Dela via

Distribuera Microsoft Defender för Endpoint i Linux manuellt

  • Artikel

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Tips

Letar du efter avancerad vägledning om hur du distribuerar Microsoft Defender för Endpoint i Linux? Se Avancerad distributionsguide för Defender för Endpoint i Linux.

Den här artikeln beskriver hur du distribuerar Microsoft Defender för Endpoint i Linux manuellt. En lyckad distribution kräver att alla följande uppgifter slutförs:

Krav och systemkrav

Innan du börjar kan du läsa Microsoft Defender för Endpoint på Linux för en beskrivning av krav och systemkrav för den aktuella programvaruversionen.

Varning

Om du uppgraderar operativsystemet till en ny huvudversion efter produktinstallationen måste produkten installeras om. Du måste avinstallera den befintliga Defender för Endpoint i Linux, uppgradera operativsystemet och sedan konfigurera om Defender för Endpoint i Linux genom att följa stegen nedan.

Konfigurera Linux-programvarulagringsplatsen

Defender för Endpoint i Linux kan distribueras från någon av följande kanaler (betecknas som [kanal]): insiders-fast, insiders-slow eller prod. Var och en av dessa kanaler motsvarar en Linux-programvarulagringsplats. Anvisningarna i den här artikeln beskriver hur du konfigurerar enheten så att den använder någon av dessa lagringsplatser.

Valet av kanal avgör typ och frekvens för uppdateringar som erbjuds till din enhet. Enheter i insiders-fast är de första som tar emot uppdateringar och nya funktioner, följt senare av insiders-långsam och slutligen av prod.

För att kunna förhandsgranska nya funktioner och ge tidig feedback rekommenderar vi att du konfigurerar vissa enheter i företaget för att använda insiders-fast eller insiders-slow.

Varning

Om du byter kanal efter den första installationen måste produkten installeras om. Så här växlar du produktkanalen: avinstallera det befintliga paketet, konfigurera om enheten så att den använder den nya kanalen och följ stegen i det här dokumentet för att installera paketet från den nya platsen.

Installationsskript

Vi diskuterar manuell installation, men du kan också använda ett bash-skript för automatiserat installationsprogram som finns på vår offentliga GitHub-lagringsplats. Skriptet identifierar distributionen och versionen, förenklar valet av rätt lagringsplats, konfigurerar enheten för att hämta det senaste paketet och kombinerar stegen för produktinstallation och registrering.

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

Läs mer här.

RHEL och varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky och Alma)

SLES och varianter

Obs!

Din distribution och version och identifiera den närmaste posten (efter huvudnamn och sedan del) för den under https://packages.microsoft.com/config/sles/.

Ersätt [distro] och [version] med den information som du har identifierat i följande kommandon:

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

Tips

Använd SPident-kommandot för att identifiera systemrelaterad information, inklusive version [version].

Om du till exempel kör SLES 12 och vill distribuera Microsoft Defender för Endpoint på Linux från prod kanalen:

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  • Installera den offentliga Microsoft GPG-nyckeln:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

Ubuntu- och Debiansystem

  • Installera curl om den inte är installerad än:

    sudo apt-get install curl

  • Installera libplist-utils om den inte är installerad än:

    sudo apt-get install libplist-utils

    Obs!

    Din distribution och version och identifiera den närmaste posten (efter huvudnamn och sedan del) för den under https://packages.microsoft.com/config/[distro]/.

    I följande kommando ersätter du [distro] och [version] med den information som du har identifierat:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    Tips

    Använd hostnamectl-kommandot för att identifiera systemrelaterad information, inklusive versionen [version].

    Om du till exempel kör Ubuntu 18.04 och vill distribuera Microsoft Defender för Endpoint på Linux från prod kanalen:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  • Installera lagringsplatsens konfiguration:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    Om du till exempel väljer prod kanal:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  • Installera paketet om det gpg inte redan är installerat:

    sudo apt-get install gpg

    Om gpg inte är tillgängligt installerar gnupgdu .

    sudo apt-get install gnupg

  • Installera den offentliga Microsoft GPG-nyckeln:

    • Kör följande kommando för Debian 11 och tidigare.
    curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

Kör följande kommando för Debian 12 och senare.

curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  • Installera HTTPS-drivrutinen om den inte redan är installerad:

    sudo apt-get install apt-transport-https

  • Uppdatera lagringsplatsens metadata:

    sudo apt-get update

Sjöman

  • Installera dnf-plugins-core om den inte är installerad än:

    sudo dnf install dnf-plugins-core

  • Konfigurera och aktivera de lagringsplatser som krävs

    Obs!

    Insider Fast Channel är inte tillgängligt på Mariner.

    Om du vill distribuera Defender för Endpoint i Linux från prod kanalen. Använd följande kommandon

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    Eller om du vill utforska nya funktioner på valda enheter kanske du vill distribuera Microsoft Defender för Endpoint på Linux till en insiderbaserad långsam kanal. Använd följande kommandon:

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

Programinstallation

RHEL och varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky och Alma)

sudo yum install mdatp

Obs!

Om du har flera Microsoft-lagringsplatser konfigurerade på din enhet kan du vara specifik om vilken lagringsplats du vill installera paketet från. I följande exempel visas hur du installerar paketet från production kanalen om du också har insiders-fast konfigurerat lagringsplatskanalen på den här enheten. Den här situationen kan inträffa om du använder flera Microsoft-produkter på din enhet. Beroende på distributionen och versionen av servern kan lagringsplatsens alias skilja sig från det i följande exempel.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES och varianter

sudo zypper install mdatp

Obs!

Om du har flera Microsoft-lagringsplatser konfigurerade på din enhet kan du vara specifik om vilken lagringsplats du vill installera paketet från. I följande exempel visas hur du installerar paketet från production kanalen om du också har insiders-fast konfigurerat lagringsplatskanalen på den här enheten. Den här situationen kan inträffa om du använder flera Microsoft-produkter på din enhet.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu- och Debiansystem

sudo apt-get install mdatp

Obs!

Om du har flera Microsoft-lagringsplatser konfigurerade på din enhet kan du vara specifik om vilken lagringsplats du vill installera paketet från. I följande exempel visas hur du installerar paketet från production kanalen om du också har insiders-fast konfigurerat lagringsplatskanalen på den här enheten. Den här situationen kan inträffa om du använder flera Microsoft-produkter på din enhet.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Obs!

Omstarter krävs INTE när du har installerat eller uppdaterat Microsoft Defender för Endpoint i Linux, förutom när du kör auditD i oföränderligt läge.

Sjöman

sudo dnf install mdatp

Obs!

Om du har flera Microsoft-lagringsplatser konfigurerade på din enhet kan du vara specifik om vilken lagringsplats du vill installera paketet från. I följande exempel visas hur du installerar paketet från production kanalen om du också har insiders-slow konfigurerat lagringsplatskanalen på den här enheten. Den här situationen kan inträffa om du använder flera Microsoft-produkter på din enhet.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Ladda ned onboarding-paketet

Ladda ned registreringspaketet från Microsoft Defender-portalen.

Varning

Det går inte att paketera om installationspaketet för Defender för Endpoint. Detta kan påverka produktens integritet negativt och leda till negativa resultat, inklusive men inte begränsat till att utlösa manipuleringsaviseringar och uppdateringar som inte kan tillämpas.

Viktigt

Om du missar det här steget visas ett varningsmeddelande om att produkten är olicensierad. mdatp health Kommandot returnerar också värdet false.

  1. I Microsoft Defender-portalen går du till Inställningar > Slutpunkter > Enhetshantering > Registrering.

  2. I den första nedrullningsbara menyn väljer du Linux Server som operativsystem. I den andra nedrullningsbara menyn väljer du Lokalt skript som distributionsmetod.

  3. Välj Ladda ned registreringspaket. Spara filen som WindowsDefenderATPOnboardingPackage.zip.

    Ladda ned ett registreringspaket i Microsoft Defender-portalen

  4. Kontrollera att du har filen från en kommandotolk och extrahera innehållet i arkivet:

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

Klientkonfiguration

  1. Kopiera MicrosoftDefenderATPOnboardingLinuxServer.py till målenheten.

    Obs!

    Inledningsvis är klientenheten inte associerad med en organisation och orgId-attributet är tomt.

    mdatp health --field org_id

  2. Kör MicrosoftDefenderATPOnboardingLinuxServer.py.

    Obs!

    Om du vill köra det här kommandot måste du ha python eller python3 installerat på enheten beroende på distribution och version. Om det behövs kan du läsa Stegvisa instruktioner för att installera Python på Linux.

    Obs!

    Om du vill registrera en enhet som tidigare var avregistrerad måste du ta bort den mdatp_offboard.json filen som finns på /etc/opt/microsoft/mdatp.

    Om du kör RHEL 8.x eller Ubuntu 20.04 eller senare måste du använda python3.

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    För resten av distributioner och versioner måste du använda python.

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. Kontrollera att enheten nu är associerad med din organisation och rapporterar en giltig organisationsidentifierare:

    mdatp health --field org_id

  4. Kontrollera produktens hälsostatus genom att köra följande kommando. Ett returvärde true för anger att produkten fungerar som förväntat:

    mdatp health --field healthy

    Viktigt

    När produkten startar för första gången hämtar den de senaste definitionerna för program mot skadlig kod. Det kan ta upp till några minuter beroende på nätverksanslutningen. Under den här tiden returnerar kommandot ovan värdet false. Du kan kontrollera statusen för definitionsuppdateringen med hjälp av följande kommando:

    mdatp health --field definitions_status

    Observera att du även kan behöva konfigurera en proxy när du har slutfört den första installationen. Se Konfigurera Defender för Endpoint på Linux för identifiering av statisk proxy: Konfiguration efter installation.

  5. Kör ett AV-identifieringstest för att verifiera att enheten är korrekt registrerad och rapporterar till tjänsten. Utför följande steg på den nyligen registrerade enheten:

    • Kontrollera att realtidsskydd är aktiverat (betecknas av ett resultat av true att följande kommando körs):

      mdatp health --field real_time_protection_enabled

      Om den inte är aktiverad kör du följande kommando:

      mdatp config real-time-protection --value enabled

    • Öppna ett terminalfönster och kör följande kommando för att köra ett identifieringstest:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    • Du kan köra fler identifieringstester på zip-filer med något av följande kommandon:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    • Filerna ska placeras i karantän av Defender för Endpoint i Linux. Använd följande kommando för att lista alla identifierade hot:

      mdatp threat list

  6. Kör ett EDR-identifieringstest och simulera en identifiering för att verifiera att enheten är korrekt registrerad och rapporterar till tjänsten. Utför följande steg på den nyligen registrerade enheten:

  • Kontrollera att den registrerade Linux-servern visas i Microsoft Defender XDR. Om det här är den första registreringen av datorn kan det ta upp till 20 minuter tills den visas.

    • Ladda ned och extrahera skriptfilen till en registrerad Linux-server och kör följande kommando: ./mde_linux_edr_diy.sh

    • Efter några minuter bör en identifiering aktiveras i Microsoft Defender XDR.

    • Titta på aviseringsinformationen, datorns tidslinje och utför vanliga undersökningssteg.

Microsoft Defender för Endpoint paketera externa paketberoenden

Följande externa paketberoenden finns för mdatp-paketet:

  • Mdatp RPM-paketet kräver glibc >= 2.17, audit, policycoreutils, , semanageselinux-policy-targetedmde-netfilter
  • För DEBIAN kräver libc6 >= 2.23mdatp-paketet , uuid-runtime, auditd, mde-netfilter
  • För Mariner kräver attrmdatp-paketet , audit, diffutils, libacl, libattr, libselinux-utils, selinux-policy, , policycoreutils, mde-netfilter

Paketet mde-netfilter har också följande paketberoenden:

  • För DEBIAN kräver libnetfilter-queue1mde-netfilter-paketet , libglib2.0-0
  • För RPM kräver libmnlpaketet mde-netfilter , libnfnetlink, libnetfilter_queue, glib2
  • För Mariner kräver libnfnetlinkpaketet mde-netfilter , libnetfilter_queue

Om Microsoft Defender för Endpoint installationen misslyckas på grund av saknade beroenden kan du manuellt ladda ned de nödvändiga beroendena.

Problem med logginstallation

Mer information om hur du hittar den automatiskt genererade loggen som skapas av installationsprogrammet när ett fel inträffar finns i Logginstallationsproblem .

Migrera från Insiders-Fast till produktionskanal

  1. Insiders-Fast channel Avinstallera versionen av Defender för Endpoint i Linux.

    sudo yum remove mdatp

  2. Inaktivera Lagringsplatsen Defender för Endpoint på Linux Insiders-Fast

    sudo yum repolist

    Obs!

    Utdata ska visa packages-microsoft-com-fast-prod.

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Distribuera om Microsoft Defender för Endpoint på Linux med hjälp av produktionskanalen.

Avinstallation

Mer information om hur du tar bort Defender för Endpoint på Linux från klientenheter finns i Avinstallera .

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.