Distribuera Microsoft Defender för Slutpunkt i Linux manuellt

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

I den här artikeln beskrivs hur du distribuerar Microsoft Defender för Endpoint på Linux manuellt. För en lyckad distribution måste alla följande uppgifter slutföras:

Krav och systemkrav

Innan du börjar kan du gå till Microsoft Defender för Slutpunkt på Linux för att få en beskrivning av krav och systemkrav för den aktuella programvaruversionen.

Varning

Om du uppgraderar operativsystemet till en ny huvudversion efter produktinstallationen måste produkten installeras om. Du måste avinstallera den befintliga Defender för slutpunkten på Linux, uppgradera operativsystemet och sedan konfigurera om Defender för Slutpunkt i Linux enligt anvisningarna nedan.

Konfigurera linux-programvarans lagringsplats

Defender för Slutpunkt i Linux kan distribueras från någon av följande kanaler (anges nedan som [kanal]): insiders-fast, insiders-slow eller prod. Var och en av dessa kanaler motsvarar en linux-programvarudatabas. Anvisningar för hur du konfigurerar enheten för att använda någon av dessa lagringsningar finns nedan.

Valet av kanal avgör typ och frekvens för uppdateringar som erbjuds till din enhet. Enheter inom insiders – snabbt är de första som får uppdateringar och nya funktioner, följt senare av insiders-slow och slutligen av prod.

Om du vill förhandsgranska nya funktioner och ge tidig feedback rekommenderar vi att du konfigurerar vissa enheter i företaget så att de använder insiders snabbt eller insiders-slow.

Varning

Om du byter kanal efter den första installationen måste produkten installeras om. Byta produktkanal: avinstallera det befintliga paketet, konfigurera om enheten så att den nya kanalen används och följ stegen i det här dokumentet för att installera paketet från den nya platsen.

RHEL och varianter (CentOS, Oracle, Oracle Linux och Amazon Linux 2)

  • Installera yum-utils om det inte är installerat än:

    sudo yum install yum-utils
    

    Anteckning

    Din distribution och version, och identifiera den närmaste posten (efter huvudämne, sedan mindre) för den under https://packages.microsoft.com/config/rhel/.

    Använd följande tabell som hjälp när du ska hitta paketet:



    Distro & version Paket
    För RHEL/Centos/Oracle 8.0-8.5 https://packages.microsoft.com/config/rhel/8/[channel].repo
    För RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7/[channel].repo
    För RHEL/Centos 6.7-6.10 https://packages.microsoft.com/config/rhel/6/[channel].repo
    För Fårt 33 https://packages.microsoft.com/config/fedora/33/prod.repo
    För Fårt 34 https://packages.microsoft.com/config/fedora/34/prod.repo

    Ersätt [version ] och [kanal] med den information du har identifierat i följande kommandon:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
    

    Tips

    Använd hostnamectl-kommando för att identifiera systemrelaterad information, inklusive version [version].

    Om du till exempel kör CentOS 7 och vill distribuera Defender för Endpoint på Linux från prod-kanalen :

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
    

    Eller om du vill utforska nya funktioner på valda enheter kanske du vill distribuera Microsoft Defender för Slutpunkt på Linux till insiders-snabb kanal:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
    
  • Installera den offentliga Microsoft GPG-nyckeln:

    sudo rpm --import http://packages.microsoft.com/keys/microsoft.asc
    

SLES och varianter

Anteckning

Din distribution och version, och identifiera den närmaste posten (efter huvudämne, sedan mindre) för den under https://packages.microsoft.com/config/sles/.

Ersätt [ distro] och [version] med den information du har identifierat med följande kommandon:

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

Tips

Använd SPident-kommandot för att identifiera systemrelaterad information, inklusive version [version].

Om du till exempel kör SLES 12 och vill distribuera Microsoft Defender för Endpoint på Linux från prod-kanalen :

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
  • Installera den offentliga Microsoft GPG-nyckeln:

    sudo rpm --import http://packages.microsoft.com/keys/microsoft.asc
    

Ubuntu och Ubuntu systems

  • Installera curl om det inte är installerat än:

    sudo apt-get install curl
    
  • Installera libplist-utils om det inte är installerat än:

    sudo apt-get install libplist-utils
    

Anteckning

Din distribution och version, och identifiera den närmaste posten (efter huvudämne, sedan mindre) för den under https://packages.microsoft.com/config/[distro]/.

I kommandot nedan ersätter du [distro] och [version] med den information som du har identifierat:

 curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

Tips

Använd hostnamectl-kommando för att identifiera systemrelaterad information, inklusive version [version].

Till exempel om du kör Ubuntu 18.04 och vill distribuera Microsoft Defender för Endpoint på Linux från prod-kanalen :

curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
  • Installera lagringsplatsens konfiguration:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
    

    Om du till exempel har valt prod-kanal :

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
    
  • Installera paketet gpg om det inte redan är installerat:

    sudo apt-get install gpg
    

    Installera gpg om den inte är tillgänglig gnupg.

    sudo apt-get install gnupg
    
  • Installera den offentliga Microsoft GPG-nyckeln:

    curl https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -
    
  • Installera https-drivrutinen om den inte redan finns:

    sudo apt-get install apt-transport-https
    
  • Uppdatera metadata för lagringsplatsen:

    sudo apt-get update
    

Programinstallation

  • RHEL och varianter (CentOS och Oracle Linux):

    sudo yum install mdatp
    

    Anteckning

    Om du har flera Microsoft-lagringslager konfigurerade på enheten kan du vara specifik för vilken lagringsplats paketet ska installeras från. I följande exempel visas hur du installerar paketet från kanalen production om du även har databasens insiders-fast kanal konfigurerad på den här enheten. Det här kan inträffa om du använder flera Microsoft-produkter på din enhet. Beroende på distributionen och versionen av servern kan lagringsplatsaliaset vara ett annat än det som visas i följande exempel.

    # list all repositories
    yum repolist
    
    ...
    packages-microsoft-com-prod               packages-microsoft-com-prod        316
    packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
    ...
    
    # install the package from the production repository
    sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
    
  • SLES och varianter:

    sudo zypper install mdatp
    

    Anteckning

    Om du har flera Microsoft-lagringslager konfigurerade på enheten kan du vara specifik för vilken lagringsplats paketet ska installeras från. I följande exempel visas hur du installerar paketet från kanalen production om du även har databasens insiders-fast kanal konfigurerad på den här enheten. Det här kan inträffa om du använder flera Microsoft-produkter på din enhet.

    zypper repos
    
    ...
    #  | Alias | Name | ...
    XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
    XX | packages-microsoft-com-prod | microsoft-prod | ...
    ...
    
    
    sudo zypper install packages-microsoft-com-prod:mdatp
    
  • Ubuntu och Ubuntu system:

    sudo apt-get install mdatp
    

    Anteckning

    Om du har flera Microsoft-lagringslager konfigurerade på enheten kan du vara specifik för vilken lagringsplats paketet ska installeras från. I följande exempel visas hur du installerar paketet från kanalen production om du även har databasens insiders-fast kanal konfigurerad på den här enheten. Det här kan inträffa om du använder flera Microsoft-produkter på din enhet.

    cat /etc/apt/sources.list.d/*
    
    deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
    deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
    
    sudo apt -t bionic install mdatp
    

Ladda ned onboarding-paketet

Ladda ned introduktionspaketet från Microsoft 365 Defender portal.

Viktigt

Om du missar det här steget visas ett varningsmeddelande som visar att produkten är olicensierad. Kommandot returnerar mdatp health också värdet för false.

  1. I Microsoft 365 Defender-portalen går du till Inställningar > slutpunkter > enhetshantering > Onboarding.

  2. I den första listrutan väljer du Linux Server som operativsystem. Välj Lokalt skript som distributionsmetod i den andra nedrullningsmenyn.

  3. Välj Hämta introduktionspaket. Spara filen som WindowsDefenderATPOnboardingPackage.zip.

    Microsoft 365 Defender-portalen.

  4. I en kommandotolk kontrollerar du att du har filen och extraherar innehållet i arkivet:

    ls -l
    
    total 8
    -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
    
    unzip WindowsDefenderATPOnboardingPackage.zip
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
    

Klientkonfiguration

  1. Kopiera MicrosoftDefenderATPOnboardingLinuxServer.py till målenheten.

    Anteckning

    Först är klientenheten inte kopplad till en organisation och orgId-attributet är tomt.

    mdatp health --field org_id
    
  2. Kör MicrosoftDefenderATPOnboardingLinuxServer.py.

    Anteckning

    Om du vill köra det här kommandot måste du python ha python3 eller installera det på enheten beroende på disto och version. Om det behövs kan du gå till Stegvisa instruktioner för att installera Python på Linux.

    Om du kör RHEL 8.x eller Ubuntu 20.04 eller senare måste du använda python3.

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
    

    För resten av distros och versioner måste du använda python.

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
    
  3. Kontrollera att enheten nu är kopplad till din organisation och rapporterar en giltig organisationsidentifierare:

    mdatp health --field org_id
    
  4. Kontrollera hälsostatus för produkten genom att köra följande kommando. Returvärdet för 1 anger att produkten fungerar som förväntat:

    mdatp health --field healthy
    

    Viktigt

    När produkten startas för första gången laddas de senaste definitionerna för program mot skadlig programvara ned. Det kan ta upp till några minuter beroende på nätverksanslutningen. Under den här tiden returnerar kommandot ovan värdet .false Du kan kontrollera statusen för definitionsuppdateringen med hjälp av följande kommando:

    mdatp health --field definitions_status
    

    Observera att du kan också behöva konfigurera en proxy när du har slutfört den första installationen. Se Konfigurera Defender för slutpunkt på Linux för statisk proxyidentifiering: Konfiguration efter installation.

  5. Kör ett AV-identifieringstest för att verifiera att enheten är korrekt onboarded och rapporterar till tjänsten. Utför följande steg på den nyligen inbyggda enheten:

    • Se till att realtidsskyddet är aktiverat (som ett resultat av 1 att följande kommando körs):

      mdatp health --field real_time_protection_enabled
      

      Om det inte är aktiverat kör du följande kommando:

       mdatp config real-time-protection --value enabled
      
    • Öppna ett terminalfönster och kör följande kommando:

      curl -o /tmp/eicar.com.txt https://www.eicar.org/download/eicar.com.txt
      
    • Filen skulle ha satts i karantän av Defender för Endpoint på Linux. Använd följande kommando för att lista alla identifierade hot:

      mdatp threat list
      
  6. Kör ett Identifiering och åtgärd på slutpunkt och simulera en identifiering för att verifiera att enheten är korrekt onboarded och rapportera till tjänsten. Utför följande steg på den nyligen inbyggda enheten:

    • Kontrollera att den onboarded Linux-servern visas i Microsoft 365 Defender. Om det här är den första onboarding av datorn kan det ta upp till 20 minuter tills den visas.

    • Ladda ned och extrahera skriptfilen till en onboarded Linux-server och kör följande kommando: ./mde_linux_edr_diy.sh

    • Efter några minuter ska en identifiering av den upphöjas Microsoft 365 Defender.

    • Titta på aviseringsinformationen, datortidslinjen och utför dina vanliga undersökningssteg.

Installationsskript

Du kan också använda ett automatiserat installationsprogram bash-skript som tillhandahålls i vår offentliga GitHub plats. Skriptet identifierar distributionen och versionen, förenklar valet av rätt lagringsplats, uppsättningar av enheten för att hämta det senaste paketet och kombinerar stegen för produktinstallation och registrering.

❯ ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

Läs mer här.

Logga installationsproblem

Mer information om hur du hittar den automatiskt genererade loggen som skapas av installationsprogrammet när ett fel uppstår finns i Problem med logginstallationen.

Migrera från Insiders-Fast till produktionskanalen

  1. Avinstallera "Insiders-Fast-kanalen"-versionen av Defender för Slutpunkt på Linux.

    sudo yum remove mdatp
    
  2. Inaktivera Defender för slutpunkten på Linux Insiders-Fast platsen

    sudo yum repolist
    

    Anteckning

    Utdata ska visa "packages-microsoft-com-fast-prod".

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod
    
  3. Distribuera Om Microsoft Defender för Slutpunkt i Linux med hjälp av "Produktionskanal".

Avinstallation

Se Avinstallera för mer information om hur du tar bort Defender för Slutpunkt på Linux från klientenheter.

Se även