Condividi tramite

Distribuire manualmente Microsoft Defender per endpoint in Linux

  • Articolo

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Consiglio

Alla ricerca di indicazioni avanzate sulla distribuzione di Microsoft Defender per endpoint in Linux? Vedere Guida alla distribuzione avanzata in Defender per endpoint in Linux.

Questo articolo descrive come distribuire manualmente Microsoft Defender per endpoint in Linux. Una distribuzione riuscita richiede il completamento di tutte le attività seguenti:

Prerequisiti e requisiti di sistema

Prima di iniziare, vedere Microsoft Defender per endpoint in Linux per una descrizione dei prerequisiti e dei requisiti di sistema per la versione software corrente.

Avviso

L'aggiornamento del sistema operativo a una nuova versione principale dopo l'installazione del prodotto richiede la reinstallazione del prodotto. È necessario disinstallare defender per endpoint esistente in Linux, aggiornare il sistema operativo e quindi riconfigurare Defender per endpoint in Linux seguendo la procedura seguente.

Configurare il repository software Linux

Defender per endpoint in Linux può essere distribuito da uno dei canali seguenti (indicato come [canale]): insiders-fast, insiders-slow o prod. Ognuno di questi canali corrisponde a un repository software Linux. Le istruzioni in questo articolo descrivono la configurazione del dispositivo per l'uso di uno di questi repository.

La scelta del canale determina il tipo e la frequenza degli aggiornamenti offerti al dispositivo. I dispositivi in insider-fast sono i primi a ricevere aggiornamenti e nuove funzionalità, seguiti in seguito da insider-slow e infine da prod.

Per visualizzare in anteprima le nuove funzionalità e fornire feedback anticipato, è consigliabile configurare alcuni dispositivi nell'organizzazione per usare i partecipanti ai lavori in modo rapido o lento.

Avviso

Il cambio di canale dopo l'installazione iniziale richiede la reinstallazione del prodotto. Per cambiare il canale del prodotto: disinstallare il pacchetto esistente, riconfigurare il dispositivo in modo che usi il nuovo canale e seguire la procedura descritta in questo documento per installare il pacchetto dal nuovo percorso.

RHEL e varianti (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky e Alma)

  1. Installare yum-utils se non è ancora installato:

    sudo yum install yum-utils

  2. Individuare il pacchetto corretto per la distribuzione e la versione. Usare la tabella seguente per facilitare l'individuazione del pacchetto:

    Versione & Distro Pacchetto
    Alma 8.4 e versioni successive https://packages.microsoft.com/config/alma/8/prod.repo
    Alma 9.2 e versioni successive https://packages.microsoft.com/config/alma/9/prod.repo
    RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo
    RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo
    RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo
    Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
    Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo
    Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo
    Rocky 8.7 e versioni successive https://packages.microsoft.com/config/rocky/8/prod.repo
    Rocky 9.2 e versioni successive https://packages.microsoft.com/config/rocky/9/prod.repo

    Nota

    Per la distribuzione e la versione, identificare la voce più vicina (per principale, quindi secondaria) in https://packages.microsoft.com/config/rhel/.

  3. Nei comandi seguenti sostituire [version] e [channel] con le informazioni identificate:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo

    Consiglio

    Usare il comando hostnamectl per identificare le informazioni correlate al sistema, inclusa la versione [versione].

    Ad esempio, se si esegue CentOS 7 e si vuole distribuire Defender per endpoint in Linux dal prod canale:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo

    In alternativa, se si vogliono esplorare nuove funzionalità nei dispositivi selezionati, è possibile distribuire Microsoft Defender per endpoint in Linux nel canale insider-fast:Or if you want to explore new features on selected devices, you might want to deploy Microsoft Defender per endpoint on Linux to insiders-fast channel:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo

  4. Installare la chiave pubblica di Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

SLES e varianti

Nota

Per la distribuzione e la versione, identificare la voce più vicina (per principale, quindi secondaria) in https://packages.microsoft.com/config/sles/.

  1. Nei comandi seguenti sostituire [distro] e [version] con le informazioni identificate:

    sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

    Consiglio

    Usare il comando SPident per identificare le informazioni correlate al sistema, inclusa la versione [versione].

    Ad esempio, se si esegue SLES 12 e si vuole distribuire Microsoft Defender per endpoint in Linux dal prod canale:

    sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  2. Installare la chiave pubblica di Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

Sistemi Ubuntu e Debian

  1. Installare curl se non è ancora installato:

    sudo apt-get install curl

  2. Installare libplist-utils se non è ancora installato:

    sudo apt-get install libplist-utils

    Nota

    Per la distribuzione e la versione, identificare la voce più vicina (per principale, quindi secondaria) in https://packages.microsoft.com/config/[distro]/.

  3. Nel comando seguente sostituire [distro] e [version] con le informazioni identificate:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    Consiglio

    Usare il comando hostnamectl per identificare le informazioni correlate al sistema, inclusa la versione [versione].

    Ad esempio, se si esegue Ubuntu 18.04 e si vuole distribuire Microsoft Defender per endpoint in Linux dal prod canale:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  4. Installare la configurazione del repository:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    Ad esempio, se si sceglie il prod canale:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  5. Installare il gpg pacchetto se non è già installato:

    sudo apt-get install gpg

    Se gpg non è disponibile, installare gnupg.

    sudo apt-get install gnupg

  6. Installare la chiave pubblica di Microsoft GPG:

    • Per Debian 11 e versioni precedenti, eseguire il comando seguente.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

    • Per Debian 12 e versioni successive, eseguire il comando seguente.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  7. Installare il driver HTTPS se non è già installato:

    sudo apt-get install apt-transport-https

  8. Aggiornare i metadati del repository:

    sudo apt-get update

Marinaio

  1. Installare dnf-plugins-core se non è ancora installato:

    sudo dnf install dnf-plugins-core

  2. Configurare e abilitare i repository necessari.

    Nota

    In Mariner, Insider Fast Channel non è disponibile.

    Se si vuole distribuire Defender per endpoint in Linux dal prod canale. Usare i comandi seguenti

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    In alternativa, se si vogliono esplorare nuove funzionalità in dispositivi selezionati, è possibile distribuire Microsoft Defender per endpoint in Linux in un canale lento per insider. Usare i comandi seguenti:

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

Installazione dell'applicazione

Usare i comandi nelle sezioni seguenti per installare Defender per endpoint nella distribuzione linux.

RHEL e varianti (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky e Alma)

sudo yum install mdatp

Nota

Se nel dispositivo sono configurati più repository Microsoft, è possibile specificare il repository da cui installare il pacchetto. L'esempio seguente illustra come installare il pacchetto dal production canale se nel dispositivo è configurato anche il canale del insiders-fast repository. Questa situazione può verificarsi se si usano più prodotti Microsoft nel dispositivo. A seconda della distribuzione e della versione del server, l'alias del repository potrebbe essere diverso da quello nell'esempio seguente.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES e varianti

sudo zypper install mdatp

Nota

Se nel dispositivo sono configurati più repository Microsoft, è possibile specificare il repository da cui installare il pacchetto. L'esempio seguente illustra come installare il pacchetto dal production canale se nel dispositivo è configurato anche il canale del insiders-fast repository. Questa situazione può verificarsi se si usano più prodotti Microsoft nel dispositivo.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Sistemi Ubuntu e Debian

sudo apt-get install mdatp

Nota

Se nel dispositivo sono configurati più repository Microsoft, è possibile specificare il repository da cui installare il pacchetto. L'esempio seguente illustra come installare il pacchetto dal production canale se nel dispositivo è configurato anche il canale del insiders-fast repository. Questa situazione può verificarsi se si usano più prodotti Microsoft nel dispositivo.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Nota

I riavvii NON sono necessari dopo l'installazione o l'aggiornamento Microsoft Defender per endpoint in Linux, tranne quando si esegue auditD in modalità non modificabile.

Marinaio

sudo dnf install mdatp

Nota

Se nel dispositivo sono configurati più repository Microsoft, è possibile specificare il repository da cui installare il pacchetto. L'esempio seguente illustra come installare il pacchetto dal production canale se nel dispositivo è configurato anche il canale del insiders-slow repository. Questa situazione può verificarsi se si usano più prodotti Microsoft nel dispositivo.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Scaricare il pacchetto di onboarding

Scaricare il pacchetto di onboarding dal portale di Microsoft Defender.

Avviso

Il riconfezionamento del pacchetto di installazione di Defender per endpoint non è uno scenario supportato. Ciò può influire negativamente sull'integrità del prodotto e portare a risultati negativi, tra cui, a titolo esemplificabile, l'attivazione di avvisi di manomissione e l'impossibilità di applicare gli aggiornamenti.

Importante

Se si perde questo passaggio, qualsiasi comando eseguito visualizza un messaggio di avviso che indica che il prodotto non è concesso in licenza. Inoltre, il mdatp health comando restituisce un valore di false.

  1. Nel portale di Microsoft Defender passare a Impostazioni> EndpointGestione>dispositivi>Onboarding.

  2. Nel primo menu a discesa selezionare Server Linux come sistema operativo. Nel secondo menu a discesa selezionare Script locale come metodo di distribuzione.

  3. Selezionare Scarica pacchetto di onboarding. Salvare il file come WindowsDefenderATPOnboardingPackage.zip.

    Download di un pacchetto di onboarding nel portale di Microsoft Defender

  4. Da un prompt dei comandi verificare di avere il file ed estrarre il contenuto dell'archivio:

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

Configurazione client

  1. Copia MicrosoftDefenderATPOnboardingLinuxServer.py nel dispositivo di destinazione.

    Nota

    Inizialmente il dispositivo client non è associato a un'organizzazione e l'attributo orgId è vuoto.

    mdatp health --field org_id

  2. Eseguire uno degli scenari seguenti.

    Nota

    Per eseguire questo comando, è necessario avere python o python3 installato nel dispositivo a seconda della distribuzione e della versione. Se necessario, vedere Istruzioni dettagliate per l'installazione di Python in Linux.

    Per eseguire l'onboarding di un dispositivo precedentemente offboard, è necessario rimuovere il file mdatp_offboard.json disponibile in /etc/opt/microsoft/mdatp.

    Se si esegue RHEL 8.x o Ubuntu 20.04 o versione successiva, è necessario usare python3. Eseguire il comando qui riportato:

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    Per il resto delle distribuzioni e delle versioni, è necessario usare python. Eseguire il comando qui riportato:

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. Verificare che il dispositivo sia ora associato all'organizzazione e segnala un identificatore dell'organizzazione valido:

    mdatp health --field org_id

  4. Controllare lo stato di integrità del prodotto eseguendo il comando seguente. Un valore restituito di true indica che il prodotto funziona come previsto:

    mdatp health --field healthy

    Importante

    Quando il prodotto viene avviato per la prima volta, scarica le definizioni antimalware più recenti. Questo processo potrebbe richiedere alcuni minuti a seconda della connettività di rete. Durante questo periodo di tempo, il comando indicato in precedenza restituisce un valore di false. È possibile controllare lo stato dell'aggiornamento delle definizioni usando il comando seguente:

    mdatp health --field definitions_status

    Potrebbe anche essere necessario configurare un proxy dopo aver completato l'installazione iniziale. Vedere Configurare Defender per endpoint in Linux per l'individuazione del proxy statico: configurazione post-installazione.

  5. Eseguire un test di rilevamento antivirus per verificare che il dispositivo sia stato correttamente caricato e segnalare al servizio. Seguire questa procedura nel nuovo dispositivo di cui è stato eseguito l'onboarding:

    1. Assicurarsi che la protezione in tempo reale sia abilitata (indicata da un risultato dell'esecuzione del true comando seguente):

      mdatp health --field real_time_protection_enabled

      Se non è abilitato, eseguire il comando seguente:

      mdatp config real-time-protection --value enabled

    2. Per eseguire un test di rilevamento, aprire una finestra Terminale. quindi eseguire il comando seguente:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. È possibile eseguire altri test di rilevamento sui file ZIP usando uno dei comandi seguenti:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

      I file devono essere messi in quarantena da Defender per endpoint in Linux.

    4. Usare il comando seguente per elencare tutte le minacce rilevate:

      mdatp threat list

  6. Eseguire un test di rilevamento EDR e simulare un rilevamento per verificare che il dispositivo sia stato correttamente caricato e che il servizio venga segnalato. Seguire questa procedura nel nuovo dispositivo di cui è stato eseguito l'onboarding:

    1. Verificare che il server Linux di cui è stato effettuato l'onboarding sia visualizzato in Microsoft Defender XDR. Se si tratta del primo onboarding del computer, possono essere necessari fino a 20 minuti prima che venga visualizzato.

    2. Scaricare ed estrarre il file di script in un server Linux di cui è stato eseguito l'onboarding e quindi eseguire il comando seguente: ./mde_linux_edr_diy.sh

      Dopo alcuni minuti, un rilevamento deve essere generato in Microsoft Defender XDR.

    3. Esaminare i dettagli dell'avviso, la sequenza temporale del computer ed eseguire i passaggi di indagine tipici.

Microsoft Defender per endpoint dipendenze del pacchetto esterno del pacchetto

Esistono le dipendenze del pacchetto esterno seguenti per il mdatp pacchetto:

  • Il pacchetto RPM mdatp richiede glibc >= 2.17, policycoreutils, , selinux-policy-targetedmde-netfilter
  • Per DEBIAN il pacchetto mdatp richiede libc6 >= 2.23, , uuid-runtimemde-netfilter
  • Per Mariner il pacchetto mdatp richiede attr, , libacldiffutils, libattr, libselinux-utils, selinux-policy, , , policycoreutilsmde-netfilter

Nota

A partire dalla versione 101.24082.0004, Defender per endpoint in Linux non supporta più il Auditd provider di eventi. Stiamo passando completamente alla tecnologia eBPF più efficiente. Se eBPF non è supportato nei computer o se sono presenti requisiti specifici da mantenere in Auditd e i computer usano Defender per endpoint nella versione 101.24072.0001 linux o inferiore, esistono le altre dipendenze seguenti nel pacchetto controllato per mdatp:

  • Il pacchetto RPM mdatp richiede audit, semanage.
  • Per DEBIAN, il pacchetto mdatp richiede auditd.
  • Per Mariner, il pacchetto mdatp richiede audit.

Il mde-netfilter pacchetto presenta anche le dipendenze del pacchetto seguenti:

  • Per DEBIAN, il mde-netfilter pacchetto richiede libnetfilter-queue1, libglib2.0-0
  • Per RPM, il mde-netfilter pacchetto richiede libmnl, libnfnetlink, libnetfilter_queue, glib2
  • Per Mariner, il mde-netfilter pacchetto richiede libnfnetlink, libnetfilter_queue

Se l'installazione Microsoft Defender per endpoint ha esito negativo a causa di errori di dipendenze mancanti, è possibile scaricare manualmente le dipendenze dei prerequisiti.

Risolvere i problemi di installazione

Come passare da un canale all'altro

Ad esempio, per modificare il canale da Insiders-Fast a Produzione, eseguire le operazioni seguenti:

  1. Disinstallare la Insiders-Fast channel versione di Defender per Endpoint in Linux.

    sudo yum remove mdatp

  2. Disabilitare il canale Insiders-Fast Defender per endpoint in Linux

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Reinstallare Microsoft Defender per endpoint in Linux usando Production channele caricare il dispositivo nel portale di Microsoft Defender.

Come configurare i criteri per Microsoft Defender per endpoint in Linux

È possibile configurare le impostazioni antivirus ed EDR sugli endpoint. Per altre informazioni, vedere gli articoli seguenti:

Disinstallare Microsoft Defender per endpoint in Linux

Per la disinstallazione manuale, eseguire il comando seguente per la distribuzione linux.

  • sudo yum remove mdatp per RHEL e varianti (CentOS e Oracle Linux).
  • sudo zypper remove mdatp per SLES e varianti.
  • sudo apt-get purge mdatp per sistemi Ubuntu e Debian.
  • sudo dnf remove mdatp per Mariner

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.