適用於 ARM64 型裝置的 Linux 上 適用於端點的 Microsoft Defender (預覽)

• 適用於端點的 Microsoft Defender 伺服器
• 伺服器的 Microsoft Defender

適用於 ARM64 型裝置的 Linux 上適用於端點的 Defender 概觀

您可能已經知道，Linux 上的 適用於端點的 Microsoft Defender 是統一的端點安全性解決方案，可協助您保護伺服器裝置免於遭受進階威脅。 適用於 Linux 上的適用於端點的 Defender 現在已在預覽版中擴充對 ARM64 型 Linux 伺服器的支援。 與包含 Intel 和 AMD 64 位平臺) (的 x64 型 Linux 伺服器類似，包含下列功能：

• Microsoft Defender 防毒軟體
• 端點偵測及回應 (EDR)
• 即時回應
• 裝置隔離
• 進階搜捕
• 弱點管理
• 使用安全性設定管理進行集中式原則設定

一開始，預覽支援下列 Linux 發行版：

• Ubuntu 20.04 ARM64

• Ubuntu 22.04 ARM64

• Ubuntu 24.04 ARM64

• Amazon Linux 2 ARM64

• Amazon Linux 2023 ARM64

• RHEL 8.x ARM64

• RHEL 9.x ARM64

• Oracle Linux 8.x ARM64

• Oracle Linux 9.x ARM64

• SUSE Linux Enterprise Server 15 (SP5、SP6) ARM64

注意事項

此預覽計劃已規劃更多 Linux 發行版的支援。

針對 ARM64 型裝置在 Linux 上部署適用於端點的 Defender

本文中的部署程式會從 ARM64 型裝置上的測試人員緩慢通道安裝代理程式版本 101.24102.0003 。 (參閱 Linux.) 上 適用於端點的 Microsoft Defender 的新功能

您可以從數種方法中選擇，將 Linux 上適用於端點的 Defender 部署到 ARM64 型裝置：

• 安裝程式腳本
• Ansible
• 玩偶
• 適用於雲端的 Microsoft Defender

開始之前

• 確定已符合Linux上適用於端點的Defender的必要條件

• 若要將伺服器上線至適用於端點的 Defender，則需要 伺服器授權 。 您可以從下列選項中選擇：

  • Microsoft Defender 伺服器方案 1 或方案 2 (作為適用於雲端的 Defender) 供應專案的一部分;或
  • 適用於端點的 Microsoft Defender 伺服器

使用安裝程式腳本進行部署

1. 在 Microsoft Defender 入口網站中，移至 [設定>端點>裝置管理>上線]。

2. 在上線畫面中，選取下列選項：

   

   1. 在 [ 選取作系統以開始上架程式] 清單中 ，選取 [Linux 伺服器]。

   2. 在 [ 連線類型] 清單中，選取 [ 簡化]。 或者，如有必要，您可以選取 [Standard]。 (如需詳細資訊，請參閱使用 適用於端點的 Microsoft Defender.) 的簡化連線將裝置上線

   3. 在 [ 部署方法 ] 清單中，選 取 [本機腳本 (Python) 。

   4. 選取 [下載上線套件]。

3. 在新的瀏覽器視窗中，下載 適用於端點的 Defender 安裝程式 bash 腳本。

4. 使用下列命令來授與文稿的必要權限：

   $chmod +x /mde_installer.sh

5. 執行下列命令以執行安裝程式文稿：

   $sudo ~/mde_installer.sh --install --channel insiders-slow --onboard ~/MicrosoftDefenderATPOnboardingLinuxServer.py

6. 遵循下列步驟來驗證部署：

   1. 在裝置上，執行下列命令以檢查健康情況狀態。 的 true 傳回值表示產品如預期般運作：

      $ mdatp health --field healthy

   2. 在 Microsoft Defender 入口網站的 [資產>裝置] 底下，尋找您剛上線的Linux裝置。 裝置可能需要大約 20 分鐘才會顯示在入口網站中。

7. 如果您遇到問題，請參閱本文) (的 部署問題進行疑難解答 。

使用安裝程式腳本搭配 Ansible 進行部署

1. 在 Microsoft Defender 入口網站中，移至 [設定>端點>裝置管理>上線]。

2. 在上線畫面中，選取下列選項：

   

   1. 在 [ 選取作系統以開始上架程式] 清單中 ，選取 [Linux 伺服器]。

   2. 在 [ 連線類型] 清單中，選取 [ 簡化]。 或者，如有必要，您可以選取 [Standard]。 (如需詳細資訊，請參閱使用 適用於端點的 Microsoft Defender.) 的簡化連線將裝置上線

   3. 在 [ 部署方法 ] 清單中，選 取您慣用的Linux組態管理工具。

   4. 選取 [下載上線套件]。

3. 在新的瀏覽器視窗中，下載 適用於端點的 Defender 安裝程式 bash 腳本。

4. 在 Ansible 伺服器上建立安裝 YAML 檔案。 例如， /etc/ansible/playbooks/install_mdatp.yml使用您在 mde_installer.sh 步驟 3 中下載的 。

   
   name: Install and Onboard MDE
   hosts: servers
   tasks:
   - name: Create a directory if it does not exist
     ansible.builtin.file:
       path: /tmp/mde_install
       state: directory
       mode: '0755'
   
   - name: Copy Onboarding script
     ansible.builtin.copy:
       src: "{{ onboarding_script }}"
       dest: /tmp/mde_install/mdatp_onboard.json
   - name: Install MDE on host
     ansible.builtin.script: "{{ mde_installer_script }} --install --channel {{ channel | default('insiders-slow') }} --onboard /tmp/mde_install/mdatp_onboard.json"
     register: script_output
     args:
       executable: sudo
   
   - name: Display the installation output
     debug:
       msg: "Return code [{{ script_output.rc }}] {{ script_output.stdout }}"
   
   - name: Display any installation errors
     debug:
       msg: "{{ script_output.stderr }}"
   
   

5. 使用下列命令在Linux上部署適用於端點的Defender。 視需要編輯對應的路徑和通道。

   
   ansible-playbook -i  /etc/ansible/hosts /etc/ansible/playbooks/install_mdatp.yml --extra-vars "onboarding_script=<path to mdatp_onboard.json > mde_installer_script=<path to mde_installer.sh> channel=<channel to deploy for: insiders-slow > "
   
   

6. 遵循下列步驟來驗證您的部署：

   1. 在裝置上，執行下列命令來檢查裝置健康情況、連線能力、防病毒軟體和 EDR 偵測：

      
      - name: Run post-installation basic MDE test
        hosts: myhosts
        tasks:
      
         - name: Check health
           ansible.builtin.command: mdatp health --field healthy
           register: health_status
      
         - name: MDE health test failed
           fail: msg="MDE is not healthy. health status => \n{{ health_status.stdout       }}\nMDE deployment not complete"
           when: health_status.stdout != "true"
      
         - name: Run connectivity test
           ansible.builtin.command: mdatp connectivity test
           register: connectivity_status
      
         - name: Connectivity failed
           fail: msg="Connectivity failed. Connectivity result => \n{{ connectivity_status.stdout }}\n MDE deployment not complete"
           when: connectivity_status.rc != 0
      
         - name: Check RTP status
           ansible.builtin.command: mdatp health --field real_time_protection_enabled
           register: rtp_status
      
         - name: Enable RTP
           ansible.builtin.command: mdatp config real-time-protection --value enabled
           become: yes
           become_user: root
           when: rtp_status.stdout != "true"
      
         - name: Pause for 5 second to enable RTP
           ansible.builtin.pause:
           seconds: 5
      
         - name: Download EICAR
           ansible.builtin.get_url:
           url: https://secure.eicar.org/eicar.com.txt
           dest: /tmp/eicar.com.txt
      
         - name: Pause for 5 second to detect eicar 
           ansible.builtin.pause:
           seconds: 5
      
         - name: Check for EICAR file
           stat: path=/tmp/eicar.com.txt
           register: eicar_test
      
         - name: EICAR test failed
           fail: msg="EICAR file not deleted. MDE deployment not complete"
           when: eicar_test.stat.exists
      
         - name: MDE Deployed
           debug:
           msg: "MDE succesfully deployed"
      
      

   2. 在 Microsoft Defender 入口網站的 [資產>裝置] 底下，尋找您剛上線的Linux裝置。 裝置可能需要大約 20 分鐘才會顯示在入口網站中。

7. 如果您遇到問題，請參閱本文) (的 部署問題進行疑難解答 。

搭配 Puppet 使用安裝程式腳本進行部署

1. 在 Microsoft Defender 入口網站中，移至 [設定>端點>裝置管理>上線]。

2. 在上線畫面中，選取下列選項：

   

   1. 在 [ 選取作系統以開始上架程式] 清單中 ，選取 [Linux 伺服器]。

   2. 在 [ 連線類型] 清單中，選取 [ 簡化]。 或者，如有必要，您可以選取 [Standard]。 (如需詳細資訊，請參閱使用 適用於端點的 Microsoft Defender.) 的簡化連線將裝置上線

   3. 在 [ 部署方法 ] 清單中，選 取您慣用的Linux組態管理工具。

   4. 選取 [下載上線套件]。 將檔案儲存為 WindowsDefenderATPOnboardingPackage.zip。

3. 使用下列命令擷取上線套件的內容：

   unzip WindowsDefenderATPOnboardingPackage.zip

   您應該會看到下列輸出：

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: mdatp_onboard.json
   

4. 在新的瀏覽器視窗中，下載 適用於端點的 Defender 安裝程式 bash 腳本 (此腳本稱為 mde_installer.sh) 。

5. 使用下列程式建立 Puppet 指令清單，其會使用步驟 4 中的 mde_installer.sh 腳本。

   1. 在 Puppet 安裝的 modules 資料夾中，建立下列資料夾：

      • install_mdatp/files
      • install_mdatp/manifests

      modules 資料夾通常位於 /etc/puppetlabs/code/environments/production/modules Puppet 伺服器上。

   2. 將稍早建立的mdatp_onboard.jsoninstall_mdatp/files檔案複製到資料夾。

   3. 複製 mde_installer.sh 到 install_mdatp/files folder。

   4. 在 內install_mdatp/manifests建立init.pp包含下列部署指示的檔案：

      tree install_mdatp
      Output: 
      install_mdatp
      ├── files
      │   ├── mdatp_onboard.sh
      │   └── mde_installer.sh
      └── manifests
          └── init.pp
      

6. 使用 Puppet 指令清單，在您的裝置上安裝適用於端點的 Defender。

   
   # Puppet manifest to install Microsoft Defender for Endpoint on Linux.
   # @param channel The release channel based on your environment, insider-fast or prod.
   
   class install_mdatp (
     $channel = 'insiders-slow',
   ) {
     # Ensure that the directory /tmp/mde_install exists
     file { '/tmp/mde_install':
       ensure => directory,
       mode   => '0755',
     }
   
   # Copy the installation script to the destination
   file { '/tmp/mde_install/mde_installer.sh':
     ensure => file,
     source => 'puppet:///modules/install_mdatp/mde_installer.sh',
     mode   => '0777',
     }
   
   # Copy the onboarding script to the destination
   file { '/tmp/mde_install/mdatp_onboard.json':
    ensure => file,
    source => 'puppet:///modules/install_mdatp/mdatp_onboard.json',
    mode   => '0777',
    }
   
   #Install MDE on the host using an external script
   exec { 'install_mde':
    command     => "/tmp/mde_install/mde_installer.sh --install --channel ${channel} --onboard /tmp/mde_install/mdatp_onboard.json",
    path        => '/bin:/usr/bin',
    user        => 'root',
    logoutput   => true,
    require     => File['/tmp/mde_install/mde_installer.sh', '/tmp/mde_install/mdatp_onboard.json'], # Ensure the script is copied before running the installer
   }
   }
   

7. 驗證您的部署。 在 Microsoft Defender 入口網站的 [資產>裝置] 底下，尋找您剛上線的Linux裝置。 裝置可能需要大約 20 分鐘才會顯示在入口網站中。

使用適用於雲端的 Microsoft Defender，在 Linux 上部署適用於端點的 Defender

如果您的組織使用適用於雲端的 Defender，您可以使用它在 Linux 上部署適用於端點的 Defender。

1. 建議您在 ARM64 型 Linux 裝置上啟用自動部署。 布建 VM 之後，請在裝置上的 檔案 /etc/mde.arm.d/mde.conf 底下定義變數，如下所示：

   OPT_FOR_MDE_ARM_PREVIEW=1

2. 等候 1-6 小時讓上線完成。

3. 在 Microsoft Defender 入口網站的 [資產>裝置] 底下，尋找您剛上線的Linux裝置。

需要適用於雲端的Defender的協助嗎？

請參閱這些文章：

• 啟用適用於端點的 Defender 整合：Linux
• 將非 Azure 機器連線至雲端 Microsoft Defender：將 Linux 伺服器上線

針對部署問題進行疑難解答

如果您在 Linux 上將適用於端點的 Defender 部署到 ARM64 型裝置時遇到任何問題，請提供協助。 首先，檢閱我們的常見問題清單，以及如何解決這些問題。 如果問題持續發生，請 與我們連絡。

常見問題及其解決方式

下表摘要說明常見問題及其解決方式。

錯誤訊息或問題	處理方式
mdatp not found	存放庫可能未正確設定。 檢查通道是否在安裝程式文本中設定為insiders-slow
mdatp health 表示遺失授權	請確定您將正確的上線文本或 json 檔案傳遞至您的自動化腳本或工具
排除專案未如預期般運作	如果您在其他裝置上有排除專案，但它們無法在ARM64型Linux伺服器上運作，請透過 mdearmsupport@microsoft.com與我們連絡。 您需要用戶端分析器記錄。
您想要微調 mdatp 的協助。	請透過與我們連絡 mdearmsupport@microsoft.com。

如果您需要協助，請與我們連絡

當您在 mdearmsupport@microsoft.com與我們連絡時，請務必詳細描述問題。 盡可能包含螢幕快照，以及您的用戶端分析器記錄。

XMDE 用戶端分析器 ARM 預覽

1. 使用 Bash 下載 XMDE 用戶端分析器 ARM 預覽。

   wget --quiet -O XMDEClientAnalyzerARMPreview.zip https://go.microsoft.com/fwlink/?linkid=2299668
   

2. 執行支援工具。

   sudo ./MDESupportTool -d --mdatp-log debug
   

3. 請遵循畫面上的指示，然後在記錄收集結束時進行追蹤。 記錄位於目錄中 /tmp 。

   記錄集是由根用戶所擁有，因此您可能需要根許可權才能移除記錄集。

另請參閱

• Linux 上適用於端點的 Microsoft Defender

• 依平台支援的 適用於端點的 Microsoft Defender 功能