Implantar o Microsoft Defender para Ponto de Extremidade no Linux manualmente

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Este artigo descreve como implantar o Microsoft Defender para Ponto de Extremidade no Linux manualmente. Uma implantação bem-sucedida requer a conclusão de todas as seguintes tarefas:

Pré-requisitos e requisitos do sistema

Antes de começar, consulte Microsoft Defender for Endpoint on Linux para obter uma descrição dos pré-requisitos e requisitos do sistema para a versão de software atual.

Configurar o repositório de software Linux

O Defender para Ponto de Extremidade no Linux pode ser implantado de um dos seguintes canais (denotado abaixo como [canal]): insiders-fast, insiders-slow ou prod. Cada um desses canais corresponde a um repositório de software Linux. Instruções para configurar seu dispositivo para usar um desses repositórios são fornecidas abaixo.

A escolha do canal determina o tipo e a frequência de atualizações oferecidas ao seu dispositivo. Os dispositivos em insiders-fast são os primeiros a receber atualizações e novos recursos, seguidos posteriormente por insiders-slow e por último por prod.

Para visualizar novos recursos e fornecer comentários antecipados, é recomendável configurar alguns dispositivos em sua empresa para usar insiders-fast ou insiders-slow.

Aviso

Alternar o canal após a instalação inicial exige que o produto seja reinstalado. Para alternar o canal do produto: desinstale o pacote existente, configure novamente seu dispositivo para usar o novo canal e siga as etapas deste documento para instalar o pacote no novo local.

RHEL e variantes (CentOS e Oracle Linux)

  • Instale yum-utils se ainda não estiver instalado:

    sudo yum install yum-utils
    
  • Observe sua distribuição e versão e identifique a entrada mais próxima (por principal, então secundária) para ela em https://packages.microsoft.com/config/rhel/ .

    Use a tabela a seguir para ajudá-lo a localizar o pacote:



    Distro & versão Pacote
    Para o RHEL 8.0-8.5 https://packages.microsoft.com/config/rhel/8/prod/
    Para o RHEL 7.2-7.9 https://packages.microsoft.com/config/rhel/7/prod/

    Nos comandos a seguir, substitua [versão] e [canal] com as informações identificadas:

    Observação

    No caso do Oracle Linux, substitua [distro] por "remos".

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
    

    Por exemplo, se você estiver executando o CentOS 7 e quiser implantar o Defender para Ponto de Extremidade no Linux a partir do canal prod:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
    

    Ou se você quiser explorar novos recursos em dispositivos selecionados, talvez queira implantar o Microsoft Defender para Ponto de Extremidade no Linux para canal insiders-fast:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
    
  • Instale a chave pública do Microsoft GPG:

    sudo rpm --import http://packages.microsoft.com/keys/microsoft.asc
    
  • Baixe e faça uso de todos os metadados dos repositórios yum atualmente habilitados:

    yum makecache
    

SLES e variantes

  • Observe sua distribuição e versão e identifique a entrada mais próxima(por principal, então secundária) para ela em https://packages.microsoft.com/config/sles/ .

    Nos comandos a seguir, substitua [distro] e [version] com as informações identificadas:

    sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
    

    Por exemplo, se você estiver executando o SLES 12 e quiser implantar o Microsoft Defender para Ponto de Extremidade no Linux a partir do canal prod:

    sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
    
  • Instale a chave pública do Microsoft GPG:

    sudo rpm --import http://packages.microsoft.com/keys/microsoft.asc
    

Sistemas Ubuntu e Debian

  • Instale curl se ainda não estiver instalado:

    sudo apt-get install curl
    
  • Instale libplist-utils se ainda não estiver instalado:

    sudo apt-get install libplist-utils
    
  • Observe sua distribuição e versão e identifique a entrada mais próxima (por principal, então secundária) para ela em https://packages.microsoft.com/config/[distro]/ .

    No comando abaixo, substitua [distro] e [version] pela informação que você identificou:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
    

    Por exemplo, se você estiver executando o Ubuntu 18.04 e quiser implantar o Microsoft Defender para Ponto de Extremidade no Linux a partir do canal prod:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
    
  • Instalar a configuração do repositório:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
    

    Por exemplo, se você escolher canal prod:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
    
  • Instale o gpg pacote se ainda não estiver instalado:

    sudo apt-get install gpg
    

    Se gpg não estiver disponível, instale gnupg .

  • Instale a chave pública do Microsoft GPG:

    curl https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -
    
  • Instale o driver https se ele ainda não estiver presente:

    sudo apt-get install apt-transport-https
    
  • Atualize os metadados do repositório:

    sudo apt-get update
    

Instalação do aplicativo

  • RHEL e variantes (CentOS e Oracle Linux):

    sudo yum install mdatp
    

    Se você tiver vários repositórios da Microsoft configurados em seu dispositivo, poderá ser específico sobre de qual repositório instalar o pacote. O exemplo a seguir mostra como instalar o pacote do canal se você também tiver o canal production de repositório configurado neste insiders-fast dispositivo. Essa situação pode acontecer se você estiver usando vários produtos Microsoft em seu dispositivo. Dependendo da distribuição e da versão do seu servidor, o alias do repositório pode ser diferente do do exemplo a seguir.

    # list all repositories
    yum repolist
    
    ...
    packages-microsoft-com-prod               packages-microsoft-com-prod        316
    packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
    ...
    
    # install the package from the production repository
    sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
    
  • SLES e variantes:

    sudo zypper install mdatp
    

    Se você tiver vários repositórios da Microsoft configurados em seu dispositivo, poderá ser específico sobre de qual repositório instalar o pacote. O exemplo a seguir mostra como instalar o pacote do canal se você também tiver o canal production de repositório configurado neste insiders-fast dispositivo. Essa situação pode acontecer se você estiver usando vários produtos Microsoft em seu dispositivo.

    zypper repos
    
    ...
    #  | Alias | Name | ...
    XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
    XX | packages-microsoft-com-prod | microsoft-prod | ...
    ...
    
    
    sudo zypper install packages-microsoft-com-prod:mdatp
    
  • Sistema Ubuntu e Debian:

    sudo apt-get install mdatp
    

    Se você tiver vários repositórios da Microsoft configurados em seu dispositivo, poderá ser específico sobre de qual repositório instalar o pacote. O exemplo a seguir mostra como instalar o pacote do canal se você também tiver o canal production de repositório configurado neste insiders-fast dispositivo. Essa situação pode acontecer se você estiver usando vários produtos Microsoft em seu dispositivo.

    cat /etc/apt/sources.list.d/*
    
    deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
    deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
    
    sudo apt -t bionic install mdatp
    

Baixar o pacote de integração

Baixe o pacote de integração do Microsoft 365 Defender portal:

  1. No portal Microsoft 365 Defender, acesse Configurações > Endpoints > Gerenciamento de dispositivos > Integração.

  2. No primeiro menu suspenso, selecione Servidor Linux como o sistema operacional. No segundo menu suspenso, selecione Script Local como o método de implantação.

  3. Selecione Baixar pacote de integração. Salve o arquivo como WindowsDefenderATPOnboardingPackage.zip.

    Microsoft 365 Defender captura de tela do portal.

  4. Em um prompt de comando, verifique se você tem o arquivo. Extraia o conteúdo do arquivo morto:

    ls -l
    
    total 8
    -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
    
    unzip WindowsDefenderATPOnboardingPackage.zip
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
    

Configuração do cliente

  1. Copie MicrosoftDefenderATPOnboardingLinuxServer.py para o dispositivo de destino.

    Inicialmente, o dispositivo cliente não está associado a uma organização. Observe que o atributo orgId está em branco:

    mdatp health --field org_id
    
  2. Execute MicrosoftDefenderATPOnboardingLinuxServer.py.

    Observação

    Para executar esse comando, você deve ter python instalado no dispositivo. Se você estiver executando o RHEL 8.x ou o Ubuntu 20.04 ou superior, precisará usar o Python 3 em vez de Python.

    python MicrosoftDefenderATPOnboardingLinuxServer.py
    
  3. Verifique se o dispositivo agora está associado à sua organização e relata um identificador de organização válido:

    mdatp health --field org_id
    
  4. Alguns minutos depois de concluir a instalação, você pode ver o status executando o comando a seguir. Um valor de retorno 1 de notas de que o produto está funcionando conforme o esperado:

    mdatp health --field healthy
    

    Importante

    Quando o produto é iniciado pela primeira vez, ele baixa as definições antimalware mais recentes. Dependendo da conexão com a Internet, isso pode levar até alguns minutos. Durante esse tempo, o comando acima retorna um valor de false . Você pode verificar o status da atualização de definição usando o seguinte comando:

    mdatp health --field definitions_status
    

    Observe que você também pode precisar configurar um proxy após concluir a instalação inicial. Consulte Configure Defender for Endpoint on Linux for static proxy discovery: Post-installation configuration.

  5. Execute um teste de detecção para verificar se o dispositivo está corretamente conectado e relatando ao serviço. Execute as seguintes etapas no dispositivo recém-integrado:

    • Verifique se a proteção em tempo real está habilitada (denotada por um resultado da execução 1 do seguinte comando):

      mdatp health --field real_time_protection_enabled
      
    • Abra uma janela de Terminal. Copie e execute o seguinte comando:

      curl -o /tmp/eicar.com.txt https://www.eicar.org/download/eicar.com.txt
      
    • O arquivo deve ter sido colocado em quarentena pelo Defender para Ponto de Extremidade no Linux. Use o seguinte comando para listar todas as ameaças detectadas:

      mdatp threat list
      

Experimente recursos detecção e resposta de ponto de extremidade linux (EDR) com ataques simulados

Para testar as funcionalidades do EDR para Linux, siga as etapas a seguir para simular uma detecção em seu servidor Linux e investigar o caso.

  1. Verifique se o servidor Linux integrado aparece Microsoft 365 Defender. Se essa for a primeira integração do computador, pode levar até 20 minutos até que ela apareça.

  2. Baixe e extraia o arquivo de script para um servidor Linux integrado e execute o seguinte comando: ./mde_linux_edr_diy.sh

  3. Após alguns minutos, uma detecção deve ser a Microsoft 365 Defender.

  4. Veja os detalhes do alerta, a linha do tempo do computador e execute as etapas de investigação típicas.

Script do instalador

Como alternativa, você pode usar um script de bash do instalador automatizado fornecido em nosso repositório GitHub público. O script identifica a distribuição e a versão e configura o dispositivo para puxar o pacote mais recente e instalá-lo. Você também pode fazer a integração com um script fornecido.

❯ ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

Leia mais aqui.

Problemas de instalação de log

Consulte Log installation issues for more information on how to find the automatically generated log that is created by the installer when an error occurs.

Atualizações do sistema operacional

Ao atualizar o sistema operacional para uma nova versão principal, primeiro você deve desinstalar o Defender para o Ponto de Extremidade no Linux, instalar a atualização e, finalmente, reconfigurar o Defender para Ponto de Extremidade no Linux em seu dispositivo.

Como migrar do Insiders-Fast para o canal de produção

  1. Desinstale a versão "Insiders-Fast channel" do Defender para Ponto de Extremidade no Linux.

    sudo yum remove mdatp
    
  2. Desabilitar o Defender para Ponto de Extremidade no Linux Insiders-Fast repo

    sudo yum repolist
    

    Observação

    A saída deve mostrar "packages-microsoft-com-fast-prod".

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod
    
  3. Reimplantar o Microsoft Defender para Ponto de Extremidade no Linux usando o "canal de produção".

Desinstalação

Consulte Desinstalar para obter detalhes sobre como remover o Defender for Endpoint no Linux de dispositivos cliente.

Confira também