Linux 用 Microsoft Defender for Endpoint を手動で展開する

適用対象:

• サーバーのMicrosoft Defender for Endpoint
• サーバープラン 1 またはプラン 2 のMicrosoft Defender

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

この記事では、Linux 用 Microsoft Defender for Endpoint を手動で展開する方法について説明します。 展開を成功させるには、次のすべてのタスクを完了する必要があります。

• 前提条件とシステム要件
• Linux ソフトウェア リポジトリを構成する
  • RHEL とバリアント (CentOS、Fedora、Oracle Linux、Amazon Linux 2、ロッキー、アルマ)
  • SLES とバリエーション
  • Ubuntu および Debian システム
  • 船員
• アプリケーションのインストール
  • RHEL とバリアント (CentOS、Fedora、Oracle Linux、Amazon Linux 2、ロッキー、アルマ)
  • SLES とバリエーション
  • Ubuntu および Debian システム
  • 船員
• オンボーディング パッケージをダウンロードする
• クライアント構成

前提条件とシステム要件

開始する前に、現在のソフトウェア バージョンの前提条件とシステム要件の説明については、「Linux でのMicrosoft Defender for Endpoint」を参照してください。

Linux ソフトウェア リポジトリを構成する

Defender for Endpoint on Linux は、次のいずれかのチャネル ( [channel]) からデプロイできます。 insiders-fast、 insiders-slow、または prod。 これらの各チャネルは、Linux ソフトウェア リポジトリに対応しています。 この記事の手順では、これらのリポジトリのいずれかを使用するようにデバイスを構成する方法について説明します。

チャネルの選択により、デバイスに提供される更新プログラムの種類と頻度が決まります。 insiders-fast のデバイスは、更新プログラムと新機能を受け取る最初のデバイスであり、その後、インサイダーが遅く、最後にprodします。

新機能をプレビューし、早期フィードバックを提供するには、社内の一部のデバイスを 、Insider-fast または insider-slow を使用するように構成することをお勧めします。

RHEL とバリアント (CentOS、Fedora、Oracle Linux、Amazon Linux 2、ロッキー、アルマ)

1. まだインストールされていない場合は、yum-utils をインストールします。

   sudo yum install yum-utils
   

2. ディストリビューションとバージョンに適したパッケージを見つけます。 次の表を使用して、パッケージを見つけるのに役立ててください。

   ディストリビューションとバージョン	パッケージ
   アルマ8.4以降	https://packages.microsoft.com/config/alma/8/prod.repo
   アルマ9.2以降	https://packages.microsoft.com/config/alma/9/prod.repo
   RHEL/Centos/Oracle 9.0-9.8	https://packages.microsoft.com/config/rhel/9/prod.repo
   RHEL/Centos/Oracle 8.0-8.10	https://packages.microsoft.com/config/rhel/8/prod.repo
   RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2	https://packages.microsoft.com/config/rhel/7.2/prod.repo
   Amazon Linux 2023	https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
   Fedora 33	https://packages.microsoft.com/config/fedora/33/prod.repo
   Fedora 34	https://packages.microsoft.com/config/fedora/34/prod.repo
   ロッキー 8.7 以上	https://packages.microsoft.com/config/rocky/8/prod.repo
   ロッキー 9.2 以上	https://packages.microsoft.com/config/rocky/9/prod.repo

   注:

   ディストリビューションとバージョンについては、 https://packages.microsoft.com/config/rhel/の下の最も近いエントリ (メジャー、マイナー) を特定します。

3. 次のコマンドで、[バージョン] と [チャネル] を特定した情報に置き換えます。

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
   

   ヒント

   hostnamectl コマンドを使用して、リリース [バージョン] を含むシステム関連情報を識別します。

   たとえば、CentOS 7 を実行していて、 prod チャネルから Defender for Endpoint on Linux をデプロイする場合は、次のようになります。

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
   

   または、選択したデバイスの新機能を検討したい場合は、Linux 用 Microsoft Defender for Endpoint を insiders-fast チャネルに展開することをお勧めします。

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
   

4. Microsoft GPG 公開キーをインストールします。

   sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
   

SLES とバリエーション

1. 次のコマンドで、[ディストリビューション] と [バージョン] を特定した情報に置き換えます。

   sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
   

   ヒント

   SPident コマンドを使用して、リリース [バージョン] を含むシステム関連情報を特定します。

   たとえば、SLES 12 を実行していて、prod チャネルから Linux にMicrosoft Defender for Endpointをデプロイする場合は、次のようになります。

   sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
   

2. Microsoft GPG 公開キーをインストールします。

   sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
   

Ubuntu および Debian システム

1. まだインストールされていない場合は、curl をインストールします。

   sudo apt-get install curl
   

2. まだインストールされていない場合は、libplist-utils をインストールします。

   sudo apt-get install libplist-utils
   

   注:

   ディストリビューションとバージョンについては、 https://packages.microsoft.com/config/[distro]/の下の最も近いエントリ (メジャー、マイナー) を特定します。

3. 次のコマンドで、[ distro] と [version] を 特定した情報に置き換えます。

   curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
   

   ヒント

   hostnamectl コマンドを使用して、リリース [バージョン] を含むシステム関連情報を識別します。

   たとえば、Ubuntu 18.04 を実行していて、prod チャネルから Linux にMicrosoft Defender for Endpointをデプロイする場合は、次のようになります。

   curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
   

4. リポジトリ構成をインストールします。

   sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
   

   たとえば、チャネル prod 選択した場合は、次のようになります。

   sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
   

5. まだインストールされていない場合は、gpg パッケージをインストールします。

   sudo apt-get install gpg
   

   gpgが使用できない場合は、gnupgをインストールします。

   sudo apt-get install gnupg
   

6. Microsoft GPG 公開キーをインストールします。

   • Debian 11 以前の場合は、次のコマンドを実行します。

     curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
     

   • Debian 12 以降の場合は、次のコマンドを実行します。

     curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
     

7. まだインストールされていない場合は、HTTPS ドライバーをインストールします。

   sudo apt-get install apt-transport-https
   

8. リポジトリ メタデータを更新します。

   sudo apt-get update
   

船員

1. まだインストールされていない場合は、dnf-plugins-core をインストールします。

   sudo dnf install dnf-plugins-core
   

2. 必要なリポジトリを構成して有効にします。

   注:

   Mariner では、Insider Fast Channel は使用できません。

   prod チャネルから Defender for Endpoint on Linux を展開する場合。 次のコマンドを使用します

   sudo dnf install mariner-repos-extras
   sudo dnf config-manager --enable mariner-official-extras
   

   または、選択したデバイスの新機能を調べる場合は、Microsoft Defender for Endpointを Linux 上で insiders-slow チャネルにデプロイすることもできます。 次のコマンドを使用します。

   sudo dnf install mariner-repos-extras-preview
   sudo dnf config-manager --enable mariner-official-extras-preview
   

アプリケーションのインストール

次のセクションのコマンドを使用して、Linux ディストリビューションに Defender for Endpoint をインストールします。

RHEL とバリアント (CentOS、Fedora、Oracle Linux、Amazon Linux 2、ロッキー、アルマ)

sudo yum install mdatp

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES とバリエーション

sudo zypper install mdatp

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu および Debian システム

sudo apt-get install mdatp

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

船員

sudo dnf install mdatp

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

オンボーディング パッケージをダウンロードする

Microsoft Defender ポータルからオンボード パッケージをダウンロードします。

1. Microsoft Defender ポータルで、設定>Endpoints>Device Management>Onboarding に移動します。

2. 最初のドロップダウン メニューで、オペレーティング システムとして [Linux サーバー] を選択します。 2 番目のドロップダウン メニューで、展開方法として [ローカル スクリプト] を選択します。

3. [オンボーディング パッケージをダウンロードする] を選択します。 ファイルを WindowsDefenderATPOnboardingPackage.zipとして保存します。

   

4. コマンド プロンプトから、ファイルがあることを確認し、アーカイブの内容を抽出します。

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
   

クライアントの構成

1. ターゲット デバイスに MicrosoftDefenderATPOnboardingLinuxServer.py をコピーします。

   注:

   最初に、クライアント デバイスはorganizationに関連付けられていないので、orgId 属性は空白です。

   mdatp health --field org_id
   

2. 次のいずれかのシナリオを実行します。

   注:

   このコマンドを実行するには、ディストリビューションとバージョンに応じて、デバイスに python または python3 がインストールされている必要があります。 必要に応じて、「 Linux に Python をインストールする手順」を参照してください。

   以前にオフボードしていたデバイスをオンボードするには、/etc/opt/microsoft/mdatp にあるmdatp_offboard.json ファイルを削除する必要があります。

   RHEL 8.x または Ubuntu 20.04 以降を実行している場合は、 python3を使用する必要があります。 次のコマンドを実行します。

   sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
   

   ディストリビューションとバージョンの残りの部分では、 pythonを使用する必要があります。 次のコマンドを実行します。

   sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
   

3. デバイスが組織に関連付けられていることを確認し、有効な組織 ID を報告します。

   mdatp health --field org_id
   

4. 次のコマンドを実行して、製品の正常性状態を確認します。 true の戻り値は、製品が期待どおりに機能していることを示します。

   mdatp health --field healthy
   

   重要

   製品が初めて起動すると、最新のマルウェア対策定義がダウンロードされます。 このプロセスは、ネットワーク接続によっては数分かかる場合があります。 この間、前述のコマンドは false の値を返します。 次のコマンドを使用して、定義の更新の状態を確認できます。

   mdatp health --field definitions_status
   

   また、最初のインストールが完了した後にプロキシを構成する必要がある場合もあります。 「静的プロキシ検出のための Linux 用 Defender for Endpoint の構成: インストール後の構成」を参照してください。

5. ウイルス対策検出テストを実行して、デバイスが適切にオンボードされ、サービスに報告されていることを確認します。 新しくオンボードされたデバイスで次の手順を実行します。

   1. リアルタイム保護が有効になっていることを確認します (true が次のコマンドを実行した結果として示されます)。

      mdatp health --field real_time_protection_enabled
      

      有効になっていない場合は、次のコマンドを実行します。

      mdatp config real-time-protection --value enabled
      

   2. 検出テストを実行するには、[ターミナル] ウィンドウを開きます。 次のコマンドを実行します。

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. 次のいずれかのコマンドを使用して、zip ファイルでより多くの検出テストを実行できます。

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

      ファイルは、Linux 上の Defender for Endpoint によって検疫する必要があります。

   4. 次のコマンドを使用して、検出されたすべての脅威を一覧表示します。

      mdatp threat list
      

6. EDR 検出テストを実行し、検出をシミュレートして、デバイスが適切にオンボードされ、サービスに報告されていることを確認します。 新しくオンボードされたデバイスで次の手順を実行します。

   1. オンボードされた Linux サーバーがMicrosoft Defender XDRに表示されることを確認します。 これがマシンの最初のオンボーディングである場合、表示されるまで最大 20 分かかります。

   2. オンボードされた Linux サーバーに スクリプト ファイル をダウンロードして抽出し、次のコマンドを実行します。 ./mde_linux_edr_diy.sh

      数分後、Microsoft Defender XDRで検出を発生させる必要があります。

   3. アラートの詳細、マシンのタイムラインを確認し、一般的な調査手順を実行します。

パッケージ外部パッケージの依存関係をMicrosoft Defender for Endpointする

mdatp パッケージには、次の外部パッケージの依存関係があります。

• mdatp RPM パッケージには、 glibc >= 2.17、 policycoreutils、 selinux-policy-targeted、 mde-netfilter
• DEBIAN の場合、mdatp パッケージには、 libc6 >= 2.23、 uuid-runtime、 mde-netfilter
• Mariner の場合、mdatp パッケージには、 attr、 diffutils、 libacl、 libattr、 libselinux-utils、 selinux-policy、 policycoreutils、 mde-netfilter

mde-netfilter パッケージには、次のパッケージの依存関係もあります。

• DEBIAN の場合、 mde-netfilter パッケージには libnetfilter-queue1 が必要です。 libglib2.0-0
• RPM の場合、 mde-netfilter パッケージには、 libmnl、 libnfnetlink、 libnetfilter_queue、 glib2
• Mariner の場合、 mde-netfilter パッケージには libnfnetlink が必要です。 libnetfilter_queue

依存関係エラーが見つからないためにMicrosoft Defender for Endpointのインストールが失敗した場合は、前提条件の依存関係を手動でダウンロードできます。

インストールに関する問題のトラブルシューティング

インストールの問題が発生した場合は、自己トラブルシューティングのために、次の手順に従います。

1. インストール エラーが発生したときに自動的に生成されるログを検索する方法については、「 ログのインストールの問題」を参照してください。

2. 一般的なインストールの問題については、「 インストールの問題」を参照してください。

3. デバイスの正常性が falseされている場合は、「 Defender for Endpoint エージェントの正常性に関する問題」を参照してください。

4. 製品のパフォーマンスの問題については、「 パフォーマンスの問題のトラブルシューティング」を参照してください。

5. プロキシと接続の問題については、「 クラウド接続の問題のトラブルシューティング」を参照してください。

Microsoft からサポートを受けるために、サポート チケットを開き、 クライアント アナライザーを使用して作成されたログ ファイルを指定します。

チャネルを切り替える方法

たとえば、チャネルを Insiders-Fast から運用環境に変更するには、次の操作を行います。

1. Insiders-Fast channel バージョンの Defender for Endpoint on Linux をアンインストールします。

   sudo yum remove mdatp
   

2. Linux Insiders-Fast チャネルで Defender for Endpoint を無効にする

   sudo yum-config-manager --disable packages-microsoft-com-fast-prod
   

3. Production channelを使用して Linux にMicrosoft Defender for Endpointを再インストールし、Microsoft Defender ポータルでデバイスをオンボードします。

Linux でMicrosoft Defender for Endpointのポリシーを構成する方法

エンドポイントでウイルス対策と EDR の設定を構成できます。 詳細については、次の記事を参照してください。

• Linux でMicrosoft Defender for Endpointの基本設定を設定すると、使用可能な設定が説明されます
• セキュリティ設定管理では、Microsoft Defender ポータルで設定を構成する方法について説明します。

Linux でMicrosoft Defender for Endpointをアンインストールする

手動アンインストールの場合は、Linux ディストリビューションに対して次のコマンドを実行します。

• sudo yum remove mdatp RHEL とバリアント (CentOS および Oracle Linux) の場合。
• sudo zypper remove mdatp SLES とバリアントの場合。
• sudo apt-get purge mdatp Ubuntu および Debian システムの場合。
• sudo dnf remove mdatp マリナー用