Megosztás a következőn keresztül:

Végponthoz készült Microsoft Defender üzembe helyezése Linuxon telepítőszkriptalapú üzembe helyezéssel

  • Cikk

Érintett szolgáltatás:

  • Végponthoz készült Microsoft Defender kiszolgálókhoz
  • Microsoft Defender 1. vagy 2. csomag kiszolgálókhoz

Bevezetés

Automatizálja a Végponthoz készült Microsoft Defender üzembe helyezését Linux rendszeren egy telepítőszkript használatával. Ez a szkript azonosítja a disztribúciót és a verziót, kiválasztja a megfelelő adattárat, beállítja az eszközt a legújabb ügynökverzió lekérésére, és az előkészítési csomag használatával regisztrálja az eszközt a Végponthoz készült Defenderbe. Ez a módszer erősen ajánlott az üzembehelyezési folyamat leegyszerűsítése érdekében.

Előfeltételek és rendszerkövetelmények

A kezdés előtt tekintse meg a Linuxon futó Végponthoz készült Microsoft Defender ismertető cikket az előfeltételekről és a rendszerkövetelményekről.

Üzembehelyezési folyamat

  1. Töltse le az előkészítési csomagot Microsoft Defender portálról az alábbi lépésekkel:

    1. A Microsoft Defender portálon lépjen a Beállítások>Végpontok>Eszközkezelés>Előkészítés területre.

    2. Az első legördülő menüben válassza a Linux Server elemet operációs rendszerként.

    3. A második legördülő menüben válassza a Helyi szkript lehetőséget üzembehelyezési módszerként.

    4. Válassza az Előkészítési csomag letöltése lehetőséget. Mentse a fájlt néven WindowsDefenderATPOnboardingPackage.zip.

      Képernyőkép az előkészítési csomag letöltéséhez kiválasztandó lehetőségekről.

    5. Egy parancssorból bontsa ki az archívum tartalmát:

      unzip WindowsDefenderATPOnboardingPackage.zip

      Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

      Figyelmeztetés

      A Végponthoz készült Defender telepítőcsomag újracsomagolása nem támogatott forgatókönyv. Ez negatív hatással lehet a termék integritására, és kedvezőtlen eredményekhez vezethet, beleértve, de nem kizárólagosan az illetéktelen módosítási riasztások aktiválását és a frissítések alkalmazásának sikertelenségét.

      Fontos

      Ha kihagyja ezt a lépést, a végrehajtott parancsok figyelmeztető üzenetet jelennek meg, amely jelzi, hogy a termék nem rendelkezik licencekkel. Az mdatp health parancs szintén hamis értéket ad vissza.

  2. Töltse le a nyilvános GitHub-adattárban található telepítő bash-szkriptet.

  3. Végrehajtható engedélyek megadása a telepítőszkripthez:

    chmod +x mde_installer.sh

  4. Hajtsa végre a telepítőszkriptet, és adja meg paraméterként az előkészítési csomagot az ügynök telepítéséhez és az eszköz a Defender portálon való előkészítéséhez.

    
sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --min_req

    Ez a parancs üzembe helyezi a legújabb ügynökverziót az éles csatornán, ellenőrzi a minimális rendszerfeltételeket, és regisztrálja az eszközt a Defender Portalon.

    Emellett további paramétereket is megadhat a telepítés módosításához szükséges követelmények alapján. Tekintse meg a súgóban az összes rendelkezésre álló lehetőséget:

    
❯ ./mde_installer.sh --help
mde_installer.sh v0.7.0
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel         specify the channel(insiders-fast / insiders-slow / prod) from which you want to install. Default: prod
-i|--install         install the product
-r|--remove          uninstall the product
-u|--upgrade         upgrade the existing product to a newer version if available
-l|--downgrade       downgrade the existing product to a older version if available
-o|--onboard         onboard the product with <onboarding_script>
-f|--offboard        offboard the product with <offboarding_script>
-p|--passive-mode    set real time protection to passive mode
-a|--rtp-mode        set real time protection to active mode. passive-mode and rtp-mode are mutually exclusive
-t|--tag             set a tag by declaring <name> and <value>, e.g: -t GROUP Coders
-m|--min_req         enforce minimum requirements
-x|--skip_conflict   skip conflicting application verification
-w|--clean           remove repo from package manager for a specific channel
-y|--yes             assume yes for all mid-process prompts (default, deprecated)
-n|--no              remove assume yes sign
-s|--verbose         verbose output
-v|--version         print out script version
-d|--debug           set debug mode
--log-path <PATH>    also log output to PATH
--http-proxy <URL>   set http proxy
--https-proxy <URL>  set https proxy
--ftp-proxy <URL>    set ftp proxy
--mdatp              specific version of mde to be installed. will use the latest if not provided
-h|--help            display help
    Forgatókönyv Parancs
    Adott ügynökverzió telepítése sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --min_req –-mdatp 101.24082.0004
    Frissítés a legújabb ügynökverzióra sudo ./mde_installer.sh --upgrade
    Frissítés egy adott ügynökverzióra sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004
    Váltás egy adott ügynökverzióra sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004
    Ügynök eltávolítása sudo ./mde_installer.sh --remove

    Megjegyzés:

    Miután a termék telepítése megtörtént, az operációs rendszer frissítése egy új főverzióra a termék újratelepítését igényli. El kell távolítania a linuxos végponthoz készült Defendert, frissítenie kell az operációs rendszert, majd újra kell konfigurálnia a Végponthoz készült Defendert Linuxon.

Az üzembe helyezés állapotának ellenőrzése

  1. A Microsoft Defender portálon nyissa meg az eszközleltárt. 5–20 percig is eltarthat, amíg az eszköz megjelenik a portálon.

  2. Futtasson víruskereső-észlelési tesztet annak ellenőrzéséhez, hogy az eszköz megfelelően van-e regisztrálva, és jelentést küld-e a szolgáltatásnak. Hajtsa végre a következő lépéseket az újonnan előkészített eszközön:

    1. Győződjön meg arról, hogy a valós idejű védelem engedélyezve van (ezt a következő parancs futtatásának eredménye true jelzi):

      mdatp health --field real_time_protection_enabled

      Ha nincs engedélyezve, hajtsa végre a következő parancsot:

      mdatp config real-time-protection --value enabled

    2. Nyisson meg egy terminálablakot, és futtassa a következő parancsot egy észlelési teszt futtatásához:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Az alábbi parancsok valamelyikével további észlelési teszteket futtathat zip-fájlokon:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    4. A végponthoz készült Defendernek karanténba kell helyeznie a fájlokat Linuxon. Az alábbi paranccsal listázhatja az összes észlelt fenyegetést:

      mdatp threat list

  3. Futtasson egy EDR-észlelési tesztet, és szimuláljon egy észlelést annak ellenőrzéséhez, hogy az eszköz megfelelően van-e regisztrálva, és jelentést küld-e a szolgáltatásnak. Hajtsa végre a következő lépéseket az újonnan előkészített eszközön:

    1. Töltse le és csomagolja ki a szkriptfájlt egy előkészített Linux-kiszolgálóra.

    2. Végrehajtható engedélyek megadása a szkripthez:

      chmod +x mde_linux_edr_diy.sh

    3. Futtassa az alábbi parancsot:

      ./mde_linux_edr_diy.sh

    4. Néhány perc elteltével észlelést kell létrehozni a Microsoft Defender XDR.

    5. Ellenőrizze a riasztás részleteit, a gép idővonalát, és végezze el a tipikus vizsgálati lépéseket.

csomag külső csomagfüggőségeinek Végponthoz készült Microsoft Defender

Ha a Végponthoz készült Microsoft Defender telepítése hiányzó függőségi hibák miatt meghiúsul, manuálisan letöltheti a szükséges függőségeket.

A csomaghoz mdatp a következő külső csomagfüggőségek léteznek:

  • A mdatp RPM csomaghoz a következőre van szükség: glibc >= 2.17,policycoreutils,selinux-policy-targeted, mde-netfilter.
  • DEBIAN esetén a mdatp csomaghoz a következőre van szükséglibc6 >= 2.23: ,uuid-runtimemde-netfilter
  • A Mariner esetében a mdatp csomaghoz attr,diffutils, libacl, libattr, selinux-policylibselinux-utils, , policycoreutilsmde-netfilter

Megjegyzés:

A verziótól 101.24082.0004kezdődően a Végponthoz készült Defender Linuxon már nem támogatja az eseményszolgáltatót Auditd . Teljesen áttérünk a hatékonyabb eBPF technológiára. Ha eBPF a gépek nem támogatottak, vagy ha a rendszeren bizonyos követelményeknek kell maradniuk Auditd, és a gépek a Végponthoz készült Defendert használják Linux-verzióban vagy annál alacsonyabb verzióban 101.24072.0001 , a következő további függőség létezik a naplózott csomagtól mdatp:

mdatp csomagfüggőségek

  • A mdatp RPM csomaghoz a , semanagea szükségesaudit.
  • DEBIAN esetén a mdatp csomagnak szüksége van a következőre auditd: .
  • A Mariner esetében a mdatp csomagnak szüksége van a következőre audit: .

mde-netfilter Függőségek

A mde-netfilter csomag a következő csomagfüggőségekkel is rendelkezik:

  • DEBIAN esetén a mde-netfilter csomaghoz , libnetfilter-queue1libglib2.0-0.
  • Az RPM esetében a mde-netfilter csomaghoz , libnfnetlink,libnetfilter_queue,glib2 szükségeslibmnl.
  • A Mariner esetében a mde-netfilter csomaghoz , libnfnetlink. libnetfilter_queue

A telepítési problémák elhárítása

Ha telepítési problémákat tapasztal, az önkiszolgáló hibaelhárításhoz kövesse az alábbi lépéseket:

  1. A telepítési hiba esetén automatikusan generált napló megkereséséről a Naplótelepítési problémák című témakörben talál további információt.

  2. További információ a gyakori telepítési problémákról: Telepítési problémák.

  3. Ha az eszköz falseállapota , tekintse meg a Végponthoz készült Defender-ügynök állapotával kapcsolatos problémákat.

  4. A termék teljesítményével kapcsolatos problémákért lásd: Teljesítményproblémák elhárítása.

  5. A proxyval és a kapcsolattal kapcsolatos problémákért lásd: Felhőkapcsolati problémák elhárítása.

Ha támogatást szeretne kapni a Microsofttól, nyisson meg egy támogatási jegyet, és adja meg az ügyfélelemzővel létrehozott naplófájlokat.

Váltás csatornák között

Ha például a csatornát Insiders-Fast-ról Élesre szeretné váltani, tegye a következőket:

  1. Távolítsa el a Insiders-Fast channel Végponthoz készült Defender verzióját Linux rendszeren.

    sudo yum remove mdatp

  2. Tiltsa le a Végponthoz készült Defendert Linux Insiders-Fast-adattárban.

    sudo yum repolist

    Megjegyzés:

    A kimenetben a következőnek kell megjelennie packages-microsoft-com-fast-prod: .

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. A Végponthoz készült Microsoft Defender ismételt üzembe helyezése Linuxon az Éles csatorna használatával.

A Végponthoz készült Defender Linuxon az alábbi csatornák egyikéről telepíthető ([csatorna]):

  • insiders-fast
  • insiders-slow
  • prod

Ezen csatornák mindegyike egy Linux-szoftveradattárnak felel meg. A cikkben található utasítások azt mutatják be, hogyan konfigurálhatja az eszközt ezen adattárak egyikének használatára.

A csatorna kiválasztása határozza meg az eszköz számára kínált frissítések típusát és gyakoriságát. Az insider-fast rendszerű eszközök kapnak először frissítéseket és új funkciókat, amelyeket később az insider-slow és végül a prod követ.

Az új funkciók előzetes verziójának megtekintéséhez és a korai visszajelzések küldéséhez javasoljuk, hogy a vállalat néhány eszközét a vagy insiders-slowa használatára insiders-fast konfigurálja.

Figyelmeztetés

Ha a kezdeti telepítés után vált a csatornára, újra kell telepíteni a terméket. A termékcsatorna váltásához: távolítsa el a meglévő csomagot, konfigurálja újra az eszközt az új csatorna használatára, és a jelen dokumentumban leírt lépéseket követve telepítse a csomagot az új helyről.

Szabályzatok konfigurálása linuxos Microsoft Defender

A végpontokon konfigurálhatja a víruskereső és az EDR beállításait. További információért olvassa el az alábbi témaköröket:

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community