Linux 用 Endpoint 用 Microsoft Defender を手動で展開するDeploy Microsoft Defender for Endpoint for Linux manually

重要

最近の高度な攻撃である Solorigateから Microsoft がどのように顧客を保護しているのかについて説明します。Learn how Microsoft is helping to protect customers from Solorigate, a recent sophisticated attack.

適用対象Applies to:

この記事では、Linux 用の Microsoft Defender for Endpoint を手動で展開する方法について説明します。This article describes how to deploy Microsoft Defender for Endpoint for Linux manually. 展開を正常に行うには、次のすべてのタスクを完了する必要があります。A successful deployment requires the completion of all of the following tasks:

前提条件とシステム要件Prerequisites and system requirements

開始する前に、現在のソフトウェア バージョンの前提条件とシステム要件の説明については 、Linux 用 Microsoft Defender for Endpoint を参照してください。Before you get started, see Microsoft Defender for Endpoint for Linux for a description of prerequisites and system requirements for the current software version.

Linux ソフトウェア リポジトリを構成するConfigure the Linux software repository

Defender for Endpoint for Linux は、次のいずれかのチャネルから展開できます ([channel] として以下に示します): insiders-fast、insiders-slow、prod . ** ** ** これらの各チャネルは、Linux ソフトウェア リポジトリに対応しています。Defender for Endpoint for Linux can be deployed from one of the following channels (denoted below as [channel]): insiders-fast, insiders-slow, or prod. Each of these channels corresponds to a Linux software repository. これらのリポジトリのいずれかを使用するためにデバイスを構成する手順を以下に示します。Instructions for configuring your device to use one of these repositories are provided below.

チャネルの選択によって、デバイスに提供される更新プログラムの種類と頻度が決なります。The choice of the channel determines the type and frequency of updates that are offered to your device. insiders-fastのデバイスは、更新プログラムと新機能を最初に受け取るデバイスで*、その後 Insider の方が遅く、最後に製品化されます*。Devices in insiders-fast are the first ones to receive updates and new features, followed later by insiders-slow and lastly by prod.

新機能をプレビューし、早期のフィードバックを提供するには、Insider が高速またはインサイダースローのどちらかを使用する** 一部のデバイスを企業で構成してください。In order to preview new features and provide early feedback, it is recommended that you configure some devices in your enterprise to use either insiders-fast or insiders-slow.

警告

初回インストール後にチャネルを切り替える場合は、製品を再インストールする必要があります。Switching the channel after the initial installation requires the product to be reinstalled. 製品チャネルを切り替える場合: 既存のパッケージをアンインストールし、新しいチャネルを使用するためにデバイスを再構成し、このドキュメントの手順に従って新しい場所からパッケージをインストールします。To switch the product channel: uninstall the existing package, re-configure your device to use the new channel, and follow the steps in this document to install the package from the new location.

RHEL とバリアント (CentOS および Oracle Linux)RHEL and variants (CentOS and Oracle Linux)

  • まだ yum-utils インストールされていない場合はインストールします。Install yum-utils if it isn't installed yet:

    sudo yum install yum-utils
    
  • 配布とバージョンをメモし、その下に最も近いエントリを識別します https://packages.microsoft.com/config/Note your distribution and version, and identify the closest entry for it under https://packages.microsoft.com/config/.

    次のコマンドで 、[distro][version] を特定した情報に置き換える必要があります。In the below commands, replace [distro] and [version] with the information you've identified:

    注意

    Oracle Linux の場合 、[distro] を "rhel" に置き換える。In case of Oracle Linux, replace [distro] with “rhel”.

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
    

    たとえば、CentOS 7 を実行し、Insider ファースト チャネルから Linux 用 MDATP を 展開する場合 は、次のようになります。For example, if you are running CentOS 7 and wish to deploy MDATP for Linux from the insiders-fast channel:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/centos/7/insiders-fast.repo
    
  • Microsoft GPG 公開キーをインストールします。Install the Microsoft GPG public key:

    sudo rpm --import http://packages.microsoft.com/keys/microsoft.asc
    
  • 現在有効になっている yum リポジトリのすべてのメタデータをダウンロードして使用可能にします。Download and make usable all the metadata for the currently enabled yum repositories:

    yum makecache
    

SLES とバリアントSLES and variants

  • 配布とバージョンをメモし、その下に最も近いエントリを識別します https://packages.microsoft.com/config/Note your distribution and version, and identify the closest entry for it under https://packages.microsoft.com/config/.

    次のコマンドで 、[distro][version] を特定した情報に置き換える必要があります。In the following commands, replace [distro] and [version] with the information you've identified:

    sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
    

    たとえば、SLES 12 を実行し、Insider ファースト チャネルから Linux 用 MDATP を 展開する場合 は、次のようになります。For example, if you are running SLES 12 and wish to deploy MDATP for Linux from the insiders-fast channel:

    sudo zypper addrepo -c -f -n microsoft-insiders-fast https://packages.microsoft.com/config/sles/12/insiders-fast.repo
    
  • Microsoft GPG 公開キーをインストールします。Install the Microsoft GPG public key:

    sudo rpm --import http://packages.microsoft.com/keys/microsoft.asc
    

Ubuntu システムと数え込みシステムUbuntu and Debian systems

  • まだ curl インストールされていない場合はインストールします。Install curl if it isn't installed yet:

    sudo apt-get install curl
    
  • まだ libplist-utils インストールされていない場合はインストールします。Install libplist-utils if it isn't installed yet:

    sudo apt-get install libplist-utils
    
  • 配布とバージョンをメモし、その下に最も近いエントリを識別します https://packages.microsoft.com/configNote your distribution and version, and identify the closest entry for it under https://packages.microsoft.com/config.

    次のコマンドで 、[distro][version] を特定した情報に置き換える必要があります。In the below command, replace [distro] and [version] with the information you've identified:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
    

    たとえば、Ubuntu 18.04 を実行し 、insiders-fast チャネルから Linux 用 MDATP を展開する場合は、次のようにします。For example, if you are running Ubuntu 18.04 and wish to deploy MDATP for Linux from the insiders-fast channel:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/insiders-fast.list
    
  • リポジトリ構成をインストールします。Install the repository configuration:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
    

    たとえば 、insiders-fast チャネルを選択した場合 は、次のようになります。For example, if you chose insiders-fast channel:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-insiders-fast.list
    
  • まだインストール gpg されていない場合は、パッケージをインストールします。Install the gpg package if not already installed:

    sudo apt-get install gpg
    

    使用 gpg できない場合は、インストールします gnupgIf gpg is not available, then install gnupg.

  • Microsoft GPG 公開キーをインストールします。Install the Microsoft GPG public key:

    curl https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -
    
  • https ドライバーが存在しない場合は、インストールします。Install the https driver if it's not already present:

    sudo apt-get install apt-transport-https
    
  • リポジトリ メタデータを更新します。Update the repository metadata:

    sudo apt-get update
    

アプリケーションのインストールApplication installation

  • RHEL とバリアント (CentOS および Oracle Linux):RHEL and variants (CentOS and Oracle Linux):

    sudo yum install mdatp
    

    デバイスに複数の Microsoft リポジトリが構成されている場合は、パッケージのインストールに使用するリポジトリを特定できます。If you have multiple Microsoft repositories configured on your device, you can be specific about which repository to install the package from. 次の例は、このデバイスでリポジトリ チャネルも構成されている場合に、チャネルからパッケージを production insiders-fast インストールする方法を示しています。The following example shows how to install the package from the production channel if you also have the insiders-fast repository channel configured on this device. この状況は、デバイスで複数の Microsoft 製品を使用している場合に発生する可能性があります。This situation can happen if you are using multiple Microsoft products on your device. サーバーの配布とバージョンによっては、リポジトリ エイリアスが次の例のエイリアスと異なる場合があります。Depending on the distribution and the version of your server, the repository alias might be different than the one in the following example.

    # list all repositories
    yum repolist
    
    ...
    packages-microsoft-com-prod               packages-microsoft-com-prod        316
    packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
    ...
    
    # install the package from the production repository
    sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
    
  • SLES とバリアント:SLES and variants:

    sudo zypper install mdatp
    

    デバイスに複数の Microsoft リポジトリが構成されている場合は、パッケージのインストールに使用するリポジトリを特定できます。If you have multiple Microsoft repositories configured on your device, you can be specific about which repository to install the package from. 次の例は、このデバイスでリポジトリ チャネルも構成されている場合に、チャネルからパッケージを production insiders-fast インストールする方法を示しています。The following example shows how to install the package from the production channel if you also have the insiders-fast repository channel configured on this device. この状況は、デバイスで複数の Microsoft 製品を使用している場合に発生する可能性があります。This situation can happen if you are using multiple Microsoft products on your device.

    zypper repos
    
    ...
    #  | Alias | Name | ...
    XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
    XX | packages-microsoft-com-prod | microsoft-prod | ...
    ...
    
    sudo zypper install packages-microsoft-com-prod:mdatp
    
  • Ubuntu と数え込みシステム:Ubuntu and Debian system:

    sudo apt-get install mdatp
    

    デバイスに複数の Microsoft リポジトリが構成されている場合は、パッケージのインストールに使用するリポジトリを特定できます。If you have multiple Microsoft repositories configured on your device, you can be specific about which repository to install the package from. 次の例は、このデバイスでリポジトリ チャネルも構成されている場合に、チャネルからパッケージを production insiders-fast インストールする方法を示しています。The following example shows how to install the package from the production channel if you also have the insiders-fast repository channel configured on this device. この状況は、デバイスで複数の Microsoft 製品を使用している場合に発生する可能性があります。This situation can happen if you are using multiple Microsoft products on your device.

    cat /etc/apt/sources.list.d/*
    
    deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/ubuntu/18.04/prod insiders-fast main
    deb [arch=amd64] https://packages.microsoft.com/ubuntu/18.04/prod bionic main
    
    sudo apt -t bionic install mdatp
    

オンボード パッケージをダウンロードするDownload the onboarding package

Microsoft Defender セキュリティ センターからオンボード パッケージをダウンロードします。Download the onboarding package from Microsoft Defender Security Center:

  1. Microsoft Defender セキュリティ センターで、デバイス管理とオンボード >設定>しますIn Microsoft Defender Security Center, go to Settings > Device Management > Onboarding.

  2. 最初のドロップダウン メニューで、オペレーティング システムとして Linux Server を選択します。In the first drop-down menu, select Linux Server as the operating system. 2 番目のドロップダウン メニューで、展開方法として [ローカル スクリプト] (最大 10 台のデバイス) を選択します。In the second drop-down menu, select Local Script (for up to 10 devices) as the deployment method.

  3. [オンボード パッケージのダウンロード] を選択しますSelect Download onboarding package. ファイルを名前を付けてWindowsDefenderATPOnboardingPackage.zip。Save the file as WindowsDefenderATPOnboardingPackage.zip.

    Microsoft Defender セキュリティ センターのスクリーンショット

  4. コマンド プロンプトで、ファイルが存在する必要があります。From a command prompt, verify that you have the file. アーカイブの内容を抽出します。Extract the contents of the archive:

    ls -l
    
    total 8
    -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
    
    unzip WindowsDefenderATPOnboardingPackage.zip
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
    

クライアントの構成Client configuration

  1. コピー MicrosoftDefenderATPOnboardingLinuxServer.pyデバイスにコピーします。Copy MicrosoftDefenderATPOnboardingLinuxServer.py to the target device.

    最初は、クライアント デバイスは組織に関連付けではありません。Initially the client device is not associated with an organization. orgId 属性は空白です。Note that the orgId attribute is blank:

    mdatp health --field org_id
    
  2. このMicrosoftDefenderATPOnboardingLinuxServer.py実行し、このコマンドを実行するには、デバイスにインストールされている python 必要があります。Run MicrosoftDefenderATPOnboardingLinuxServer.py, and note that, in order to run this command, you must have python installed on the device:

    python MicrosoftDefenderATPOnboardingLinuxServer.py
    
  3. デバイスが組織に関連付けられているのを確認し、有効な組織 ID を報告します。Verify that the device is now associated with your organization and reports a valid organization identifier:

    mdatp health --field org_id
    
  4. インストールが完了した数分後に、次のコマンドを実行して状態を確認できます。A few minutes after you complete the installation, you can see the status by running the following command. 戻り値は 1 、製品が期待通り機能している状態を示します。A return value of 1 denotes that the product is functioning as expected:

    mdatp health --field healthy
    

    重要

    製品が初めて起動すると、最新のマルウェア対策定義がダウンロードされます。When the product starts for the first time, it downloads the latest antimalware definitions. インターネット接続によっては、これには数分かかる場合があります。Depending on your Internet connection, this can take up to a few minutes. この間、上記のコマンドは次の値を返します falseDuring this time the above command returns a value of false. 次のコマンドを使用して、定義の更新の状態を確認できます。You can check the status of the definition update using the following command:

    mdatp health --field definitions_status
    

    初期インストールの完了後にプロキシの構成が必要な場合があります。Please note that you may also need to configure a proxy after completing the initial installation. 静的 プロキシ検出については、「Linux 用エンドポイント用に Defender を構成する: インストール後の構成」を参照してくださいSee Configure Defender for Endpoint for Linux for static proxy discovery: Post-installation configuration.

  5. 検出テストを実行して、デバイスが適切にオンボードされ、サービスに報告されていることを確認します。Run a detection test to verify that the device is properly onboarded and reporting to the service. 新しくオンボードしたデバイスで次の手順を実行します。Perform the following steps on the newly onboarded device:

    • リアルタイム保護が有効であることを確認します (次のコマンドを実行した結果 1 として示されます)。Ensure that real-time protection is enabled (denoted by a result of 1 from running the following command):

      mdatp health --field real_time_protection_enabled
      
    • ターミナル ウィンドウを開きます。Open a Terminal window. 次のコマンドをコピーして実行します。Copy and execute the following command:

      curl -o ~/Downloads/eicar.com.txt https://www.eicar.org/download/eicar.com.txt
      
    • このファイルは、Defender for Endpoint for Linux によって検疫されている必要があります。The file should have been quarantined by Defender for Endpoint for Linux. 次のコマンドを使用して、検出された脅威の一覧を表示します。Use the following command to list all the detected threats:

      mdatp threat list
      

インストールに関する問題をログに記録するLog installation issues

エラー が発生した場合に インストーラーによって作成される自動生成ログを検索する方法の詳細については、「ログ のインストールに関する問題」を参照してください。See Log installation issues for more information on how to find the automatically generated log that is created by the installer when an error occurs.

オペレーティング システムのアップグレードOperating system upgrades

オペレーティング システムを新しいメジャー バージョンにアップグレードする場合は、まず、Linux 用 Endpoint の Defender をアンインストールし、アップグレードをインストールして、最後にデバイスで Linux 用 Endpoint for Endpoint を再構成する必要があります。When upgrading your operating system to a new major version, you must first uninstall Defender for Endpoint for Linux, install the upgrade, and finally reconfigure Defender for Endpoint for Linux on your device.

アンインストールUninstallation

クライアント デバイスから Linux 用 Defender for Endpoint を削除する方法の詳細については、「アンインストール」を参照してください。See Uninstall for details on how to remove Defender for Endpoint for Linux from client devices.