Udostępnij za pośrednictwem

Ręczne wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

  • Artykuł

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Porada

Szukasz zaawansowanych wskazówek dotyczących wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux? Zobacz Przewodnik wdrażania zaawansowanego w usłudze Defender for Endpoint w systemie Linux.

W tym artykule opisano sposób ręcznego wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux. Pomyślne wdrożenie wymaga wykonania wszystkich następujących zadań:

Wymagania wstępne i wymagania systemowe

Przed rozpoczęciem zobacz Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux, aby zapoznać się z opisem wymagań wstępnych i wymagań systemowych dotyczących bieżącej wersji oprogramowania.

Ostrzeżenie

Uaktualnienie systemu operacyjnego do nowej wersji głównej po zainstalowaniu produktu wymaga ponownej instalacji produktu. Należy odinstalować istniejącą usługę Defender for Endpoint w systemie Linux, uaktualnić system operacyjny, a następnie ponownie skonfigurować usługę Defender dla punktu końcowego w systemie Linux, wykonując poniższe kroki.

Konfigurowanie repozytorium oprogramowania systemu Linux

Usługę Defender for Endpoint w systemie Linux można wdrożyć z jednego z następujących kanałów (oznaczonego jako [channel]): insiders-fast, insiders-slow lub prod. Każdy z tych kanałów odpowiada repozytorium oprogramowania systemu Linux. Instrukcje w tym artykule opisują konfigurowanie urządzenia do korzystania z jednego z tych repozytoriów.

Wybór kanału określa typ i częstotliwość aktualizacji oferowanych urządzeniu. Urządzenia w insiders-fast są pierwszymi, które otrzymują aktualizacje i nowe funkcje, a następnie insiders-slow i wreszcie przez prod.

Aby zapoznać się z nowymi funkcjami i przekazać wczesne opinie, zaleca się skonfigurowanie niektórych urządzeń w przedsiębiorstwie tak, aby korzystały z funkcji insiders-fast lub insiders-slow.

Ostrzeżenie

Przełączenie kanału po początkowej instalacji wymaga ponownej instalacji produktu. Aby przełączyć kanał produktu: odinstaluj istniejący pakiet, skonfiguruj urządzenie tak, aby korzystało z nowego kanału, i wykonaj kroki opisane w tym dokumencie, aby zainstalować pakiet z nowej lokalizacji.

RHEL i warianty (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky i Alma)

  1. Zainstaluj yum-utils , jeśli nie jest jeszcze zainstalowana:

    sudo yum install yum-utils

  2. Znajdź odpowiedni pakiet dla dystrybucji i wersji. Skorzystaj z poniższej tabeli, aby ułatwić ci znalezienie pakietu:

    Wersja & dystrybucji Pakiet
    Alma 8.4 i nowsze https://packages.microsoft.com/config/alma/8/prod.repo
    Alma 9.2 i nowsze https://packages.microsoft.com/config/alma/9/prod.repo
    RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo
    RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo
    RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo
    Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
    Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo
    Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo
    Rocky 8.7 i nowsze https://packages.microsoft.com/config/rocky/8/prod.repo
    Rocky 9.2 i nowsze https://packages.microsoft.com/config/rocky/9/prod.repo

    Uwaga

    W przypadku dystrybucji i wersji zidentyfikuj najbliższy wpis dla niego (według głównej, a następnie pomocniczej) w obszarze https://packages.microsoft.com/config/rhel/.

  3. W następujących poleceniach zastąp ciąg [version] i [channel] zidentyfikowanymi informacjami:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo

    Porada

    Użyj polecenia hostnamectl, aby zidentyfikować informacje związane z systemem, w tym wydanie [wersja].

    Jeśli na przykład używasz systemu CentOS 7 i chcesz wdrożyć usługę Defender for Endpoint w systemie Linux z kanału prod :

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo

    Jeśli chcesz eksplorować nowe funkcje na wybranych urządzeniach, możesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux na kanale insiders-fast:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo

  4. Zainstaluj klucz publiczny usługi Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

SLES i warianty

Uwaga

W przypadku dystrybucji i wersji zidentyfikuj najbliższy wpis dla niego (według głównej, a następnie pomocniczej) w obszarze https://packages.microsoft.com/config/sles/.

  1. W następujących poleceniach zastąp ciąg [dystrybucja] i [wersja] zidentyfikowanymi informacjami:

    sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

    Porada

    Użyj polecenia SPident, aby zidentyfikować informacje związane z systemem, w tym wydanie [wersja].

    Jeśli na przykład używasz protokołu SLES 12 i chcesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux z kanałuprod:

    sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  2. Zainstaluj klucz publiczny usługi Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

Systemy Ubuntu i Debian

  1. Zainstaluj curl , jeśli nie jest jeszcze zainstalowana:

    sudo apt-get install curl

  2. Zainstaluj libplist-utils , jeśli nie jest jeszcze zainstalowana:

    sudo apt-get install libplist-utils

    Uwaga

    W przypadku dystrybucji i wersji zidentyfikuj najbliższy wpis dla niego (według głównej, a następnie pomocniczej) w obszarze https://packages.microsoft.com/config/[distro]/.

  3. W poniższym poleceniu zastąp ciąg [dystrybucja] i [wersja] zidentyfikowanymi informacjami:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    Porada

    Użyj polecenia hostnamectl, aby zidentyfikować informacje związane z systemem, w tym wydanie [wersja].

    Jeśli na przykład używasz systemu Ubuntu 18.04 i chcesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux z kanałuprod:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  4. Zainstaluj konfigurację repozytorium:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    Jeśli na przykład wybrano prod kanał:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  5. Zainstaluj pakiet, gpg jeśli nie został jeszcze zainstalowany:

    sudo apt-get install gpg

    Jeśli gpg program nie jest dostępny, zainstaluj program gnupg.

    sudo apt-get install gnupg

  6. Zainstaluj klucz publiczny usługi Microsoft GPG:

    • W przypadku systemu Debian 11 lub starszego uruchom następujące polecenie.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

    • W przypadku systemu Debian 12 lub nowszego uruchom następujące polecenie.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  7. Zainstaluj sterownik HTTPS, jeśli nie został jeszcze zainstalowany:

    sudo apt-get install apt-transport-https

  8. Zaktualizuj metadane repozytorium:

    sudo apt-get update

Marynarz

  1. Zainstaluj dnf-plugins-core , jeśli nie jest jeszcze zainstalowana:

    sudo dnf install dnf-plugins-core

  2. Skonfiguruj i włącz wymagane repozytoria.

    Uwaga

    Na Mariner, Insider Fast Channel nie jest dostępny.

    Jeśli chcesz wdrożyć usługę Defender for Endpoint w systemie Linux z kanału prod . Użyj następujących poleceń

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    Jeśli chcesz też eksplorować nowe funkcje na wybranych urządzeniach, możesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux na kanale z wolnym dostępem do informacji poufnych. Użyj następujących poleceń:

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

Instalacja aplikacji

Użyj poleceń w poniższych sekcjach, aby zainstalować usługę Defender for Endpoint w dystrybucji systemu Linux.

RHEL i warianty (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky i Alma)

sudo yum install mdatp

Uwaga

Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production , jeśli na tym urządzeniu skonfigurowano również insiders-fast kanał repozytorium. Taka sytuacja może wystąpić, jeśli używasz wielu produktów firmy Microsoft na urządzeniu. W zależności od dystrybucji i wersji serwera alias repozytorium może być inny niż w poniższym przykładzie.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES i warianty

sudo zypper install mdatp

Uwaga

Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production , jeśli na tym urządzeniu skonfigurowano również insiders-fast kanał repozytorium. Taka sytuacja może wystąpić, jeśli używasz wielu produktów firmy Microsoft na urządzeniu.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Systemy Ubuntu i Debian

sudo apt-get install mdatp

Uwaga

Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production , jeśli na tym urządzeniu skonfigurowano również insiders-fast kanał repozytorium. Taka sytuacja może wystąpić, jeśli używasz wielu produktów firmy Microsoft na urządzeniu.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Uwaga

Ponowny rozruch nie jest wymagany po zainstalowaniu lub zaktualizowaniu Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux, z wyjątkiem sytuacji, gdy przeprowadzasz inspekcję w trybie niezmiennym.

Marynarz

sudo dnf install mdatp

Uwaga

Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production , jeśli na tym urządzeniu skonfigurowano również insiders-slow kanał repozytorium. Taka sytuacja może wystąpić, jeśli używasz wielu produktów firmy Microsoft na urządzeniu.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Pobieranie pakietu dołączania

Pobierz pakiet dołączania z portalu Microsoft Defender.

Ostrzeżenie

Ponowne pakowanie pakietu instalacyjnego usługi Defender for Endpoint nie jest obsługiwanym scenariuszem. Może to negatywnie wpłynąć na integralność produktu i prowadzić do niekorzystnych wyników, w tym między innymi do wyzwalania niestosowania alertów i aktualizacji powodujących naruszenie.

Ważna

Jeśli ten krok zostanie pominięty, każde wykonane polecenie wyświetli komunikat ostrzegawczy wskazujący, że produkt jest nielicencjonowany. mdatp health Również polecenie zwraca wartość false.

  1. W portalu Microsoft Defender przejdź do pozycji Ustawienia>Punkty końcowe>Dołączanie urządzeń dozarządzania urządzeniami>.

  2. W pierwszym menu rozwijanym wybierz pozycję Linux Server jako system operacyjny. W drugim menu rozwijanym wybierz pozycję Skrypt lokalny jako metodę wdrażania.

  3. Wybierz pozycję Pobierz pakiet dołączania. Zapisz plik jako WindowsDefenderATPOnboardingPackage.zip.

    Pobieranie pakietu dołączania w portalu Microsoft Defender

  4. W wierszu polecenia sprawdź, czy masz plik, i wyodrębnij zawartość archiwum:

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

Konfiguracja klienta

  1. Skopiuj MicrosoftDefenderATPOnboardingLinuxServer.py na urządzenie docelowe.

    Uwaga

    Początkowo urządzenie klienckie nie jest skojarzone z organizacją, a atrybut orgId jest pusty.

    mdatp health --field org_id

  2. Uruchom jeden z poniższych scenariuszy.

    Uwaga

    Aby uruchomić to polecenie, musisz mieć python lub python3 zainstalować na urządzeniu w zależności od dystrybucji i wersji. W razie potrzeby zobacz Instrukcje krok po kroku dotyczące instalowania języka Python w systemie Linux.

    Aby dołączyć urządzenie, które zostało wcześniej dołączone, należy usunąć plik mdatp_offboard.json znajdujący się pod adresem /etc/opt/microsoft/mdatp.

    Jeśli używasz systemu RHEL 8.x lub Ubuntu 20.04 lub nowszego, musisz użyć programu python3. Uruchom następujące polecenie:

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    W pozostałych dystrybucjach i wersjach należy użyć polecenia python. Uruchom następujące polecenie:

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. Sprawdź, czy urządzenie jest teraz skojarzone z Twoją organizacją i zgłosi prawidłowy identyfikator organizacji:

    mdatp health --field org_id

  4. Sprawdź stan kondycji produktu, uruchamiając następujące polecenie. Zwracana wartość true oznacza, że produkt działa zgodnie z oczekiwaniami:

    mdatp health --field healthy

    Ważna

    Gdy produkt zostanie uruchomiony po raz pierwszy, pobierze najnowsze definicje chroniące przed złośliwym oprogramowaniem. Ten proces może potrwać do kilku minut w zależności od łączności sieciowej. W tym czasie wymienione wcześniej polecenie zwraca wartość false. Stan aktualizacji definicji można sprawdzić za pomocą następującego polecenia:

    mdatp health --field definitions_status

    Może być również konieczne skonfigurowanie serwera proxy po zakończeniu instalacji początkowej. Zobacz Konfigurowanie usługi Defender dla punktu końcowego w systemie Linux w celu odnajdywania statycznego serwera proxy: konfiguracja po instalacji.

  5. Uruchom test wykrywania oprogramowania antywirusowego, aby sprawdzić, czy urządzenie jest prawidłowo dołączone i jest raportowane do usługi. Wykonaj następujące kroki na nowo dołączonym urządzeniu:

    1. Upewnij się, że ochrona w czasie rzeczywistym jest włączona (oznaczona wynikiem uruchomienia następującego true polecenia):

      mdatp health --field real_time_protection_enabled

      Jeśli nie jest włączona, wykonaj następujące polecenie:

      mdatp config real-time-protection --value enabled

    2. Aby uruchomić test wykrywania, otwórz okno Terminal. a następnie uruchom następujące polecenie:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Możesz uruchomić więcej testów wykrywania plików zip przy użyciu jednego z następujących poleceń:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

      Pliki powinny zostać poddane kwarantannie przez usługę Defender for Endpoint w systemie Linux.

    4. Użyj następującego polecenia, aby wyświetlić listę wszystkich wykrytych zagrożeń:

      mdatp threat list

  6. Uruchom test wykrywania EDR i symuluj wykrywanie, aby sprawdzić, czy urządzenie jest prawidłowo dołączone i raportuje do usługi. Wykonaj następujące kroki na nowo dołączonym urządzeniu:

    1. Sprawdź, czy dołączony serwer z systemem Linux jest wyświetlany w Microsoft Defender XDR. Jeśli jest to pierwsze dołączenie maszyny, jej wyświetlenie może potrwać do 20 minut.

    2. Pobierz i wyodrębnij plik skryptu na dołączony serwer z systemem Linux, a następnie uruchom następujące polecenie: ./mde_linux_edr_diy.sh

      Po kilku minutach należy podnieść wykrywanie w Microsoft Defender XDR.

    3. Przyjrzyj się szczegółom alertu, osi czasu maszyny i wykonaj typowe kroki badania.

Ochrona punktu końcowego w usłudze Microsoft Defender zależności pakietów zewnętrznych

Dla pakietu istnieją następujące zależności pakietów mdatp zewnętrznych:

  • Pakiet MDATP RPM wymaga glibc >= 2.17, , policycoreutils, selinux-policy-targetedmde-netfilter
  • W przypadku debiana pakiet mdatp wymaga libc6 >= 2.23, , uuid-runtimemde-netfilter
  • W przypadku programu Mariner pakiet mdatp wymaga attr, diffutils, libacl, libattr, libselinux-utils, selinux-policy, , policycoreutilsmde-netfilter

Uwaga

Począwszy od wersji 101.24082.0004, usługa Defender dla punktu końcowego w systemie Linux nie obsługuje Auditd już dostawcy zdarzeń. Całkowicie przechodzimy na bardziej wydajną technologię eBPF. Jeśli platforma eBPF nie jest obsługiwana na maszynach lub jeśli istnieją określone wymagania dotyczące zachowania inspekcji, a maszyny korzystają z usługi Defender for Endpoint w wersji systemu Linux lub niższej 101.24072.0001 , istnieją następujące inne zależności od pakietu z inspekcją dla mdatp:

  • Pakiet MDATP RPM wymaga audit, semanage.
  • W przypadku debiana pakiet mdatp wymaga polecenia auditd.
  • W przypadku programu Mariner pakiet mdatp wymaga polecenia audit.

Pakiet mde-netfilter ma również następujące zależności pakietów:

  • W przypadku debiana mde-netfilter pakiet wymaga polecenia libnetfilter-queue1, libglib2.0-0
  • W przypadku modułu mde-netfilter RPM pakiet wymaga libmnl, , libnfnetlink, libnetfilter_queueglib2
  • W przypadku programu Mariner mde-netfilter pakiet wymaga polecenia libnfnetlink, libnetfilter_queue

Jeśli instalacja Ochrona punktu końcowego w usłudze Microsoft Defender zakończy się niepowodzeniem z powodu błędów braku zależności, możesz ręcznie pobrać zależności wymagań wstępnych.

Rozwiąż problemy z instalacją

Jak przełączać się między kanałami

Aby na przykład zmienić kanał z Insiders-Fast na Produkcyjny, wykonaj następujące czynności:

  1. Odinstaluj Insiders-Fast channel wersję usługi Defender for Endpoint w systemie Linux.

    sudo yum remove mdatp

  2. Wyłączanie usługi Defender dla punktu końcowego w kanale Insiders-Fast systemu Linux

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Zainstaluj ponownie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux przy użyciu Production channelpolecenia i dołącz urządzenie w portalu Microsoft Defender.

Jak skonfigurować zasady dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

Ustawienia oprogramowania antywirusowego i EDR można skonfigurować w punktach końcowych. Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

Odinstalowywanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

Aby ręcznie odinstalować, wykonaj następujące polecenie dla dystrybucji systemu Linux.

  • sudo yum remove mdatp dla RHEL i wariantów (CentOS i Oracle Linux).
  • sudo zypper remove mdatp dla SLES i wariantów.
  • sudo apt-get purge mdatp systemów Ubuntu i Debian.
  • sudo dnf remove mdatp dla marynarza

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.