Delen via

Implementatie op basis van een installatiescript gebruiken om Microsoft Defender voor Eindpunt in Linux te implementeren

  • Artikel

Van toepassing op:

  • Microsoft Defender voor Eindpunt voor servers
  • Microsoft Defender voor servers, abonnement 1 of abonnement 2

Inleiding

Automatiseer de implementatie van Microsoft Defender voor Eindpunt op Linux met behulp van een installatiescript. Dit script identificeert de distributie en versie, selecteert de juiste opslagplaats, stelt het apparaat in om de nieuwste agentversie op te halen en onboardt het apparaat naar Defender voor Eindpunt met behulp van het onboardingpakket. Deze methode wordt ten zeerste aanbevolen om het implementatieproces te vereenvoudigen.

Vereisten en systeemvereisten

Voordat u aan de slag gaat, raadpleegt u Microsoft Defender voor Eindpunt op Linux voor een beschrijving van vereisten en systeemvereisten.

Implementatieproces

  1. Download het onboarding-pakket via Microsoft Defender portal door de volgende stappen uit te voeren:

    1. Ga in de Microsoft Defender-portal naar Instellingen>Eindpunten>Apparaatbeheer>Onboarding.

    2. Selecteer in de eerste vervolgkeuzelijst Linux-server als besturingssysteem.

    3. Selecteer in de tweede vervolgkeuzelijst Lokaal script als implementatiemethode.

    4. Selecteer Onboardingpakket downloaden. Sla het bestand op als WindowsDefenderATPOnboardingPackage.zip.

      Schermopname van de opties die moeten worden geselecteerd om het onboardingpakket te downloaden.

    5. Pak vanaf een opdrachtprompt de inhoud van het archief uit:

      unzip WindowsDefenderATPOnboardingPackage.zip

      Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

      Waarschuwing

      Het opnieuw verpakken van het Defender voor Eindpunt-installatiepakket is geen ondersteund scenario. Dit kan een negatieve invloed hebben op de integriteit van het product en leiden tot negatieve resultaten, met inbegrip van maar niet beperkt tot het activeren van waarschuwingen voor manipulatie en updates die niet van toepassing zijn.

      Belangrijk

      Als u deze stap mist, wordt bij elke uitgevoerde opdracht een waarschuwingsbericht weergegeven dat aangeeft dat het product geen licentie heeft. De opdracht mdatp health retourneert ook de waarde false.

  2. Download het bash-script van het installatieprogramma in onze openbare GitHub-opslagplaats.

  3. Uitvoerbare machtigingen verlenen aan het script van het installatieprogramma:

    chmod +x mde_installer.sh

  4. Voer het installatiescript uit en geef het onboarding-pakket op als parameter om de agent te installeren en het apparaat aan de Defender-portal te onboarden.

    
sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --min_req

    Met deze opdracht implementeert u de meest recente agentversie in het productiekanaal, controleert u op minimale systeemvereisten en onboardt u het apparaat naar Defender Portal.

    Bovendien kunt u meer parameters doorgeven op basis van uw vereisten om de installatie te wijzigen. Raadpleeg de Help voor alle beschikbare opties:

    
❯ ./mde_installer.sh --help
mde_installer.sh v0.7.0
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel         specify the channel(insiders-fast / insiders-slow / prod) from which you want to install. Default: prod
-i|--install         install the product
-r|--remove          uninstall the product
-u|--upgrade         upgrade the existing product to a newer version if available
-l|--downgrade       downgrade the existing product to a older version if available
-o|--onboard         onboard the product with <onboarding_script>
-f|--offboard        offboard the product with <offboarding_script>
-p|--passive-mode    set real time protection to passive mode
-a|--rtp-mode        set real time protection to active mode. passive-mode and rtp-mode are mutually exclusive
-t|--tag             set a tag by declaring <name> and <value>, e.g: -t GROUP Coders
-m|--min_req         enforce minimum requirements
-x|--skip_conflict   skip conflicting application verification
-w|--clean           remove repo from package manager for a specific channel
-y|--yes             assume yes for all mid-process prompts (default, deprecated)
-n|--no              remove assume yes sign
-s|--verbose         verbose output
-v|--version         print out script version
-d|--debug           set debug mode
--log-path <PATH>    also log output to PATH
--http-proxy <URL>   set http proxy
--https-proxy <URL>  set https proxy
--ftp-proxy <URL>    set ftp proxy
--mdatp              specific version of mde to be installed. will use the latest if not provided
-h|--help            display help
    Scenario Opdracht
    Een specifieke agentversie installeren sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --min_req –-mdatp 101.24082.0004
    Upgraden naar de nieuwste versie van de agent sudo ./mde_installer.sh --upgrade
    Upgraden naar een specifieke agentversie sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004
    Downgraden naar een specifieke agentversie sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004
    Agent verwijderen sudo ./mde_installer.sh --remove

    Opmerking

    Voor het upgraden van uw besturingssysteem naar een nieuwe primaire versie na de productinstallatie moet het product opnieuw worden geïnstalleerd. U moet de bestaande Defender voor Eindpunt op Linux verwijderen, het besturingssysteem upgraden en defender voor eindpunt vervolgens opnieuw configureren in Linux.

Implementatiestatus controleren

  1. Open in de Microsoft Defender portal de apparaatinventaris. Het kan 5-20 minuten duren voordat het apparaat wordt weergegeven in de portal.

  2. Voer een antivirusdetectietest uit om te controleren of het apparaat correct is onboarded en rapporteert aan de service. Voer de volgende stappen uit op het zojuist onboardingsapparaat:

    1. Zorg ervoor dat realtime-beveiliging is ingeschakeld (aangegeven door een resultaat van het uitvoeren van true de volgende opdracht):

      mdatp health --field real_time_protection_enabled

      Als deze niet is ingeschakeld, voert u de volgende opdracht uit:

      mdatp config real-time-protection --value enabled

    2. Open een Terminal-venster en voer de volgende opdracht uit om een detectietest uit te voeren:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. U kunt meer detectietests uitvoeren op zip-bestanden met behulp van een van de volgende opdrachten:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    4. De bestanden moeten in quarantaine worden geplaatst door Defender voor Eindpunt in Linux. Gebruik de volgende opdracht om alle gedetecteerde bedreigingen weer te geven:

      mdatp threat list

  3. Voer een EDR-detectietest uit en simuleer een detectie om te controleren of het apparaat correct is onboarded en rapporteert aan de service. Voer de volgende stappen uit op het zojuist onboardingsapparaat:

    1. Download het scriptbestand en pak het uit naar een onboarded Linux-server.

    2. Geef uitvoerbare machtigingen aan het script:

      chmod +x mde_linux_edr_diy.sh

    3. Voer de volgende opdracht uit:

      ./mde_linux_edr_diy.sh

    4. Na een paar minuten moet er een detectie worden gegenereerd in de Microsoft Defender XDR.

    5. Controleer de waarschuwingsdetails en de tijdlijn van de machine en voer de gebruikelijke onderzoeksstappen uit.

afhankelijkheden van externe pakketten Microsoft Defender voor Eindpunt pakket

Als de installatie van de Microsoft Defender voor Eindpunt mislukt vanwege ontbrekende afhankelijkheden, kunt u de vereiste afhankelijkheden handmatig downloaden.

De volgende externe pakketafhankelijkheden bestaan voor het mdatp pakket:

  • Het mdatp RPM pakket vereist - glibc >= 2.17,policycoreutils,selinux-policy-targeted, mde-netfilter.
  • Voor DEBIAN vereist libc6 >= 2.23het mdatp pakket ,uuid-runtime,mde-netfilter
  • Voor Mariner vereist attrhet mdatp pakket ,diffutils, libacl, libattr,libselinux-utilsselinux-policy , , policycoreutilsmde-netfilter

Opmerking

Vanaf versie 101.24082.0004ondersteunt Defender voor Eindpunt in Linux de Auditd gebeurtenisprovider niet meer. We gaan volledig over op de efficiëntere eBPF-technologie. Als eBPF niet wordt ondersteund op uw computers of als er specifieke vereisten zijn om op Auditdte blijven en uw machines Defender voor Eindpunt gebruiken op Linux-versie 101.24072.0001 of lager, bestaat de volgende aanvullende afhankelijkheid van het gecontroleerde pakket voor mdatp:

mdatp pakketafhankelijkheden

  • Het mdatp RPM pakket vereist audit, semanage.
  • Voor DEBIAN vereist auditdhet mdatp pakket .
  • Voor Mariner vereist audithet mdatp pakket .

mde-netfilter Afhankelijkheden

Het mde-netfilter pakket heeft ook de volgende pakketafhankelijkheden:

  • Voor DEBIAN vereist libnetfilter-queue1het mde-netfilter pakket , libglib2.0-0.
  • Voor RPM vereist libmnlhet mde-netfilter pakket , libnfnetlink,libnetfilter_queue,glib2.
  • Voor Mariner vereist libnfnetlinkhet mde-netfilter pakket , libnetfilter_queue.

Installatieproblemen oplossen

Als u installatieproblemen ondervindt, voert u de volgende stappen uit om zelf problemen op te lossen:

  1. Zie Problemen met logboekinstallatie voor informatie over het vinden van het logboek dat automatisch wordt gegenereerd wanneer er een installatiefout optreedt.

  2. Zie Installatieproblemen voor informatie over veelvoorkomende installatieproblemen.

  3. Als de status van het apparaat is false, raadpleegt u Statusproblemen met Defender voor Eindpunt-agent.

  4. Zie Prestatieproblemen oplossen voor problemen met productprestaties.

  5. Zie Problemen met cloudconnectiviteit oplossen voor proxy- en connectiviteitsproblemen.

Als u ondersteuning van Microsoft wilt krijgen, opent u een ondersteuningsticket en geeft u de logboekbestanden op die zijn gemaakt met behulp van de clientanalyse.

Schakelen tussen kanalen

Ga bijvoorbeeld als volgt te werk om het kanaal te wijzigen van Insiders-Fast naar Productie:

  1. Verwijder de Insiders-Fast channel versie van Defender voor Eindpunt in Linux.

    sudo yum remove mdatp

  2. Schakel de opslagplaats Defender voor Eindpunt op Linux uit Insiders-Fast.

    sudo yum repolist

    Opmerking

    De uitvoer moet worden weergegeven packages-microsoft-com-fast-prod.

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Implementeer Microsoft Defender voor Eindpunt opnieuw in Linux met behulp van het productiekanaal.

Defender voor Eindpunt in Linux kan worden geïmplementeerd vanuit een van de volgende kanalen (aangeduid als [kanaal]):

  • insiders-fast
  • insiders-slow
  • prod

Elk van deze kanalen komt overeen met een Linux-softwareopslagplaats. In de instructies in dit artikel wordt beschreven hoe u uw apparaat configureert voor het gebruik van een van deze opslagplaatsen.

De keuze van het kanaal bepaalt het type en de frequentie van updates die aan uw apparaat worden aangeboden. Apparaten in insiders-fast zijn de eerste die updates en nieuwe functies ontvangen, later gevolgd door insiders-slow en ten slotte door prod.

Als u een voorbeeld van nieuwe functies wilt bekijken en vroegtijdig feedback wilt geven, is het raadzaam dat u sommige apparaten in uw bedrijf configureert voor het gebruik van of insiders-fastinsiders-slow.

Waarschuwing

Als u het kanaal na de eerste installatie overschakelt, moet het product opnieuw worden geïnstalleerd. Als u wilt schakelen tussen het productkanaal, verwijdert u het bestaande pakket, configureert u het apparaat opnieuw om het nieuwe kanaal te gebruiken en volgt u de stappen in dit document om het pakket vanaf de nieuwe locatie te installeren.

Beleidsregels configureren voor Microsoft Defender in Linux

U kunt antivirus- en EDR-instellingen configureren op uw eindpunten. Zie de volgende artikelen voor meer informatie:

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community