Distribuire manualmente Microsoft Defender per endpoint in Linux
Si applica a:
- Server di Microsoft Defender per endpoint.
- Microsoft Defender per server
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Consiglio
Alla ricerca di indicazioni avanzate sulla distribuzione di Microsoft Defender per endpoint in Linux? Vedere Guida alla distribuzione avanzata in Defender per endpoint in Linux.
Questo articolo descrive come distribuire manualmente Microsoft Defender per endpoint in Linux. Una distribuzione riuscita richiede il completamento di tutte le attività seguenti:
- Prerequisiti e requisiti di sistema
- Configurare il repository software Linux
- Installazione dell'applicazione
- Scaricare il pacchetto di onboarding
- Configurazione client
Prerequisiti e requisiti di sistema
Prima di iniziare, vedere Microsoft Defender per endpoint in Linux per una descrizione dei prerequisiti e dei requisiti di sistema per la versione software corrente.
Avviso
L'aggiornamento del sistema operativo a una nuova versione principale dopo l'installazione del prodotto richiede la reinstallazione del prodotto. È necessario disinstallare defender per endpoint esistente in Linux, aggiornare il sistema operativo e quindi riconfigurare Defender per endpoint in Linux seguendo la procedura seguente.
Configurare il repository software Linux
Defender per endpoint in Linux può essere distribuito da uno dei canali seguenti (indicato come [canale]): insiders-fast, insiders-slow o prod
. Ognuno di questi canali corrisponde a un repository software Linux. Le istruzioni in questo articolo descrivono la configurazione del dispositivo per l'uso di uno di questi repository.
La scelta del canale determina il tipo e la frequenza degli aggiornamenti offerti al dispositivo. I dispositivi in insider-fast sono i primi a ricevere aggiornamenti e nuove funzionalità, seguiti in seguito da insider-slow e infine da prod
.
Per visualizzare in anteprima le nuove funzionalità e fornire feedback anticipato, è consigliabile configurare alcuni dispositivi nell'organizzazione per usare i partecipanti ai lavori in modo rapido o lento.
Avviso
Il cambio di canale dopo l'installazione iniziale richiede la reinstallazione del prodotto. Per cambiare il canale del prodotto: disinstallare il pacchetto esistente, riconfigurare il dispositivo in modo che usi il nuovo canale e seguire la procedura descritta in questo documento per installare il pacchetto dal nuovo percorso.
RHEL e varianti (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky e Alma)
Installare
yum-utils
se non è ancora installato:sudo yum install yum-utils
Individuare il pacchetto corretto per la distribuzione e la versione. Usare la tabella seguente per facilitare l'individuazione del pacchetto:
Versione & Distro Pacchetto Alma 8.4 e versioni successive https://packages.microsoft.com/config/alma/8/prod.repo Alma 9.2 e versioni successive https://packages.microsoft.com/config/alma/9/prod.repo RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo Rocky 8.7 e versioni successive https://packages.microsoft.com/config/rocky/8/prod.repo Rocky 9.2 e versioni successive https://packages.microsoft.com/config/rocky/9/prod.repo Nota
Per la distribuzione e la versione, identificare la voce più vicina (per principale, quindi secondaria) in
https://packages.microsoft.com/config/rhel/
.Nei comandi seguenti sostituire [version] e [channel] con le informazioni identificate:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
Consiglio
Usare il comando hostnamectl per identificare le informazioni correlate al sistema, inclusa la versione [versione].
Ad esempio, se si esegue CentOS 7 e si vuole distribuire Defender per endpoint in Linux dal
prod
canale:sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
In alternativa, se si vogliono esplorare nuove funzionalità nei dispositivi selezionati, è possibile distribuire Microsoft Defender per endpoint in Linux nel canale insider-fast:Or if you want to explore new features on selected devices, you might want to deploy Microsoft Defender per endpoint on Linux to insiders-fast channel:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
Installare la chiave pubblica di Microsoft GPG:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
SLES e varianti
Nota
Per la distribuzione e la versione, identificare la voce più vicina (per principale, quindi secondaria) in https://packages.microsoft.com/config/sles/
.
Nei comandi seguenti sostituire [distro] e [version] con le informazioni identificate:
sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
Consiglio
Usare il comando SPident per identificare le informazioni correlate al sistema, inclusa la versione [versione].
Ad esempio, se si esegue SLES 12 e si vuole distribuire Microsoft Defender per endpoint in Linux dal
prod
canale:sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
Installare la chiave pubblica di Microsoft GPG:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
Sistemi Ubuntu e Debian
Installare
curl
se non è ancora installato:sudo apt-get install curl
Installare
libplist-utils
se non è ancora installato:sudo apt-get install libplist-utils
Nota
Per la distribuzione e la versione, identificare la voce più vicina (per principale, quindi secondaria) in
https://packages.microsoft.com/config/[distro]/
.Nel comando seguente sostituire [distro] e [version] con le informazioni identificate:
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
Consiglio
Usare il comando hostnamectl per identificare le informazioni correlate al sistema, inclusa la versione [versione].
Ad esempio, se si esegue Ubuntu 18.04 e si vuole distribuire Microsoft Defender per endpoint in Linux dal
prod
canale:curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
Installare la configurazione del repository:
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
Ad esempio, se si sceglie il
prod
canale:sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
Installare il
gpg
pacchetto se non è già installato:sudo apt-get install gpg
Se
gpg
non è disponibile, installaregnupg
.sudo apt-get install gnupg
Installare la chiave pubblica di Microsoft GPG:
Per Debian 11 e versioni precedenti, eseguire il comando seguente.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
Per Debian 12 e versioni successive, eseguire il comando seguente.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
Installare il driver HTTPS se non è già installato:
sudo apt-get install apt-transport-https
Aggiornare i metadati del repository:
sudo apt-get update
Marinaio
Installare
dnf-plugins-core
se non è ancora installato:sudo dnf install dnf-plugins-core
Configurare e abilitare i repository necessari.
Nota
In Mariner, Insider Fast Channel non è disponibile.
Se si vuole distribuire Defender per endpoint in Linux dal
prod
canale. Usare i comandi seguentisudo dnf install mariner-repos-extras sudo dnf config-manager --enable mariner-official-extras
In alternativa, se si vogliono esplorare nuove funzionalità in dispositivi selezionati, è possibile distribuire Microsoft Defender per endpoint in Linux in un canale lento per insider. Usare i comandi seguenti:
sudo dnf install mariner-repos-extras-preview sudo dnf config-manager --enable mariner-official-extras-preview
Installazione dell'applicazione
Usare i comandi nelle sezioni seguenti per installare Defender per endpoint nella distribuzione linux.
RHEL e varianti (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky e Alma)
sudo yum install mdatp
Nota
Se nel dispositivo sono configurati più repository Microsoft, è possibile specificare il repository da cui installare il pacchetto. L'esempio seguente illustra come installare il pacchetto dal production
canale se nel dispositivo è configurato anche il canale del insiders-fast
repository. Questa situazione può verificarsi se si usano più prodotti Microsoft nel dispositivo. A seconda della distribuzione e della versione del server, l'alias del repository potrebbe essere diverso da quello nell'esempio seguente.
# list all repositories
yum repolist
...
packages-microsoft-com-prod packages-microsoft-com-prod 316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins 2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
SLES e varianti
sudo zypper install mdatp
Nota
Se nel dispositivo sono configurati più repository Microsoft, è possibile specificare il repository da cui installare il pacchetto. L'esempio seguente illustra come installare il pacchetto dal production
canale se nel dispositivo è configurato anche il canale del insiders-fast
repository. Questa situazione può verificarsi se si usano più prodotti Microsoft nel dispositivo.
zypper repos
...
# | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp
Sistemi Ubuntu e Debian
sudo apt-get install mdatp
Nota
Se nel dispositivo sono configurati più repository Microsoft, è possibile specificare il repository da cui installare il pacchetto. L'esempio seguente illustra come installare il pacchetto dal production
canale se nel dispositivo è configurato anche il canale del insiders-fast
repository. Questa situazione può verificarsi se si usano più prodotti Microsoft nel dispositivo.
cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp
Nota
I riavvii NON sono necessari dopo l'installazione o l'aggiornamento Microsoft Defender per endpoint in Linux, tranne quando si esegue auditD in modalità non modificabile.
Marinaio
sudo dnf install mdatp
Nota
Se nel dispositivo sono configurati più repository Microsoft, è possibile specificare il repository da cui installare il pacchetto. L'esempio seguente illustra come installare il pacchetto dal production
canale se nel dispositivo è configurato anche il canale del insiders-slow
repository. Questa situazione può verificarsi se si usano più prodotti Microsoft nel dispositivo.
sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras
Scaricare il pacchetto di onboarding
Scaricare il pacchetto di onboarding dal portale di Microsoft Defender.
Avviso
Il riconfezionamento del pacchetto di installazione di Defender per endpoint non è uno scenario supportato. Ciò può influire negativamente sull'integrità del prodotto e portare a risultati negativi, tra cui, a titolo esemplificabile, l'attivazione di avvisi di manomissione e l'impossibilità di applicare gli aggiornamenti.
Importante
Se si perde questo passaggio, qualsiasi comando eseguito visualizza un messaggio di avviso che indica che il prodotto non è concesso in licenza. Inoltre, il mdatp health
comando restituisce un valore di false
.
Nel portale di Microsoft Defender passare a Impostazioni> EndpointGestione>dispositivi>Onboarding.
Nel primo menu a discesa selezionare Server Linux come sistema operativo. Nel secondo menu a discesa selezionare Script locale come metodo di distribuzione.
Selezionare Scarica pacchetto di onboarding. Salvare il file come
WindowsDefenderATPOnboardingPackage.zip
.Da un prompt dei comandi verificare di avere il file ed estrarre il contenuto dell'archivio:
ls -l
total 8 -rw-r--r-- 1 test staff 5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
unzip WindowsDefenderATPOnboardingPackage.zip
Archive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
Configurazione client
Copia
MicrosoftDefenderATPOnboardingLinuxServer.py
nel dispositivo di destinazione.Nota
Inizialmente il dispositivo client non è associato a un'organizzazione e l'attributo orgId è vuoto.
mdatp health --field org_id
Eseguire uno degli scenari seguenti.
Nota
Per eseguire questo comando, è necessario avere
python
opython3
installato nel dispositivo a seconda della distribuzione e della versione. Se necessario, vedere Istruzioni dettagliate per l'installazione di Python in Linux.Per eseguire l'onboarding di un dispositivo precedentemente offboard, è necessario rimuovere il file mdatp_offboard.json disponibile in /etc/opt/microsoft/mdatp.
Se si esegue RHEL 8.x o Ubuntu 20.04 o versione successiva, è necessario usare
python3
. Eseguire il comando qui riportato:sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
Per il resto delle distribuzioni e delle versioni, è necessario usare
python
. Eseguire il comando qui riportato:sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
Verificare che il dispositivo sia ora associato all'organizzazione e segnala un identificatore dell'organizzazione valido:
mdatp health --field org_id
Controllare lo stato di integrità del prodotto eseguendo il comando seguente. Un valore restituito di
true
indica che il prodotto funziona come previsto:mdatp health --field healthy
Importante
Quando il prodotto viene avviato per la prima volta, scarica le definizioni antimalware più recenti. Questo processo potrebbe richiedere alcuni minuti a seconda della connettività di rete. Durante questo periodo di tempo, il comando indicato in precedenza restituisce un valore di
false
. È possibile controllare lo stato dell'aggiornamento delle definizioni usando il comando seguente:mdatp health --field definitions_status
Potrebbe anche essere necessario configurare un proxy dopo aver completato l'installazione iniziale. Vedere Configurare Defender per endpoint in Linux per l'individuazione del proxy statico: configurazione post-installazione.
Eseguire un test di rilevamento antivirus per verificare che il dispositivo sia stato correttamente caricato e segnalare al servizio. Seguire questa procedura nel nuovo dispositivo di cui è stato eseguito l'onboarding:
Assicurarsi che la protezione in tempo reale sia abilitata (indicata da un risultato dell'esecuzione del
true
comando seguente):mdatp health --field real_time_protection_enabled
Se non è abilitato, eseguire il comando seguente:
mdatp config real-time-protection --value enabled
Per eseguire un test di rilevamento, aprire una finestra Terminale. quindi eseguire il comando seguente:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
È possibile eseguire altri test di rilevamento sui file ZIP usando uno dei comandi seguenti:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
I file devono essere messi in quarantena da Defender per endpoint in Linux.
Usare il comando seguente per elencare tutte le minacce rilevate:
mdatp threat list
Eseguire un test di rilevamento EDR e simulare un rilevamento per verificare che il dispositivo sia stato correttamente caricato e che il servizio venga segnalato. Seguire questa procedura nel nuovo dispositivo di cui è stato eseguito l'onboarding:
Verificare che il server Linux di cui è stato effettuato l'onboarding sia visualizzato in Microsoft Defender XDR. Se si tratta del primo onboarding del computer, possono essere necessari fino a 20 minuti prima che venga visualizzato.
Scaricare ed estrarre il file di script in un server Linux di cui è stato eseguito l'onboarding e quindi eseguire il comando seguente:
./mde_linux_edr_diy.sh
Dopo alcuni minuti, un rilevamento deve essere generato in Microsoft Defender XDR.
Esaminare i dettagli dell'avviso, la sequenza temporale del computer ed eseguire i passaggi di indagine tipici.
Microsoft Defender per endpoint dipendenze del pacchetto esterno del pacchetto
Esistono le dipendenze del pacchetto esterno seguenti per il mdatp
pacchetto:
- Il pacchetto RPM mdatp richiede
glibc >= 2.17
,policycoreutils
, ,selinux-policy-targeted
mde-netfilter
- Per DEBIAN il pacchetto mdatp richiede
libc6 >= 2.23
, ,uuid-runtime
mde-netfilter
- Per Mariner il pacchetto mdatp richiede
attr
, ,libacl
diffutils
,libattr
,libselinux-utils
,selinux-policy
, , ,policycoreutils
mde-netfilter
Nota
A partire dalla versione 101.24082.0004
, Defender per endpoint in Linux non supporta più il Auditd
provider di eventi. Stiamo passando completamente alla tecnologia eBPF più efficiente.
Se eBPF non è supportato nei computer o se sono presenti requisiti specifici da mantenere in Auditd e i computer usano Defender per endpoint nella versione 101.24072.0001
linux o inferiore, esistono le altre dipendenze seguenti nel pacchetto controllato per mdatp:
- Il pacchetto RPM mdatp richiede
audit
,semanage
. - Per DEBIAN, il pacchetto mdatp richiede
auditd
. - Per Mariner, il pacchetto mdatp richiede
audit
.
Il mde-netfilter
pacchetto presenta anche le dipendenze del pacchetto seguenti:
- Per DEBIAN, il
mde-netfilter
pacchetto richiedelibnetfilter-queue1
,libglib2.0-0
- Per RPM, il
mde-netfilter
pacchetto richiedelibmnl
,libnfnetlink
,libnetfilter_queue
,glib2
- Per Mariner, il
mde-netfilter
pacchetto richiedelibnfnetlink
,libnetfilter_queue
Se l'installazione Microsoft Defender per endpoint ha esito negativo a causa di errori di dipendenze mancanti, è possibile scaricare manualmente le dipendenze dei prerequisiti.
Risolvere i problemi di installazione
Per informazioni dettagliate su come trovare il log generato quando si verifica un errore di installazione, vedere Problemi di installazione del log.
Per informazioni sui problemi di installazione comuni, vedere Problemi di installazione.
Se l'integrità del dispositivo è false, vedere Analizzare i problemi di integrità dell'agente.
Per i problemi di prestazioni del prodotto, vedere Risolvere i problemi di prestazioni per Microsoft Defender per endpoint in Linux.
Per i problemi di proxy e connettività, vedere Risolvere i problemi di connettività cloud per Microsoft Defender per endpoint in Linux.
Per ottenere supporto da Microsoft, aprire un ticket di supporto e fornire i file di log creati usando lo strumento analizzatore client Microsoft Defender per endpoint.
Come passare da un canale all'altro
Ad esempio, per modificare il canale da Insiders-Fast a Produzione, eseguire le operazioni seguenti:
Disinstallare la
Insiders-Fast channel
versione di Defender per Endpoint in Linux.sudo yum remove mdatp
Disabilitare il canale Insiders-Fast Defender per endpoint in Linux
sudo yum-config-manager --disable packages-microsoft-com-fast-prod
Reinstallare Microsoft Defender per endpoint in Linux usando
Production channel
e caricare il dispositivo nel portale di Microsoft Defender.
Come configurare i criteri per Microsoft Defender per endpoint in Linux
È possibile configurare le impostazioni antivirus ed EDR sugli endpoint. Per altre informazioni, vedere gli articoli seguenti:
- Impostare le preferenze per Microsoft Defender per endpoint in Linux descrive le impostazioni disponibili
- La gestione delle impostazioni di sicurezza descrive come configurare le impostazioni nel portale di Microsoft Defender.
Disinstallare Microsoft Defender per endpoint in Linux
Per la disinstallazione manuale, eseguire il comando seguente per la distribuzione linux.
-
sudo yum remove mdatp
per RHEL e varianti (CentOS e Oracle Linux). -
sudo zypper remove mdatp
per SLES e varianti. -
sudo apt-get purge mdatp
per sistemi Ubuntu e Debian. -
sudo dnf remove mdatp
per Mariner
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.