Distribuera Microsoft Defender för Slutpunkt i Linux manuellt
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
I den här artikeln beskrivs hur du distribuerar Microsoft Defender för Endpoint på Linux manuellt. För en lyckad distribution måste alla följande uppgifter slutföras:
- Krav och systemkrav
- Konfigurera linux-programvarans lagringsplats
- Programinstallation
- Ladda ned onboarding-paketet
- Klientkonfiguration
Krav och systemkrav
Innan du börjar kan du gå till Microsoft Defender för Slutpunkt på Linux för att få en beskrivning av krav och systemkrav för den aktuella programvaruversionen.
Varning
Om du uppgraderar operativsystemet till en ny huvudversion efter produktinstallationen måste produkten installeras om. Du måste avinstallera den befintliga Defender för slutpunkten på Linux, uppgradera operativsystemet och sedan konfigurera om Defender för Slutpunkt i Linux enligt anvisningarna nedan.
Konfigurera linux-programvarans lagringsplats
Defender för Slutpunkt i Linux kan distribueras från någon av följande kanaler (anges nedan som [kanal]): insiders-fast, insiders-slow eller prod. Var och en av dessa kanaler motsvarar en linux-programvarudatabas. Anvisningar för hur du konfigurerar enheten för att använda någon av dessa lagringsningar finns nedan.
Valet av kanal avgör typ och frekvens för uppdateringar som erbjuds till din enhet. Enheter inom insiders – snabbt är de första som får uppdateringar och nya funktioner, följt senare av insiders-slow och slutligen av prod.
Om du vill förhandsgranska nya funktioner och ge tidig feedback rekommenderar vi att du konfigurerar vissa enheter i företaget så att de använder insiders snabbt eller insiders-slow.
Varning
Om du byter kanal efter den första installationen måste produkten installeras om. Byta produktkanal: avinstallera det befintliga paketet, konfigurera om enheten så att den nya kanalen används och följ stegen i det här dokumentet för att installera paketet från den nya platsen.
RHEL och varianter (CentOS, Oracle, Oracle Linux och Amazon Linux 2)
Installera
yum-utilsom det inte är installerat än:sudo yum install yum-utilsAnteckning
Din distribution och version, och identifiera den närmaste posten (efter huvudämne, sedan mindre) för den under
https://packages.microsoft.com/config/rhel/.Använd följande tabell som hjälp när du ska hitta paketet:
Distro & version Paket För RHEL/Centos/Oracle 8.0-8.5 https://packages.microsoft.com/config/rhel/8/[channel].repo För RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7/[channel].repo För RHEL/Centos 6.7-6.10 https://packages.microsoft.com/config/rhel/6/[channel].repo För Fårt 33 https://packages.microsoft.com/config/fedora/33/prod.repo För Fårt 34 https://packages.microsoft.com/config/fedora/34/prod.repo Ersätt [version ] och [kanal] med den information du har identifierat i följande kommandon:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repoTips
Använd hostnamectl-kommando för att identifiera systemrelaterad information, inklusive version [version].
Om du till exempel kör CentOS 7 och vill distribuera Defender för Endpoint på Linux från prod-kanalen :
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repoEller om du vill utforska nya funktioner på valda enheter kanske du vill distribuera Microsoft Defender för Slutpunkt på Linux till insiders-snabb kanal:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repoInstallera den offentliga Microsoft GPG-nyckeln:
sudo rpm --import http://packages.microsoft.com/keys/microsoft.asc
SLES och varianter
Anteckning
Din distribution och version, och identifiera den närmaste posten (efter huvudämne, sedan mindre) för den under https://packages.microsoft.com/config/sles/.
Ersätt [ distro] och [version] med den information du har identifierat med följande kommandon:
sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
Tips
Använd SPident-kommandot för att identifiera systemrelaterad information, inklusive version [version].
Om du till exempel kör SLES 12 och vill distribuera Microsoft Defender för Endpoint på Linux från prod-kanalen :
sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
Installera den offentliga Microsoft GPG-nyckeln:
sudo rpm --import http://packages.microsoft.com/keys/microsoft.asc
Ubuntu och Ubuntu systems
Installera
curlom det inte är installerat än:sudo apt-get install curlInstallera
libplist-utilsom det inte är installerat än:sudo apt-get install libplist-utils
Anteckning
Din distribution och version, och identifiera den närmaste posten (efter huvudämne, sedan mindre) för den under https://packages.microsoft.com/config/[distro]/.
I kommandot nedan ersätter du [distro] och [version] med den information som du har identifierat:
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
Tips
Använd hostnamectl-kommando för att identifiera systemrelaterad information, inklusive version [version].
Till exempel om du kör Ubuntu 18.04 och vill distribuera Microsoft Defender för Endpoint på Linux från prod-kanalen :
curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
Installera lagringsplatsens konfiguration:
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].listOm du till exempel har valt prod-kanal :
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.listInstallera paketet
gpgom det inte redan är installerat:sudo apt-get install gpgInstallera
gpgom den inte är tillgängliggnupg.sudo apt-get install gnupgInstallera den offentliga Microsoft GPG-nyckeln:
curl https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -Installera https-drivrutinen om den inte redan finns:
sudo apt-get install apt-transport-httpsUppdatera metadata för lagringsplatsen:
sudo apt-get update
Programinstallation
RHEL och varianter (CentOS och Oracle Linux):
sudo yum install mdatpAnteckning
Om du har flera Microsoft-lagringslager konfigurerade på enheten kan du vara specifik för vilken lagringsplats paketet ska installeras från. I följande exempel visas hur du installerar paketet från kanalen
productionom du även har databasensinsiders-fastkanal konfigurerad på den här enheten. Det här kan inträffa om du använder flera Microsoft-produkter på din enhet. Beroende på distributionen och versionen av servern kan lagringsplatsaliaset vara ett annat än det som visas i följande exempel.# list all repositories yum repolist... packages-microsoft-com-prod packages-microsoft-com-prod 316 packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins 2 ...# install the package from the production repository sudo yum --enablerepo=packages-microsoft-com-prod install mdatpSLES och varianter:
sudo zypper install mdatpAnteckning
Om du har flera Microsoft-lagringslager konfigurerade på enheten kan du vara specifik för vilken lagringsplats paketet ska installeras från. I följande exempel visas hur du installerar paketet från kanalen
productionom du även har databasensinsiders-fastkanal konfigurerad på den här enheten. Det här kan inträffa om du använder flera Microsoft-produkter på din enhet.zypper repos... # | Alias | Name | ... XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ... XX | packages-microsoft-com-prod | microsoft-prod | ... ...sudo zypper install packages-microsoft-com-prod:mdatpUbuntu och Ubuntu system:
sudo apt-get install mdatpAnteckning
Om du har flera Microsoft-lagringslager konfigurerade på enheten kan du vara specifik för vilken lagringsplats paketet ska installeras från. I följande exempel visas hur du installerar paketet från kanalen
productionom du även har databasensinsiders-fastkanal konfigurerad på den här enheten. Det här kan inträffa om du använder flera Microsoft-produkter på din enhet.cat /etc/apt/sources.list.d/*deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic mainsudo apt -t bionic install mdatp
Ladda ned onboarding-paketet
Ladda ned introduktionspaketet från Microsoft 365 Defender portal.
Viktigt
Om du missar det här steget visas ett varningsmeddelande som visar att produkten är olicensierad. Kommandot returnerar mdatp health också värdet för false.
I Microsoft 365 Defender-portalen går du till Inställningar > slutpunkter > enhetshantering > Onboarding.
I den första listrutan väljer du Linux Server som operativsystem. Välj Lokalt skript som distributionsmetod i den andra nedrullningsmenyn.
Välj Hämta introduktionspaket. Spara filen som WindowsDefenderATPOnboardingPackage.zip.

I en kommandotolk kontrollerar du att du har filen och extraherar innehållet i arkivet:
ls -ltotal 8 -rw-r--r-- 1 test staff 5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zipunzip WindowsDefenderATPOnboardingPackage.zipArchive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
Klientkonfiguration
Kopiera MicrosoftDefenderATPOnboardingLinuxServer.py till målenheten.
Anteckning
Först är klientenheten inte kopplad till en organisation och orgId-attributet är tomt.
mdatp health --field org_idKör MicrosoftDefenderATPOnboardingLinuxServer.py.
Anteckning
Om du vill köra det här kommandot måste du
pythonhapython3eller installera det på enheten beroende på disto och version. Om det behövs kan du gå till Stegvisa instruktioner för att installera Python på Linux.Om du kör RHEL 8.x eller Ubuntu 20.04 eller senare måste du använda
python3.sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.pyFör resten av distros och versioner måste du använda
python.sudo python MicrosoftDefenderATPOnboardingLinuxServer.pyKontrollera att enheten nu är kopplad till din organisation och rapporterar en giltig organisationsidentifierare:
mdatp health --field org_idKontrollera hälsostatus för produkten genom att köra följande kommando. Returvärdet för
1anger att produkten fungerar som förväntat:mdatp health --field healthyViktigt
När produkten startas för första gången laddas de senaste definitionerna för program mot skadlig programvara ned. Det kan ta upp till några minuter beroende på nätverksanslutningen. Under den här tiden returnerar kommandot ovan värdet .
falseDu kan kontrollera statusen för definitionsuppdateringen med hjälp av följande kommando:mdatp health --field definitions_statusObservera att du kan också behöva konfigurera en proxy när du har slutfört den första installationen. Se Konfigurera Defender för slutpunkt på Linux för statisk proxyidentifiering: Konfiguration efter installation.
Kör ett AV-identifieringstest för att verifiera att enheten är korrekt onboarded och rapporterar till tjänsten. Utför följande steg på den nyligen inbyggda enheten:
Se till att realtidsskyddet är aktiverat (som ett resultat av
1att följande kommando körs):mdatp health --field real_time_protection_enabledOm det inte är aktiverat kör du följande kommando:
mdatp config real-time-protection --value enabledÖppna ett terminalfönster och kör följande kommando:
curl -o /tmp/eicar.com.txt https://www.eicar.org/download/eicar.com.txtFilen skulle ha satts i karantän av Defender för Endpoint på Linux. Använd följande kommando för att lista alla identifierade hot:
mdatp threat list
Kör ett Identifiering och åtgärd på slutpunkt och simulera en identifiering för att verifiera att enheten är korrekt onboarded och rapportera till tjänsten. Utför följande steg på den nyligen inbyggda enheten:
Kontrollera att den onboarded Linux-servern visas i Microsoft 365 Defender. Om det här är den första onboarding av datorn kan det ta upp till 20 minuter tills den visas.
Ladda ned och extrahera skriptfilen till en onboarded Linux-server och kör följande kommando:
./mde_linux_edr_diy.shEfter några minuter ska en identifiering av den upphöjas Microsoft 365 Defender.
Titta på aviseringsinformationen, datortidslinjen och utför dina vanliga undersökningssteg.
Installationsskript
Du kan också använda ett automatiserat installationsprogram bash-skript som tillhandahålls i vår offentliga GitHub plats. Skriptet identifierar distributionen och versionen, förenklar valet av rätt lagringsplats, uppsättningar av enheten för att hämta det senaste paketet och kombinerar stegen för produktinstallation och registrering.
❯ ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel specify the channel from which you want to install. Default: insiders-fast
-i|--install install the product
-r|--remove remove the product
-u|--upgrade upgrade the existing product
-o|--onboard onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req enforce minimum requirements
-w|--clean remove repo from package manager for a specific channel
-v|--version print out script version
-h|--help display help
Läs mer här.
Logga installationsproblem
Mer information om hur du hittar den automatiskt genererade loggen som skapas av installationsprogrammet när ett fel uppstår finns i Problem med logginstallationen.
Migrera från Insiders-Fast till produktionskanalen
Avinstallera "Insiders-Fast-kanalen"-versionen av Defender för Slutpunkt på Linux.
sudo yum remove mdatpInaktivera Defender för slutpunkten på Linux Insiders-Fast platsen
sudo yum repolistAnteckning
Utdata ska visa "packages-microsoft-com-fast-prod".
sudo yum-config-manager --disable packages-microsoft-com-fast-prodDistribuera Om Microsoft Defender för Slutpunkt i Linux med hjälp av "Produktionskanal".
Avinstallation
Se Avinstallera för mer information om hur du tar bort Defender för Slutpunkt på Linux från klientenheter.