Usare la distribuzione basata su script del programma di installazione per distribuire Microsoft Defender per endpoint in Linux

Si applica a:

• Microsoft Defender per endpoint per i server
• Microsoft Defender per server Piano 1 o Piano 2

Automatizzare la distribuzione di Microsoft Defender per endpoint in Linux usando uno script del programma di installazione. Questo script identifica la distribuzione e la versione, seleziona il repository corretto, configura il dispositivo per eseguire il pull della versione più recente dell'agente e esegue l'onboarding del dispositivo in Defender per endpoint usando il pacchetto di onboarding. Questo metodo è altamente consigliato per semplificare il processo di distribuzione.

Prima di iniziare, vedere Microsoft Defender per endpoint in Linux per una descrizione dei prerequisiti e dei requisiti di sistema.

1. Scaricare il pacchetto di onboarding dal portale di Microsoft Defender seguendo questa procedura:

   1. Nel portale di Microsoft Defender passare a Impostazioni> EndpointGestione>dispositivi>Onboarding.

   2. Nel primo menu a discesa selezionare Server Linux come sistema operativo.

   3. Nel secondo menu a discesa selezionare Script locale come metodo di distribuzione.

   4. Selezionare Scarica pacchetto di onboarding. Salvare il file come WindowsDefenderATPOnboardingPackage.zip.

      

   5. Da un prompt dei comandi estrarre il contenuto dell'archivio:

      unzip WindowsDefenderATPOnboardingPackage.zip
      

      Archive:  WindowsDefenderATPOnboardingPackage.zip
      inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
      

      Avviso

      Il riconfezionamento del pacchetto di installazione di Defender per endpoint non è uno scenario supportato. Ciò può influire negativamente sull'integrità del prodotto e portare a risultati negativi, tra cui, a titolo esemplificabile, l'attivazione di avvisi di manomissione e l'impossibilità di applicare gli aggiornamenti.

      Importante

      Se si perde questo passaggio, qualsiasi comando eseguito visualizza un messaggio di avviso che indica che il prodotto non è concesso in licenza. Inoltre, il comando di integrità mdatp restituisce il valore false.

2. Scaricare lo script bash del programma di installazione fornito nel repository GitHub pubblico.

3. Concedere autorizzazioni eseguibili allo script del programma di installazione:

   chmod +x mde_installer.sh
   

4. Eseguire lo script del programma di installazione e specificare il pacchetto di onboarding come parametro per installare l'agente ed eseguire l'onboarding del dispositivo nel portale di Defender.

   
   sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --min_req
   
   

   Questo comando distribuisce la versione più recente dell'agente nel canale di produzione, verifica la presenza di requisiti di sistema minimo ed esegue l'onboarding del dispositivo nel portale di Defender.

   Inoltre, è possibile passare più parametri in base ai requisiti per modificare l'installazione. Consultare la Guida per tutte le opzioni disponibili:

   
   ❯ ./mde_installer.sh --help
   mde_installer.sh v0.7.0
   usage: basename ./mde_installer.sh [OPTIONS]
   Options:
   -c|--channel         specify the channel(insiders-fast / insiders-slow / prod) from which you want to install. Default: prod
   -i|--install         install the product
   -r|--remove          uninstall the product
   -u|--upgrade         upgrade the existing product to a newer version if available
   -l|--downgrade       downgrade the existing product to a older version if available
   -o|--onboard         onboard the product with <onboarding_script>
   -f|--offboard        offboard the product with <offboarding_script>
   -p|--passive-mode    set real time protection to passive mode
   -a|--rtp-mode        set real time protection to active mode. passive-mode and rtp-mode are mutually exclusive
   -t|--tag             set a tag by declaring <name> and <value>, e.g: -t GROUP Coders
   -m|--min_req         enforce minimum requirements
   -x|--skip_conflict   skip conflicting application verification
   -w|--clean           remove repo from package manager for a specific channel
   -y|--yes             assume yes for all mid-process prompts (default, deprecated)
   -n|--no              remove assume yes sign
   -s|--verbose         verbose output
   -v|--version         print out script version
   -d|--debug           set debug mode
   --log-path <PATH>    also log output to PATH
   --http-proxy <URL>   set http proxy
   --https-proxy <URL>  set https proxy
   --ftp-proxy <URL>    set ftp proxy
   --mdatp              specific version of mde to be installed. will use the latest if not provided
   -h|--help            display help
   
   

   Espandi la tabella

   Scenario	Comando
   Installare una versione specifica dell'agente	sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --min_req –-mdatp 101.24082.0004
   Eseguire l'aggiornamento alla versione più recente dell'agente	sudo ./mde_installer.sh --upgrade
   Eseguire l'aggiornamento a una versione specifica dell'agente	sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004
   Eseguire il downgrade a una versione specifica dell'agente	sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004
   Disinstallare l'agente	sudo ./mde_installer.sh --remove

   Nota

   L'aggiornamento del sistema operativo a una nuova versione principale dopo l'installazione del prodotto richiede la reinstallazione del prodotto. È necessario disinstallare defender per endpoint esistente in Linux, aggiornare il sistema operativo e quindi riconfigurare Defender per endpoint in Linux.

1. Nel portale di Microsoft Defender aprire l'inventario dei dispositivi. La visualizzazione del dispositivo nel portale potrebbe richiedere da 5 a 20 minuti.

2. Eseguire un test di rilevamento antivirus per verificare che il dispositivo sia stato correttamente caricato e segnalare al servizio. Seguire questa procedura nel nuovo dispositivo di cui è stato eseguito l'onboarding:

   1. Assicurarsi che la protezione in tempo reale sia abilitata (indicata da un risultato dell'esecuzione del true comando seguente):

      mdatp health --field real_time_protection_enabled
      

      Se non è abilitato, eseguire il comando seguente:

      mdatp config real-time-protection --value enabled
      

   2. Aprire una finestra terminale ed eseguire il comando seguente per eseguire un test di rilevamento:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. È possibile eseguire altri test di rilevamento sui file ZIP usando uno dei comandi seguenti:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

   4. I file devono essere messi in quarantena da Defender per endpoint in Linux. Usare il comando seguente per elencare tutte le minacce rilevate:

      mdatp threat list
      

3. Eseguire un test di rilevamento EDR e simulare un rilevamento per verificare che il dispositivo sia stato correttamente caricato e che il servizio venga segnalato. Seguire questa procedura nel nuovo dispositivo di cui è stato eseguito l'onboarding:

   1. Scaricare ed estrarre il file di script in un server Linux di cui è stato eseguito l'onboarding.

   2. Concedere autorizzazioni eseguibili allo script:

      chmod +x mde_linux_edr_diy.sh
      

   3. Eseguire il comando qui riportato:

      ./mde_linux_edr_diy.sh
      

   4. Dopo alcuni minuti, nel Microsoft Defender XDR deve essere generato un rilevamento.

   5. Controllare i dettagli dell'avviso, la sequenza temporale del computer ed eseguire i passaggi di indagine tipici.

Se l'installazione Microsoft Defender per endpoint ha esito negativo a causa di errori di dipendenze mancanti, è possibile scaricare manualmente le dipendenze necessarie.

Esistono le dipendenze del pacchetto esterno seguenti per il mdatp pacchetto:

• Il mdatp RPM pacchetto richiede - glibc >= 2.17,policycoreutils,selinux-policy-targeted, mde-netfilter.
• Per DEBIAN il mdatp pacchetto richiede libc6 >= 2.23,uuid-runtime, mde-netfilter
• Per Mariner il mdatp pacchetto richiede attr,diffutils, libacl, libattr,libselinux-utils , selinux-policy, , policycoreutilsmde-netfilter

• Il mdatp RPM pacchetto richiede audit, semanage.
• Per DEBIAN il mdatp pacchetto richiede auditd.
• Per Mariner il mdatp pacchetto richiede audit.

Il mde-netfilter pacchetto presenta anche le dipendenze del pacchetto seguenti:

• Per DEBIAN, il mde-netfilter pacchetto richiede libnetfilter-queue1, libglib2.0-0.
• Per RPM, il mde-netfilter pacchetto richiede libmnl, libnfnetlink,libnetfilter_queue,glib2.
• Per Mariner, il mde-netfilter pacchetto richiede libnfnetlink, libnetfilter_queue.

Se si verificano problemi di installazione, per la risoluzione automatica dei problemi, seguire questa procedura:

1. Per informazioni su come trovare il log generato automaticamente quando si verifica un errore di installazione, vedere Problemi di installazione del log.

2. Per informazioni sui problemi di installazione comuni, vedere Problemi di installazione.

3. Se l'integrità del dispositivo è false, vedere Problemi di integrità dell'agente di Defender per endpoint.

4. Per i problemi di prestazioni del prodotto, vedere Risolvere i problemi di prestazioni.

5. Per i problemi di proxy e connettività, vedere Risolvere i problemi di connettività cloud.

Per ottenere supporto da Microsoft, aprire un ticket di supporto e fornire i file di log creati usando l'analizzatore client.

Ad esempio, per modificare il canale da Insiders-Fast a Produzione, eseguire le operazioni seguenti:

1. Disinstallare la Insiders-Fast channel versione di Defender per Endpoint in Linux.

   sudo yum remove mdatp
   

2. Disabilitare il repository Insiders-Fast Defender per endpoint in Linux.

   sudo yum repolist
   

   Nota

   L'output deve mostrare packages-microsoft-com-fast-prod.

   sudo yum-config-manager --disable packages-microsoft-com-fast-prod
   

3. Ridistribuire Microsoft Defender per endpoint in Linux usando il canale Di produzione.

Defender per endpoint in Linux può essere distribuito da uno dei canali seguenti (indicato come [canale]):

• insiders-fast
• insiders-slow
• prod

Ognuno di questi canali corrisponde a un repository software Linux. Le istruzioni in questo articolo descrivono la configurazione del dispositivo per l'uso di uno di questi repository.

La scelta del canale determina il tipo e la frequenza degli aggiornamenti offerti al dispositivo. I dispositivi in insider-fast sono i primi a ricevere aggiornamenti e nuove funzionalità, seguiti in seguito da insider-slow e infine da prod.

Per visualizzare in anteprima le nuove funzionalità e fornire feedback anticipato, è consigliabile configurare alcuni dispositivi nell'organizzazione per l'uso di insiders-fast o insiders-slow.

È possibile configurare le impostazioni antivirus ed EDR sugli endpoint. Per altre informazioni, vedere gli articoli seguenti:

• Impostare le preferenze per Microsoft Defender per endpoint in Linux descrive le impostazioni disponibili
• La gestione delle impostazioni di sicurezza descrive come configurare le impostazioni nel portale di Microsoft Defender.