Utiliser le déploiement basé sur un script d’installation pour déployer Microsoft Defender pour point de terminaison sur Linux

S’applique à :

• Microsoft Defender pour point de terminaison pour les serveurs
• Microsoft Defender pour serveurs Plan 1 ou Plan 2

Introduction

Automatisez le déploiement de Microsoft Defender pour point de terminaison sur Linux à l’aide d’un script de programme d’installation. Ce script identifie la distribution et la version, sélectionne le référentiel approprié, configure l’appareil pour extraire la dernière version de l’agent et intègre l’appareil à Defender pour point de terminaison à l’aide du package d’intégration. Cette méthode est fortement recommandée pour simplifier le processus de déploiement.

Conditions préalables et configuration système requise

Avant de commencer, consultez Microsoft Defender pour point de terminaison sur Linux pour obtenir une description des prérequis et de la configuration système requise.

Processus de déploiement

1. Téléchargez le package d’intégration à partir de Microsoft Defender portail en procédant comme suit :

   1. Dans le portail Microsoft Defender, accédez à Paramètres Points> determinaison> Gestiondes> appareilsIntégration.

   2. Dans le premier menu déroulant, sélectionnez Serveur Linux comme système d’exploitation.

   3. Dans le deuxième menu déroulant, sélectionnez Script local comme méthode de déploiement.

   4. Sélectionnez Télécharger le package d’intégration. Enregistrez le fichier sous WindowsDefenderATPOnboardingPackage.zip.

      

   5. À partir d’une invite de commandes, extrayez le contenu de l’archive :

      unzip WindowsDefenderATPOnboardingPackage.zip
      

      Archive:  WindowsDefenderATPOnboardingPackage.zip
      inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
      

      Avertissement

      Le réemballage du package d’installation de Defender pour point de terminaison n’est pas un scénario pris en charge. Cela peut nuire à l’intégrité du produit et entraîner des résultats négatifs, y compris, mais sans s’y limiter, le déclenchement d’alertes de falsification et l’échec de l’application des mises à jour.

      Importante

      Si vous manquez cette étape, toute commande exécutée affiche un message d’avertissement indiquant que le produit n’a pas de licence. La commande mdatp health retourne également la valeur false.

2. Téléchargez le script bash du programme d’installation fourni dans notre référentiel GitHub public.

3. Accordez des autorisations exécutables au script du programme d’installation :

   chmod +x mde_installer.sh
   

4. Exécutez le script du programme d’installation et fournissez le package d’intégration en tant que paramètre pour installer l’agent et intégrer l’appareil au portail Defender.

   
   sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --min_req
   
   

   Cette commande déploie la dernière version de l’agent sur le canal de production, case activée pour un minimum de conditions système et intégrez l’appareil au portail Defender.

   En outre, vous pouvez passer d’autres paramètres en fonction de vos besoins pour modifier l’installation. Consultez l’aide pour toutes les options disponibles :

   
   ❯ ./mde_installer.sh --help
   mde_installer.sh v0.7.0
   usage: basename ./mde_installer.sh [OPTIONS]
   Options:
   -c|--channel         specify the channel(insiders-fast / insiders-slow / prod) from which you want to install. Default: prod
   -i|--install         install the product
   -r|--remove          uninstall the product
   -u|--upgrade         upgrade the existing product to a newer version if available
   -l|--downgrade       downgrade the existing product to a older version if available
   -o|--onboard         onboard the product with <onboarding_script>
   -f|--offboard        offboard the product with <offboarding_script>
   -p|--passive-mode    set real time protection to passive mode
   -a|--rtp-mode        set real time protection to active mode. passive-mode and rtp-mode are mutually exclusive
   -t|--tag             set a tag by declaring <name> and <value>, e.g: -t GROUP Coders
   -m|--min_req         enforce minimum requirements
   -x|--skip_conflict   skip conflicting application verification
   -w|--clean           remove repo from package manager for a specific channel
   -y|--yes             assume yes for all mid-process prompts (default, deprecated)
   -n|--no              remove assume yes sign
   -s|--verbose         verbose output
   -v|--version         print out script version
   -d|--debug           set debug mode
   --log-path <PATH>    also log output to PATH
   --http-proxy <URL>   set http proxy
   --https-proxy <URL>  set https proxy
   --ftp-proxy <URL>    set ftp proxy
   --mdatp              specific version of mde to be installed. will use the latest if not provided
   -h|--help            display help
   
   

   Scénario	Command
   Installer une version d’agent spécifique	sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --min_req –-mdatp 101.24082.0004
   Mettre à niveau vers la dernière version de l’agent	sudo ./mde_installer.sh --upgrade
   Mettre à niveau vers une version d’agent spécifique	sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004
   Passer à une version d’agent spécifique	sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004
   Désinstaller l’agent	sudo ./mde_installer.sh --remove

   Remarque

   La mise à niveau de votre système d’exploitation vers une nouvelle version majeure après l’installation du produit nécessite la réinstallation du produit. Vous devez désinstaller le Defender pour point de terminaison existant sur Linux, mettre à niveau le système d’exploitation, puis reconfigurer Defender pour point de terminaison sur Linux.

Vérifier les status de déploiement

1. Dans le portail Microsoft Defender, ouvrez l’inventaire des appareils. L’affichage de l’appareil dans le portail peut prendre 5 à 20 minutes.

2. Exécutez un test de détection antivirus pour vérifier que l’appareil est correctement intégré et qu’il signale au service. Effectuez les étapes suivantes sur l’appareil nouvellement intégré :

   1. Assurez-vous que la protection en temps réel est activée (indiqué par le résultat de l’exécution de true la commande suivante) :

      mdatp health --field real_time_protection_enabled
      

      S’il n’est pas activé, exécutez la commande suivante :

      mdatp config real-time-protection --value enabled
      

   2. Ouvrez une fenêtre Terminal et exécutez la commande suivante pour exécuter un test de détection :

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. Vous pouvez exécuter d’autres tests de détection sur des fichiers zip à l’aide de l’une des commandes suivantes :

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

   4. Les fichiers doivent être mis en quarantaine par Defender pour point de terminaison sur Linux. Utilisez la commande suivante pour répertorier toutes les menaces détectées :

      mdatp threat list
      

3. Exécutez un test de détection EDR et simulez une détection pour vérifier que l’appareil est correctement intégré et qu’il signale au service. Effectuez les étapes suivantes sur l’appareil nouvellement intégré :

   1. Téléchargez et extrayez le fichier de script sur un serveur Linux intégré.

   2. Accordez des autorisations exécutables au script :

      chmod +x mde_linux_edr_diy.sh
      

   3. Exécutez la commande suivante :

      ./mde_linux_edr_diy.sh
      

   4. Après quelques minutes, une détection doit être déclenchée dans le Microsoft Defender XDR.

   5. Vérifiez les détails de l’alerte, chronologie machine et effectuez vos étapes d’investigation classiques.

dépendances de package externe de package Microsoft Defender pour point de terminaison

Si l’installation Microsoft Defender pour point de terminaison échoue en raison d’erreurs de dépendances manquantes, vous pouvez télécharger manuellement les dépendances requises.

Les dépendances de package externes suivantes existent pour le mdatp package :

• Le mdatp RPM package nécessite - glibc >= 2.17,policycoreutils,selinux-policy-targeted, mde-netfilter.
• Pour DEBIAN, le mdatp package nécessite libc6 >= 2.23,uuid-runtime, mde-netfilter
• Pour Mariner, le mdatp package nécessite attr,diffutils, libacl, libattr, selinux-policylibselinux-utils, , policycoreutilsmde-netfilter

mdatp dépendances de package

• Le mdatp RPM package requiert audit, semanage.
• Pour DEBIAN, le mdatp package nécessite auditd.
• Pour Mariner, le mdatp package requiert audit.

mde-netfilter Dépendances

Le mde-netfilter package a également les dépendances de package suivantes :

• Pour DEBIAN, le mde-netfilter package nécessite libnetfilter-queue1, libglib2.0-0.
• Pour RPM, le mde-netfilter package nécessite libmnl, libnfnetlink,libnetfilter_queue,glib2 .
• Pour Mariner, le mde-netfilter package requiert libnfnetlink, libnetfilter_queue.

Résoudre des problèmes d’installation

Si vous rencontrez des problèmes d’installation, pour la résolution automatique des problèmes, procédez comme suit :

1. Pour plus d’informations sur la recherche du journal généré automatiquement lorsqu’une erreur d’installation se produit, consultez Problèmes d’installation du journal.

2. Pour plus d’informations sur les problèmes d’installation courants, consultez Problèmes d’installation.

3. Si l’intégrité de l’appareil est false, consultez Problèmes d’intégrité de l’agent Defender pour point de terminaison.

4. Pour connaître les problèmes de performances du produit, consultez Résoudre les problèmes de performances.

5. Pour les problèmes de proxy et de connectivité, consultez Résoudre les problèmes de connectivité cloud.

Pour obtenir le support de Microsoft, ouvrez un ticket de support et fournissez les fichiers journaux créés à l’aide de l’analyseur client.

Comment basculer entre les canaux

Par exemple, pour changer de canal de Insiders-Fast à Production, procédez comme suit :

1. Désinstallez la Insiders-Fast channel version de Defender pour point de terminaison sur Linux.

   sudo yum remove mdatp
   

2. Désactivez le référentiel Defender pour point de terminaison sur Linux Insiders-Fast.

   sudo yum repolist
   

   Remarque

   La sortie doit afficher packages-microsoft-com-fast-prod.

   sudo yum-config-manager --disable packages-microsoft-com-fast-prod
   

3. Redéployez Microsoft Defender pour point de terminaison sur Linux à l’aide du canal production.

Defender pour point de terminaison sur Linux peut être déployé à partir de l’un des canaux suivants (désigné comme [canal]) :

• insiders-fast
• insiders-slow
• prod

Chacun de ces canaux correspond à un référentiel de logiciels Linux. Les instructions de cet article décrivent la configuration de votre appareil pour utiliser l’un de ces référentiels.

Le choix du canal détermine le type et la fréquence des mises à jour proposées à votre appareil. Les appareils dans insiders-fast sont les premiers à recevoir des mises à jour et de nouvelles fonctionnalités, suivis ultérieurement par les insiders - lents et enfin par prod.

Pour afficher un aperçu des nouvelles fonctionnalités et fournir des commentaires précoces, il est recommandé de configurer certains appareils de votre entreprise pour utiliser insiders-fast ou insiders-slow.

Comment configurer des stratégies pour Microsoft Defender sur Linux

Vous pouvez configurer les paramètres antivirus et EDR sur vos points de terminaison. Si vous souhaitez en savoir plus, consultez les articles suivants :

• Définir les préférences pour Microsoft Defender pour point de terminaison sur Linux décrit les paramètres disponibles
• La gestion des paramètres de sécurité décrit comment configurer les paramètres dans le portail Microsoft Defender.