Microsoft Defender voor Eindpunt handmatig implementeren in Linux

  • Artikel

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Tip

Op zoek naar geavanceerde richtlijnen voor het implementeren van Microsoft Defender voor Eindpunt in Linux? Zie Geavanceerde implementatiehandleiding voor Defender voor Eindpunt in Linux.

In dit artikel wordt beschreven hoe u Microsoft Defender voor Eindpunt handmatig in Linux implementeert. Voor een geslaagde implementatie moeten alle volgende taken worden voltooid:

Vereisten en systeemvereisten

Voordat u aan de slag gaat, raadpleegt u Microsoft Defender voor Eindpunt op Linux voor een beschrijving van de vereisten en systeemvereisten voor de huidige softwareversie.

Waarschuwing

Voor het upgraden van uw besturingssysteem naar een nieuwe primaire versie na de productinstallatie moet het product opnieuw worden geïnstalleerd. U moet de bestaande Defender voor Eindpunt in Linux verwijderen , het besturingssysteem upgraden en Defender voor Eindpunt in Linux opnieuw configureren aan de hand van de onderstaande stappen.

De Linux-softwareopslagplaats configureren

Defender voor Eindpunt op Linux kan worden geïmplementeerd via een van de volgende kanalen (hieronder aangeduid als [kanaal]): insiders-fast, insiders-slow of prod. Elk van deze kanalen komt overeen met een Linux-softwareopslagplaats. In de instructies in dit artikel wordt beschreven hoe u uw apparaat configureert voor het gebruik van een van deze opslagplaatsen.

De keuze van het kanaal bepaalt het type en de frequentie van updates die aan uw apparaat worden aangeboden. Apparaten in insiders-fast zijn de eerste die updates en nieuwe functies ontvangen, later gevolgd door insiders-slow en ten slotte door prod.

Als u een voorbeeld van nieuwe functies wilt bekijken en in een vroeg stadium feedback wilt geven, is het raadzaam dat u sommige apparaten in uw onderneming configureert voor het gebruik van insiders-fast of insiders-slow.

Waarschuwing

Als u het kanaal na de eerste installatie overschakelt, moet het product opnieuw worden geïnstalleerd. Als u wilt schakelen tussen het productkanaal, verwijdert u het bestaande pakket, configureert u het apparaat opnieuw om het nieuwe kanaal te gebruiken en volgt u de stappen in dit document om het pakket vanaf de nieuwe locatie te installeren.

Installatiescript

Terwijl we handmatige installatie bespreken, kunt u ook een geautomatiseerd bash-script voor installatieprogramma's gebruiken dat wordt geleverd in onze openbare GitHub-opslagplaats. Het script identificeert de distributie en versie, vereenvoudigt de selectie van de juiste opslagplaats, stelt het apparaat in om het nieuwste pakket op te halen en combineert de stappen voor productinstallatie en onboarding.

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

Lees hier meer.

RHEL en varianten (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky en Alma)

SLES en varianten

Opmerking

Uw distributie en versie, en identificeer de dichtstbijzijnde vermelding (op primaire en vervolgens secundaire) voor de vermelding onder https://packages.microsoft.com/config/sles/.

Vervang [distributie] en [versie] in de volgende opdrachten door de informatie die u hebt geïdentificeerd:

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

Tip

Gebruik de SPident-opdracht om systeemgerelateerde informatie te identificeren, waaronder release [versie].

Als u bijvoorbeeld SLES 12 uitvoert en Microsoft Defender voor Eindpunt op Linux wilt implementeren vanuit het prod-kanaal:

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  • Installeer de openbare sleutel van Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

Ubuntu- en Debian-systemen

  • Installeren curl als deze nog niet is geïnstalleerd:

    sudo apt-get install curl

  • Installeren libplist-utils als deze nog niet is geïnstalleerd:

    sudo apt-get install libplist-utils

    Opmerking

    Uw distributie en versie, en identificeer de dichtstbijzijnde vermelding (op primaire en vervolgens secundaire) voor de vermelding onder https://packages.microsoft.com/config/[distro]/.

    Vervang in de volgende opdracht [distributie] en [versie] door de informatie die u hebt geïdentificeerd:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    Tip

    Gebruik de opdracht hostnamectl om systeemgerelateerde informatie te identificeren, waaronder release [versie].

    Als u bijvoorbeeld Ubuntu 18.04 uitvoert en Microsoft Defender voor Eindpunt op Linux wilt implementeren vanuit het prod-kanaal:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  • Installeer de configuratie van de opslagplaats:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    Als u bijvoorbeeld een prod-kanaal hebt gekozen:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  • Installeer het gpg pakket als dit nog niet is geïnstalleerd:

    sudo apt-get install gpg

    Als gpg dit niet beschikbaar is, installeert u gnupg.

    sudo apt-get install gnupg

  • Installeer de openbare sleutel van Microsoft GPG:

    • Voer voor Debian 11 en eerder de volgende opdracht uit.
    curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

Voer voor Debian 12 en hoger de volgende opdracht uit.

curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  • Installeer het HTTPS-stuurprogramma als dit nog niet is geïnstalleerd:

    sudo apt-get install apt-transport-https

  • Werk de metagegevens van de opslagplaats bij:

    sudo apt-get update

Mariner

  • Installeren dnf-plugins-core als deze nog niet is geïnstalleerd:

    sudo dnf install dnf-plugins-core

  • De vereiste opslagplaatsen configureren en inschakelen

    Opmerking

    Op Mariner is het Insider Fast-kanaal niet beschikbaar.

    Als u Defender voor Eindpunt op Linux wilt implementeren vanuit het prod-kanaal . Gebruik de volgende opdrachten

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    Of als u nieuwe functies op geselecteerde apparaten wilt verkennen, kunt u Microsoft Defender voor Eindpunt op Linux implementeren in insiders-slow-kanaal. Gebruik de volgende opdrachten:

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

Toepassingsinstallatie

RHEL en varianten (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky en Alma)

sudo yum install mdatp

Opmerking

Als u meerdere Microsoft-opslagplaatsen hebt geconfigureerd op uw apparaat, kunt u specifiek zijn over de opslagplaats van waaruit u het pakket wilt installeren. In het volgende voorbeeld ziet u hoe u het pakket installeert vanuit het production kanaal als u ook het insiders-fast opslagplaatskanaal op dit apparaat hebt geconfigureerd. Deze situatie kan zich voordoen als u meerdere Microsoft-producten op uw apparaat gebruikt. Afhankelijk van de distributie en de versie van uw server, kan de opslagplaatsalias afwijken van de alias in het volgende voorbeeld.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES en varianten

sudo zypper install mdatp

Opmerking

Als u meerdere Microsoft-opslagplaatsen hebt geconfigureerd op uw apparaat, kunt u specifiek zijn over de opslagplaats van waaruit u het pakket wilt installeren. In het volgende voorbeeld ziet u hoe u het pakket installeert vanuit het production kanaal als u ook het insiders-fast opslagplaatskanaal op dit apparaat hebt geconfigureerd. Deze situatie kan zich voordoen als u meerdere Microsoft-producten op uw apparaat gebruikt.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu- en Debian-systemen

sudo apt-get install mdatp

Opmerking

Als u meerdere Microsoft-opslagplaatsen hebt geconfigureerd op uw apparaat, kunt u specifiek zijn over de opslagplaats van waaruit u het pakket wilt installeren. In het volgende voorbeeld ziet u hoe u het pakket installeert vanuit het production kanaal als u ook het insiders-fast opslagplaatskanaal op dit apparaat hebt geconfigureerd. Deze situatie kan zich voordoen als u meerdere Microsoft-producten op uw apparaat gebruikt.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Opmerking

Opnieuw opstarten is NIET vereist na het installeren of bijwerken van Microsoft Defender voor Eindpunt in Linux, behalve wanneer u auditD uitvoert in onveranderbare modus.

Mariner

sudo dnf install mdatp

Opmerking

Als u meerdere Microsoft-opslagplaatsen hebt geconfigureerd op uw apparaat, kunt u specifiek zijn over de opslagplaats van waaruit u het pakket wilt installeren. In het volgende voorbeeld ziet u hoe u het pakket installeert vanuit het production kanaal als u ook het insiders-slow opslagplaatskanaal op dit apparaat hebt geconfigureerd. Deze situatie kan zich voordoen als u meerdere Microsoft-producten op uw apparaat gebruikt.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Het onboarding-pakket downloaden

Download het onboardingpakket vanuit Microsoft Defender portal.

Waarschuwing

Het opnieuw verpakken van het Defender voor Eindpunt-installatiepakket is geen ondersteund scenario. Dit kan een negatieve invloed hebben op de integriteit van het product en leiden tot negatieve resultaten, met inbegrip van maar niet beperkt tot het activeren van manipulatiewaarschuwingen en updates die niet van toepassing zijn.

Belangrijk

Als u deze stap mist, wordt bij elke uitgevoerde opdracht een waarschuwingsbericht weergegeven dat aangeeft dat het product geen licentie heeft. mdatp health De opdracht retourneert ook de waarde van false.

  1. Ga in de Microsoft Defender-portal naar Instellingen > Eindpunten > Apparaatbeheer > Onboarding.

  2. Selecteer in de eerste vervolgkeuzelijst Linux-server als besturingssysteem. Selecteer in de tweede vervolgkeuzelijst Lokaal script als implementatiemethode.

  3. Selecteer Onboardingpakket downloaden. Sla het bestand op als WindowsDefenderATPOnboardingPackage.zip.

    Een onboardingpakket downloaden in de Microsoft Defender-portal

  4. Controleer vanaf een opdrachtprompt of u het bestand hebt en pak de inhoud van het archief uit:

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

Clientconfiguratie

  1. Kopieer MicrosoftDefenderATPOnboardingLinuxServer.py naar het doelapparaat.

    Opmerking

    In eerste instantie is het clientapparaat niet gekoppeld aan een organisatie en is het kenmerk orgId leeg.

    mdatp health --field org_id

  2. Voer MicrosoftDefenderATPOnboardingLinuxServer.py uit.

    Opmerking

    Als u deze opdracht wilt uitvoeren, moet u op het apparaat zijn python geïnstalleerd, python3 afhankelijk van de distributie en versie. Zie indien nodig Stapsgewijze instructies voor het installeren van Python in Linux.

    Opmerking

    Als u een apparaat wilt onboarden dat eerder was offboarded, moet u het mdatp_offboard.json-bestand op /etc/opt/microsoft/mdatp verwijderen.

    Als u RHEL 8.x of Ubuntu 20.04 of hoger uitvoert, moet u gebruiken python3.

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    Voor de rest van distributies en versies moet u gebruiken python.

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. Controleer of het apparaat nu is gekoppeld aan uw organisatie en rapporteert een geldige organisatie-id:

    mdatp health --field org_id

  4. Controleer de status van het product door de volgende opdracht uit te voeren. Een retourwaarde van true geeft aan dat het product werkt zoals verwacht:

    mdatp health --field healthy

    Belangrijk

    Wanneer het product voor de eerste keer wordt gestart, worden de nieuwste antimalwaredefinities gedownload. Dit kan enkele minuten duren, afhankelijk van de netwerkverbinding. Gedurende deze tijd retourneert de bovenstaande opdracht een waarde van false. U kunt de status van de definitie-update controleren met behulp van de volgende opdracht:

    mdatp health --field definitions_status

    Houd er rekening mee dat u mogelijk ook een proxy moet configureren na het voltooien van de eerste installatie. Zie Defender voor eindpunt in Linux configureren voor detectie van statische proxy: configuratie na installatie.

  5. Voer een AV-detectietest uit om te controleren of het apparaat correct is onboarded en rapporteert aan de service. Voer de volgende stappen uit op het zojuist onboardingsapparaat:

    • Zorg ervoor dat realtime-beveiliging is ingeschakeld (aangegeven door een resultaat van het uitvoeren van true de volgende opdracht):

      mdatp health --field real_time_protection_enabled

      Als deze niet is ingeschakeld, voert u de volgende opdracht uit:

      mdatp config real-time-protection --value enabled

    • Open een Terminal-venster en voer de volgende opdracht uit om een detectietest uit te voeren:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    • U kunt aanvullende detectietests uitvoeren op zip-bestanden met behulp van een van de volgende opdrachten:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    • De bestanden moeten in quarantaine worden geplaatst door Defender voor Eindpunt in Linux. Gebruik de volgende opdracht om alle gedetecteerde bedreigingen weer te geven:

      mdatp threat list

  6. Voer een EDR-detectietest uit en simuleer een detectie om te controleren of het apparaat correct is onboarded en rapporteert aan de service. Voer de volgende stappen uit op het zojuist onboardingsapparaat:

  • Controleer of de onboarded Linux-server wordt weergegeven in Microsoft Defender XDR. Als dit de eerste onboarding van de machine is, kan het tot 20 minuten duren voordat deze wordt weergegeven.

    • Download en pak het scriptbestand uit naar een onboarded Linux-server en voer de volgende opdracht uit: ./mde_linux_edr_diy.sh

    • Na een paar minuten moet er een detectie worden gegenereerd in Microsoft Defender XDR.

    • Bekijk de waarschuwingsdetails en de tijdlijn van de machine en voer de gebruikelijke onderzoeksstappen uit.

afhankelijkheden van externe pakketten Microsoft Defender voor Eindpunt pakket

De volgende externe pakketafhankelijkheden bestaan voor het mdatp-pakket:

  • Het rpm-pakket mdatp vereist "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
  • Voor RHEL6 vereist het mdatp RPM-pakket "audit", "policycoreutils", "libselinux", "mde-netfilter"
  • Voor DEBIAN vereist het mdatp-pakket "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"
  • Voor Mariner vereist het mdatp-pakket 'attr', 'audit', 'diffutils', 'libacl', 'libattr', 'libselinux-utils', 'selinux-policy', 'policycoreutils', 'mde-netfilter'

Het pakket mde-netfilter heeft ook de volgende pakketafhankelijkheden:

  • Voor DEBIAN vereist het pakket mde-netfilter "libnetfilter-queue1", "downloadslib2.0-0"
  • Voor RPM vereist het pakket mde-netfilter 'libmnl', 'libnfnetlink', 'libnetfilter_queue', 'glib2'
  • Voor Mariner vereist het mde-netfilter-pakket 'libnfnetlink', 'libnetfilter_queue'

Als de installatie van de Microsoft Defender voor Eindpunt mislukt vanwege ontbrekende afhankelijkheden, kunt u de vereiste afhankelijkheden handmatig downloaden.

Problemen met logboekinstallatie

Zie Problemen met logboekinstallatie voor meer informatie over het vinden van het automatisch gegenereerde logboek dat door het installatieprogramma wordt gemaakt wanneer er een fout optreedt.

Migreren van Insiders-Fast naar productiekanaal

  1. Verwijder de insiders-fast-kanaalversie van Defender voor Eindpunt in Linux.

    sudo yum remove mdatp

  2. De opslagplaats Defender voor Eindpunt in Linux uitschakelen Insiders-Fast

    sudo yum repolist

    Opmerking

    In de uitvoer moet 'packages-microsoft-com-fast-prod' worden weergegeven.

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Implementeer Microsoft Defender voor Eindpunt opnieuw in Linux met behulp van het 'Productiekanaal'.

Uninstallation

Zie Verwijderen voor meer informatie over het verwijderen van Defender voor Eindpunt op Linux van clientapparaten.

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.