Linux에서 수동으로 엔드포인트용 Microsoft Defender 배포

적용 대상:

• 엔드포인트 서버용 Microsoft Defender
• 서버용 Microsoft Defender

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

이 문서에서는 Linux에 엔드포인트용 Microsoft Defender 수동으로 배포하는 방법을 설명합니다. 성공적으로 배포하려면 다음 작업을 모두 완료해야 합니다.

• 필수 구성 요소 및 시스템 요구 사항
• Linux 소프트웨어 리포지토리 구성
  • RHEL 및 변형(CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky 및 Alma)
  • SLES 및 변형
  • Ubuntu 및 Debian 시스템
  • 선원
• 응용 프로그램 설치
  • RHEL 및 변형(CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky 및 Alma)
  • SLES 및 변형
  • Ubuntu 및 Debian 시스템
  • 선원
• 온보딩 패키지 다운로드
• 클라이언트 구성

필수 구성 요소 및 시스템 요구 사항

시작하기 전에 현재 소프트웨어 버전에 대한 필수 구성 요소 및 시스템 요구 사항에 대한 설명은 Linux의 엔드포인트용 Microsoft Defender 참조하세요.

Linux 소프트웨어 리포지토리 구성

Linux의 엔드포인트용 Defender는 다음 채널( [채널]로 표시됨) 중 하나에서 배포할 수 있습니다. 참가자가 빠르게, 참가자가 느리거나 prod, 입니다. 이러한 각 채널은 Linux 소프트웨어 리포지토리에 해당합니다. 이 문서의 지침에서는 이러한 리포지토리 중 하나를 사용하도록 디바이스를 구성하는 방법을 설명합니다.

채널의 선택은 디바이스에 제공되는 업데이트의 유형과 빈도를 결정합니다. 참가자 속도가 빠른 디바이스는 업데이트 및 새로운 기능을 받은 첫 번째 장치이며, 나중에 는 내부자가 느리 고 마지막으로 에 의해 prod수행됩니다.

새 기능을 미리 보고 초기 피드백을 제공하려면 참가자를 빠르게 사용하거나 참가자 속도가 느리도록 엔터프라이즈의 일부 디바이스를 구성하는 것이 좋습니다.

RHEL 및 변형(CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky 및 Alma)

1. 아직 설치되지 않은 경우 다음을 설치 yum-utils 합니다.

   sudo yum install yum-utils
   

2. 배포 및 버전에 대한 올바른 패키지를 찾습니다. 다음 표를 사용하여 패키지를 찾는 데 도움이 됩니다.

   배포판 & 버전	패키지
   앨마 8.4 이상	https://packages.microsoft.com/config/alma/8/prod.repo
   앨마 9.2 이상	https://packages.microsoft.com/config/alma/9/prod.repo
   RHEL/Centos/Oracle 9.0-9.8	https://packages.microsoft.com/config/rhel/9/prod.repo
   RHEL/Centos/Oracle 8.0-8.10	https://packages.microsoft.com/config/rhel/8/prod.repo
   RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2	https://packages.microsoft.com/config/rhel/7.2/prod.repo
   Amazon Linux 2023	https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
   페도라 33	https://packages.microsoft.com/config/fedora/33/prod.repo
   페도라 34	https://packages.microsoft.com/config/fedora/34/prod.repo
   Rocky 8.7 이상	https://packages.microsoft.com/config/rocky/8/prod.repo
   Rocky 9.2 이상	https://packages.microsoft.com/config/rocky/9/prod.repo

   참고

   배포 및 버전의 경우 에서 https://packages.microsoft.com/config/rhel/가장 가까운 항목(주 항목, 부 항목)을 식별합니다.

3. 다음 명령에서 [version] 및 [channel] 을 식별한 정보로 바꿉니다.

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
   

   팁

   hostnamectl 명령을 사용하여 릴리스 [버전]을 비롯한 시스템 관련 정보를 식별합니다.

   예를 들어 CentOS 7을 실행하고 채널에서 prod Linux에 엔드포인트용 Defender를 배포하려는 경우:

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
   

   또는 선택한 디바이스에서 새로운 기능을 탐색하려는 경우 Linux의 엔드포인트용 Microsoft Defender 참가자 빠른 채널에 배포할 수 있습니다.

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
   

4. Microsoft GPG 공개 키를 설치합니다.

   sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
   

SLES 및 변형

1. 다음 명령에서 [배포판] 및 [버전] 을 식별한 정보로 바꿉니다.

   sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
   

   팁

   SPident 명령을 사용하여 릴리스 [버전]을 비롯한 시스템 관련 정보를 식별합니다.

   예를 들어 SLES 12를 실행하고 채널에서 prod Linux에 엔드포인트용 Microsoft Defender 배포하려는 경우:

   sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
   

2. Microsoft GPG 공개 키를 설치합니다.

   sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
   

Ubuntu 및 Debian 시스템

1. 아직 설치되지 않은 경우 다음을 설치 curl 합니다.

   sudo apt-get install curl
   

2. 아직 설치되지 않은 경우 다음을 설치 libplist-utils 합니다.

   sudo apt-get install libplist-utils
   

   참고

   배포 및 버전의 경우 에서 https://packages.microsoft.com/config/[distro]/가장 가까운 항목(주 항목, 부 항목)을 식별합니다.

3. 다음 명령에서 [배포판] 및 [버전] 을 식별한 정보로 바꿉 있습니다.

   curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
   

   팁

   hostnamectl 명령을 사용하여 릴리스 [버전]을 비롯한 시스템 관련 정보를 식별합니다.

   예를 들어 Ubuntu 18.04를 실행하고 채널에서 prod Linux에 엔드포인트용 Microsoft Defender 배포하려는 경우:

   curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
   

4. 리포지토리 구성을 설치합니다.

   sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
   

   예를 들어 채널을 선택한 prod 경우:

   sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
   

5. gpg 아직 설치되지 않은 경우 패키지를 설치합니다.

   sudo apt-get install gpg
   

   를 사용할 수 없는 경우 gpg 를 설치합니다 gnupg.

   sudo apt-get install gnupg
   

6. Microsoft GPG 공개 키를 설치합니다.

   • Debian 11 이하의 경우 다음 명령을 실행합니다.

     curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
     

   • Debian 12 이상에서는 다음 명령을 실행합니다.

     curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
     

7. 아직 설치되지 않은 경우 HTTPS 드라이버를 설치합니다.

   sudo apt-get install apt-transport-https
   

8. 리포지토리 메타데이터를 업데이트합니다.

   sudo apt-get update
   

선원

1. 아직 설치되지 않은 경우 다음을 설치 dnf-plugins-core 합니다.

   sudo dnf install dnf-plugins-core
   

2. 필요한 리포지토리를 구성하고 사용하도록 설정합니다.

   참고

   마리너에서는 Insider Fast Channel을 사용할 수 없습니다.

   채널에서 Linux에 엔드포인트용 Defender를 prod 배포하려는 경우 다음 명령을 사용합니다.

   sudo dnf install mariner-repos-extras
   sudo dnf config-manager --enable mariner-official-extras
   

   또는 선택한 디바이스에서 새로운 기능을 탐색하려는 경우 Linux의 엔드포인트용 Microsoft Defender 참가자 느린 채널에 배포할 수 있습니다. 다음 명령을 사용합니다.

   sudo dnf install mariner-repos-extras-preview
   sudo dnf config-manager --enable mariner-official-extras-preview
   

응용 프로그램 설치

다음 섹션의 명령을 사용하여 Linux 배포판에 엔드포인트용 Defender를 설치합니다.

RHEL 및 변형(CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky 및 Alma)

sudo yum install mdatp

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES 및 변형

sudo zypper install mdatp

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu 및 Debian 시스템

sudo apt-get install mdatp

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

선원

sudo dnf install mdatp

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

온보딩 패키지 다운로드

Microsoft Defender 포털에서 온보딩 패키지를 다운로드합니다.

1. Microsoft Defender 포털에서 설정>엔드포인트>디바이스 관리>온보딩으로 이동합니다.

2. 첫 번째 드롭다운 메뉴에서 Linux Server 를 운영 체제로 선택합니다. 두 번째 드롭다운 메뉴에서 배포 방법으로 로컬 스크립트 를 선택합니다.

3. 온보딩 패키지 다운로드를 선택합니다. 파일을 로 WindowsDefenderATPOnboardingPackage.zip저장합니다.

   

4. 명령 프롬프트에서 파일이 있는지 확인하고 보관 파일의 내용을 추출합니다.

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
   

클라이언트 구성

1. 대상 디바이스에 복사 MicrosoftDefenderATPOnboardingLinuxServer.py 합니다.

   참고

   처음에는 클라이언트 디바이스가 organization 연결되지 않고 orgId 특성이 비어 있습니다.

   mdatp health --field org_id
   

2. 아래 시나리오 중 하나를 실행합니다.

   참고

   이 명령을 실행하려면 배포판 및 버전에 따라 디바이스에 있거나 설치되어 있어야 합니다 pythonpython3 . 필요한 경우 Linux에 Python을 설치하기 위한 단계별 지침을 참조하세요.

   이전에 오프보딩된 디바이스를 온보딩하려면 /etc/opt/microsoft/mdatp에 있는 mdatp_offboard.json 파일을 제거해야 합니다.

   RHEL 8.x 또는 Ubuntu 20.04 이상을 실행하는 경우 를 사용해야 python3합니다. 다음 명령을 실행합니다.

   sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
   

   나머지 배포판 및 버전의 경우 를 사용해야 python합니다. 다음 명령을 실행합니다.

   sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
   

3. 이제 디바이스가 organization 연결되어 있는지 확인하고 유효한 organization 식별자를 보고합니다.

   mdatp health --field org_id
   

4. 다음 명령을 실행하여 제품의 상태 상태 확인합니다. 의 true 반환 값은 제품이 예상대로 작동하고 있음을 표시합니다.

   mdatp health --field healthy
   

   중요

   제품이 처음으로 시작되면 최신 맬웨어 방지 정의를 다운로드합니다. 이 프로세스는 네트워크 연결에 따라 최대 몇 분 정도 걸릴 수 있습니다. 이 시간 동안 앞에서 언급한 명령은 의 값을 false반환합니다. 다음 명령을 사용하여 정의 업데이트의 상태 검사 수 있습니다.

   mdatp health --field definitions_status
   

   초기 설치를 완료한 후 프록시를 구성해야 할 수도 있습니다. 정적 프록시 검색: 설치 후 구성은 Linux에서 엔드포인트용 Defender 구성을 참조하세요.

5. 바이러스 백신 검색 테스트를 실행하여 디바이스가 제대로 온보딩되고 서비스에 보고되는지 확인합니다. 새로 온보딩된 디바이스에서 다음 단계를 수행합니다.

   1. 실시간 보호가 사용하도록 설정되어 있는지 확인합니다(다음 명령을 실행한 결과로 true 표시됨).

      mdatp health --field real_time_protection_enabled
      

      사용하도록 설정되지 않은 경우 다음 명령을 실행합니다.

      mdatp config real-time-protection --value enabled
      

   2. 검색 테스트를 실행하려면 터미널 창을 엽니다. 다음 명령을 실행합니다.

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. 다음 명령 중 하나를 사용하여 zip 파일에서 더 많은 검색 테스트를 실행할 수 있습니다.

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

      파일은 Linux의 엔드포인트용 Defender에 의해 격리되어야 합니다.

   4. 다음 명령을 사용하여 검색된 모든 위협을 나열합니다.

      mdatp threat list
      

6. EDR 검색 테스트를 실행하고 검색을 시뮬레이션하여 디바이스가 제대로 온보딩되고 서비스에 보고되는지 확인합니다. 새로 온보딩된 디바이스에서 다음 단계를 수행합니다.

   1. 온보딩된 Linux 서버가 Microsoft Defender XDR 표시되는지 확인합니다. 컴퓨터의 첫 번째 온보딩인 경우 머신이 나타날 때까지 최대 20분이 걸릴 수 있습니다.

   2. 스크립트 파일을 다운로드하여 온보딩된 Linux 서버로 추출한 다음, 다음 명령을 실행합니다../mde_linux_edr_diy.sh

      몇 분 후 Microsoft Defender XDR 검색을 발생시켜야 합니다.

   3. 경고 세부 정보, 컴퓨터 타임라인 살펴보고 일반적인 조사 단계를 수행합니다.

패키지 외부 패키지 종속성 엔드포인트용 Microsoft Defender

패키지에 대해 mdatp 다음과 같은 외부 패키지 종속성이 있습니다.

• mdatp RPM 패키지에는 glibc >= 2.17, , policycoreutils, 가 selinux-policy-targeted필요합니다. mde-netfilter
• DEBIAN의 경우 mdatp 패키지에는 , , 가 uuid-runtime필요합니다.libc6 >= 2.23mde-netfilter
• Mariner의 경우 mdatp 패키지에는 attr, , diffutils, libacllibattr, libselinux-utils, , selinux-policy가 policycoreutils필요합니다.mde-netfilter

mde-netfilter 패키지에는 다음 패키지 종속성도 있습니다.

• DEBIAN의 경우 패키지에 mde-netfilter 가 필요합니다.libnetfilter-queue1libglib2.0-0
• RPM의 경우 패키지에는 mde-netfilter , , , libnfnetlink가 libnetfilter_queue필요합니다libmnl.glib2
• Mariner의 경우 패키지에 mde-netfilter 가 필요합니다.libnfnetlinklibnetfilter_queue

종속성 오류 누락으로 인해 엔드포인트용 Microsoft Defender 설치가 실패하는 경우 필수 구성 요소 종속성을 수동으로 다운로드할 수 있습니다.

설치 문제 해결

• 설치 오류가 발생할 때 생성된 로그를 찾는 방법에 대한 자세한 내용은 로그 설치 문제를 참조하세요.

• 일반적인 설치 문제에 대한 자세한 내용은 설치 문제를 참조하세요.

• 디바이스의 상태가 false이면 에이전트 상태 문제 조사를 참조하세요.

• 제품 성능 문제는 Linux의 엔드포인트용 Microsoft Defender 성능 문제 해결을 참조하세요.

• 프록시 및 연결 문제는 Linux의 엔드포인트용 Microsoft Defender 대한 클라우드 연결 문제 해결을 참조하세요.

• Microsoft의 지원을 받으려면 지원 티켓을 열고 엔드포인트용 Microsoft Defender 클라이언트 분석기 도구를 사용하여 만든 로그 파일을 제공합니다.

채널 간에 전환하는 방법

예를 들어 채널을 Insiders-Fast 프로덕션으로 변경하려면 다음을 수행합니다.

1. Linux에서 Insiders-Fast channel 엔드포인트용 Defender 버전을 제거합니다.

   sudo yum remove mdatp
   

2. Linux Insiders-Fast 채널에서 엔드포인트용 Defender 사용 안 함

   sudo yum-config-manager --disable packages-microsoft-com-fast-prod
   

3. 를 사용하여 Production channelLinux에 엔드포인트용 Microsoft Defender 다시 설치하고 Microsoft Defender 포털에서 디바이스를 온보딩합니다.

Linux에서 엔드포인트용 Microsoft Defender 대한 정책을 구성하는 방법

엔드포인트에서 바이러스 백신 및 EDR 설정을 구성할 수 있습니다. 자세한 내용은 다음 문서를 참조하세요.

• Linux에서 엔드포인트용 Microsoft Defender 대한 기본 설정 설정에서 사용 가능한 설정을 설명합니다.
• 보안 설정 관리는 Microsoft Defender 포털에서 설정을 구성하는 방법을 설명합니다.

Linux에서 엔드포인트용 Microsoft Defender 제거

수동 제거의 경우 Linux 배포에 대해 다음 명령을 실행합니다.

• sudo yum remove mdatp RHEL 및 variants(CentOS 및 Oracle Linux)의 경우
• sudo zypper remove mdatp SLES 및 변형의 경우
• sudo apt-get purge mdatp Ubuntu 및 Debian 시스템의 경우
• sudo dnf remove mdatp 용 마리너