Partager via

Déployer Microsoft Defender pour point de terminaison manuellement sur Linux

  • Article

S’applique à :

  • Microsoft Defender pour point de terminaison pour les serveurs
  • Microsoft Defender pour serveurs Plan 1 ou Plan 2

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Cet article explique comment déployer manuellement Microsoft Defender pour point de terminaison sur Linux. Un déploiement réussi nécessite l’exécution de toutes les tâches suivantes :

Conditions préalables et configuration système requise

Avant de commencer, consultez Microsoft Defender pour point de terminaison sur Linux pour obtenir une description des prérequis et de la configuration système requise pour la version actuelle du logiciel.

Avertissement

La mise à niveau de votre système d’exploitation vers une nouvelle version majeure après l’installation du produit nécessite la réinstallation du produit. Vous devez désinstaller defender pour point de terminaison existant sur Linux, mettre à niveau le système d’exploitation, puis reconfigurer Defender pour point de terminaison sur Linux en suivant les étapes ci-dessous.

Configurer le référentiel de logiciels Linux

Defender pour point de terminaison sur Linux peut être déployé à partir de l’un des canaux suivants (désigné comme [canal]) : insiders-fast, insiders-slow ou prod. Chacun de ces canaux correspond à un référentiel de logiciels Linux. Les instructions de cet article décrivent la configuration de votre appareil pour utiliser l’un de ces référentiels.

Le choix du canal détermine le type et la fréquence des mises à jour proposées à votre appareil. Les appareils dans insiders-fast sont les premiers à recevoir des mises à jour et de nouvelles fonctionnalités, suivis plus tard par les insiders-slow et enfin par prod.

Pour afficher un aperçu des nouvelles fonctionnalités et fournir des commentaires précoces, il est recommandé de configurer certains appareils de votre entreprise pour qu’ils utilisent des insiders rapides ou des insiders lents.

Avertissement

Le basculement du canal après l’installation initiale nécessite la réinstallation du produit. Pour changer de canal de produit : désinstallez le package existant, reconfigurez votre appareil pour utiliser le nouveau canal et suivez les étapes décrites dans ce document pour installer le package à partir du nouvel emplacement.

RHEL et variantes (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky et Alma)

  1. Installez yum-utils s’il n’est pas encore installé :

    sudo yum install yum-utils

  2. Recherchez le package approprié pour votre distribution et votre version. Utilisez le tableau suivant pour vous aider à localiser le package :

    Distribution & version Colis
    Alma 8.4 et versions ultérieures https://packages.microsoft.com/config/alma/8/prod.repo
    Alma 9.2 et versions ultérieures https://packages.microsoft.com/config/alma/9/prod.repo
    RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo
    RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo
    RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo
    Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
    Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo
    Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo
    Rocky 8.7 et versions ultérieures https://packages.microsoft.com/config/rocky/8/prod.repo
    Rocky 9.2 et versions ultérieures https://packages.microsoft.com/config/rocky/9/prod.repo

    Remarque

    Pour votre distribution et votre version, identifiez l’entrée la plus proche (par principal, puis secondaire) sous https://packages.microsoft.com/config/rhel/.

  3. Dans les commandes suivantes, remplacez [version] et [canal] par les informations que vous avez identifiées :

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo

    Conseil

    Utilisez la commande hostnamectl pour identifier les informations relatives au système, notamment la version [version].

    Par exemple, si vous exécutez CentOS 7 et que vous souhaitez déployer Defender pour point de terminaison sur Linux à partir du prod canal :

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo

    Ou si vous souhaitez explorer de nouvelles fonctionnalités sur des appareils sélectionnés, vous pouvez déployer Microsoft Defender pour point de terminaison sur Linux sur le canal insider-fast :

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo

  4. Installez la clé publique Microsoft GPG :

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

SLES et variantes

Remarque

Pour votre distribution et votre version, identifiez l’entrée la plus proche (par principal, puis secondaire) sous https://packages.microsoft.com/config/sles/.

  1. Dans les commandes suivantes, remplacez [distribution] et [version] par les informations que vous avez identifiées :

    sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

    Conseil

    Utilisez la commande SPident pour identifier les informations relatives au système, notamment la version [version].

    Par exemple, si vous exécutez SLES 12 et que vous souhaitez déployer Microsoft Defender pour point de terminaison sur Linux à partir du prod canal :

    sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  2. Installez la clé publique Microsoft GPG :

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

Systèmes Ubuntu et Debian

  1. Installez curl s’il n’est pas encore installé :

    sudo apt-get install curl

  2. Installez libplist-utils s’il n’est pas encore installé :

    sudo apt-get install libplist-utils

    Remarque

    Pour votre distribution et votre version, identifiez l’entrée la plus proche (par principal, puis secondaire) sous https://packages.microsoft.com/config/[distro]/.

  3. Dans la commande suivante, remplacez [distribution] et [version] par les informations que vous avez identifiées :

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    Conseil

    Utilisez la commande hostnamectl pour identifier les informations relatives au système, notamment la version [version].

    Par exemple, si vous exécutez Ubuntu 18.04 et que vous souhaitez déployer Microsoft Defender pour point de terminaison sur Linux à partir du prod canal :

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  4. Installez la configuration du dépôt :

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    Par exemple, si vous avez choisi le prod canal :

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  5. Installez le gpg package s’il n’est pas déjà installé :

    sudo apt-get install gpg

    Si gpg n’est pas disponible, installez gnupg.

    sudo apt-get install gnupg

  6. Installez la clé publique Microsoft GPG :

    • Pour Debian 11 et versions antérieures, exécutez la commande suivante.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

    • Pour Debian 12 et versions ultérieures, exécutez la commande suivante.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  7. Installez le pilote HTTPS s’il n’est pas déjà installé :

    sudo apt-get install apt-transport-https

  8. Mettez à jour les métadonnées du dépôt :

    sudo apt-get update

Marin

  1. Installez dnf-plugins-core s’il n’est pas encore installé :

    sudo dnf install dnf-plugins-core

  2. Configurez et activez les dépôts requis.

    Remarque

    Sur Mariner, Insider Fast Channel n’est pas disponible.

    Si vous souhaitez déployer Defender pour point de terminaison sur Linux à partir du prod canal. Utilisez les commandes suivantes

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    Ou si vous souhaitez explorer de nouvelles fonctionnalités sur des appareils sélectionnés, vous pouvez déployer Microsoft Defender pour point de terminaison sur Linux sur le canal insiders-slow. Utilisez les commandes suivantes :

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

Installation d’application

Utilisez les commandes des sections suivantes pour installer Defender pour point de terminaison sur votre distribution Linux.

RHEL et variantes (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky et Alma)

sudo yum install mdatp

Remarque

Si vous avez plusieurs référentiels Microsoft configurés sur votre appareil, vous pouvez être précis sur le dépôt à partir duquel installer le package. L’exemple suivant montre comment installer le package à partir du production canal si le canal de insiders-fast dépôt est également configuré sur cet appareil. Cette situation peut se produire si vous utilisez plusieurs produits Microsoft sur votre appareil. Selon la distribution et la version de votre serveur, l’alias de dépôt peut être différent de celui de l’exemple suivant.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES et variantes

sudo zypper install mdatp

Remarque

Si vous avez plusieurs référentiels Microsoft configurés sur votre appareil, vous pouvez être précis sur le dépôt à partir duquel installer le package. L’exemple suivant montre comment installer le package à partir du production canal si le canal de insiders-fast dépôt est également configuré sur cet appareil. Cette situation peut se produire si vous utilisez plusieurs produits Microsoft sur votre appareil.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Systèmes Ubuntu et Debian

sudo apt-get install mdatp

Remarque

Si vous avez plusieurs référentiels Microsoft configurés sur votre appareil, vous pouvez être précis sur le dépôt à partir duquel installer le package. L’exemple suivant montre comment installer le package à partir du production canal si le canal de insiders-fast dépôt est également configuré sur cet appareil. Cette situation peut se produire si vous utilisez plusieurs produits Microsoft sur votre appareil.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Remarque

Les redémarrages ne sont PAS nécessaires après l’installation ou la mise à jour de Microsoft Defender pour point de terminaison sur Linux, sauf lorsque vous exécutez auditD en mode immuable.

Marin

sudo dnf install mdatp

Remarque

Si vous avez plusieurs référentiels Microsoft configurés sur votre appareil, vous pouvez être précis sur le dépôt à partir duquel installer le package. L’exemple suivant montre comment installer le package à partir du production canal si le canal de insiders-slow dépôt est également configuré sur cet appareil. Cette situation peut se produire si vous utilisez plusieurs produits Microsoft sur votre appareil.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Télécharger le package d’intégration

Téléchargez le package d’intégration à partir du portail Microsoft Defender.

Avertissement

Le repackaging du package d’installation de Defender pour point de terminaison n’est pas un scénario pris en charge. Cela peut avoir un impact négatif sur l’intégrité du produit et entraîner des résultats négatifs, y compris, mais sans s’y limiter, le déclenchement d’alertes de falsification et l’échec de l’application des mises à jour.

Importante

Si vous manquez cette étape, toute commande exécutée affiche un message d’avertissement indiquant que le produit n’a pas de licence. mdatp health La commande retourne également une valeur de false.

  1. Dans le portail Microsoft Defender, accédez à Paramètres Points> determinaison> Gestiondes>appareils Intégration.

  2. Dans le premier menu déroulant, sélectionnez Serveur Linux comme système d’exploitation. Dans le deuxième menu déroulant, sélectionnez Script local comme méthode de déploiement.

  3. Sélectionnez Télécharger le package d’intégration. Enregistrez le fichier sous WindowsDefenderATPOnboardingPackage.zip.

    Téléchargement d’un package d’intégration dans le portail Microsoft Defender

  4. À partir d’une invite de commandes, vérifiez que vous disposez du fichier et extrayez le contenu de l’archive :

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

Configuration du client

  1. Copiez MicrosoftDefenderATPOnboardingLinuxServer.py sur l’appareil cible.

    Remarque

    Initialement, l’appareil client n’est pas associé à un organization et l’attribut orgId est vide.

    mdatp health --field org_id

  2. Exécutez l’un des scénarios ci-dessous.

    Remarque

    Pour exécuter cette commande, vous devez avoir python installé ou python3 sur l’appareil en fonction de la distribution et de la version. Si nécessaire, consultez Instructions pas à pas pour l’installation de Python sur Linux.

    Pour intégrer un appareil précédemment désactivé, vous devez supprimer le fichier mdatp_offboard.json situé dans /etc/opt/microsoft/mdatp.

    Si vous exécutez RHEL 8.x ou Ubuntu 20.04 ou version ultérieure, vous devez utiliser python3. Exécutez la commande suivante :

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    Pour le reste des distributions et versions, vous devez utiliser python. Exécutez la commande suivante :

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. Vérifiez que l’appareil est maintenant associé à votre organization et signale un identificateur de organization valide :

    mdatp health --field org_id

  4. Vérifiez l’status d’intégrité du produit en exécutant la commande suivante. Une valeur de retour de true indique que le produit fonctionne comme prévu :

    mdatp health --field healthy

    Importante

    Lorsque le produit démarre pour la première fois, il télécharge les dernières définitions anti-programme malveillant. Ce processus peut prendre jusqu’à quelques minutes en fonction de la connectivité réseau. Pendant ce temps, la commande mentionnée précédemment retourne une valeur de false. Vous pouvez case activée la status de la mise à jour de définition à l’aide de la commande suivante :

    mdatp health --field definitions_status

    Vous devrez peut-être également configurer un proxy après l’installation initiale. Consultez Configurer Defender pour point de terminaison sur Linux pour la découverte de proxy statique : configuration post-installation.

  5. Exécutez un test de détection antivirus pour vérifier que l’appareil est correctement intégré et qu’il signale au service. Effectuez les étapes suivantes sur l’appareil nouvellement intégré :

    1. Assurez-vous que la protection en temps réel est activée (indiqué par le résultat de l’exécution de true la commande suivante) :

      mdatp health --field real_time_protection_enabled

      S’il n’est pas activé, exécutez la commande suivante :

      mdatp config real-time-protection --value enabled

    2. Pour exécuter un test de détection, ouvrez une fenêtre Terminal. puis exécutez la commande suivante :

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Vous pouvez exécuter d’autres tests de détection sur des fichiers zip à l’aide de l’une des commandes suivantes :

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

      Les fichiers doivent être mis en quarantaine par Defender pour point de terminaison sur Linux.

    4. Utilisez la commande suivante pour répertorier toutes les menaces détectées :

      mdatp threat list

  6. Exécutez un test de détection EDR et simulez une détection pour vérifier que l’appareil est correctement intégré et qu’il signale au service. Effectuez les étapes suivantes sur l’appareil nouvellement intégré :

    1. Vérifiez que le serveur Linux intégré apparaît dans Microsoft Defender XDR. S’il s’agit de la première intégration de la machine, l’affichage peut prendre jusqu’à 20 minutes.

    2. Téléchargez et extrayez le fichier de script sur un serveur Linux intégré, puis exécutez la commande suivante : ./mde_linux_edr_diy.sh

      Après quelques minutes, une détection doit être déclenchée dans Microsoft Defender XDR.

    3. Examinez les détails de l’alerte, chronologie machine et effectuez vos étapes d’investigation classiques.

dépendances de package externe de package Microsoft Defender pour point de terminaison

Les dépendances de package externes suivantes existent pour le mdatp package :

  • Le package rpm mdatp nécessite glibc >= 2.17, policycoreutils, selinux-policy-targeted, mde-netfilter
  • Pour DEBIAN, le package mdatp nécessite libc6 >= 2.23, uuid-runtimemde-netfilter
  • Pour Mariner, le package mdatp nécessite attr, diffutils, libacl, libattr, libselinux-utils, selinux-policy, , policycoreutils, mde-netfilter

Remarque

À compter de la version 101.24082.0004, Defender pour point de terminaison sur Linux ne prend plus en charge le fournisseur d’événements Auditd . Nous passons complètement à la technologie eBPF plus efficace. Si eBPF n’est pas pris en charge sur vos ordinateurs, ou s’il existe des exigences spécifiques pour rester sur Auditd et que vos machines utilisent Defender pour point de terminaison sur une version linux ou une version 101.24072.0001 antérieure, les autres dépendances suivantes sur le package audité existent pour mdatp :

  • Le package mdatp RPM nécessite audit, semanage.
  • Pour DEBIAN, le package mdatp nécessite auditd.
  • Pour Mariner, le package mdatp nécessite audit.

Le mde-netfilter package a également les dépendances de package suivantes :

  • Pour DEBIAN, le mde-netfilter package nécessite libnetfilter-queue1, libglib2.0-0
  • Pour RPM, le mde-netfilter package nécessite libmnl, libnfnetlink, libnetfilter_queue, glib2
  • Pour Mariner, le mde-netfilter package nécessite libnfnetlink, libnetfilter_queue

Si l’installation Microsoft Defender pour point de terminaison échoue en raison d’erreurs de dépendances manquantes, vous pouvez télécharger manuellement les dépendances requises.

Résoudre des problèmes d’installation

Si vous rencontrez des problèmes d’installation, pour la résolution automatique des problèmes, procédez comme suit :

  1. Pour plus d’informations sur la recherche du journal généré automatiquement lorsqu’une erreur d’installation se produit, consultez Problèmes d’installation du journal.

  2. Pour plus d’informations sur les problèmes d’installation courants, consultez Problèmes d’installation.

  3. Si l’intégrité de l’appareil est false, consultez Problèmes d’intégrité de l’agent Defender pour point de terminaison.

  4. Pour connaître les problèmes de performances du produit, consultez Résoudre les problèmes de performances.

  5. Pour les problèmes de proxy et de connectivité, consultez Résoudre les problèmes de connectivité cloud.

Pour obtenir le support de Microsoft, ouvrez un ticket de support et fournissez les fichiers journaux créés à l’aide de l’analyseur client.

Comment basculer entre les canaux

Par exemple, pour changer de canal de Insiders-Fast à Production, procédez comme suit :

  1. Désinstallez la Insiders-Fast channel version de Defender pour point de terminaison sur Linux.

    sudo yum remove mdatp

  2. Désactiver le canal Insiders-Fast Defender pour point de terminaison sur Linux

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Réinstallez Microsoft Defender pour point de terminaison sur Linux à l’aide de Production channelet intégrez l’appareil dans le portail Microsoft Defender.

Comment configurer des stratégies pour Microsoft Defender pour point de terminaison sur Linux

Vous pouvez configurer les paramètres antivirus et EDR sur vos points de terminaison. Si vous souhaitez en savoir plus, consultez les articles suivants :

Désinstaller Microsoft Defender pour point de terminaison sur Linux

Pour une désinstallation manuelle, exécutez la commande suivante pour votre distribution Linux.

  • sudo yum remove mdatp pour RHEL et les variantes (CentOS et Oracle Linux).
  • sudo zypper remove mdatp pour SLES et les variantes.
  • sudo apt-get purge mdatp pour les systèmes Ubuntu et Debian.
  • sudo dnf remove mdatp pour Mariner

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.