Linux 用 Microsoft Defender for Endpoint を手動で展開する

  • [アーティクル]

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

ヒント

Linux でのMicrosoft Defender for Endpointのデプロイに関する高度なガイダンスをお探しですか? 「Linux 上の Defender for Endpoint の高度なデプロイ ガイド」を参照してください。

この記事では、Linux 用 Microsoft Defender for Endpoint を手動で展開する方法について説明します。 展開を成功させるには、次のすべてのタスクを完了する必要があります。

前提条件とシステム要件

開始する前に、現在のソフトウェア バージョンの前提条件とシステム要件の説明について、「Linux 用 Microsoft Defender for Endpoint」を参照してください。

警告

製品のインストール後にオペレーティング システムを新しいメジャー バージョンにアップグレードするには、製品を再インストールする必要があります。 次の手順に従って、既存の Defender for Endpoint on Linux を アンインストール し、オペレーティング システムをアップグレードしてから、Defender for Endpoint on Linux を再構成する必要があります。

Linux ソフトウェア リポジトリを構成する

Linux 用 Defender for Endpoint は、次のチャネル (以下、[チャネル] と表記) のいずれかから展開できます: insiders-fastinsiders-slow、または prod。これらの各チャネルは、Linux ソフトウェア リポジトリに対応しています。 この記事の手順では、これらのリポジトリのいずれかを使用するようにデバイスを構成する方法について説明します。

チャネルの選択により、デバイスに提供される更新プログラムの種類と頻度が決まります。 insiders-fast のデバイスが最初に更新プログラムと新機能を受け取り、その後に insiders-slow、最後に prod が続きます。

新機能をプレビューし、早期フィードバックを提供するには、社内の一部のデバイスを 、Insider-fast または insider-slow を使用するように構成することをお勧めします。

警告

初期インストール後にチャネルを切り替えるには、製品を再インストールする必要があります。 製品チャネルを切り替えるには: 既存のパッケージをアンインストールし、新しいチャネルを使用するようにデバイスを再構成し、このドキュメントの手順に従って新しい場所からパッケージをインストールします。

インストーラー スクリプト

手動インストールについて説明しますが、代わりに、パブリック GitHub リポジトリで提供されている自動インストーラー bash スクリプトを使用することもできます。 このスクリプトは、ディストリビューションとバージョンを識別し、適切なリポジトリの選択を簡略化し、最新のパッケージをプルするようにデバイスを設定し、製品のインストールとオンボードの手順を組み合わせます。

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

詳細についてはこちらをご覧ください。

RHEL とバリアント (CentOS、Fedora、Oracle Linux、Amazon Linux 2、ロッキー、アルマ)

SLES とバリエーション

注:

ディストリビューションとバージョンを指定し、 の下 https://packages.microsoft.com/config/sles/で最も近いエントリ (メジャー、マイナー) を特定します。

次のコマンドで、[ディストリビューション][バージョン] を特定した情報に置き換えます。

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

ヒント

SPident コマンドを使用して、リリース [バージョン] を含むシステム関連情報を特定します。

たとえば、SLES 12 を実行していて、prod チャネルから Linux にMicrosoft Defender for Endpointをデプロイする場合は、次のようになります。

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  • Microsoft GPG 公開キーをインストールします。

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

Ubuntu および Debian システム

  • まだインストールされていない場合は、curl をインストールします。

    sudo apt-get install curl

  • まだインストールされていない場合は、libplist-utils をインストールします。

    sudo apt-get install libplist-utils

    注:

    ディストリビューションとバージョンを指定し、 の下 https://packages.microsoft.com/config/[distro]/で最も近いエントリ (メジャー、マイナー) を特定します。

    次のコマンドで、[ distro][version] を 特定した情報に置き換えます。

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    ヒント

    hostnamectl コマンドを使用して、リリース [バージョン] を含むシステム関連情報を識別します。

    たとえば、Ubuntu 18.04 を実行していて、prod チャネルから Linux にMicrosoft Defender for Endpointをデプロイする場合は、次のようになります。

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  • リポジトリ構成をインストールします。

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    たとえば、prod チャネルを選択した場合:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  • まだインストールされていない場合は、gpg パッケージをインストールします。

    sudo apt-get install gpg

    使用できない場合 gpg は、 をインストール gnupgします。

    sudo apt-get install gnupg

  • Microsoft GPG 公開キーをインストールします。

    • Debian 11 以前の場合は、次のコマンドを実行します。
    curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

Debian 12 以降の場合は、次のコマンドを実行します。

curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  • まだインストールされていない場合は、HTTPS ドライバーをインストールします。

    sudo apt-get install apt-transport-https

  • リポジトリ メタデータを更新します。

    sudo apt-get update

マリナー

  • まだインストールされていない場合は、dnf-plugins-core をインストールします。

    sudo dnf install dnf-plugins-core

  • 必要なリポジトリを構成して有効にする

    注:

    Mariner では、Insider Fast Channel は使用できません。

    Prod チャネルから Defender for Endpoint on Linux をデプロイする場合。 次のコマンドを使用します

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    または、選択したデバイスの新機能を調べる場合は、Microsoft Defender for Endpointを Linux 上で insiders-slow チャネルにデプロイすることもできます。 次のコマンドを使用します。

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

アプリケーションのインストール

RHEL とバリアント (CentOS、Fedora、Oracle Linux、Amazon Linux 2、ロッキー、アルマ)

sudo yum install mdatp

注:

デバイスに複数の Microsoft リポジトリが構成されている場合は、パッケージのインストール元のリポジトリを指定できます。 次の例は、このデバイスで insiders-fast リポジトリ チャネルも構成されている場合に、production チャネルからパッケージをインストールする方法を示しています。 この状況は、デバイスで複数の Microsoft 製品を使用している場合に発生する可能性があります。 サーバーのディストリビューションとバージョンによっては、リポジトリ エイリアスが次の例のものと異なる場合があります。

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES とバリエーション

sudo zypper install mdatp

注:

デバイスに複数の Microsoft リポジトリが構成されている場合は、パッケージのインストール元のリポジトリを指定できます。 次の例は、このデバイスで insiders-fast リポジトリ チャネルも構成されている場合に、production チャネルからパッケージをインストールする方法を示しています。 この状況は、デバイスで複数の Microsoft 製品を使用している場合に発生する可能性があります。

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu および Debian システム

sudo apt-get install mdatp

注:

デバイスに複数の Microsoft リポジトリが構成されている場合は、パッケージのインストール元のリポジトリを指定できます。 次の例は、このデバイスで insiders-fast リポジトリ チャネルも構成されている場合に、production チャネルからパッケージをインストールする方法を示しています。 この状況は、デバイスで複数の Microsoft 製品を使用している場合に発生する可能性があります。

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

注:

変更できないモードで auditD を実行している場合を除き、Linux にMicrosoft Defender for Endpointをインストールまたは更新した後に再起動する必要はありません。

マリナー

sudo dnf install mdatp

注:

デバイスに複数の Microsoft リポジトリが構成されている場合は、パッケージのインストール元のリポジトリを指定できます。 次の例は、このデバイスで insiders-slow リポジトリ チャネルも構成されている場合に、production チャネルからパッケージをインストールする方法を示しています。 この状況は、デバイスで複数の Microsoft 製品を使用している場合に発生する可能性があります。

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

オンボーディング パッケージをダウンロードする

Microsoft Defender ポータルからオンボード パッケージをダウンロードします。

警告

Defender for Endpoint インストール パッケージの再パッケージ化は、サポートされているシナリオではありません。 これにより、製品の整合性に悪影響を及ぼし、改ざんアラートや更新プログラムの適用に失敗したトリガーなど、悪影響を及ぼす可能性があります。

重要

この手順を実行しないと、実行されたすべてのコマンドに、製品がライセンスされていないことを示す警告メッセージが表示されます。 また、 コマンドは mdatp health の値 falseを返します。

  1. Microsoft Defender ポータルで、[設定] [エンドポイント] > [デバイス管理>] [オンボード] >の順に移動します。

  2. 最初のドロップダウン メニューで、オペレーティング システムとして [Linux サーバー] を選択します。 2 番目のドロップダウン メニューで、展開方法として [ローカル スクリプト] を選択します。

  3. [オンボーディング パッケージをダウンロードする] を選択します。 ファイルを WindowsDefenderATPOnboardingPackage.zip として保存します。

    Microsoft Defender ポータルでのオンボード パッケージのダウンロード

  4. コマンド プロンプトから、ファイルがあることを確認し、アーカイブの内容を抽出します。

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

クライアントの構成

  1. MicrosoftDefenderATPOnboardingLinuxServer.py をターゲット デバイスにコピーします。

    注:

    最初に、クライアント デバイスはorganizationに関連付けされておらず、orgId 属性は空白です。

    mdatp health --field org_id

  2. MicrosoftDefenderATPOnboardingLinuxServer.py を実行します。

    注:

    このコマンドを実行するには、ディストリビューションとバージョンに応じて、デバイスにまたはpython3インストールされている必要がありますpython。 必要に応じて、「 Linux に Python をインストールする手順」を参照してください。

    注:

    以前にオフボードしていたデバイスをオンボードするには、/etc/opt/microsoft/mdatp にあるmdatp_offboard.json ファイルを削除する必要があります。

    RHEL 8.x または Ubuntu 20.04 以降を実行している場合は、 を使用 python3する必要があります。

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    ディストリビューションとバージョンの残りの部分では、 を使用 pythonする必要があります。

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. デバイスが組織に関連付けられていることを確認し、有効な組織 ID を報告します。

    mdatp health --field org_id

  4. 次のコマンドを実行して、製品の正常性状態を確認します。 true の戻り値は、製品が期待どおりに機能していることを示します。

    mdatp health --field healthy

    重要

    製品が初めて起動すると、最新のウイルス対策定義がダウンロードされます。 ネットワーク接続によっては、これには数分かかる場合があります。 この間、上記のコマンドは false の値を返します。 次のコマンドを使用して、定義の更新の状態を確認できます。

    mdatp health --field definitions_status

    初期インストールの完了後にプロキシの構成が必要な場合もあることに注意してください。 「静的プロキシ検出のための Linux 用 Defender for Endpoint の構成: インストール後の構成」を参照してください。

  5. AV 検出テストを実行して、デバイスが適切にオンボードされ、サービスに報告されていることを確認します。 新しくオンボードされたデバイスで次の手順を実行します。

    • リアルタイム保護が有効になっていることを確認します (true が次のコマンドを実行した結果として示されます)。

      mdatp health --field real_time_protection_enabled

      有効になっていない場合は、次のコマンドを実行します。

      mdatp config real-time-protection --value enabled

    • ターミナル ウィンドウを開き、次のコマンドを実行します。

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    • ファイルは、Linux 上の Defender for Endpoint によって検疫する必要があります。 次のコマンドを使用して、検出されたすべての脅威を一覧表示します。

      mdatp threat list

  6. EDR 検出テストを実行し、検出をシミュレートして、デバイスが適切にオンボードされ、サービスに報告されていることを確認します。 新しくオンボードされたデバイスで次の手順を実行します。

    • オンボードされた Linux サーバーがMicrosoft Defender XDRに表示されることを確認します。 これがマシンの最初のオンボーディングである場合、表示されるまで最大 20 分かかります。

    • スクリプト ファイルをダウンロードしてオンボードされた Linux サーバーに抽出し、次のコマンドを実行します: ./mde_linux_edr_diy.sh

    • 数分後、Microsoft Defender XDRで検出を発生させる必要があります。

    • アラートの詳細、マシンのタイムラインを確認し、一般的な調査手順を実行します。

パッケージ外部パッケージの依存関係をMicrosoft Defender for Endpointする

mdatp パッケージには、次の外部パッケージの依存関係があります。

  • mdatp RPM パッケージには、"glibc >= 2.17"、"audit"、"policycoreutils"、"semanage" "selinux-policy-targeted"、"mde-netfilter" が必要です。
  • RHEL6 の場合、mdatp RPM パッケージには "audit"、"policycoreutils"、"libselinux"、"mde-netfilter" が必要です
  • DEBIAN の場合、mdatp パッケージには "libc6 >= 2.23"、"uuid-runtime"、"auditd"、"mde-netfilter" が必要です
  • Mariner の場合、mdatp パッケージには "attr"、"audit"、"diffutils"、"libacl"、"libattr"、"libselinux-utils"、"selinux-policy"、"policycoreutils"、"mde-netfilter" が必要です。

mde-netfilter パッケージには、次のパッケージの依存関係もあります。

  • DEBIAN の場合、mde-netfilter パッケージには "libnetfilter-queue1"、"libglib2.0-0" が必要です
  • RPM の場合、mde-netfilter パッケージには "libmnl"、"libnfnetlink"、"libnetfilter_queue"、"glib2" が必要です。
  • Mariner の場合、mde-netfilter パッケージには "libnfnetlink"、"libnetfilter_queue" が必要です

依存関係エラーが見つからないためにMicrosoft Defender for Endpointのインストールが失敗した場合は、前提条件の依存関係を手動でダウンロードできます。

インストールの問題をログする

エラーが発生したときにインストーラーによって作成される自動生成されたログを見つける方法の詳細については、「インストールの問題をログする」を参照してください。

Insiders-Fast から Production チャネルに移行する方法

  1. Linux 用 Defender for Endpoint の "Insiders-Fast チャネル" バージョンをアンインストールします。

    sudo yum remove mdatp

  2. Linux 用 Defender for Endpoint の Insiders-Fast リポジトリを無効にする

    sudo yum repolist

    注:

    出力には "packages-microsoft-com-fast-prod" と表示されます。

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. "Production チャネル" を使用して、Linux 用 Microsoft Defender for Endpoint を再展開します。

アンインストール

Linux 用 Defender for Endpoint をクライアント デバイスから削除する方法の詳細については、「アンインストール」を参照してください。

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。