Linux 用 Microsoft Defender for Endpoint を手動で展開する
適用対象:
- Microsoft Defender for Endpoint Server
- サーバーのMicrosoft Defender
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
ヒント
Linux でのMicrosoft Defender for Endpointのデプロイに関する高度なガイダンスをお探しですか? 「Linux 上の Defender for Endpoint の高度なデプロイ ガイド」を参照してください。
この記事では、Linux 用 Microsoft Defender for Endpoint を手動で展開する方法について説明します。 展開を成功させるには、次のすべてのタスクを完了する必要があります。
前提条件とシステム要件
開始する前に、現在のソフトウェア バージョンの前提条件とシステム要件の説明については、「Linux でのMicrosoft Defender for Endpoint」を参照してください。
警告
製品のインストール後にオペレーティング システムを新しいメジャー バージョンにアップグレードするには、製品を再インストールする必要があります。 次の手順に従って、既存の Defender for Endpoint on Linux を アンインストール し、オペレーティング システムをアップグレードしてから、Defender for Endpoint on Linux を再構成する必要があります。
Linux ソフトウェア リポジトリを構成する
Defender for Endpoint on Linux は、次のいずれかのチャネル ( [channel]) からデプロイできます。 insiders-fast、 insiders-slow、または prod。 これらの各チャネルは、Linux ソフトウェア リポジトリに対応しています。 この記事の手順では、これらのリポジトリのいずれかを使用するようにデバイスを構成する方法について説明します。
チャネルの選択により、デバイスに提供される更新プログラムの種類と頻度が決まります。
insiders-fast のデバイスは、更新プログラムと新機能を受け取る最初のデバイスであり、その後、インサイダーが遅く、最後にprodします。
新機能をプレビューし、早期フィードバックを提供するには、社内の一部のデバイスを 、Insider-fast または insider-slow を使用するように構成することをお勧めします。
警告
初期インストール後にチャネルを切り替えるには、製品を再インストールする必要があります。 製品チャネルを切り替えるには:既存のパッケージをアンインストールし、新しいチャネルを使用するようにデバイスを再構成し、このドキュメントの手順に従って新しい場所からパッケージをインストールします。
RHEL とバリアント (CentOS、Fedora、Oracle Linux、Amazon Linux 2、ロッキー、アルマ)
まだインストールされていない場合は、
yum-utilsをインストールします。sudo yum install yum-utilsディストリビューションとバージョンに適したパッケージを見つけます。 次の表を使用して、パッケージを見つけるのに役立ててください。
ディストリビューションとバージョン パッケージ アルマ8.4以降 https://packages.microsoft.com/config/alma/8/prod.repo アルマ9.2以降 https://packages.microsoft.com/config/alma/9/prod.repo RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo ロッキー 8.7 以上 https://packages.microsoft.com/config/rocky/8/prod.repo ロッキー 9.2 以上 https://packages.microsoft.com/config/rocky/9/prod.repo 注:
ディストリビューションとバージョンについては、
https://packages.microsoft.com/config/rhel/の下の最も近いエントリ (メジャー、マイナー) を特定します。次のコマンドで、[バージョン] と [チャネル] を特定した情報に置き換えます。
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repoヒント
hostnamectl コマンドを使用して、リリース [バージョン] を含むシステム関連情報を識別します。
たとえば、CentOS 7 を実行していて、
prodチャネルから Defender for Endpoint on Linux をデプロイする場合は、次のようになります。sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repoまたは、選択したデバイスの新機能を検討したい場合は、Linux 用 Microsoft Defender for Endpoint を insiders-fast チャネルに展開することをお勧めします。
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repoMicrosoft GPG 公開キーをインストールします。
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
SLES とバリエーション
注:
ディストリビューションとバージョンについては、 https://packages.microsoft.com/config/sles/の下の最も近いエントリ (メジャー、マイナー) を特定します。
次のコマンドで、[ディストリビューション] と [バージョン] を特定した情報に置き換えます。
sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repoヒント
SPident コマンドを使用して、リリース [バージョン] を含むシステム関連情報を特定します。
たとえば、SLES 12 を実行していて、
prodチャネルから Linux にMicrosoft Defender for Endpointをデプロイする場合は、次のようになります。sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repoMicrosoft GPG 公開キーをインストールします。
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
Ubuntu および Debian システム
まだインストールされていない場合は、
curlをインストールします。sudo apt-get install curlまだインストールされていない場合は、
libplist-utilsをインストールします。sudo apt-get install libplist-utils注:
ディストリビューションとバージョンについては、
https://packages.microsoft.com/config/[distro]/の下の最も近いエントリ (メジャー、マイナー) を特定します。次のコマンドで、[ distro] と [version] を 特定した情報に置き換えます。
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].listヒント
hostnamectl コマンドを使用して、リリース [バージョン] を含むシステム関連情報を識別します。
たとえば、Ubuntu 18.04 を実行していて、
prodチャネルから Linux にMicrosoft Defender for Endpointをデプロイする場合は、次のようになります。curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.listリポジトリ構成をインストールします。
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].listたとえば、チャネル
prod選択した場合は、次のようになります。sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.listまだインストールされていない場合は、
gpgパッケージをインストールします。sudo apt-get install gpggpgが使用できない場合は、gnupgをインストールします。sudo apt-get install gnupgMicrosoft GPG 公開キーをインストールします。
Debian 11 以前の場合は、次のコマンドを実行します。
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/nullDebian 12 以降の場合は、次のコマンドを実行します。
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
まだインストールされていない場合は、HTTPS ドライバーをインストールします。
sudo apt-get install apt-transport-httpsリポジトリ メタデータを更新します。
sudo apt-get update
船員
まだインストールされていない場合は、
dnf-plugins-coreをインストールします。sudo dnf install dnf-plugins-core必要なリポジトリを構成して有効にします。
注:
Mariner では、Insider Fast Channel は使用できません。
prodチャネルから Defender for Endpoint on Linux を展開する場合。 次のコマンドを使用しますsudo dnf install mariner-repos-extras sudo dnf config-manager --enable mariner-official-extrasまたは、選択したデバイスの新機能を調べる場合は、Microsoft Defender for Endpointを Linux 上で insiders-slow チャネルにデプロイすることもできます。 次のコマンドを使用します。
sudo dnf install mariner-repos-extras-preview sudo dnf config-manager --enable mariner-official-extras-preview
アプリケーションのインストール
次のセクションのコマンドを使用して、Linux ディストリビューションに Defender for Endpoint をインストールします。
RHEL とバリアント (CentOS、Fedora、Oracle Linux、Amazon Linux 2、ロッキー、アルマ)
sudo yum install mdatp
注:
デバイスに複数の Microsoft リポジトリが構成されている場合は、パッケージのインストール元のリポジトリを指定できます。 次の例は、このデバイスで insiders-fast リポジトリ チャネルも構成されている場合に、production チャネルからパッケージをインストールする方法を示しています。 この状況は、デバイスで複数の Microsoft 製品を使用している場合に発生する可能性があります。 サーバーのディストリビューションとバージョンによっては、リポジトリ エイリアスが次の例のものと異なる場合があります。
# list all repositories
yum repolist
...
packages-microsoft-com-prod packages-microsoft-com-prod 316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins 2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
SLES とバリエーション
sudo zypper install mdatp
注:
デバイスに複数の Microsoft リポジトリが構成されている場合は、パッケージのインストール元のリポジトリを指定できます。 次の例は、このデバイスで insiders-fast リポジトリ チャネルも構成されている場合に、production チャネルからパッケージをインストールする方法を示しています。 この状況は、デバイスで複数の Microsoft 製品を使用している場合に発生する可能性があります。
zypper repos
...
# | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp
Ubuntu および Debian システム
sudo apt-get install mdatp
注:
デバイスに複数の Microsoft リポジトリが構成されている場合は、パッケージのインストール元のリポジトリを指定できます。 次の例は、このデバイスで insiders-fast リポジトリ チャネルも構成されている場合に、production チャネルからパッケージをインストールする方法を示しています。 この状況は、デバイスで複数の Microsoft 製品を使用している場合に発生する可能性があります。
cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp
注:
変更できないモードで auditD を実行している場合を除き、Linux にMicrosoft Defender for Endpointをインストールまたは更新した後に再起動する必要はありません。
船員
sudo dnf install mdatp
注:
デバイスに複数の Microsoft リポジトリが構成されている場合は、パッケージのインストール元のリポジトリを指定できます。 次の例は、このデバイスで insiders-slow リポジトリ チャネルも構成されている場合に、production チャネルからパッケージをインストールする方法を示しています。 この状況は、デバイスで複数の Microsoft 製品を使用している場合に発生する可能性があります。
sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras
オンボーディング パッケージをダウンロードする
Microsoft Defender ポータルからオンボード パッケージをダウンロードします。
警告
Defender for Endpoint インストール パッケージの再パッケージ化は、サポートされているシナリオではありません。 これにより、製品の整合性に悪影響を及ぼし、改ざんアラートや更新プログラムの適用に失敗したトリガーなど、悪影響を及ぼす可能性があります。
重要
この手順を実行しないと、実行されたすべてのコマンドに、製品がライセンスされていないことを示す警告メッセージが表示されます。 また、 mdatp health コマンドは false の値を返します。
Microsoft Defender ポータルで、設定>Endpoints>Device Management>Onboarding に移動します。
最初のドロップダウン メニューで、オペレーティング システムとして [Linux サーバー] を選択します。 2 番目のドロップダウン メニューで、展開方法として [ローカル スクリプト] を選択します。
[オンボーディング パッケージをダウンロードする] を選択します。 ファイルを
WindowsDefenderATPOnboardingPackage.zipとして保存します。
コマンド プロンプトから、ファイルがあることを確認し、アーカイブの内容を抽出します。
ls -ltotal 8 -rw-r--r-- 1 test staff 5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zipunzip WindowsDefenderATPOnboardingPackage.zipArchive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
クライアントの構成
ターゲット デバイスに
MicrosoftDefenderATPOnboardingLinuxServer.pyをコピーします。注:
最初に、クライアント デバイスはorganizationに関連付けられていないので、orgId 属性は空白です。
mdatp health --field org_id次のいずれかのシナリオを実行します。
注:
このコマンドを実行するには、ディストリビューションとバージョンに応じて、デバイスに
pythonまたはpython3がインストールされている必要があります。 必要に応じて、「 Linux に Python をインストールする手順」を参照してください。以前にオフボードしていたデバイスをオンボードするには、/etc/opt/microsoft/mdatp にあるmdatp_offboard.json ファイルを削除する必要があります。
RHEL 8.x または Ubuntu 20.04 以降を実行している場合は、
python3を使用する必要があります。 次のコマンドを実行します。sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.pyディストリビューションとバージョンの残りの部分では、
pythonを使用する必要があります。 次のコマンドを実行します。sudo python MicrosoftDefenderATPOnboardingLinuxServer.pyデバイスが組織に関連付けられていることを確認し、有効な組織 ID を報告します。
mdatp health --field org_id次のコマンドを実行して、製品の正常性状態を確認します。
trueの戻り値は、製品が期待どおりに機能していることを示します。mdatp health --field healthy重要
製品が初めて起動すると、最新のマルウェア対策定義がダウンロードされます。 このプロセスは、ネットワーク接続によっては数分かかる場合があります。 この間、前述のコマンドは
falseの値を返します。 次のコマンドを使用して、定義の更新の状態を確認できます。mdatp health --field definitions_statusまた、最初のインストールが完了した後にプロキシを構成する必要がある場合もあります。 「静的プロキシ検出のための Linux 用 Defender for Endpoint の構成: インストール後の構成」を参照してください。
ウイルス対策検出テストを実行して、デバイスが適切にオンボードされ、サービスに報告されていることを確認します。 新しくオンボードされたデバイスで次の手順を実行します。
リアルタイム保護が有効になっていることを確認します (
trueが次のコマンドを実行した結果として示されます)。mdatp health --field real_time_protection_enabled有効になっていない場合は、次のコマンドを実行します。
mdatp config real-time-protection --value enabled検出テストを実行するには、[ターミナル] ウィンドウを開きます。 次のコマンドを実行します。
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt次のいずれかのコマンドを使用して、zip ファイルでより多くの検出テストを実行できます。
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zipファイルは、Linux 上の Defender for Endpoint によって検疫する必要があります。
次のコマンドを使用して、検出されたすべての脅威を一覧表示します。
mdatp threat list
EDR 検出テストを実行し、検出をシミュレートして、デバイスが適切にオンボードされ、サービスに報告されていることを確認します。 新しくオンボードされたデバイスで次の手順を実行します。
オンボードされた Linux サーバーがMicrosoft Defender XDRに表示されることを確認します。 これがマシンの最初のオンボーディングである場合、表示されるまで最大 20 分かかります。
オンボードされた Linux サーバーに スクリプト ファイル をダウンロードして抽出し、次のコマンドを実行します。
./mde_linux_edr_diy.sh数分後、Microsoft Defender XDRで検出を発生させる必要があります。
アラートの詳細、マシンのタイムラインを確認し、一般的な調査手順を実行します。
パッケージ外部パッケージの依存関係をMicrosoft Defender for Endpointする
mdatp パッケージには、次の外部パッケージの依存関係があります。
- mdatp RPM パッケージには、
glibc >= 2.17、policycoreutils、selinux-policy-targeted、mde-netfilter - DEBIAN の場合、mdatp パッケージには、
libc6 >= 2.23、uuid-runtime、mde-netfilter - Mariner の場合、mdatp パッケージには、
attr、diffutils、libacl、libattr、libselinux-utils、selinux-policy、policycoreutils、mde-netfilter
注:
バージョン 101.24082.0004以降、Defender for Endpoint on Linux では、 Auditd イベント プロバイダーはサポートされなくなりました。 私たちは、より効率的なeBPF技術に完全に移行しています。
eBPF がマシンでサポートされていない場合、または Auditd に残す特定の要件があり、マシンで Defender for Endpoint on Linux バージョン 101.24072.0001 以下を使用している場合、監査パッケージに対する次の依存関係が mdatp に存在します。
- mdatp RPM パッケージには、
audit、semanageが必要です。 - DEBIAN の場合、mdatp パッケージには
auditdが必要です。 - Mariner の場合、mdatp パッケージには
auditが必要です。
mde-netfilter パッケージには、次のパッケージの依存関係もあります。
- DEBIAN の場合、
mde-netfilterパッケージにはlibnetfilter-queue1が必要です。libglib2.0-0 - RPM の場合、
mde-netfilterパッケージには、libmnl、libnfnetlink、libnetfilter_queue、glib2 - Mariner の場合、
mde-netfilterパッケージにはlibnfnetlinkが必要です。libnetfilter_queue
依存関係エラーが見つからないためにMicrosoft Defender for Endpointのインストールが失敗した場合は、前提条件の依存関係を手動でダウンロードできます。
インストールに関する問題のトラブルシューティング
インストール エラーが発生したときに生成されるログを検索する方法の詳細については、「ログのインストールの 問題」を参照してください。
一般的なインストールの問題については、「 インストールの問題」を参照してください。
デバイスの正常性が false の場合は、「 エージェントの正常性の問題を調査する」を参照してください。
製品のパフォーマンスの問題については、「Linux 上のMicrosoft Defender for Endpointのパフォーマンスに関する問題のトラブルシューティング」を参照してください。
プロキシと接続の問題については、「Linux 上のMicrosoft Defender for Endpointのクラウド接続に関する問題のトラブルシューティング」を参照してください。
Microsoft からサポートを受けるために、サポート チケットを開き、Microsoft Defender for Endpoint クライアント アナライザー ツールを使用して作成されたログ ファイルを指定します。
チャネルを切り替える方法
たとえば、チャネルを Insiders-Fast から運用環境に変更するには、次の操作を行います。
Insiders-Fast channelバージョンの Defender for Endpoint on Linux をアンインストールします。sudo yum remove mdatpLinux Insiders-Fast チャネルで Defender for Endpoint を無効にする
sudo yum-config-manager --disable packages-microsoft-com-fast-prodProduction channelを使用して Linux にMicrosoft Defender for Endpointを再インストールし、Microsoft Defender ポータルでデバイスをオンボードします。
Linux でMicrosoft Defender for Endpointのポリシーを構成する方法
エンドポイントでウイルス対策と EDR の設定を構成できます。 詳細については、次の記事を参照してください。
- Linux でMicrosoft Defender for Endpointの基本設定を設定すると、使用可能な設定が説明されます
- セキュリティ設定管理では、Microsoft Defender ポータルで設定を構成する方法について説明します。
Linux でMicrosoft Defender for Endpointをアンインストールする
手動アンインストールの場合は、Linux ディストリビューションに対して次のコマンドを実行します。
-
sudo yum remove mdatpRHEL とバリアント (CentOS および Oracle Linux) の場合。 -
sudo zypper remove mdatpSLES とバリアントの場合。 -
sudo apt-get purge mdatpUbuntu および Debian システムの場合。 -
sudo dnf remove mdatpマリナー用
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。