Distribuera Microsoft Defender för Endpoint i Linux manuellt

Gäller för:

• Microsoft Defender för Endpoint Server
• Microsoft Defender för servrar

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Tips

Letar du efter avancerad vägledning om hur du distribuerar Microsoft Defender för Endpoint i Linux? Se Avancerad distributionsguide för Defender för Endpoint i Linux.

Den här artikeln beskriver hur du distribuerar Microsoft Defender för Endpoint i Linux manuellt. En lyckad distribution kräver att alla följande uppgifter slutförs:

• Krav och systemkrav
• Konfigurera Linux-programvarulagringsplatsen
  • RHEL och varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky och Alma)
  • SLES och varianter
  • Ubuntu- och Debiansystem
  • Sjöman
• Programinstallation
  • RHEL och varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky och Alma)
  • SLES och varianter
  • Ubuntu- och Debiansystem
  • Sjöman
• Ladda ned onboarding-paketet
• Klientkonfiguration

Krav och systemkrav

Innan du börjar kan du läsa Microsoft Defender för Endpoint på Linux för en beskrivning av krav och systemkrav för den aktuella programvaruversionen.

Varning

Om du uppgraderar operativsystemet till en ny huvudversion efter produktinstallationen måste produkten installeras om. Du måste avinstallera den befintliga Defender för Endpoint i Linux, uppgradera operativsystemet och sedan konfigurera om Defender för Endpoint i Linux genom att följa stegen nedan.

Konfigurera Linux-programvarulagringsplatsen

Defender för Endpoint i Linux kan distribueras från någon av följande kanaler (betecknas som [kanal]): insiders-fast, insiders-slow eller prod. Var och en av dessa kanaler motsvarar en Linux-programvarulagringsplats. Anvisningarna i den här artikeln beskriver hur du konfigurerar enheten så att den använder någon av dessa lagringsplatser.

Valet av kanal avgör typ och frekvens för uppdateringar som erbjuds till din enhet. Enheter i insiders-fast är de första som tar emot uppdateringar och nya funktioner, följt senare av insiders-långsam och slutligen av prod.

För att kunna förhandsgranska nya funktioner och ge tidig feedback rekommenderar vi att du konfigurerar vissa enheter i företaget för att använda insiders-fast eller insiders-slow.

Varning

Om du byter kanal efter den första installationen måste produkten installeras om. Så här växlar du produktkanalen: avinstallera det befintliga paketet, konfigurera om enheten så att den använder den nya kanalen och följ stegen i det här dokumentet för att installera paketet från den nya platsen.

RHEL och varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky och Alma)

1. Installera yum-utils om den inte är installerad än:

   sudo yum install yum-utils
   

2. Leta rätt paket för distributionen och versionen. Använd följande tabell för att hjälpa dig att hitta paketet:

   Distribution & version	Paket
   Alma 8.4 och senare	https://packages.microsoft.com/config/alma/8/prod.repo
   Alma 9.2 och senare	https://packages.microsoft.com/config/alma/9/prod.repo
   RHEL/Centos/Oracle 9.0-9.8	https://packages.microsoft.com/config/rhel/9/prod.repo
   RHEL/Centos/Oracle 8.0-8.10	https://packages.microsoft.com/config/rhel/8/prod.repo
   RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2	https://packages.microsoft.com/config/rhel/7.2/prod.repo
   Amazon Linux 2023	https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
   Fedora 33	https://packages.microsoft.com/config/fedora/33/prod.repo
   Fedora 34	https://packages.microsoft.com/config/fedora/34/prod.repo
   Rocky 8,7 och högre	https://packages.microsoft.com/config/rocky/8/prod.repo
   Rocky 9,2 och högre	https://packages.microsoft.com/config/rocky/9/prod.repo

   Obs!

   För distributionen och versionen identifierar du den närmaste posten för den (efter huvudnamn och sedan del) under https://packages.microsoft.com/config/rhel/.

3. Ersätt [version] och [kanal] med den information som du har identifierat i följande kommandon:

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
   

   Tips

   Använd hostnamectl-kommandot för att identifiera systemrelaterad information, inklusive versionen [version].

   Om du till exempel kör CentOS 7 och vill distribuera Defender för Endpoint på Linux från prod kanalen:

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
   

   Eller om du vill utforska nya funktioner på valda enheter kanske du vill distribuera Microsoft Defender för Endpoint på Linux till en insiders-snabb kanal:

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
   

4. Installera den offentliga Microsoft GPG-nyckeln:

   sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
   

SLES och varianter

Obs!

För distributionen och versionen identifierar du den närmaste posten för den (efter huvudnamn och sedan del) under https://packages.microsoft.com/config/sles/.

1. Ersätt [distro] och [version] med den information som du har identifierat i följande kommandon:

   sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
   

   Tips

   Använd SPident-kommandot för att identifiera systemrelaterad information, inklusive version [version].

   Om du till exempel kör SLES 12 och vill distribuera Microsoft Defender för Endpoint på Linux från prod kanalen:

   sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
   

2. Installera den offentliga Microsoft GPG-nyckeln:

   sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
   

Ubuntu- och Debiansystem

1. Installera curl om den inte är installerad än:

   sudo apt-get install curl
   

2. Installera libplist-utils om den inte är installerad än:

   sudo apt-get install libplist-utils
   

   Obs!

   För distributionen och versionen identifierar du den närmaste posten för den (efter huvudnamn och sedan del) under https://packages.microsoft.com/config/[distro]/.

3. I följande kommando ersätter du [distro] och [version] med den information som du har identifierat:

   curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
   

   Tips

   Använd hostnamectl-kommandot för att identifiera systemrelaterad information, inklusive versionen [version].

   Om du till exempel kör Ubuntu 18.04 och vill distribuera Microsoft Defender för Endpoint på Linux från prod kanalen:

   curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
   

4. Installera lagringsplatsens konfiguration:

   sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
   

   Om du till exempel väljer prod kanal:

   sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
   

5. Installera paketet om det gpg inte redan är installerat:

   sudo apt-get install gpg
   

   Om gpg inte är tillgängligt installerar gnupgdu .

   sudo apt-get install gnupg
   

6. Installera den offentliga Microsoft GPG-nyckeln:

   • Kör följande kommando för Debian 11 och tidigare.

     curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
     

   • Kör följande kommando för Debian 12 och senare.

     curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
     

7. Installera HTTPS-drivrutinen om den inte redan är installerad:

   sudo apt-get install apt-transport-https
   

8. Uppdatera lagringsplatsens metadata:

   sudo apt-get update
   

Sjöman

1. Installera dnf-plugins-core om den inte är installerad än:

   sudo dnf install dnf-plugins-core
   

2. Konfigurera och aktivera de lagringsplatser som krävs.

   Obs!

   Insider Fast Channel är inte tillgängligt på Mariner.

   Om du vill distribuera Defender för Endpoint i Linux från prod kanalen. Använd följande kommandon

   sudo dnf install mariner-repos-extras
   sudo dnf config-manager --enable mariner-official-extras
   

   Eller om du vill utforska nya funktioner på valda enheter kanske du vill distribuera Microsoft Defender för Endpoint på Linux till en insiderbaserad långsam kanal. Använd följande kommandon:

   sudo dnf install mariner-repos-extras-preview
   sudo dnf config-manager --enable mariner-official-extras-preview
   

Programinstallation

Använd kommandona i följande avsnitt för att installera Defender för Endpoint på din Linux-distribution.

RHEL och varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky och Alma)

sudo yum install mdatp

Obs!

Om du har flera Microsoft-lagringsplatser konfigurerade på din enhet kan du vara specifik om vilken lagringsplats du vill installera paketet från. I följande exempel visas hur du installerar paketet från production kanalen om du också har insiders-fast konfigurerat lagringsplatskanalen på den här enheten. Den här situationen kan inträffa om du använder flera Microsoft-produkter på din enhet. Beroende på distributionen och versionen av servern kan lagringsplatsens alias skilja sig från det i följande exempel.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES och varianter

sudo zypper install mdatp

Obs!

Om du har flera Microsoft-lagringsplatser konfigurerade på din enhet kan du vara specifik om vilken lagringsplats du vill installera paketet från. I följande exempel visas hur du installerar paketet från production kanalen om du också har insiders-fast konfigurerat lagringsplatskanalen på den här enheten. Den här situationen kan inträffa om du använder flera Microsoft-produkter på din enhet.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu- och Debiansystem

sudo apt-get install mdatp

Obs!

Om du har flera Microsoft-lagringsplatser konfigurerade på din enhet kan du vara specifik om vilken lagringsplats du vill installera paketet från. I följande exempel visas hur du installerar paketet från production kanalen om du också har insiders-fast konfigurerat lagringsplatskanalen på den här enheten. Den här situationen kan inträffa om du använder flera Microsoft-produkter på din enhet.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Obs!

Omstarter krävs INTE när du har installerat eller uppdaterat Microsoft Defender för Endpoint i Linux, förutom när du kör auditD i oföränderligt läge.

Sjöman

sudo dnf install mdatp

Obs!

Om du har flera Microsoft-lagringsplatser konfigurerade på din enhet kan du vara specifik om vilken lagringsplats du vill installera paketet från. I följande exempel visas hur du installerar paketet från production kanalen om du också har insiders-slow konfigurerat lagringsplatskanalen på den här enheten. Den här situationen kan inträffa om du använder flera Microsoft-produkter på din enhet.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Ladda ned onboarding-paketet

Ladda ned registreringspaketet från Microsoft Defender-portalen.

Varning

Det går inte att paketera om installationspaketet för Defender för Endpoint. Detta kan påverka produktens integritet negativt och leda till negativa resultat, inklusive men inte begränsat till att utlösa manipuleringsaviseringar och uppdateringar som inte kan tillämpas.

Viktigt

Om du missar det här steget visar alla kommandon som körs ett varningsmeddelande som anger att produkten är olicensierad. mdatp health Kommandot returnerar också värdet false.

1. I Microsoft Defender-portalen går du till Inställningar>Slutpunkter>Enhetshantering>Registrering.

2. I den första nedrullningsbara menyn väljer du Linux Server som operativsystem. I den andra nedrullningsbara menyn väljer du Lokalt skript som distributionsmetod.

3. Välj Ladda ned registreringspaket. Spara filen som WindowsDefenderATPOnboardingPackage.zip.

   

4. Kontrollera att du har filen från en kommandotolk och extrahera innehållet i arkivet:

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
   

Klientkonfiguration

1. Kopiera MicrosoftDefenderATPOnboardingLinuxServer.py till målenheten.

   Obs!

   Inledningsvis är klientenheten inte associerad med en organisation och orgId-attributet är tomt.

   mdatp health --field org_id
   

2. Kör MicrosoftDefenderATPOnboardingLinuxServer.py.

   Obs!

   Om du vill köra det här kommandot måste du ha python eller python3 installerat på enheten beroende på distribution och version. Om det behövs kan du läsa Stegvisa instruktioner för att installera Python på Linux.

   Om du vill registrera en enhet som tidigare var avregistrerad måste du ta bort den mdatp_offboard.json filen som finns på /etc/opt/microsoft/mdatp.

   Om du kör RHEL 8.x eller Ubuntu 20.04 eller senare måste du använda python3.

   sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
   

   För resten av distributioner och versioner måste du använda python.

   sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
   

3. Kontrollera att enheten nu är associerad med din organisation och rapporterar en giltig organisationsidentifierare:

   mdatp health --field org_id
   

4. Kontrollera produktens hälsostatus genom att köra följande kommando. Ett returvärde true för anger att produkten fungerar som förväntat:

   mdatp health --field healthy
   

   Viktigt

   När produkten startas för första gången hämtar den de senaste definitionerna för skydd mot skadlig kod. Den här processen kan ta upp till några minuter beroende på nätverksanslutningen. Under den här tiden returnerar kommandot som nämndes tidigare värdet false. Du kan kontrollera statusen för definitionsuppdateringen med hjälp av följande kommando:

   mdatp health --field definitions_status
   

   Du kan också behöva konfigurera en proxy när du har slutfört den första installationen. Se Konfigurera Defender för Endpoint på Linux för identifiering av statisk proxy: Konfiguration efter installation.

5. Kör ett antivirusidentifieringstest för att kontrollera att enheten är korrekt registrerad och rapportera till tjänsten. Utför följande steg på den nyligen registrerade enheten:

   1. Kontrollera att realtidsskydd är aktiverat (betecknas av ett resultat av true att följande kommando körs):

      mdatp health --field real_time_protection_enabled
      

      Om den inte är aktiverad kör du följande kommando:

      mdatp config real-time-protection --value enabled
      

   2. Öppna ett terminalfönster och kör följande kommando för att köra ett identifieringstest:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. Du kan köra fler identifieringstester på zip-filer med något av följande kommandon:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

      Filerna ska placeras i karantän av Defender för Endpoint i Linux.

   4. Använd följande kommando för att lista alla identifierade hot:

      mdatp threat list
      

6. Kör ett EDR-identifieringstest och simulera en identifiering för att verifiera att enheten är korrekt registrerad och rapporterar till tjänsten. Utför följande steg på den nyligen registrerade enheten:

   1. Kontrollera att den registrerade Linux-servern visas i Microsoft Defender XDR. Om det här är den första registreringen av datorn kan det ta upp till 20 minuter tills den visas.

   2. Ladda ned och extrahera skriptfilen till en registrerad Linux-server och kör sedan följande kommando: ./mde_linux_edr_diy.sh

      Efter några minuter bör en identifiering aktiveras i Microsoft Defender XDR.

   3. Titta på aviseringsinformationen, datorns tidslinje och utför vanliga undersökningssteg.

Microsoft Defender för Endpoint paketera externa paketberoenden

Följande externa paketberoenden finns för mdatp paketet:

• Mdatp RPM-paketet kräver glibc >= 2.17, policycoreutils, selinux-policy-targeted, mde-netfilter
• För DEBIAN kräver libc6 >= 2.23mdatp-paketet , , uuid-runtimemde-netfilter
• För Mariner kräver attrmdatp-paketet , diffutils, libacl, libattr, libselinux-utils, selinux-policy, , , policycoreutilsmde-netfilter

Obs!

Från och med version 101.24082.0004stöder Auditd Defender för Endpoint på Linux inte längre händelseprovidern. Vi övergår helt till den effektivare eBPF-tekniken. Om eBPF inte stöds på dina datorer, eller om det finns specifika krav för att vara kvar på Auditd och dina datorer använder Defender för Endpoint i Linux-versionen 101.24072.0001 eller lägre, finns följande andra beroenden för det granskade paketet för mdatp:

• Mdatp RPM-paketet kräver audit, semanage.
• För DEBIAN kräver auditdmdatp-paketet .
• För Mariner kräver auditmdatp-paketet .

Paketet mde-netfilter har också följande paketberoenden:

• För DEBIAN mde-netfilter kräver libnetfilter-queue1paketet , libglib2.0-0
• För RPM mde-netfilter kräver libmnlpaketet , libnfnetlink, libnetfilter_queue, glib2
• För Mariner mde-netfilter kräver libnfnetlinkpaketet , libnetfilter_queue

Om Microsoft Defender för Endpoint installationen misslyckas på grund av saknade beroenden kan du manuellt ladda ned de nödvändiga beroendena.

Felsöka installationsproblem

• Mer information om hur du hittar loggen som genereras när ett installationsfel inträffar finns i Problem med logginstallation.

• Information om vanliga installationsproblem finns i Installationsproblem.

• Om enhetens hälsotillstånd är falskt läser du Undersök problem med agenthälsa.

• Information om problem med produktprestanda finns i Felsöka prestandaproblem för Microsoft Defender för Endpoint i Linux.

• Information om proxy- och anslutningsproblem finns i Felsöka problem med molnanslutningar för Microsoft Defender för Endpoint i Linux.

• Om du vill få support från Microsoft öppnar du ett supportärende och anger loggfilerna som skapats med hjälp av verktyget Microsoft Defender för Endpoint-klientanalys.

Växla mellan kanaler

Om du till exempel vill ändra kanal från Insiders-Fast till Produktion gör du följande:

1. Insiders-Fast channel Avinstallera versionen av Defender för Endpoint i Linux.

   sudo yum remove mdatp
   

2. Inaktivera Defender för Endpoint på Linux Insiders-Fast kanal

   sudo yum-config-manager --disable packages-microsoft-com-fast-prod
   

3. Installera om Microsoft Defender för Endpoint i Linux med hjälp av Production channeloch registrera enheten i Microsoft Defender-portalen.

Så här konfigurerar du principer för Microsoft Defender för Endpoint i Linux

Du kan konfigurera inställningar för antivirus och EDR på dina slutpunkter. Mer information finns i följande artiklar:

• Ange inställningar för Microsoft Defender för Endpoint i Linux beskriver de tillgängliga inställningarna
• Hantering av säkerhetsinställningar beskriver hur du konfigurerar inställningar i Microsoft Defender-portalen.

Avinstallera Microsoft Defender för Endpoint på Linux

Kör följande kommando för Linux-distributionen för manuell avinstallation.

• sudo yum remove mdatp för RHEL och varianter (CentOS och Oracle Linux).
• sudo zypper remove mdatp för SLES och varianter.
• sudo apt-get purge mdatp för Ubuntu- och Debiansystem.
• sudo dnf remove mdatp för Mariner

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.