Megosztás a következőn keresztül:

Végponthoz készült Microsoft Defender manuális üzembe helyezése Linuxon

  • Cikk

A következőkre vonatkozik:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Tipp

Speciális útmutatást keres a Végponthoz készült Microsoft Defender Linuxon való üzembe helyezéséhez? Lásd: Speciális üzembe helyezési útmutató a Végponthoz készült Defender linuxos verziójában.

Ez a cikk azt ismerteti, hogyan helyezheti üzembe manuálisan a Végponthoz készült Microsoft Defender Linux rendszeren. A sikeres üzembe helyezéshez az alábbi feladatok végrehajtására van szükség:

Előfeltételek és rendszerkövetelmények

Mielőtt hozzákezdene, tekintse meg a linuxos Végponthoz készült Microsoft Defender című témakört az aktuális szoftververzió előfeltételeinek és rendszerkövetelményeinek leírásáért.

Figyelmeztetés

Miután a termék telepítése megtörtént, az operációs rendszer frissítése egy új főverzióra a termék újratelepítését igényli. Távolítsa el a meglévő Végponthoz készült Defendert Linuxon, frissítse az operációs rendszert, majd konfigurálja újra a Végponthoz készült Defendert Linuxon az alábbi lépések végrehajtásával.

A Linux-szoftveradattár konfigurálása

A Végponthoz készült Defender Linuxon a következő csatornák egyikéről telepíthető ([ csatorna]): insiders-fast, insiders-slow vagy prod. Ezen csatornák mindegyike egy Linux-szoftveradattárnak felel meg. A cikkben található utasítások azt mutatják be, hogyan konfigurálhatja az eszközt ezen adattárak egyikének használatára.

A csatorna kiválasztása határozza meg az eszköz számára kínált frissítések típusát és gyakoriságát. Az insider-fast rendszerű eszközök az elsők, amelyek frissítéseket és új funkciókat kapnak, majd később az insider-slow és végül a prod.

Az új funkciók előzetes verziójának megtekintéséhez és a korai visszajelzések küldéséhez javasoljuk, hogy a vállalat néhány eszközét úgy konfigurálja, hogy az insider-fast vagy az insider-slow verziót használja.

Figyelmeztetés

Ha a kezdeti telepítés után vált a csatornára, újra kell telepíteni a terméket. A termékcsatorna váltásához: távolítsa el a meglévő csomagot, konfigurálja újra az eszközt az új csatorna használatára, és a jelen dokumentumban leírt lépéseket követve telepítse a csomagot az új helyről.

RHEL és változatok (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky és Alma)

  1. Telepítse yum-utils , ha még nincs telepítve:

    sudo yum install yum-utils

  2. Keresse meg a megfelelő csomagot a disztribúcióhoz és verzióhoz. Az alábbi táblázat segítséget nyújt a csomag megtalálásához:

    Disztribúció & verzió Csomag
    Alma 8.4 és újabb verziók https://packages.microsoft.com/config/alma/8/prod.repo
    Alma 9.2 és újabb https://packages.microsoft.com/config/alma/9/prod.repo
    RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo
    RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo
    RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo
    Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
    Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo
    Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo
    Rocky 8.7 és újabb https://packages.microsoft.com/config/rocky/8/prod.repo
    Rocky 9.2 és újabb https://packages.microsoft.com/config/rocky/9/prod.repo

    Megjegyzés:

    A disztribúcióhoz és a verzióhoz azonosítsa a legközelebbi bejegyzést (fő, majd alverzió szerint) a alatt https://packages.microsoft.com/config/rhel/.

  3. A következő parancsokban cserélje le a [version] és a [channel] elemet az azonosított adatokra:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo

    Tipp

    A hostnamectl paranccsal azonosíthatja a rendszerrel kapcsolatos információkat, beleértve a kiadást ([version]).

    Ha például a CentOS 7-et futtatja, és a végponthoz készült Defendert linuxos rendszeren szeretné üzembe helyezni a prod csatornáról:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo

    Vagy ha új funkciókat szeretne felfedezni a kiválasztott eszközökön, érdemes lehet Végponthoz készült Microsoft Defender Linuxon az Insider-fast csatornán üzembe helyezni:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo

  4. Telepítse a Microsoft GPG nyilvános kulcsát:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

SLES és változatok

Megjegyzés:

A disztribúcióhoz és a verzióhoz azonosítsa a legközelebbi bejegyzést (fő, majd alverzió szerint) a alatt https://packages.microsoft.com/config/sles/.

  1. A következő parancsokban cserélje le a [disztribúció] és a [verzió] elemet az azonosított adatokra:

    sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

    Tipp

    Az SPident paranccsal azonosíthatja a rendszerrel kapcsolatos információkat, beleértve a kiadást ([verzió]).

    Ha például az SLES 12-t futtatja, és linuxos Végponthoz készült Microsoft Defender szeretne üzembe helyezni a prod csatornáról:

    sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  2. Telepítse a Microsoft GPG nyilvános kulcsát:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

Ubuntu- és Debian-rendszerek

  1. Telepítse curl , ha még nincs telepítve:

    sudo apt-get install curl

  2. Telepítse libplist-utils , ha még nincs telepítve:

    sudo apt-get install libplist-utils

    Megjegyzés:

    A disztribúcióhoz és a verzióhoz azonosítsa a legközelebbi bejegyzést (fő, majd alverzió szerint) a alatt https://packages.microsoft.com/config/[distro]/.

  3. A következő parancsban cserélje le a [disztribúció] és a [verzió] elemet az azonosított adatokra:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    Tipp

    A hostnamectl paranccsal azonosíthatja a rendszerrel kapcsolatos információkat, beleértve a kiadást ([version]).

    Ha például az Ubuntu 18.04-es verziót futtatja, és linuxos Végponthoz készült Microsoft Defender szeretne üzembe helyezni a prod csatornáról:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  4. Telepítse az adattár konfigurációját:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    Ha például a csatornát választotta prod :

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  5. Ha még nincs telepítve, telepítse a gpg csomagot:

    sudo apt-get install gpg

    Ha gpg nem érhető el, telepítse a következőt gnupg: .

    sudo apt-get install gnupg

  6. Telepítse a Microsoft GPG nyilvános kulcsát:

    • Debian 11 és korábbi verziók esetén futtassa a következő parancsot.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

    • Debian 12 és újabb verziók esetén futtassa a következő parancsot.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  7. Ha még nincs telepítve, telepítse a HTTPS-illesztőprogramot:

    sudo apt-get install apt-transport-https

  8. Frissítse az adattár metaadatait:

    sudo apt-get update

Tengerész

  1. Telepítse dnf-plugins-core , ha még nincs telepítve:

    sudo dnf install dnf-plugins-core

  2. Konfigurálja és engedélyezze a szükséges adattárakat.

    Megjegyzés:

    A Marinerben az Insider Fast Channel nem érhető el.

    Ha a végponthoz készült Defendert Linuxon szeretné üzembe helyezni a prod csatornáról. Használja az alábbi parancsokat

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    Vagy ha új funkciókat szeretne felfedezni a kiválasztott eszközökön, érdemes lehet Végponthoz készült Microsoft Defender Linuxon üzembe helyezni az insider-slow csatornán. Használja a következő parancsokat:

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

Alkalmazás telepítése

A végponthoz készült Defender Linux-disztribúción való telepítéséhez használja a következő szakaszokban található parancsokat.

RHEL és változatok (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky és Alma)

sudo yum install mdatp

Megjegyzés:

Ha több Microsoft-adattár van konfigurálva az eszközön, megadhatja, hogy melyik adattárból telepítse a csomagot. Az alábbi példa bemutatja, hogyan telepítheti a csomagot a production csatornáról, ha az insiders-fast adattárcsatornát is konfigurálta ezen az eszközön. Ez a helyzet akkor fordulhat elő, ha több Microsoft-terméket használ az eszközén. A kiszolgáló disztribúciójától és verziójától függően az adattár aliasa eltérhet az alábbi példában szereplőtől.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES és változatok

sudo zypper install mdatp

Megjegyzés:

Ha több Microsoft-adattár van konfigurálva az eszközön, megadhatja, hogy melyik adattárból telepítse a csomagot. Az alábbi példa bemutatja, hogyan telepítheti a csomagot a production csatornáról, ha az insiders-fast adattárcsatornát is konfigurálta ezen az eszközön. Ez a helyzet akkor fordulhat elő, ha több Microsoft-terméket használ az eszközén.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu- és Debian-rendszerek

sudo apt-get install mdatp

Megjegyzés:

Ha több Microsoft-adattár van konfigurálva az eszközön, megadhatja, hogy melyik adattárból telepítse a csomagot. Az alábbi példa bemutatja, hogyan telepítheti a csomagot a production csatornáról, ha az insiders-fast adattárcsatornát is konfigurálta ezen az eszközön. Ez a helyzet akkor fordulhat elő, ha több Microsoft-terméket használ az eszközén.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Megjegyzés:

A linuxos Végponthoz készült Microsoft Defender telepítése vagy frissítése után nem szükséges újraindítás, kivéve, ha a naplózást nem módosítható módban futtatja.

Tengerész

sudo dnf install mdatp

Megjegyzés:

Ha több Microsoft-adattár van konfigurálva az eszközön, megadhatja, hogy melyik adattárból telepítse a csomagot. Az alábbi példa bemutatja, hogyan telepítheti a csomagot a production csatornáról, ha az insiders-slow adattárcsatornát is konfigurálta ezen az eszközön. Ez a helyzet akkor fordulhat elő, ha több Microsoft-terméket használ az eszközén.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Az előkészítési csomag letöltése

Töltse le az előkészítési csomagot a Microsoft Defender portálról.

Figyelmeztetés

A Végponthoz készült Defender telepítőcsomag újracsomagolása nem támogatott forgatókönyv. Ez negatív hatással lehet a termék integritására, és kedvezőtlen eredményekhez vezethet, beleértve, de nem kizárólagosan az illetéktelen módosítási riasztások aktiválását és a frissítések alkalmazásának sikertelenségét.

Fontos

Ha kihagyja ezt a lépést, a végrehajtott parancsok figyelmeztető üzenetet jelennek meg, amely jelzi, hogy a termék nem rendelkezik licencekkel. A parancs a mdatp health értékét is visszaadja false.

  1. A Microsoft Defender portálon lépjen a Beállítások>Végpontok>Eszközkezelés>Előkészítés területre.

  2. Az első legördülő menüben válassza a Linux Server elemet operációs rendszerként. A második legördülő menüben válassza a Helyi szkript lehetőséget üzembehelyezési módszerként.

  3. Válassza az Előkészítési csomag letöltése lehetőséget. Mentse a fájlt néven WindowsDefenderATPOnboardingPackage.zip.

    Előkészítési csomag letöltése a Microsoft Defender portálon

  4. A parancssorból ellenőrizze, hogy rendelkezik-e a fájllal, és bontsa ki az archívum tartalmát:

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

Ügyfélkonfiguráció

  1. Másolja a vágólapra MicrosoftDefenderATPOnboardingLinuxServer.py a céleszközre.

    Megjegyzés:

    Az ügyféleszköz kezdetben nincs szervezethez társítva, és az orgId attribútum üres.

    mdatp health --field org_id

  2. Futtassa az alábbi forgatókönyvek egyikét.

    Megjegyzés:

    A parancs futtatásához a disztribúciótól és a verziótól függően telepítve kell lennie pythonpython3 az eszközön. Ha szükséges, tekintse meg a Python Linuxon történő telepítésének részletes útmutatója című témakört.

    A korábban kivezetésre került eszköz előkészítéséhez el kell távolítania az /etc/opt/microsoft/mdatp címen található mdatp_offboard.json fájlt.

    Ha RHEL 8.x vagy Ubuntu 20.04 vagy újabb verziót használ, a következőt kell használnia python3: . Futtassa az alábbi parancsot:

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    A többi disztribúcióhoz és verzióhoz a következőt kell használnia python: . Futtassa az alábbi parancsot:

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. Ellenőrizze, hogy az eszköz most már társítva van-e a szervezethez, és jelent-e érvényes szervezeti azonosítót:

    mdatp health --field org_id

  4. Ellenőrizze a termék állapotát a következő parancs futtatásával. A visszatérési true érték azt jelzi, hogy a termék a várt módon működik:

    mdatp health --field healthy

    Fontos

    Amikor a termék első alkalommal elindul, letölti a legújabb kártevőirtó definíciókat. Ez a folyamat a hálózati kapcsolattól függően akár néhány percet is igénybe vehet. Ez idő alatt a korábban említett parancs a értékét falseadja vissza. A definíciófrissítés állapotát a következő paranccsal ellenőrizheti:

    mdatp health --field definitions_status

    Előfordulhat, hogy a kezdeti telepítés befejezése után is konfigurálnia kell egy proxyt. Lásd: Végponthoz készült Defender konfigurálása Linuxon statikus proxyfelderítéshez: Telepítés utáni konfiguráció.

  5. Futtasson víruskereső-észlelési tesztet annak ellenőrzéséhez, hogy az eszköz megfelelően van-e regisztrálva, és jelentést küld-e a szolgáltatásnak. Hajtsa végre a következő lépéseket az újonnan előkészített eszközön:

    1. Győződjön meg arról, hogy a valós idejű védelem engedélyezve van (ezt a következő parancs futtatásának eredménye true jelzi):

      mdatp health --field real_time_protection_enabled

      Ha nincs engedélyezve, hajtsa végre a következő parancsot:

      mdatp config real-time-protection --value enabled

    2. Az észlelési teszt futtatásához nyisson meg egy terminálablakot. majd futtassa a következő parancsot:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Az alábbi parancsok valamelyikével további észlelési teszteket futtathat zip-fájlokon:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

      A végponthoz készült Defendernek karanténba kell helyeznie a fájlokat Linuxon.

    4. Az alábbi paranccsal listázhatja az összes észlelt fenyegetést:

      mdatp threat list

  6. Futtasson egy EDR-észlelési tesztet, és szimuláljon egy észlelést annak ellenőrzéséhez, hogy az eszköz megfelelően van-e regisztrálva, és jelentést küld-e a szolgáltatásnak. Hajtsa végre a következő lépéseket az újonnan előkészített eszközön:

    1. Ellenőrizze, hogy az előkészített Linux-kiszolgáló megjelenik-e a Microsoft Defender XDR. Ha ez a gép első előkészítése, akár 20 percet is igénybe vehet, amíg megjelenik.

    2. Töltse le és csomagolja ki a szkriptfájlt egy előkészített Linux-kiszolgálóra, majd futtassa a következő parancsot: ./mde_linux_edr_diy.sh

      Néhány perc elteltével észlelést kell létrehozni Microsoft Defender XDR.

    3. Tekintse meg a riasztás részleteit, a gép idővonalát, és végezze el a tipikus vizsgálati lépéseket.

csomag külső csomagfüggőségeinek Végponthoz készült Microsoft Defender

A csomaghoz mdatp a következő külső csomagfüggőségek léteznek:

  • Az mdatp RPM-csomaghoz , glibc >= 2.17, policycoreutilsselinux-policy-targetedmde-netfilter
  • DEBIAN esetén az mdatp csomaghoz , libc6 >= 2.23, uuid-runtimemde-netfilter
  • Mariner esetén az mdatp csomaghoz attr, diffutils, , libattrlibacl, libselinux-utils, selinux-policypolicycoreutilsmde-netfilter

Megjegyzés:

A verziótól 101.24082.0004kezdve a Végponthoz készült Defender Linuxon már nem támogatja az eseményszolgáltatót Auditd . Teljesen áttérünk a hatékonyabb eBPF technológiára. Ha az eBPF nem támogatott a gépeken, vagy ha bizonyos követelményeknek kell megmaradnia a naplózott állapotban, és a gépek a Végponthoz készült Defendert használják Linux-verzióban vagy annál alacsonyabb verzióban 101.24072.0001 , az mdatp esetében a következő további függőségek vannak a naplózott csomagon:

  • Az mdatp RPM-csomag használatához audit, semanage.
  • DEBIAN esetén az mdatp csomaghoz a szükséges auditd.
  • A Mariner esetében az mdatp csomaghoz szükség van a következőre audit: .

A mde-netfilter csomag a következő csomagfüggőségekkel is rendelkezik:

  • DEBIAN esetén a mde-netfilter csomaghoz a szükséges libnetfilter-queue1: , libglib2.0-0
  • Az RPM esetében a mde-netfilter csomaghoz , libnfnetlinklibmnl, , libnetfilter_queueglib2
  • A Mariner esetében a mde-netfilter csomag a következőt igényli libnfnetlink: , libnetfilter_queue

Ha a Végponthoz készült Microsoft Defender telepítése hiányzó függőségi hibák miatt meghiúsul, manuálisan letöltheti az előfeltétel-függőségeket.

A telepítési problémák elhárítása

Váltás csatornák között

Ha például a csatornát Insiders-Fast-ról Élesre szeretné váltani, tegye a következőket:

  1. Távolítsa el a Insiders-Fast channel Végponthoz készült Defender verzióját Linux rendszeren.

    sudo yum remove mdatp

  2. Végponthoz készült Defender letiltása Linux Insiders-Fast csatornán

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Telepítse újra a Végponthoz készült Microsoft Defender Linux rendszeren a Production channelhasználatával, és helyezze üzembe az eszközt a Microsoft Defender portálon.

Szabályzatok konfigurálása Végponthoz készült Microsoft Defender Linuxon

A végpontokon konfigurálhatja a víruskereső és az EDR beállításait. További információért olvassa el az alábbi témaköröket:

Végponthoz készült Microsoft Defender eltávolítása Linuxon

Manuális eltávolításhoz hajtsa végre a következő parancsot a Linux-disztribúcióhoz.

  • sudo yum remove mdatp RHEL-hez és változatokhoz (CentOS és Oracle Linux).
  • sudo zypper remove mdatp az SLES-hez és a változatokhoz.
  • sudo apt-get purge mdatp Ubuntu és Debian rendszerekhez.
  • sudo dnf remove mdatp a Mariner esetében

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.