt geïdentificeerd:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo

    Tip

    Gebruik de opdracht hostnamectl om systeemgerelateerde informatie te identificeren, waaronder release [versie].

    Als u bijvoorbeeld CentOS 7 uitvoert en Defender voor Eindpunt op Linux wilt implementeren vanuit het prod kanaal:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo

    Of als u nieuwe functies op geselecteerde apparaten wilt verkennen, kunt u Microsoft Defender voor Eindpunt op Linux implementeren in insiders-fast-kanaal:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo

  4. Installeer de openbare sleutel van Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

SLES en varianten

Opmerking

Voor uw distributie en versie identificeert u de dichtstbijzijnde vermelding (op primaire en vervolgens secundaire) onder https://packages.microsoft.com/config/sles/.

  1. Vervang [distributie] en [versie] in de volgende opdrachten door de informatie die u hebt geïdentificeerd:

    sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

    Tip

    Gebruik de SPident-opdracht om systeemgerelateerde informatie te identificeren, waaronder release [versie].

    Als u bijvoorbeeld SLES 12 uitvoert en Microsoft Defender voor Eindpunt op Linux wilt implementeren vanuit het prod kanaal:

    sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  2. Installeer de openbare sleutel van Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

Ubuntu- en Debian-systemen

  1. Installeren curl als deze nog niet is geïnstalleerd:

    sudo apt-get install curl

  2. Installeren libplist-utils als deze nog niet is geïnstalleerd:

    sudo apt-get install libplist-utils

    Opmerking

    Voor uw distributie en versie identificeert u de dichtstbijzijnde vermelding (op primaire en vervolgens secundaire) onder https://packages.microsoft.com/config/[distro]/.

  3. Vervang in de volgende opdracht [distributie] en [versie] door de informatie die u hebt geïdentificeerd:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    Tip

    Gebruik de opdracht hostnamectl om systeemgerelateerde informatie te identificeren, waaronder release [versie].

    Als u bijvoorbeeld Ubuntu 18.04 gebruikt en Microsoft Defender voor Eindpunt op Linux wilt implementeren vanuit het prod kanaal:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  4. Installeer de configuratie van de opslagplaats:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    Als u bijvoorbeeld een kanaal hebt gekozen prod :

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  5. Installeer het gpg pakket als dit nog niet is geïnstalleerd:

    sudo apt-get install gpg

    Als gpg dit niet beschikbaar is, installeert u gnupg.

    sudo apt-get install gnupg

  6. Installeer de openbare sleutel van Microsoft GPG:

    • Voer voor Debian 11 en eerder de volgende opdracht uit.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

    • Voer voor Debian 12 en hoger de volgende opdracht uit.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  7. Installeer het HTTPS-stuurprogramma als dit nog niet is geïnstalleerd:

    sudo apt-get install apt-transport-https

  8. Werk de metagegevens van de opslagplaats bij:

    sudo apt-get update

Zeeman

  1. Installeren dnf-plugins-core als deze nog niet is geïnstalleerd:

    sudo dnf install dnf-plugins-core

  2. Configureer en schakel de vereiste opslagplaatsen in.

    Opmerking

    Op Mariner is het Insider Fast-kanaal niet beschikbaar.

    Als u Defender voor Eindpunt op Linux wilt implementeren vanuit het prod kanaal. Gebruik de volgende opdrachten

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    Of als u nieuwe functies op geselecteerde apparaten wilt verkennen, kunt u Microsoft Defender voor Eindpunt op Linux implementeren in insiders-slow-kanaal. Gebruik de volgende opdrachten:

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

Toepassingsinstallatie

Gebruik de opdrachten in de volgende secties om Defender voor Eindpunt te installeren op uw Linux-distributie.

RHEL en varianten (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky en Alma)

sudo yum install mdatp

Opmerking

Als u meerdere Microsoft-opslagplaatsen hebt geconfigureerd op uw apparaat, kunt u specifiek zijn over de opslagplaats van waaruit u het pakket wilt installeren. In het volgende voorbeeld ziet u hoe u het pakket installeert vanuit het production kanaal als u ook het insiders-fast opslagplaatskanaal op dit apparaat hebt geconfigureerd. Deze situatie kan zich voordoen als u meerdere Microsoft-producten op uw apparaat gebruikt. Afhankelijk van de distributie en de versie van uw server, kan de opslagplaatsalias afwijken van de alias in het volgende voorbeeld.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES en varianten

sudo zypper install mdatp

Opmerking

Als u meerdere Microsoft-opslagplaatsen hebt geconfigureerd op uw apparaat, kunt u specifiek zijn over de opslagplaats van waaruit u het pakket wilt installeren. In het volgende voorbeeld ziet u hoe u het pakket installeert vanuit het production kanaal als u ook het insiders-fast opslagplaatskanaal op dit apparaat hebt geconfigureerd. Deze situatie kan zich voordoen als u meerdere Microsoft-producten op uw apparaat gebruikt.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu- en Debian-systemen

sudo apt-get install mdatp

Opmerking

Als u meerdere Microsoft-opslagplaatsen hebt geconfigureerd op uw apparaat, kunt u specifiek zijn over de opslagplaats van waaruit u het pakket wilt installeren. In het volgende voorbeeld ziet u hoe u het pakket installeert vanuit het production kanaal als u ook het insiders-fast opslagplaatskanaal op dit apparaat hebt geconfigureerd. Deze situatie kan zich voordoen als u meerdere Microsoft-producten op uw apparaat gebruikt.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Opmerking

Opnieuw opstarten is NIET vereist na het installeren of bijwerken van Microsoft Defender voor Eindpunt in Linux, behalve wanneer u auditD uitvoert in onveranderbare modus.

Zeeman

sudo dnf install mdatp

Opmerking

Als u meerdere Microsoft-opslagplaatsen hebt geconfigureerd op uw apparaat, kunt u specifiek zijn over de opslagplaats van waaruit u het pakket wilt installeren. In het volgende voorbeeld ziet u hoe u het pakket installeert vanuit het production kanaal als u ook het insiders-slow opslagplaatskanaal op dit apparaat hebt geconfigureerd. Deze situatie kan zich voordoen als u meerdere Microsoft-producten op uw apparaat gebruikt.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Het onboarding-pakket downloaden

Download het onboardingpakket via de Microsoft Defender portal.

Waarschuwing

Het opnieuw verpakken van het Defender voor Eindpunt-installatiepakket is geen ondersteund scenario. Dit kan een negatieve invloed hebben op de integriteit van het product en leiden tot negatieve resultaten, met inbegrip van maar niet beperkt tot het activeren van manipulatiewaarschuwingen en updates die niet van toepassing zijn.

Belangrijk

Als u deze stap mist, wordt bij elke uitgevoerde opdracht een waarschuwingsbericht weergegeven dat aangeeft dat het product geen licentie heeft. mdatp health De opdracht retourneert ook de waarde van false.

  1. Ga in de Microsoft Defender-portal naar Instellingen>Eindpunten>Apparaatbeheer>Onboarding.

  2. Selecteer in de eerste vervolgkeuzelijst Linux-server als besturingssysteem. Selecteer in de tweede vervolgkeuzelijst Lokaal script als implementatiemethode.

  3. Selecteer Onboardingpakket downloaden. Sla het bestand op als WindowsDefenderATPOnboardingPackage.zip.

    Een onboardingpakket downloaden in de Microsoft Defender-portal

  4. Controleer vanaf een opdrachtprompt of u het bestand hebt en pak de inhoud van het archief uit:

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

Clientconfiguratie

  1. Kopieer MicrosoftDefenderATPOnboardingLinuxServer.py naar het doelapparaat.

    Opmerking

    In eerste instantie is het clientapparaat niet gekoppeld aan een organisatie en is het kenmerk orgId leeg.

    mdatp health --field org_id

  2. Uitvoeren MicrosoftDefenderATPOnboardingLinuxServer.py.

    Opmerking

    Als u deze opdracht wilt uitvoeren, moet u op het apparaat zijn python geïnstalleerd, python3 afhankelijk van de distributie en versie. Zie indien nodig Stapsgewijze instructies voor het installeren van Python in Linux.

    Als u een apparaat wilt onboarden dat eerder offboard was, moet u het mdatp_offboard.json bestand op /etc/opt/microsoft/mdatp verwijderen.

    Als u RHEL 8.x of Ubuntu 20.04 of hoger uitvoert, moet u gebruiken python3.

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    Voor de rest van distributies en versies moet u gebruiken python.

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. Controleer of het apparaat nu is gekoppeld aan uw organisatie en rapporteert een geldige organisatie-id:

    mdatp health --field org_id

  4. Controleer de status van het product door de volgende opdracht uit te voeren. Een retourwaarde van true geeft aan dat het product werkt zoals verwacht:

    mdatp health --field healthy

    Belangrijk

    Wanneer het product voor de eerste keer wordt gestart, worden de nieuwste antimalwaredefinities gedownload. Dit proces kan enkele minuten duren, afhankelijk van de netwerkverbinding. Gedurende deze periode retourneert de eerder genoemde opdracht een waarde van false. U kunt de status van de definitie-update controleren met behulp van de volgende opdracht:

    mdatp health --field definitions_status

    Mogelijk moet u ook een proxy configureren na het voltooien van de eerste installatie. Zie Defender voor eindpunt in Linux configureren voor detectie van statische proxy: configuratie na installatie.

  5. Voer een antivirusdetectietest uit om te controleren of het apparaat correct is onboarded en rapporteert aan de service. Voer de volgende stappen uit op het zojuist onboardingsapparaat:

    1. Zorg ervoor dat realtime-beveiliging is ingeschakeld (aangegeven door een resultaat van het uitvoeren van true de volgende opdracht):

      mdatp health --field real_time_protection_enabled

      Als deze niet is ingeschakeld, voert u de volgende opdracht uit:

      mdatp config real-time-protection --value enabled

    2. Open een Terminal-venster en voer de volgende opdracht uit om een detectietest uit te voeren:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. U kunt meer detectietests uitvoeren op zip-bestanden met behulp van een van de volgende opdrachten:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

      De bestanden moeten in quarantaine worden geplaatst door Defender voor Eindpunt in Linux.

    4. Gebruik de volgende opdracht om alle gedetecteerde bedreigingen weer te geven:

      mdatp threat list

  6. Voer een EDR-detectietest uit en simuleer een detectie om te controleren of het apparaat correct is onboarded en rapporteert aan de service. Voer de volgende stappen uit op het zojuist onboardingsapparaat:

    1. Controleer of de onboarded Linux-server wordt weergegeven in Microsoft Defender XDR. Als dit de eerste onboarding van de machine is, kan het tot 20 minuten duren voordat deze wordt weergegeven.

    2. Download en pak het scriptbestand uit naar een onboarded Linux-server en voer vervolgens de volgende opdracht uit: ./mde_linux_edr_diy.sh

      Na een paar minuten moet er een detectie worden gegenereerd in Microsoft Defender XDR.

    3. Bekijk de waarschuwingsdetails en de tijdlijn van de machine en voer de gebruikelijke onderzoeksstappen uit.

afhankelijkheden van externe pakketten Microsoft Defender voor Eindpunt pakket

De volgende externe pakketafhankelijkheden bestaan voor het mdatp pakket:

  • Het rpm-pakket mdatp vereist glibc >= 2.17, policycoreutils, selinux-policy-targeted, mde-netfilter
  • Voor DEBIAN vereist libc6 >= 2.23het mdatp-pakket , , uuid-runtimemde-netfilter
  • Voor Mariner vereist attrhet mdatp-pakket , diffutils, libattrlibacl, libselinux-utils, selinux-policy, , policycoreutilsmde-netfilter

Opmerking

Vanaf versie 101.24082.0004biedt Defender voor Eindpunt in Linux geen ondersteuning meer voor de Auditd gebeurtenisprovider. We gaan volledig over op de efficiëntere eBPF-technologie. Als eBPF niet wordt ondersteund op uw computers, of als er specifieke vereisten zijn om gecontroleerd te blijven en uw machines Defender voor Eindpunt gebruiken op Linux-versie 101.24072.0001 of lager, bestaan de volgende andere afhankelijkheden van het gecontroleerde pakket voor mdatp:

  • Voor het rpm-pakket mdatp is , semanagevereistaudit.
  • Voor DEBIAN vereist auditdhet mdatp-pakket .
  • Voor Mariner is voor het mdatp-pakket vereist audit.

Het mde-netfilter pakket heeft ook de volgende pakketafhankelijkheden:

  • Voor DEBIAN vereist libnetfilter-queue1het mde-netfilter pakket ,libglib2.0-0
  • Voor RPM vereist libmnlhet mde-netfilter pakket , libnfnetlink, libnetfilter_queue,glib2
  • Voor Mariner vereist libnfnetlinkhet mde-netfilter pakket ,libnetfilter_queue

Als de installatie van de Microsoft Defender voor Eindpunt mislukt vanwege ontbrekende afhankelijkheden, kunt u de vereiste afhankelijkheden handmatig downloaden.

Installatieproblemen oplossen

Schakelen tussen kanalen

Ga als volgt te werk om het kanaal te wijzigen van Insiders-Fast in Productie:

  1. Verwijder de Insiders-Fast channel versie van Defender voor Eindpunt in Linux.

    sudo yum remove mdatp

  2. Het Defender for Endpoint-kanaal in Linux uitschakelen Insiders-Fast

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Installeer Microsoft Defender voor Eindpunt opnieuw in Linux met behulp van Production channelen onboard het apparaat in de Microsoft Defender portal.

Beleidsregels configureren voor Microsoft Defender voor Eindpunt in Linux

U kunt antivirus- en EDR-instellingen configureren op uw eindpunten. Zie de volgende artikelen voor meer informatie:

Microsoft Defender voor Eindpunt verwijderen in Linux

Voor handmatige verwijdering voert u de volgende opdracht uit voor uw Linux-distributie.

  • sudo yum remove mdatp voor RHEL en varianten (CentOS en Oracle Linux).
  • sudo zypper remove mdatp voor SLES en varianten.
  • sudo apt-get purge mdatp voor Ubuntu- en Debian-systemen.
  • sudo dnf remove mdatp voor Mariner

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.