次の方法で共有


Linux 用 Microsoft Defender for Endpoint を手動で展開する

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

ヒント

Linux でのMicrosoft Defender for Endpointのデプロイに関する高度なガイダンスをお探しですか? 「Linux 上の Defender for Endpoint の高度なデプロイ ガイド」を参照してください。

この記事では、Linux 用 Microsoft Defender for Endpoint を手動で展開する方法について説明します。 展開を成功させるには、次のすべてのタスクを完了する必要があります。

前提条件とシステム要件

開始する前に、現在のソフトウェア バージョンの前提条件とシステム要件の説明については、「Linux でのMicrosoft Defender for Endpoint」を参照してください。

警告

製品のインストール後にオペレーティング システムを新しいメジャー バージョンにアップグレードするには、製品を再インストールする必要があります。 次の手順に従って、既存の Defender for Endpoint on Linux を アンインストール し、オペレーティング システムをアップグレードしてから、Defender for Endpoint on Linux を再構成する必要があります。

Linux ソフトウェア リポジトリを構成する

Defender for Endpoint on Linux は、次のいずれかのチャネル ( [channel]) からデプロイできます。 insiders-fastinsiders-slow、または prod。 これらの各チャネルは、Linux ソフトウェア リポジトリに対応しています。 この記事の手順では、これらのリポジトリのいずれかを使用するようにデバイスを構成する方法について説明します。

チャネルの選択により、デバイスに提供される更新プログラムの種類と頻度が決まります。 insiders-fast のデバイスは、更新プログラムと新機能を受け取る最初のデバイスであり、その後、インサイダーが遅く、最後にprodします。

新機能をプレビューし、早期フィードバックを提供するには、社内の一部のデバイスを 、Insider-fast または insider-slow を使用するように構成することをお勧めします。

警告

初期インストール後にチャネルを切り替えるには、製品を再インストールする必要があります。 製品チャネルを切り替えるには:既存のパッケージをアンインストールし、新しいチャネルを使用するようにデバイスを再構成し、このドキュメントの手順に従って新しい場所からパッケージをインストールします。

RHEL とバリアント (CentOS、Fedora、Oracle Linux、Amazon Linux 2、ロッキー、アルマ)

  1. まだインストールされていない場合は、yum-utils をインストールします。

    sudo yum install yum-utils
    
  2. ディストリビューションとバージョンに適したパッケージを見つけます。 次の表を使用して、パッケージを見つけるのに役立ててください。

    ディストリビューションとバージョン パッケージ
    アルマ8.4以降 https://packages.microsoft.com/config/alma/8/prod.repo
    アルマ9.2以降 https://packages.microsoft.com/config/alma/9/prod.repo
    RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo
    RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo
    RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo
    Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
    Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo
    Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo
    ロッキー 8.7 以上 https://packages.microsoft.com/config/rocky/8/prod.repo
    ロッキー 9.2 以上 https://packages.microsoft.com/config/rocky/9/prod.repo

    注:

    ディストリビューションとバージョンについては、 https://packages.microsoft.com/config/rhel/の下の最も近いエントリ (メジャー、マイナー) を特定します。

  3. 次のコマンドで、[バージョン][チャネル] を特定した情報に置き換えます。

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
    

    ヒント

    hostnamectl コマンドを使用して、リリース [バージョン] を含むシステム関連情報を識別します。

    たとえば、CentOS 7 を実行していて、 prod チャネルから Defender for Endpoint on Linux をデプロイする場合は、次のようになります。

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
    

    または、選択したデバイスの新機能を検討したい場合は、Linux 用 Microsoft Defender for Endpoint を insiders-fast チャネルに展開することをお勧めします。

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
    
  4. Microsoft GPG 公開キーをインストールします。

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
    

SLES とバリエーション

注:

ディストリビューションとバージョンについては、 https://packages.microsoft.com/config/sles/の下の最も近いエントリ (メジャー、マイナー) を特定します。

  1. 次のコマンドで、[ディストリビューション][バージョン] を特定した情報に置き換えます。

    sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
    

    ヒント

    SPident コマンドを使用して、リリース [バージョン] を含むシステム関連情報を特定します。

    たとえば、SLES 12 を実行していて、prod チャネルから Linux にMicrosoft Defender for Endpointをデプロイする場合は、次のようになります。

    sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
    
  2. Microsoft GPG 公開キーをインストールします。

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
    

Ubuntu および Debian システム

  1. まだインストールされていない場合は、curl をインストールします。

    sudo apt-get install curl
    
  2. まだインストールされていない場合は、libplist-utils をインストールします。

    sudo apt-get install libplist-utils
    

    注:

    ディストリビューションとバージョンについては、 https://packages.microsoft.com/config/[distro]/の下の最も近いエントリ (メジャー、マイナー) を特定します。

  3. 次のコマンドで、[ distro][version] を 特定した情報に置き換えます。

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
    

    ヒント

    hostnamectl コマンドを使用して、リリース [バージョン] を含むシステム関連情報を識別します。

    たとえば、Ubuntu 18.04 を実行していて、prod チャネルから Linux にMicrosoft Defender for Endpointをデプロイする場合は、次のようになります。

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
    
  4. リポジトリ構成をインストールします。

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
    

    たとえば、チャネル prod 選択した場合は、次のようになります。

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
    
  5. まだインストールされていない場合は、gpg パッケージをインストールします。

    sudo apt-get install gpg
    

    gpgが使用できない場合は、gnupgをインストールします。

    sudo apt-get install gnupg
    
  6. Microsoft GPG 公開キーをインストールします。

    • Debian 11 以前の場合は、次のコマンドを実行します。

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
      
    • Debian 12 以降の場合は、次のコマンドを実行します。

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
      
  7. まだインストールされていない場合は、HTTPS ドライバーをインストールします。

    sudo apt-get install apt-transport-https
    
  8. リポジトリ メタデータを更新します。

    sudo apt-get update
    

船員

  1. まだインストールされていない場合は、dnf-plugins-core をインストールします。

    sudo dnf install dnf-plugins-core
    
  2. 必要なリポジトリを構成して有効にします。

    注:

    Mariner では、Insider Fast Channel は使用できません。

    prod チャネルから Defender for Endpoint on Linux を展開する場合。 次のコマンドを使用します

    sudo dnf install mariner-repos-extras
    sudo dnf config-manager --enable mariner-official-extras
    

    または、選択したデバイスの新機能を調べる場合は、Microsoft Defender for Endpointを Linux 上で insiders-slow チャネルにデプロイすることもできます。 次のコマンドを使用します。

    sudo dnf install mariner-repos-extras-preview
    sudo dnf config-manager --enable mariner-official-extras-preview
    

アプリケーションのインストール

次のセクションのコマンドを使用して、Linux ディストリビューションに Defender for Endpoint をインストールします。

RHEL とバリアント (CentOS、Fedora、Oracle Linux、Amazon Linux 2、ロッキー、アルマ)

sudo yum install mdatp

注:

デバイスに複数の Microsoft リポジトリが構成されている場合は、パッケージのインストール元のリポジトリを指定できます。 次の例は、このデバイスで insiders-fast リポジトリ チャネルも構成されている場合に、production チャネルからパッケージをインストールする方法を示しています。 この状況は、デバイスで複数の Microsoft 製品を使用している場合に発生する可能性があります。 サーバーのディストリビューションとバージョンによっては、リポジトリ エイリアスが次の例のものと異なる場合があります。

# list all repositories
yum repolist
...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES とバリエーション

sudo zypper install mdatp

注:

デバイスに複数の Microsoft リポジトリが構成されている場合は、パッケージのインストール元のリポジトリを指定できます。 次の例は、このデバイスで insiders-fast リポジトリ チャネルも構成されている場合に、production チャネルからパッケージをインストールする方法を示しています。 この状況は、デバイスで複数の Microsoft 製品を使用している場合に発生する可能性があります。

zypper repos
...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu および Debian システム

sudo apt-get install mdatp

注:

デバイスに複数の Microsoft リポジトリが構成されている場合は、パッケージのインストール元のリポジトリを指定できます。 次の例は、このデバイスで insiders-fast リポジトリ チャネルも構成されている場合に、production チャネルからパッケージをインストールする方法を示しています。 この状況は、デバイスで複数の Microsoft 製品を使用している場合に発生する可能性があります。

cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp

注:

変更できないモードで auditD を実行している場合を除き、Linux にMicrosoft Defender for Endpointをインストールまたは更新した後に再起動する必要はありません。

船員

sudo dnf install mdatp

注:

デバイスに複数の Microsoft リポジトリが構成されている場合は、パッケージのインストール元のリポジトリを指定できます。 次の例は、このデバイスで insiders-slow リポジトリ チャネルも構成されている場合に、production チャネルからパッケージをインストールする方法を示しています。 この状況は、デバイスで複数の Microsoft 製品を使用している場合に発生する可能性があります。

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

オンボーディング パッケージをダウンロードする

Microsoft Defender ポータルからオンボード パッケージをダウンロードします。

警告

Defender for Endpoint インストール パッケージの再パッケージ化は、サポートされているシナリオではありません。 これにより、製品の整合性に悪影響を及ぼし、改ざんアラートや更新プログラムの適用に失敗したトリガーなど、悪影響を及ぼす可能性があります。

重要

この手順を実行しないと、実行されたすべてのコマンドに、製品がライセンスされていないことを示す警告メッセージが表示されます。 また、 mdatp health コマンドは false の値を返します。

  1. Microsoft Defender ポータルで、設定>Endpoints>Device Management>Onboarding に移動します

  2. 最初のドロップダウン メニューで、オペレーティング システムとして [Linux サーバー] を選択します。 2 番目のドロップダウン メニューで、展開方法として [ローカル スクリプト] を選択します。

  3. [オンボーディング パッケージをダウンロードする] を選択します。 ファイルを WindowsDefenderATPOnboardingPackage.zipとして保存します。

    Microsoft Defender ポータルでのオンボード パッケージのダウンロード

  4. コマンド プロンプトから、ファイルがあることを確認し、アーカイブの内容を抽出します。

    ls -l
    
    total 8
    -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
    
    unzip WindowsDefenderATPOnboardingPackage.zip
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
    

クライアントの構成

  1. ターゲット デバイスに MicrosoftDefenderATPOnboardingLinuxServer.py をコピーします。

    注:

    最初に、クライアント デバイスはorganizationに関連付けられていないので、orgId 属性は空白です。

    mdatp health --field org_id
    
  2. 次のいずれかのシナリオを実行します。

    注:

    このコマンドを実行するには、ディストリビューションとバージョンに応じて、デバイスに python または python3 がインストールされている必要があります。 必要に応じて、「 Linux に Python をインストールする手順」を参照してください。

    以前にオフボードしていたデバイスをオンボードするには、/etc/opt/microsoft/mdatp にあるmdatp_offboard.json ファイルを削除する必要があります。

    RHEL 8.x または Ubuntu 20.04 以降を実行している場合は、 python3を使用する必要があります。 次のコマンドを実行します。

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
    

    ディストリビューションとバージョンの残りの部分では、 pythonを使用する必要があります。 次のコマンドを実行します。

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
    
  3. デバイスが組織に関連付けられていることを確認し、有効な組織 ID を報告します。

    mdatp health --field org_id
    
  4. 次のコマンドを実行して、製品の正常性状態を確認します。 true の戻り値は、製品が期待どおりに機能していることを示します。

    mdatp health --field healthy
    

    重要

    製品が初めて起動すると、最新のマルウェア対策定義がダウンロードされます。 このプロセスは、ネットワーク接続によっては数分かかる場合があります。 この間、前述のコマンドは false の値を返します。 次のコマンドを使用して、定義の更新の状態を確認できます。

    mdatp health --field definitions_status
    

    また、最初のインストールが完了した後にプロキシを構成する必要がある場合もあります。 「静的プロキシ検出のための Linux 用 Defender for Endpoint の構成: インストール後の構成」を参照してください。

  5. ウイルス対策検出テストを実行して、デバイスが適切にオンボードされ、サービスに報告されていることを確認します。 新しくオンボードされたデバイスで次の手順を実行します。

    1. リアルタイム保護が有効になっていることを確認します (true が次のコマンドを実行した結果として示されます)。

      mdatp health --field real_time_protection_enabled
      

      有効になっていない場合は、次のコマンドを実行します。

      mdatp config real-time-protection --value enabled
      
    2. 検出テストを実行するには、[ターミナル] ウィンドウを開きます。 次のコマンドを実行します。

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      
    3. 次のいずれかのコマンドを使用して、zip ファイルでより多くの検出テストを実行できます。

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

      ファイルは、Linux 上の Defender for Endpoint によって検疫する必要があります。

    4. 次のコマンドを使用して、検出されたすべての脅威を一覧表示します。

      mdatp threat list
      
  6. EDR 検出テストを実行し、検出をシミュレートして、デバイスが適切にオンボードされ、サービスに報告されていることを確認します。 新しくオンボードされたデバイスで次の手順を実行します。

    1. オンボードされた Linux サーバーがMicrosoft Defender XDRに表示されることを確認します。 これがマシンの最初のオンボーディングである場合、表示されるまで最大 20 分かかります。

    2. オンボードされた Linux サーバーに スクリプト ファイル をダウンロードして抽出し、次のコマンドを実行します。 ./mde_linux_edr_diy.sh

      数分後、Microsoft Defender XDRで検出を発生させる必要があります。

    3. アラートの詳細、マシンのタイムラインを確認し、一般的な調査手順を実行します。

パッケージ外部パッケージの依存関係をMicrosoft Defender for Endpointする

mdatp パッケージには、次の外部パッケージの依存関係があります。

  • mdatp RPM パッケージには、 glibc >= 2.17policycoreutilsselinux-policy-targetedmde-netfilter
  • DEBIAN の場合、mdatp パッケージには、 libc6 >= 2.23uuid-runtimemde-netfilter
  • Mariner の場合、mdatp パッケージには、 attrdiffutilslibacllibattrlibselinux-utilsselinux-policypolicycoreutilsmde-netfilter

注:

バージョン 101.24082.0004以降、Defender for Endpoint on Linux では、 Auditd イベント プロバイダーはサポートされなくなりました。 私たちは、より効率的なeBPF技術に完全に移行しています。 eBPF がマシンでサポートされていない場合、または Auditd に残す特定の要件があり、マシンで Defender for Endpoint on Linux バージョン 101.24072.0001 以下を使用している場合、監査パッケージに対する次の依存関係が mdatp に存在します。

  • mdatp RPM パッケージには、 auditsemanageが必要です。
  • DEBIAN の場合、mdatp パッケージには auditdが必要です。
  • Mariner の場合、mdatp パッケージには auditが必要です。

mde-netfilter パッケージには、次のパッケージの依存関係もあります。

  • DEBIAN の場合、 mde-netfilter パッケージには libnetfilter-queue1 が必要です。 libglib2.0-0
  • RPM の場合、 mde-netfilter パッケージには、 libmnllibnfnetlinklibnetfilter_queueglib2
  • Mariner の場合、 mde-netfilter パッケージには libnfnetlink が必要です。 libnetfilter_queue

依存関係エラーが見つからないためにMicrosoft Defender for Endpointのインストールが失敗した場合は、前提条件の依存関係を手動でダウンロードできます。

インストールに関する問題のトラブルシューティング

チャネルを切り替える方法

たとえば、チャネルを Insiders-Fast から運用環境に変更するには、次の操作を行います。

  1. Insiders-Fast channel バージョンの Defender for Endpoint on Linux をアンインストールします。

    sudo yum remove mdatp
    
  2. Linux Insiders-Fast チャネルで Defender for Endpoint を無効にする

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod
    
  3. Production channelを使用して Linux にMicrosoft Defender for Endpointを再インストールし、Microsoft Defender ポータルでデバイスをオンボードします。

Linux でMicrosoft Defender for Endpointのポリシーを構成する方法

エンドポイントでウイルス対策と EDR の設定を構成できます。 詳細については、次の記事を参照してください。

Linux でMicrosoft Defender for Endpointをアンインストールする

手動アンインストールの場合は、Linux ディストリビューションに対して次のコマンドを実行します。

  • sudo yum remove mdatp RHEL とバリアント (CentOS および Oracle Linux) の場合。
  • sudo zypper remove mdatp SLES とバリアントの場合。
  • sudo apt-get purge mdatp Ubuntu および Debian システムの場合。
  • sudo dnf remove mdatp マリナー用

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。