Sdílet prostřednictvím

Ruční nasazení Microsoft Defender for Endpoint v Linuxu

  • Článek

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tip

Hledáte pokročilé pokyny k nasazení Microsoft Defender for Endpoint v Linuxu? Viz Průvodce pokročilým nasazením v Defenderu for Endpoint v Linuxu.

Tento článek popisuje ruční nasazení Microsoft Defender for Endpoint v Linuxu. Úspěšné nasazení vyžaduje dokončení všech následujících úloh:

Požadavky a požadavky na systém

Než začnete, přečtěte si Microsoft Defender for Endpoint v Linuxu popis požadavků a požadavků na systém pro aktuální verzi softwaru.

Upozornění

Upgrade operačního systému na novou hlavní verzi po instalaci produktu vyžaduje přeinstalaci produktu. Musíte odinstalovat existující defender for Endpoint v Linuxu, upgradovat operační systém a pak překonfigurovat Defender for Endpoint v Linuxu podle následujících kroků.

Konfigurace úložiště softwaru pro Linux

Defender for Endpoint v Linuxu je možné nasadit z některého z následujících kanálů (níže označených jako [channel]): insiders-fast, insiders-slow nebo prod. Každý z těchto kanálů odpovídá úložišti softwaru v Linuxu. Pokyny v tomto článku popisují konfiguraci zařízení tak, aby používalo jedno z těchto úložišť.

Volba kanálu určuje typ a frekvenci aktualizací nabízených vašemu zařízení. Zařízení v rychlém programu insider jsou prvními, kteří obdrží aktualizace a nové funkce, a později je následují účastníci programu Insider-slow a nakonec prod.

Pokud chcete získat náhled nových funkcí a poskytnout včasnou zpětnou vazbu, doporučujeme nakonfigurovat některá zařízení ve vašem podniku tak, aby používala buď rychlé účastníkyprogramu Insider, nebo pomalé účastníky programu Insider.

Upozornění

Přepnutí kanálu po počáteční instalaci vyžaduje přeinstalaci produktu. Přepnutí kanálu produktu: Odinstalujte existující balíček, znovu nakonfigurujte zařízení tak, aby používalo nový kanál, a podle pokynů v tomto dokumentu nainstalujte balíček z nového umístění.

Instalační skript

Zatímco probereme ruční instalaci, můžete alternativně použít skript Bash automatizovaného instalačního programu , který je součástí našeho veřejného úložiště GitHub. Skript identifikuje distribuci a verzi, zjednodušuje výběr správného úložiště, nastaví zařízení tak, aby načítá nejnovější balíček, a kombinuje kroky instalace produktu a onboardingu.

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

Další informace najdete tady.

RHEL a varianty (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky a Alma)

SLES a varianty

Poznámka

Vaše distribuce a verze a identifikujte nejbližší položku (podle hlavní položky, pak podverze) pro ni v části https://packages.microsoft.com/config/sles/.

V následujících příkazech nahraďte [distribuce] a [version] informacemi, které jste identifikovali:

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

Tip

Pomocí příkazu SPident identifikujte informace související se systémem, včetně verze [verze].

Pokud například používáte SLES 12 a chcete nasadit Microsoft Defender for Endpoint v Linuxu z kanálu prod:

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  • Nainstalujte veřejný klíč Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

Systémy Ubuntu a Debian

  • Pokud ještě není nainstalovaná, nainstalujte curl ji:

    sudo apt-get install curl

  • Pokud ještě není nainstalovaná, nainstalujte libplist-utils ji:

    sudo apt-get install libplist-utils

    Poznámka

    Vaše distribuce a verze a identifikujte nejbližší položku (podle hlavní položky, pak podverze) pro ni v části https://packages.microsoft.com/config/[distro]/.

    V následujícím příkazu nahraďte [distribuce] a [version] informacemi, které jste identifikovali:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    Tip

    Pomocí příkazu hostnamectl identifikujte informace související se systémem, včetně verze [verze].

    Pokud například používáte Ubuntu 18.04 a chcete nasadit Microsoft Defender for Endpoint v Linuxu z kanálu prod:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  • Nainstalujte konfiguraci úložiště:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    Pokud jste například zvolili kanál prod :

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  • Nainstalujte balíček, gpg pokud ještě není nainstalovaný:

    sudo apt-get install gpg

    Pokud gpg není k dispozici, nainstalujte gnupg.

    sudo apt-get install gnupg

  • Nainstalujte veřejný klíč Microsoft GPG:

    • Pro Debian 11 a starší spusťte následující příkaz.
    curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

Pro Debian 12 a novější spusťte následující příkaz.

curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  • Nainstalujte ovladač HTTPS, pokud ještě není nainstalovaný:

    sudo apt-get install apt-transport-https

  • Aktualizujte metadata úložiště:

    sudo apt-get update

Mariner

  • Pokud ještě není nainstalovaná, nainstalujte dnf-plugins-core ji:

    sudo dnf install dnf-plugins-core

  • Konfigurace a povolení požadovaných úložišť

    Poznámka

    Na webu Mariner není k dispozici kanál Insider Fast.

    Pokud chcete nasadit Defender for Endpoint v Linuxu z kanálu prod . Použijte následující příkazy.

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    Nebo pokud chcete prozkoumat nové funkce na vybraných zařízeních, můžete chtít nasadit Microsoft Defender for Endpoint v Linuxu do kanálu insiders-slow. Použijte následující příkazy:

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

Instalace aplikace

RHEL a varianty (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky a Alma)

sudo yum install mdatp

Poznámka

Pokud máte na svém zařízení nakonfigurovaných více úložišť Microsoftu, můžete určit, ze kterého úložiště chcete balíček nainstalovat. Následující příklad ukazuje, jak nainstalovat balíček z production kanálu, pokud máte insiders-fast na tomto zařízení nakonfigurovaný také kanál úložiště. K této situaci může dojít, pokud na svém zařízení používáte více produktů Microsoftu. V závislosti na distribuci a verzi vašeho serveru se alias úložiště může lišit od aliasu v následujícím příkladu.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES a varianty

sudo zypper install mdatp

Poznámka

Pokud máte na svém zařízení nakonfigurovaných více úložišť Microsoftu, můžete určit, ze kterého úložiště chcete balíček nainstalovat. Následující příklad ukazuje, jak nainstalovat balíček z production kanálu, pokud máte insiders-fast na tomto zařízení nakonfigurovaný také kanál úložiště. K této situaci může dojít, pokud na svém zařízení používáte více produktů Microsoftu.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Systémy Ubuntu a Debian

sudo apt-get install mdatp

Poznámka

Pokud máte na svém zařízení nakonfigurovaných více úložišť Microsoftu, můžete určit, ze kterého úložiště chcete balíček nainstalovat. Následující příklad ukazuje, jak nainstalovat balíček z production kanálu, pokud máte insiders-fast na tomto zařízení nakonfigurovaný také kanál úložiště. K této situaci může dojít, pokud na svém zařízení používáte více produktů Microsoftu.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Poznámka

Po instalaci nebo aktualizaci Microsoft Defender for Endpoint v Linuxu se restartování nevyžaduje, s výjimkou případů, kdy spouštíte auditD v neměnném režimu.

Mariner

sudo dnf install mdatp

Poznámka

Pokud máte na svém zařízení nakonfigurovaných více úložišť Microsoftu, můžete určit, ze kterého úložiště chcete balíček nainstalovat. Následující příklad ukazuje, jak nainstalovat balíček z production kanálu, pokud máte insiders-slow na tomto zařízení nakonfigurovaný také kanál úložiště. K této situaci může dojít, pokud na svém zařízení používáte více produktů Microsoftu.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Stažení balíčku pro onboarding

Stáhněte balíček pro onboarding z portálu Microsoft Defender.

Upozornění

Opětovné zabalení instalačního balíčku Defenderu for Endpoint není podporovaným scénářem. To může negativně ovlivnit integritu produktu a vést k nepříznivým výsledkům, mimo jiné včetně aktivace upozornění na manipulaci a selhání aktualizace.

Důležité

Pokud tento krok vynecháte, zobrazí se u každého spuštěného příkazu zpráva upozornění, že produkt není licencován. mdatp health Příkaz také vrátí hodnotu false.

  1. Na portálu Microsoft Defender přejděte na Nastavení > Koncové body > Onboarding správy > zařízení.

  2. V první rozevírací nabídce vyberte jako operační systém Linux Server . V druhé rozevírací nabídce vyberte jako metodu nasazení Místní skript .

  3. Vyberte Stáhnout onboardingový balíček. Uložte soubor jako WindowsDefenderATPOnboardingPackage.zip.

    Stažení onboardingového balíčku na portálu Microsoft Defender

  4. Na příkazovém řádku ověřte, že máte soubor, a extrahujte obsah archivu:

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

Konfigurace klienta

  1. Zkopírujte MicrosoftDefenderATPOnboardingLinuxServer.py do cílového zařízení.

    Poznámka

    Zpočátku není klientské zařízení přidružené k organizaci a atribut orgId je prázdný.

    mdatp health --field org_id

  2. Spusťte MicrosoftDefenderATPOnboardingLinuxServer.py.

    Poznámka

    Chcete-li spustit tento příkaz, musíte mít python nebo python3 nainstalovat v zařízení v závislosti na distribuci a verzi. V případě potřeby si projděte podrobné pokyny k instalaci Pythonu v Linuxu.

    Poznámka

    Pokud chcete připojit zařízení, které bylo dříve offboardováno, musíte odebrat mdatp_offboard.json soubor umístěný na adrese /etc/opt/microsoft/mdatp.

    Pokud používáte RHEL 8.x nebo Ubuntu 20.04 nebo novější, musíte použít python3.

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    Pro ostatní distribuce a verze musíte použít python.

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. Ověřte, že je zařízení teď přidružené k vaší organizaci a že nahlásí platný identifikátor organizace:

    mdatp health --field org_id

  4. Spuštěním následujícího příkazu zkontrolujte stav produktu. Vrácená hodnota true označuje, že produkt funguje podle očekávání:

    mdatp health --field healthy

    Důležité

    Když se produkt poprvé spustí, stáhne nejnovější antimalwarové definice. V závislosti na připojení k síti to může trvat až několik minut. Během této doby výše uvedený příkaz vrátí hodnotu false. Stav aktualizace definice můžete zkontrolovat pomocí následujícího příkazu:

    mdatp health --field definitions_status

    Mějte na paměti, že po dokončení počáteční instalace může být také potřeba nakonfigurovat proxy server. Informace o zjišťování statického proxy serveru najdete v tématu Konfigurace Defenderu for Endpoint v Linuxu: Konfigurace po instalaci.

  5. Spusťte test detekce AV a ověřte, že je zařízení správně nasazené a hlásí se službě. Na nově nasazeném zařízení proveďte následující kroky:

    • Ujistěte se, že je povolená ochrana v reálném čase (označená výsledkem true spuštění následujícího příkazu):

      mdatp health --field real_time_protection_enabled

      Pokud není povolená, spusťte následující příkaz:

      mdatp config real-time-protection --value enabled

    • Otevřete okno terminálu a spuštěním následujícího příkazu spusťte test detekce:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    • U souborů ZIP můžete spustit další testy detekce pomocí některého z následujících příkazů:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    • Soubory by měl defender for Endpoint umístit do karantény v Linuxu. Pomocí následujícího příkazu vypíšete seznam všech zjištěných hrozeb:

      mdatp threat list

  6. Spusťte test detekce EDR a simulujte detekci, abyste ověřili, že je zařízení správně nasazené a že se hlásí službě. Na nově nasazeném zařízení proveďte následující kroky:

  • Ověřte, že se nasazený server s Linuxem zobrazí v Microsoft Defender XDR. Pokud se jedná o první onboarding počítače, může trvat až 20 minut, než se počítač objeví.

    • Stáhněte a extrahujte soubor skriptu na nasazený server s Linuxem a spusťte následující příkaz: ./mde_linux_edr_diy.sh

    • Po několika minutách by se měla v Microsoft Defender XDR zvýšit detekce.

    • Podívejte se na podrobnosti o upozornění, časovou osu počítače a proveďte typické kroky šetření.

Microsoft Defender for Endpoint závislosti externích balíčků balíčků

Pro balíček mdatp existují následující závislosti externích balíčků:

  • Balíček mdatp RPM vyžaduje glibc >= 2.17, audit, policycoreutils, semanage, selinux-policy-targeted, mde-netfilter.
  • Pro RHEL6 vyžaduje balíček mdatp RPM "audit", "policycoreutils", "libselinux", "mde-netfilter".
  • Pro DEBIAN balíček mdatp vyžaduje "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"
  • Balíček mdatp pro Mariner vyžaduje "attr", "audit", "diffutils", "libacl", "libattr", "libselinux-utils", "selinux-policy", "policycoreutils", "mde-netfilter".

Balíček mde-netfilter má také následující závislosti balíčků:

  • Balíček mde-netfilter pro DEBIAN vyžaduje "libnetfilter-queue1", "libglib2.0-0"
  • Pro RPM vyžaduje balíček mde-netfilter "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2".
  • Pro Mariner vyžaduje balíček mde-netfilter "libnfnetlink", "libnetfilter_queue".

Pokud se instalace Microsoft Defender for Endpoint nezdaří kvůli chybám chybějících závislostí, můžete požadované závislosti stáhnout ručně.

Problémy s instalací protokolu

Další informace o tom, jak najít automaticky vygenerovaný protokol vytvořený instalačním programem, když dojde k chybě, najdete v tématu Problémy s instalací protokolu .

Postup migrace z Insiders-Fast do produkčního kanálu

  1. Odinstalujte verzi programu Defender for Endpoint pro účastníky programu Insiders-Fast v Linuxu.

    sudo yum remove mdatp

  2. Zakázání Defenderu for Endpoint v úložišti Insiders-Fast Linuxu

    sudo yum repolist

    Poznámka

    Výstup by měl obsahovat "packages-microsoft-com-fast-prod".

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Znovu nasaďte Microsoft Defender for Endpoint v Linuxu pomocí produkčního kanálu.

Odinstalace

Podrobnosti o tom, jak odebrat Defender for Endpoint v Linuxu z klientských zařízení, najdete v tématu Odinstalace .

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.