Ręczne wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

Dotyczy:

• serwer Ochrona punktu końcowego w usłudze Microsoft Defender
• Microsoft Defender dla serwerów

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Porada

Szukasz zaawansowanych wskazówek dotyczących wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux? Zobacz Przewodnik wdrażania zaawansowanego w usłudze Defender for Endpoint w systemie Linux.

W tym artykule opisano sposób ręcznego wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux. Pomyślne wdrożenie wymaga wykonania wszystkich następujących zadań:

• Wymagania wstępne i wymagania systemowe
• Konfigurowanie repozytorium oprogramowania systemu Linux
  • RHEL i warianty (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky i Alma)
  • SLES i warianty
  • Systemy Ubuntu i Debian
  • Marynarz
• Instalacja aplikacji
  • RHEL i warianty (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky i Alma)
  • SLES i warianty
  • Systemy Ubuntu i Debian
  • Marynarz
• Pobieranie pakietu dołączania
• Konfiguracja klienta

Wymagania wstępne i wymagania systemowe

Przed rozpoczęciem zobacz Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux, aby uzyskać opis wymagań wstępnych i wymagań systemowych dotyczących bieżącej wersji oprogramowania.

Ostrzeżenie

Uaktualnienie systemu operacyjnego do nowej wersji głównej po zainstalowaniu produktu wymaga ponownej instalacji produktu. Należy odinstalować istniejącą usługę Defender for Endpoint w systemie Linux, uaktualnić system operacyjny, a następnie ponownie skonfigurować usługę Defender dla punktu końcowego w systemie Linux, wykonując poniższe kroki.

Konfigurowanie repozytorium oprogramowania systemu Linux

Usługę Defender for Endpoint w systemie Linux można wdrożyć z jednego z następujących kanałów (oznaczonego jako [channel]): insiders-fast, insiders-slow lub prod. Każdy z tych kanałów odpowiada repozytorium oprogramowania systemu Linux. Instrukcje w tym artykule opisują konfigurowanie urządzenia do korzystania z jednego z tych repozytoriów.

Wybór kanału określa typ i częstotliwość aktualizacji oferowanych urządzeniu. Urządzenia w insiders-fast są pierwszymi, które otrzymują aktualizacje i nowe funkcje, a następnie insiders-slow i wreszcie przez prod.

Aby zapoznać się z nowymi funkcjami i przekazać wczesne opinie, zaleca się skonfigurowanie niektórych urządzeń w przedsiębiorstwie tak, aby korzystały z funkcji insiders-fast lub insiders-slow.

Ostrzeżenie

Przełączenie kanału po początkowej instalacji wymaga ponownej instalacji produktu. Aby przełączyć kanał produktu: odinstaluj istniejący pakiet, skonfiguruj ponownie urządzenie do korzystania z nowego kanału i wykonaj kroki opisane w tym dokumencie, aby zainstalować pakiet z nowej lokalizacji.

Skrypt instalatora

Podczas gdy omawiamy instalację ręczną, możesz też użyć zautomatyzowanego skryptu bash instalatora udostępnionego w naszym publicznym repozytorium GitHub. Skrypt identyfikuje dystrybucję i wersję, upraszcza wybór odpowiedniego repozytorium, konfiguruje urządzenie do ściągania najnowszego pakietu i łączy kroki instalacji produktu i dołączania.

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

Przeczytaj więcej tutaj.

RHEL i warianty (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky i Alma)

• Zainstaluj yum-utils , jeśli nie jest jeszcze zainstalowana:

  sudo yum install yum-utils
  

  Uwaga

  Twoja dystrybucja i wersja oraz zidentyfikuj najbliższy wpis (według głównych, a następnie pomocniczych) dla niego w obszarze https://packages.microsoft.com/config/rhel/.

  Skorzystaj z poniższej tabeli, aby ułatwić ci znalezienie pakietu:

  Wersja & dystrybucji	Pakiet
  Dla Almy 8.4 lub nowszej	https://packages.microsoft.com/config/alma/8/prod.repo
  Dla Alma 9.2 i nowszych	https://packages.microsoft.com/config/alma/9/prod.repo
  Dla RHEL/Centos/Oracle 9.0-9.8	https://packages.microsoft.com/config/rhel/9/prod.repo
  Dla RHEL/Centos/Oracle 8.0-8.10	https://packages.microsoft.com/config/rhel/8/prod.repo
  Dla RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2	https://packages.microsoft.com/config/rhel/7.2/prod.repo
  Dla systemu Amazon Linux 2023	https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
  Dla fedory 33	https://packages.microsoft.com/config/fedora/33/prod.repo
  Dla fedory 34	https://packages.microsoft.com/config/fedora/34/prod.repo
  Dla Rocky'ego 8,7 i nowszego	https://packages.microsoft.com/config/rocky/8/prod.repo
  Dla rocky 9.2 i nowszych	https://packages.microsoft.com/config/rocky/9/prod.repo

  W następujących poleceniach zastąp ciąg [version] i [channel] zidentyfikowanymi informacjami:

  sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
  

  Porada

  Użyj polecenia hostnamectl, aby zidentyfikować informacje związane z systemem, w tym wydanie [wersja].

  Jeśli na przykład używasz systemu CentOS 7 i chcesz wdrożyć usługę Defender for Endpoint w systemie Linux z kanału prod :

  sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
  

  Jeśli chcesz eksplorować nowe funkcje na wybranych urządzeniach, możesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux na kanale insiders-fast:

  sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
  

• Zainstaluj klucz publiczny usługi Microsoft GPG:

  sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
  

SLES i warianty

Uwaga

Twoja dystrybucja i wersja oraz zidentyfikuj najbliższy wpis (według głównych, a następnie pomocniczych) dla niego w obszarze https://packages.microsoft.com/config/sles/.

W następujących poleceniach zastąp ciąg [dystrybucja] i [wersja] zidentyfikowanymi informacjami:

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

Porada

Użyj polecenia SPident, aby zidentyfikować informacje związane z systemem, w tym wydanie [wersja].

Jeśli na przykład używasz protokołu SLES 12 i chcesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux z kanałuprod:

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

• Zainstaluj klucz publiczny usługi Microsoft GPG:

  sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
  

Systemy Ubuntu i Debian

• Zainstaluj curl , jeśli nie jest jeszcze zainstalowana:

  sudo apt-get install curl
  

• Zainstaluj libplist-utils , jeśli nie jest jeszcze zainstalowana:

  sudo apt-get install libplist-utils
  

  Uwaga

  Twoja dystrybucja i wersja oraz zidentyfikuj najbliższy wpis (według głównych, a następnie pomocniczych) dla niego w obszarze https://packages.microsoft.com/config/[distro]/.

  W poniższym poleceniu zastąp ciąg [dystrybucja] i [wersja] zidentyfikowanymi informacjami:

  curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
  

  Porada

  Użyj polecenia hostnamectl, aby zidentyfikować informacje związane z systemem, w tym wydanie [wersja].

  Jeśli na przykład używasz systemu Ubuntu 18.04 i chcesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux z kanałuprod:

  curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
  

• Zainstaluj konfigurację repozytorium:

  sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
  

  Jeśli na przykład wybrano prod kanał:

  sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
  

• Zainstaluj pakiet, gpg jeśli nie został jeszcze zainstalowany:

  sudo apt-get install gpg
  

  Jeśli gpg program nie jest dostępny, zainstaluj program gnupg.

  sudo apt-get install gnupg
  

• Zainstaluj klucz publiczny usługi Microsoft GPG:

  • W przypadku systemu Debian 11 lub starszego uruchom następujące polecenie.

    curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
    

  • W przypadku systemu Debian 12 lub nowszego uruchom następujące polecenie.

    curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
    

• Zainstaluj sterownik HTTPS, jeśli nie został jeszcze zainstalowany:

  sudo apt-get install apt-transport-https
  

• Zaktualizuj metadane repozytorium:

  sudo apt-get update
  

Marynarz

• Zainstaluj dnf-plugins-core , jeśli nie jest jeszcze zainstalowana:

  sudo dnf install dnf-plugins-core
  

• Konfigurowanie i włączanie wymaganych repozytoriów

  Uwaga

  Na Mariner, Insider Fast Channel nie jest dostępny.

  Jeśli chcesz wdrożyć usługę Defender for Endpoint w systemie Linux z kanału prod . Użyj następujących poleceń

  sudo dnf install mariner-repos-extras
  sudo dnf config-manager --enable mariner-official-extras
  

  Jeśli chcesz też eksplorować nowe funkcje na wybranych urządzeniach, możesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux na kanale z wolnym dostępem do informacji poufnych. Użyj następujących poleceń:

  sudo dnf install mariner-repos-extras-preview
  sudo dnf config-manager --enable mariner-official-extras-preview
  

Instalacja aplikacji

RHEL i warianty (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky i Alma)

sudo yum install mdatp

Uwaga

Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production , jeśli na tym urządzeniu skonfigurowano również insiders-fast kanał repozytorium. Taka sytuacja może wystąpić, jeśli na urządzeniu jest używanych wiele produktów firmy Microsoft. W zależności od dystrybucji i wersji serwera alias repozytorium może być inny niż w poniższym przykładzie.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES i warianty

sudo zypper install mdatp

Uwaga

Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production , jeśli na tym urządzeniu skonfigurowano również insiders-fast kanał repozytorium. Taka sytuacja może wystąpić, jeśli na urządzeniu jest używanych wiele produktów firmy Microsoft.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Systemy Ubuntu i Debian

sudo apt-get install mdatp

Uwaga

Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production , jeśli na tym urządzeniu skonfigurowano również insiders-fast kanał repozytorium. Taka sytuacja może wystąpić, jeśli na urządzeniu jest używanych wiele produktów firmy Microsoft.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Uwaga

Ponowny rozruch nie jest wymagany po zainstalowaniu lub zaktualizowaniu Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux, z wyjątkiem sytuacji, gdy przeprowadzasz inspekcję w trybie niezmiennym.

Marynarz

sudo dnf install mdatp

Uwaga

Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production , jeśli na tym urządzeniu skonfigurowano również insiders-slow kanał repozytorium. Taka sytuacja może wystąpić, jeśli na urządzeniu jest używanych wiele produktów firmy Microsoft.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Pobieranie pakietu dołączania

Pobierz pakiet dołączania z portalu Microsoft Defender.

Ostrzeżenie

Ponowne pakowanie pakietu instalacyjnego usługi Defender for Endpoint nie jest obsługiwanym scenariuszem. Może to negatywnie wpłynąć na integralność produktu i prowadzić do niekorzystnych wyników, w tym między innymi do wyzwalania niestosowania alertów i aktualizacji powodujących naruszenie.

Ważna

Jeśli ten krok zostanie pominięty, każde wykonane polecenie wyświetli komunikat ostrzegawczy wskazujący, że produkt jest nielicencjonowany. mdatp health Również polecenie zwraca wartość false.

1. W portalu Microsoft Defender przejdź do pozycji Ustawienia > Punkty końcowe > Dołączanie urządzeń do zarządzania urządzeniami>.

2. W pierwszym menu rozwijanym wybierz pozycję Linux Server jako system operacyjny. W drugim menu rozwijanym wybierz pozycję Skrypt lokalny jako metodę wdrażania.

3. Wybierz pozycję Pobierz pakiet dołączania. Zapisz plik jako WindowsDefenderATPOnboardingPackage.zip.

   

4. W wierszu polecenia sprawdź, czy masz plik, i wyodrębnij zawartość archiwum:

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
   

Konfiguracja klienta

1. Skopiuj MicrosoftDefenderATPOnboardingLinuxServer.py na urządzenie docelowe.

   Uwaga

   Początkowo urządzenie klienckie nie jest skojarzone z organizacją, a atrybut orgId jest pusty.

   mdatp health --field org_id
   

2. Uruchom MicrosoftDefenderATPOnboardingLinuxServer.py.

   Uwaga

   Aby uruchomić to polecenie, musisz mieć python lub python3 zainstalować na urządzeniu w zależności od dystrybucji i wersji. W razie potrzeby zobacz Instrukcje krok po kroku dotyczące instalowania języka Python w systemie Linux.

   Uwaga

   Aby dołączyć urządzenie, które zostało wcześniej odłączone, należy usunąć plik mdatp_offboard.json znajdujący się pod adresem /etc/opt/microsoft/mdatp.

   Jeśli używasz systemu RHEL 8.x lub Ubuntu 20.04 lub nowszego, musisz użyć programu python3.

   sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
   

   W pozostałych dystrybucjach i wersjach należy użyć polecenia python.

   sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
   

3. Sprawdź, czy urządzenie jest teraz skojarzone z Twoją organizacją i zgłosi prawidłowy identyfikator organizacji:

   mdatp health --field org_id
   

4. Sprawdź stan kondycji produktu, uruchamiając następujące polecenie. Zwracana wartość true oznacza, że produkt działa zgodnie z oczekiwaniami:

   mdatp health --field healthy
   

   Ważna

   Gdy produkt zostanie uruchomiony po raz pierwszy, pobierze najnowsze definicje ochrony przed złośliwym kodem. Może to potrwać do kilku minut w zależności od łączności sieciowej. W tym czasie powyższe polecenie zwraca wartość false. Stan aktualizacji definicji można sprawdzić za pomocą następującego polecenia:

   mdatp health --field definitions_status
   

   Należy pamiętać, że po zakończeniu instalacji początkowej może być konieczne skonfigurowanie serwera proxy. Zobacz Konfigurowanie usługi Defender dla punktu końcowego w systemie Linux w celu odnajdywania statycznego serwera proxy: konfiguracja po instalacji.

5. Uruchom test wykrywania av, aby sprawdzić, czy urządzenie jest prawidłowo dołączone i raportuje do usługi. Wykonaj następujące kroki na nowo dołączonym urządzeniu:

   • Upewnij się, że ochrona w czasie rzeczywistym jest włączona (oznaczona wynikiem uruchomienia następującego true polecenia):

     mdatp health --field real_time_protection_enabled
     

     Jeśli nie jest włączona, wykonaj następujące polecenie:

     mdatp config real-time-protection --value enabled
     

   • Otwórz okno Terminal i wykonaj następujące polecenie, aby uruchomić test wykrywania:

     curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
     

   • Możesz uruchomić więcej testów wykrywania plików zip przy użyciu jednego z następujących poleceń:

     curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
     curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
     

   • Pliki powinny zostać poddane kwarantannie przez usługę Defender for Endpoint w systemie Linux. Użyj następującego polecenia, aby wyświetlić listę wszystkich wykrytych zagrożeń:

     mdatp threat list
     

6. Uruchom test wykrywania EDR i symuluj wykrywanie, aby sprawdzić, czy urządzenie jest prawidłowo dołączone i raportuje do usługi. Wykonaj następujące kroki na nowo dołączonym urządzeniu:

   • Sprawdź, czy dołączony serwer z systemem Linux jest wyświetlany w Microsoft Defender XDR. Jeśli jest to pierwsze dołączenie maszyny, jej wyświetlenie może potrwać do 20 minut.

   • Pobierz i wyodrębnij plik skryptu na dołączonym serwerze z systemem Linux i uruchom następujące polecenie: ./mde_linux_edr_diy.sh

   • Po kilku minutach należy podnieść wykrywanie w Microsoft Defender XDR.

   • Przyjrzyj się szczegółom alertu, osi czasu maszyny i wykonaj typowe kroki badania.

Ochrona punktu końcowego w usłudze Microsoft Defender zależności pakietów zewnętrznych

Dla pakietu mdatp istnieją następujące zależności pakietów zewnętrznych:

• Pakiet MDATP RPM wymaga glibc >= 2.17, , policycoreutils, selinux-policy-targetedmde-netfilter
• W przypadku debiana pakiet mdatp wymaga libc6 >= 2.23, , uuid-runtimemde-netfilter
• W przypadku programu Mariner pakiet mdatp wymaga attr, diffutils, libacl, libattr, libselinux-utils, selinux-policy, , policycoreutilsmde-netfilter

Uwaga

Począwszy od wersji 101.24082.0004, usługa Defender dla punktu końcowego w systemie Linux nie obsługuje Auditd już dostawcy zdarzeń. Całkowicie przechodzimy na bardziej wydajną technologię eBPF. Jeśli platforma eBPF nie jest obsługiwana na maszynach lub jeśli istnieją określone wymagania dotyczące zachowania inspekcji, a maszyny korzystają z usługi Defender for Endpoint w wersji systemu Linux lub niższej 101.24072.0001 , istnieje następująca dodatkowa zależność od skontrolowego pakietu dla mdatp:

• Pakiet MDATP RPM wymaga audit, semanage.
• W przypadku debiana pakiet mdatp wymaga .auditd
• W przypadku programu Mariner pakiet mdatp wymaga .audit

Pakiet mde-netfilter ma również następujące zależności pakietów:

• W przypadku debiana pakiet mde-netfilter wymaga ,libnetfilter-queue1libglib2.0-0
• W przypadku modułu RPM pakiet mde-netfilter wymaga libmnl, , libnfnetlink, libnetfilter_queueglib2
• W przypadku programu Mariner pakiet mde-netfilter wymaga polecenia libnfnetlink, libnetfilter_queue

Jeśli instalacja Ochrona punktu końcowego w usłudze Microsoft Defender zakończy się niepowodzeniem z powodu błędów braku zależności, możesz ręcznie pobrać zależności wymagań wstępnych.

Problemy z instalacją dziennika

Zobacz Problemy z instalacją dziennika , aby uzyskać więcej informacji na temat znajdowania automatycznie wygenerowanego dziennika utworzonego przez instalatora w przypadku wystąpienia błędu.

Jak przeprowadzić migrację z Insiders-Fast do kanału produkcyjnego

1. Odinstaluj Insiders-Fast channel wersję usługi Defender for Endpoint w systemie Linux.

   sudo yum remove mdatp
   

2. Wyłączanie repozytorium Defender for Endpoint w systemie Linux Insiders-Fast

   sudo yum repolist
   

   Uwaga

   Dane wyjściowe powinny zawierać wartość packages-microsoft-com-fast-prod.

   sudo yum-config-manager --disable packages-microsoft-com-fast-prod
   

3. Ponowne wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux przy użyciu kanału produkcyjnego.

Odinstalowywanie

Zobacz Odinstalowywanie , aby uzyskać szczegółowe informacje na temat usuwania usługi Defender for Endpoint w systemie Linux z urządzeń klienckich.

Zobacz też

• Badaj problemy z kondycją agenta

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.