Implantar Microsoft Defender para Ponto de Extremidade no Linux manualmente

  • Artigo

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Dica

Procurando orientações avançadas sobre como implantar Microsoft Defender para Ponto de Extremidade no Linux? Consulte Guia de implantação avançada no Defender para Ponto de Extremidade no Linux.

Este artigo descreve como implantar Microsoft Defender para Ponto de Extremidade no Linux manualmente. Uma implantação bem-sucedida requer a conclusão de todas as seguintes tarefas:

Pré-requisitos e requisitos do sistema

Antes de começar, consulte Microsoft Defender para Ponto de Extremidade no Linux para obter uma descrição dos pré-requisitos e dos requisitos do sistema para a versão de software atual.

Aviso

Atualizar seu sistema operacional para uma nova versão principal após a instalação do produto requer que o produto seja reinstalado. Você precisa desinstalar o Defender para Ponto de Extremidade existente no Linux, atualizar o sistema operacional e reconfigurar o Defender para Ponto de Extremidade no Linux seguindo as etapas abaixo.

Configurar o repositório de software do Linux

O Defender para Ponto de Extremidade no Linux pode ser implantado em um dos seguintes canais (denotado abaixo como [canal]): insiders-fast, insiders-slow ou prod. Cada um desses canais corresponde a um repositório de software do Linux. As instruções neste artigo descrevem a configuração do dispositivo para usar um desses repositórios.

A escolha do canal determina o tipo e a frequência das atualizações oferecidas ao seu dispositivo. Os dispositivos em insiders rápidos são os primeiros a receber atualizações e novos recursos, seguidos posteriormente por insiders lentos e, por fim, por prod.

Para visualizar novos recursos e fornecer comentários antecipados, é recomendável que você configure alguns dispositivos em sua empresa para usar insiders rápido ou insiders-slow.

Aviso

Alternar o canal após a instalação inicial requer que o produto seja reinstalado. Para alternar o canal do produto: desinstale o pacote existente, configure novamente seu dispositivo para usar o novo canal e siga as etapas neste documento para instalar o pacote a partir do novo local.

Script do instalador

Enquanto discutimos a instalação manual, como alternativa, você pode usar um script de bash instalador automatizado fornecido em nosso repositório público do GitHub. O script identifica a distribuição e a versão, simplifica a seleção do repositório direito, configura o dispositivo para puxar o pacote mais recente e combina as etapas de instalação e integração do produto.

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

Leia mais aqui.

RHEL e variantes (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky e Alma)

SLES e variantes

Observação

Sua distribuição e versão e identificar a entrada mais próxima (por major, depois menor) para ela em https://packages.microsoft.com/config/sles/.

Nos seguintes comandos, substitua [distro] e [versão] pelas informações que você identificou:

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

Dica

Use o comando SPident para identificar informações relacionadas ao sistema, incluindo a versão [versão].

Por exemplo, se você estiver executando o SLES 12 e desejar implantar Microsoft Defender para Ponto de Extremidade no Linux a partir do canal prod:

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  • Instale a chave pública do Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

Sistemas Ubuntu e Debian

  • Instale curl se ainda não estiver instalado:

    sudo apt-get install curl

  • Instale libplist-utils se ainda não estiver instalado:

    sudo apt-get install libplist-utils

    Observação

    Sua distribuição e versão e identificar a entrada mais próxima (por major, depois menor) para ela em https://packages.microsoft.com/config/[distro]/.

    No comando a seguir, substitua [distro] e [versão] pelas informações que você identificou:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    Dica

    Use o comando hostnamectl para identificar informações relacionadas ao sistema, incluindo a versão [versão].

    Por exemplo, se você estiver executando o Ubuntu 18.04 e desejar implantar Microsoft Defender para Ponto de Extremidade no Linux a partir do canal prod:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  • Instale a configuração do repositório:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    Por exemplo, se você escolheu o canal prod :

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  • Instale o gpg pacote se ainda não estiver instalado:

    sudo apt-get install gpg

    Se gpg não estiver disponível, instale gnupg.

    sudo apt-get install gnupg

  • Instale a chave pública do Microsoft GPG:

    • Para o Debian 11 e anterior, execute o comando a seguir.
    curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

Para o Debian 12 e posterior, execute o comando a seguir.

curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  • Instale o driver HTTPS se ainda não estiver instalado:

    sudo apt-get install apt-transport-https

  • Atualize os metadados do repositório:

    sudo apt-get update

Mariner

  • Instale dnf-plugins-core se ainda não estiver instalado:

    sudo dnf install dnf-plugins-core

  • Configurar e Habilitar os repositórios necessários

    Observação

    No Mariner, o Insider Fast Channel não está disponível.

    Se você quiser implantar o Defender para Ponto de Extremidade no Linux a partir do canal prod . Usar os comandos a seguir

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    Ou se você quiser explorar novos recursos em dispositivos selecionados, talvez deseje implantar Microsoft Defender para Ponto de Extremidade no Linux em um canal mais lento. Use os seguintes comandos:

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

Instalação do aplicativo

RHEL e variantes (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky e Alma)

sudo yum install mdatp

Observação

Se você tiver vários repositórios da Microsoft configurados em seu dispositivo, poderá ser específico sobre qual repositório instalar o pacote. O exemplo a seguir mostra como instalar o pacote do production canal se você também tiver o canal de insiders-fast repositório configurado neste dispositivo. Essa situação pode acontecer se você estiver usando vários produtos da Microsoft em seu dispositivo. Dependendo da distribuição e da versão do servidor, o alias do repositório pode ser diferente do do exemplo a seguir.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES e variantes

sudo zypper install mdatp

Observação

Se você tiver vários repositórios da Microsoft configurados em seu dispositivo, poderá ser específico sobre qual repositório instalar o pacote. O exemplo a seguir mostra como instalar o pacote do production canal se você também tiver o canal de insiders-fast repositório configurado neste dispositivo. Essa situação pode acontecer se você estiver usando vários produtos da Microsoft em seu dispositivo.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Sistemas Ubuntu e Debian

sudo apt-get install mdatp

Observação

Se você tiver vários repositórios da Microsoft configurados em seu dispositivo, poderá ser específico sobre qual repositório instalar o pacote. O exemplo a seguir mostra como instalar o pacote do production canal se você também tiver o canal de insiders-fast repositório configurado neste dispositivo. Essa situação pode acontecer se você estiver usando vários produtos da Microsoft em seu dispositivo.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Observação

Reinicializações NÃO são necessárias depois de instalar ou atualizar Microsoft Defender para Ponto de Extremidade no Linux, exceto quando você estiver executando auditD no modo imutável.

Mariner

sudo dnf install mdatp

Observação

Se você tiver vários repositórios da Microsoft configurados em seu dispositivo, poderá ser específico sobre qual repositório instalar o pacote. O exemplo a seguir mostra como instalar o pacote do production canal se você também tiver o canal de insiders-slow repositório configurado neste dispositivo. Essa situação pode acontecer se você estiver usando vários produtos da Microsoft em seu dispositivo.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Baixar o pacote de integração

Baixe o pacote de integração do portal Microsoft Defender.

Aviso

Reempacotar o pacote de instalação do Defender para Ponto de Extremidade não é um cenário com suporte. Isso pode afetar negativamente a integridade do produto e levar a resultados adversos, incluindo, mas não se limitando a disparar alertas de adulteração e atualizações que não se aplicam.

Importante

Se você perder esta etapa, qualquer comando executado mostrará uma mensagem de aviso indicando que o produto não foi habilitado. Além disso, o mdatp health comando retorna um valor de false.

  1. No portal Microsoft Defender, acesse Configurações Endpoints >> Gerenciamento > de dispositivo Integração.

  2. No primeiro menu suspenso, selecione Linux Server como o sistema operacional. No segundo menu suspenso, selecione Script Local como o método de implantação.

  3. Selecione Baixar pacote de integração. Salve o arquivo como WindowsDefenderATPOnboardingPackage.zip.

    Baixar um pacote de integração no portal do Microsoft Defender

  4. Em um prompt de comando, verifique se você tem o arquivo e extraia o conteúdo do arquivo:

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

Configuração do cliente

  1. Copie MicrosoftDefenderATPOnboardingLinuxServer.py para o dispositivo de destino.

    Observação

    Inicialmente, o dispositivo cliente não está associado a uma organização e o atributo orgId está em branco.

    mdatp health --field org_id

  2. Execute MicrosoftDefenderATPOnboardingLinuxServer.py.

    Observação

    Para executar esse comando, você deve ter python ou python3 instalado no dispositivo, dependendo da distribuição e da versão. Se necessário, consulte Instruções passo a passo para instalar o Python no Linux.

    Observação

    Para integrar um dispositivo que foi desativado anteriormente, você deve remover o arquivo mdatp_offboard.json localizado em /etc/opt/microsoft/mdatp.

    Se você estiver executando o RHEL 8.x ou Ubuntu 20.04 ou superior, precisará usar python3.

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    Para o restante das distribuições e versões, você precisa usar python.

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. Verifique se o dispositivo agora está associado à sua organização e relata um identificador de organização válido:

    mdatp health --field org_id

  4. Verifique o status de integridade do produto executando o comando a seguir. Um valor retornado de true denota que o produto está funcionando conforme o esperado:

    mdatp health --field healthy

    Importante

    Quando o produto é iniciado pela primeira vez, ele baixa as definições antimalware mais recentes. Isso pode levar até alguns minutos, dependendo da conectividade de rede. Durante esse tempo, o comando acima retorna um valor de false. Você pode marcar o status da atualização de definição usando o seguinte comando:

    mdatp health --field definitions_status

    Observe que você também pode precisar configurar um proxy depois de concluir a instalação inicial. Consulte Configurar o Defender para Ponto de Extremidade no Linux para obter a descoberta de proxy estático: configuração pós-instalação.

  5. Execute um teste de detecção de AV para verificar se o dispositivo está devidamente integrado e relatando ao serviço. Execute as seguintes etapas no dispositivo recém-integrado:

    • Verifique se a proteção em tempo real está habilitada (denotada por um resultado da execução do true seguinte comando):

      mdatp health --field real_time_protection_enabled

      Se ele não estiver habilitado, execute o seguinte comando:

      mdatp config real-time-protection --value enabled

    • Abra uma janela do Terminal e execute o seguinte comando para executar um teste de detecção:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    • Você pode executar testes de detecção adicionais em arquivos zip usando um dos seguintes comandos:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    • Os arquivos devem ser colocados em quarentena pelo Defender para Ponto de Extremidade no Linux. Use o seguinte comando para listar todas as ameaças detectadas:

      mdatp threat list

  6. Execute um teste de detecção EDR e simule uma detecção para verificar se o dispositivo está devidamente integrado e relatando ao serviço. Execute as seguintes etapas no dispositivo recém-integrado:

  • Verifique se o servidor Linux integrado é exibido no Microsoft Defender XDR. Se essa for a primeira integração do computador, ela pode levar até 20 minutos até que ela apareça.

    • Baixe e extraia o arquivo de script para um servidor Linux integrado e execute o seguinte comando: ./mde_linux_edr_diy.sh

    • Após alguns minutos, uma detecção deve ser gerada em Microsoft Defender XDR.

    • Examine os detalhes do alerta, linha do tempo do computador e execute suas etapas típicas de investigação.

Microsoft Defender para Ponto de Extremidade dependências de pacote externo do pacote

As seguintes dependências de pacote externo existem para o pacote mdatp:

  • O pacote de RPM mdatp requer "glibc >= 2,17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
  • Para RHEL6, o pacote de RPM mdatp requer "audit", "policycoreutils", "libselinux", "mde-netfilter"
  • Para DEBIAN, o pacote mdatp requer "libc6 >= 2,23", "uuid-runtime", "auditd", "mde-netfilter"
  • Para Mariner, o pacote mdatp requer "attr", "audit", "diffutils", "libacl", "libattr", "libselinux-utils", "selinux-policy", "policycoreutils", "mde-netfilter"

O pacote mde-netfilter também tem as seguintes dependências de pacote:

  • Para DEBIAN, o pacote mde-netfilter requer "libnetfilter-queue1", "libglib2.0-0"
  • Para RPM, o pacote mde-netfilter requer "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"
  • Para o Mariner, o pacote mde-netfilter requer "libnfnetlink", "libnetfilter_queue"

Se a instalação Microsoft Defender para Ponto de Extremidade falhar devido a erros de dependência ausentes, você poderá baixar manualmente as dependências do pré-requisito.

Problemas de instalação de log

Consulte Problemas de instalação de log para obter mais informações sobre como encontrar o log gerado automaticamente criado pelo instalador quando ocorrer um erro.

Como migrar de Insiders-Fast para o canal Production

  1. Desinstale a versão "Insiders-Fast channel" do Defender para Ponto de Extremidade no Linux.

    sudo yum remove mdatp

  2. Desabilitar o Ponto de Extremidade do Defender no repositório linux Insiders-Fast

    sudo yum repolist

    Observação

    A saída deve mostrar "packages-microsoft-com-fast-prod".

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Reimplantar Microsoft Defender para Ponto de Extremidade no Linux usando o "Canal de produção".

Desinstalação

Consulte Desinstalar para obter detalhes sobre como remover o Defender para Ponto de Extremidade no Linux de dispositivos cliente.

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.