Manuelles Bereitstellen von Microsoft Defender for Endpoint unter Linux

  • Artikel

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Tipp

Suchen Sie nach erweiterten Anleitungen zum Bereitstellen von Microsoft Defender for Endpoint unter Linux? Weitere Informationen finden Sie im Erweiterten Bereitstellungshandbuch für Defender für Endpunkt unter Linux.

In diesem Artikel wird beschrieben, wie Sie Microsoft Defender for Endpoint unter Linux manuell bereitstellen. Eine erfolgreiche Bereitstellung erfordert den Abschluss aller folgenden Aufgaben:

Voraussetzungen und Systemanforderungen

Bevor Sie beginnen, finden Sie unter Microsoft Defender for Endpoint unter Linux eine Beschreibung der Voraussetzungen und Systemanforderungen für die aktuelle Softwareversion.

Warnung

Wenn Sie Ihr Betriebssystem nach der Produktinstallation auf eine neue Hauptversion aktualisieren, muss das Produkt neu installiert werden. Sie müssen den vorhandenen Defender für Endpunkt unter Linux deinstallieren , das Betriebssystem aktualisieren und dann Defender für Endpunkt für Linux neu konfigurieren, indem Sie die folgenden Schritte ausführen.

Konfigurieren des Linux-Softwarerepositorys

Defender für Endpunkt für Linux kann über einen der folgenden Kanäle (unten als [Kanal] bezeichnet) bereitgestellt werden: insiders-fast, insiders-slow oder prod. Jeder dieser Kanäle entspricht einem Linux-Softwarerepository. In den Anweisungen in diesem Artikel wird beschrieben, wie Sie Ihr Gerät für die Verwendung eines dieser Repositorys konfigurieren.

Die Wahl des Kanals bestimmt den Typ und die Häufigkeit der Updates, die Ihrem Gerät angeboten werden. Geräte in Insider-fast sind die ersten, die Updates und neue Features erhalten, gefolgt von Insider-langsam und schließlich von Prod.

Um eine Vorschau neuer Features anzuzeigen und frühzeitig Feedback zu geben, wird empfohlen, einige Geräte in Ihrem Unternehmen so zu konfigurieren, dass sie entweder insiders-fast oder insiders-slow verwenden.

Warnung

Wenn Sie den Kanal nach der Erstinstallation wechseln, muss das Produkt neu installiert werden. Um den Produktkanal zu wechseln: Deinstallieren Sie das vorhandene Paket, konfigurieren Sie Ihr Gerät neu, um den neuen Kanal zu verwenden, und führen Sie die Schritte in diesem Dokument aus, um das Paket vom neuen Speicherort aus zu installieren.

Installationsskript

Während wir die manuelle Installation besprechen, können Sie alternativ ein bash-Skript des automatisierten Installationsprogramms verwenden, das in unserem öffentlichen GitHub-Repository bereitgestellt wird. Das Skript identifiziert die Verteilung und Version, vereinfacht die Auswahl des richtigen Repositorys, richtet das Gerät ein, um das neueste Paket zu pullen, und kombiniert die Schritte zur Produktinstallation und zum Onboarding.

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

Weitere Informationen finden Sie hier.

RHEL und Varianten (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky und Alma)

SLES und Varianten

Hinweis

Ihre Distribution und Version, und identifizieren Sie den nächstgelegenen Eintrag (nach Haupt- und dann Nebenversion) für sie unter https://packages.microsoft.com/config/sles/.

Ersetzen Sie in den folgenden Befehlen [Distribution] und [Version] durch die von Ihnen identifizierten Informationen:

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

Tipp

Verwenden Sie den SPident-Befehl, um systembezogene Informationen zu identifizieren, einschließlich Release [Version].

Wenn Sie beispielsweise SLES 12 ausführen und Microsoft Defender for Endpoint unter Linux über den Prod-Kanal bereitstellen möchten:

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  • Installieren Sie den öffentlichen Microsoft GPG-Schlüssel:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

Ubuntu- und Debian-Systeme

  • Installieren Sie curl , wenn sie noch nicht installiert ist:

    sudo apt-get install curl

  • Installieren Sie libplist-utils , wenn sie noch nicht installiert ist:

    sudo apt-get install libplist-utils

    Hinweis

    Ihre Distribution und Version, und identifizieren Sie den nächstgelegenen Eintrag (nach Haupt- und dann Nebenversion) für sie unter https://packages.microsoft.com/config/[distro]/.

    Ersetzen Sie im folgenden Befehl [distribution] und [version] durch die von Ihnen identifizierten Informationen:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    Tipp

    Verwenden Sie den Hostnamectl-Befehl, um systembezogene Informationen zu identifizieren, einschließlich release [version].

    Wenn Sie beispielsweise Ubuntu 18.04 ausführen und Microsoft Defender for Endpoint unter Linux über den Prod-Kanal bereitstellen möchten:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  • Installieren Sie die Repositorykonfiguration:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    Wenn Sie z. B. den Prod-Kanal ausgewählt haben:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  • Installieren Sie das gpg Paket, wenn es noch nicht installiert ist:

    sudo apt-get install gpg

    Wenn gpg nicht verfügbar ist, installieren Sie gnupg.

    sudo apt-get install gnupg

  • Installieren Sie den öffentlichen Microsoft GPG-Schlüssel:

    • Führen Sie für Debian 11 und früher den folgenden Befehl aus.
    curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

Führen Sie für Debian 12 und höher den folgenden Befehl aus.

curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  • Installieren Sie den HTTPS-Treiber, falls noch nicht installiert:

    sudo apt-get install apt-transport-https

  • Aktualisieren Sie die Repositorymetadaten:

    sudo apt-get update

Mariner

  • Installieren Sie dnf-plugins-core , wenn sie noch nicht installiert ist:

    sudo dnf install dnf-plugins-core

  • Konfigurieren und Aktivieren der erforderlichen Repositorys

    Hinweis

    Auf Mariner ist Insider Fast Channel nicht verfügbar.

    Wenn Sie Defender für Endpunkt unter Linux über den Prod-Kanal bereitstellen möchten. Verwenden Sie die folgenden Befehle:

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    Oder wenn Sie neue Features auf ausgewählten Geräten erkunden möchten, können Sie Microsoft Defender for Endpoint unter Linux für insiders-langsame Kanäle bereitstellen. Verwenden Sie die folgenden Befehle:

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

Anwendungsinstallation

RHEL und Varianten (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky und Alma)

sudo yum install mdatp

Hinweis

Wenn Sie mehrere Microsoft-Repositorys auf Ihrem Gerät konfiguriert haben, können Sie genau festlegen, aus welchem Repository das Paket installiert werden soll. Das folgende Beispiel zeigt, wie Sie das Paket über den production Kanal installieren, wenn Sie auch den insiders-fast Repositorykanal auf diesem Gerät konfiguriert haben. Diese Situation kann auftreten, wenn Sie mehrere Microsoft-Produkte auf Ihrem Gerät verwenden. Abhängig von der Verteilung und der Version Ihres Servers kann sich der Repositoryalias vom im folgenden Beispiel unterscheiden.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES und Varianten

sudo zypper install mdatp

Hinweis

Wenn Sie mehrere Microsoft-Repositorys auf Ihrem Gerät konfiguriert haben, können Sie genau festlegen, aus welchem Repository das Paket installiert werden soll. Das folgende Beispiel zeigt, wie Sie das Paket über den production Kanal installieren, wenn Sie auch den insiders-fast Repositorykanal auf diesem Gerät konfiguriert haben. Diese Situation kann auftreten, wenn Sie mehrere Microsoft-Produkte auf Ihrem Gerät verwenden.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu- und Debian-Systeme

sudo apt-get install mdatp

Hinweis

Wenn Sie mehrere Microsoft-Repositorys auf Ihrem Gerät konfiguriert haben, können Sie genau festlegen, aus welchem Repository das Paket installiert werden soll. Das folgende Beispiel zeigt, wie Sie das Paket über den production Kanal installieren, wenn Sie auch den insiders-fast Repositorykanal auf diesem Gerät konfiguriert haben. Diese Situation kann auftreten, wenn Sie mehrere Microsoft-Produkte auf Ihrem Gerät verwenden.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Hinweis

Neustarts sind nach der Installation oder Aktualisierung von Microsoft Defender for Endpoint unter Linux NICHT erforderlich, außer wenn Sie auditD im unveränderlichen Modus ausführen.

Mariner

sudo dnf install mdatp

Hinweis

Wenn Sie mehrere Microsoft-Repositorys auf Ihrem Gerät konfiguriert haben, können Sie genau festlegen, aus welchem Repository das Paket installiert werden soll. Das folgende Beispiel zeigt, wie Sie das Paket über den production Kanal installieren, wenn Sie auch den insiders-slow Repositorykanal auf diesem Gerät konfiguriert haben. Diese Situation kann auftreten, wenn Sie mehrere Microsoft-Produkte auf Ihrem Gerät verwenden.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Herunterladen des Onboardingpakets

Laden Sie das Onboardingpaket aus Microsoft Defender Portal herunter.

Warnung

Das Erneute Packen des Defender für Endpunkt-Installationspakets wird nicht unterstützt. Dies kann sich negativ auf die Integrität des Produkts auswirken und zu negativen Ergebnissen führen, einschließlich, aber nicht beschränkt auf das Auslösen von Manipulationswarnungen und nicht angewendeten Updates.

Wichtig

Wenn Sie diesen Schritt verpassen, wird bei jedem ausgeführten Befehl eine Warnmeldung angezeigt, die darauf hinweist, dass das Produkt nicht lizenziert ist. Außerdem gibt der mdatp health Befehl den Wert zurück false.

  1. Wechseln Sie im Microsoft Defender-Portal zu Einstellungen > Endpunkte > Geräteverwaltung > Onboarding.

  2. Wählen Sie im ersten Dropdownmenü Linux Server als Betriebssystem aus. Wählen Sie im zweiten Dropdownmenü Lokales Skript als Bereitstellungsmethode aus.

  3. Wählen Sie "Onboardingpaket herunterladen" aus. Speichern Sie die Datei als WindowsDefenderATPOnboardingPackage.zip.

    Herunterladen eines Onboardingpakets im Microsoft Defender-Portal

  4. Vergewissern Sie sich an einer Eingabeaufforderung, dass Sie über die Datei verfügen, und extrahieren Sie den Inhalt des Archivs:

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

Clientkonfiguration

  1. Kopieren Sie MicrosoftDefenderATPOnboardingLinuxServer.py auf das Zielgerät.

    Hinweis

    Anfänglich ist das Clientgerät keinem organization zugeordnet, und das attribut orgId ist leer.

    mdatp health --field org_id

  2. Führen Sie MicrosoftDefenderATPOnboardingLinuxServer.py aus.

    Hinweis

    Um diesen Befehl ausführen zu können, müssen Sie je nach Distribution und Version auf dem Gerät installiert oder python3 installiert habenpython. Weitere Informationen finden Sie unter Schritt-für-Schritt-Anweisungen zum Installieren von Python unter Linux.

    Hinweis

    Zum Onboarding eines Geräts, das zuvor offboarded wurde, müssen Sie die mdatp_offboard.json Datei entfernen, die sich unter /etc/opt/microsoft/mdatp befindet.

    Wenn Sie RHEL 8.x oder Ubuntu 20.04 oder höher ausführen, müssen Sie verwenden python3.

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    Für die restlichen Distributionen und Versionen müssen Sie verwenden python.

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. Vergewissern Sie sich, dass das Gerät jetzt Ihrem organization zugeordnet ist und einen gültigen organization-Bezeichner meldet:

    mdatp health --field org_id

  4. Überprüfen Sie die Integritäts-status des Produkts, indem Sie den folgenden Befehl ausführen. Ein Rückgabewert von true gibt an, dass das Produkt wie erwartet funktioniert:

    mdatp health --field healthy

    Wichtig

    Wenn das Produkt zum ersten Mal gestartet wird, lädt es die neuesten Antischadsoftwaredefinitionen herunter. Dies kann je nach Netzwerkkonnektivität einige Minuten dauern. Während dieser Zeit gibt der obige Befehl den Wert zurück false. Sie können die status des Definitionsupdates mit dem folgenden Befehl überprüfen:

    mdatp health --field definitions_status

    Beachten Sie, dass Sie nach Abschluss der Erstinstallation möglicherweise auch einen Proxy konfigurieren müssen. Weitere Informationen finden Sie unter Konfigurieren von Defender für Endpunkt unter Linux für die statische Proxyermittlung: Konfiguration nach der Installation.

  5. Führen Sie einen AV-Erkennungstest durch, um zu überprüfen, ob das Gerät ordnungsgemäß eingebunden ist und dem Dienst Bericht erstattet. Führen Sie die folgenden Schritte auf dem neu eingebundenen Gerät durch:

    • Stellen Sie sicher, dass der Echtzeitschutz aktiviert ist (gekennzeichnet durch das Ergebnis der Ausführung des true folgenden Befehls):

      mdatp health --field real_time_protection_enabled

      Wenn sie nicht aktiviert ist, führen Sie den folgenden Befehl aus:

      mdatp config real-time-protection --value enabled

    • Öffnen Sie ein Terminalfenster, und führen Sie den folgenden Befehl aus, um einen Erkennungstest auszuführen:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    • Sie können zusätzliche Erkennungstests für ZIP-Dateien ausführen, indem Sie einen der folgenden Befehle verwenden:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    • Die Dateien sollten von Defender für Endpunkt unter Linux unter Quarantäne gesetzt werden. Verwenden Sie den folgenden Befehl, um alle entdeckten Bedrohungen aufzulisten:

      mdatp threat list

  6. Führen Sie einen EDR-Erkennungstest aus, und simulieren Sie eine Erkennung, um zu überprüfen, ob das Gerät ordnungsgemäß integriert ist, und melden Sie es an den Dienst. Führen Sie die folgenden Schritte auf dem neu eingebundenen Gerät durch:

  • Vergewissern Sie sich, dass der integrierte Linux-Server in Microsoft Defender XDR angezeigt wird. Wenn dies das erste Onboarding des Computers ist, kann es bis zu 20 Minuten dauern, bis es angezeigt wird.

    • Laden Sie die Skriptdatei herunter, extrahieren Sie sie auf einen integrierten Linux-Server, und führen Sie den folgenden Befehl aus: ./mde_linux_edr_diy.sh

    • Nach einigen Minuten sollte eine Erkennung in Microsoft Defender XDR ausgelöst werden.

    • Sehen Sie sich die Warnungsdetails an, computer Zeitleiste, und führen Sie Ihre typischen Untersuchungsschritte aus.

Microsoft Defender for Endpoint externe Paketabhängigkeiten

Die folgenden externen Paketabhängigkeiten sind für das mdatp-Paket vorhanden:

  • Das mdatp-RPM-Paket erfordert "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
  • Für RHEL6 erfordert das mdatp-RPM-Paket "audit", "policycoreutils", "libselinux", "mde-netfilter".
  • Für DEBIAN erfordert das mdatp-Paket "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"
  • Für Mariner erfordert das mdatp-Paket "attr", "audit", "diffutils", "libacl", "libattr", "libselinux-utils", "selinux-policy", "policycoreutils", "mde-netfilter"

Das mde-netfilter-Paket verfügt außerdem über die folgenden Paketabhängigkeiten:

  • Für DEBIAN erfordert das mde-netfilter-Paket "libnetfilter-queue1", "libglib2.0-0".
  • Für RPM erfordert das mde-netfilter-Paket "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"
  • Für Mariner erfordert das mde-netfilter-Paket "libnfnetlink", "libnetfilter_queue"

Wenn die Microsoft Defender for Endpoint Installation aufgrund fehlender Abhängigkeitsfehler fehlschlägt, können Sie die erforderlichen Abhängigkeiten manuell herunterladen.

Protokollieren von Installationsproblemen

Weitere Informationen dazu, wie Sie das automatisch generierte Protokoll finden, das beim Auftreten eines Fehlers vom Installationsprogramm erstellt wird, finden Sie unter Protokollinstallationsprobleme .

Migrieren von Insiders-Fast zum Produktionskanal

  1. Deinstallieren Sie die Version "Insiders-Fast Channel" von Defender für Endpunkt unter Linux.

    sudo yum remove mdatp

  2. Deaktivieren des Repositorys defender für Endpunkt unter Linux Insiders-Fast

    sudo yum repolist

    Hinweis

    Die Ausgabe sollte "packages-microsoft-com-fast-prod" anzeigen.

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Stellen Sie Microsoft Defender for Endpoint unter Linux mithilfe des "Produktionskanals" erneut bereit.

Deinstallation

Weitere Informationen zum Entfernen von Defender für Endpunkt unter Linux von Clientgeräten finden Sie unter Deinstallieren .

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.