Ręczne wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux
Dotyczy:
- serwer Ochrona punktu końcowego w usłudze Microsoft Defender
- Microsoft Defender dla serwerów
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Porada
Szukasz zaawansowanych wskazówek dotyczących wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux? Zobacz Przewodnik wdrażania zaawansowanego w usłudze Defender for Endpoint w systemie Linux.
W tym artykule opisano sposób ręcznego wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux. Pomyślne wdrożenie wymaga wykonania wszystkich następujących zadań:
- Wymagania wstępne i wymagania systemowe
- Konfigurowanie repozytorium oprogramowania systemu Linux
- Instalacja aplikacji
- Pobieranie pakietu dołączania
- Konfiguracja klienta
Wymagania wstępne i wymagania systemowe
Przed rozpoczęciem zobacz Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux, aby zapoznać się z opisem wymagań wstępnych i wymagań systemowych dotyczących bieżącej wersji oprogramowania.
Ostrzeżenie
Uaktualnienie systemu operacyjnego do nowej wersji głównej po zainstalowaniu produktu wymaga ponownej instalacji produktu. Należy odinstalować istniejącą usługę Defender for Endpoint w systemie Linux, uaktualnić system operacyjny, a następnie ponownie skonfigurować usługę Defender dla punktu końcowego w systemie Linux, wykonując poniższe kroki.
Konfigurowanie repozytorium oprogramowania systemu Linux
Usługę Defender for Endpoint w systemie Linux można wdrożyć z jednego z następujących kanałów (oznaczonego jako [channel]): insiders-fast, insiders-slow lub prod
. Każdy z tych kanałów odpowiada repozytorium oprogramowania systemu Linux. Instrukcje w tym artykule opisują konfigurowanie urządzenia do korzystania z jednego z tych repozytoriów.
Wybór kanału określa typ i częstotliwość aktualizacji oferowanych urządzeniu. Urządzenia w insiders-fast są pierwszymi, które otrzymują aktualizacje i nowe funkcje, a następnie insiders-slow i wreszcie przez prod
.
Aby zapoznać się z nowymi funkcjami i przekazać wczesne opinie, zaleca się skonfigurowanie niektórych urządzeń w przedsiębiorstwie tak, aby korzystały z funkcji insiders-fast lub insiders-slow.
Ostrzeżenie
Przełączenie kanału po początkowej instalacji wymaga ponownej instalacji produktu. Aby przełączyć kanał produktu: odinstaluj istniejący pakiet, skonfiguruj urządzenie tak, aby korzystało z nowego kanału, i wykonaj kroki opisane w tym dokumencie, aby zainstalować pakiet z nowej lokalizacji.
RHEL i warianty (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky i Alma)
Zainstaluj
yum-utils
, jeśli nie jest jeszcze zainstalowana:sudo yum install yum-utils
Znajdź odpowiedni pakiet dla dystrybucji i wersji. Skorzystaj z poniższej tabeli, aby ułatwić ci znalezienie pakietu:
Wersja & dystrybucji Pakiet Alma 8.4 i nowsze https://packages.microsoft.com/config/alma/8/prod.repo Alma 9.2 i nowsze https://packages.microsoft.com/config/alma/9/prod.repo RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo Rocky 8.7 i nowsze https://packages.microsoft.com/config/rocky/8/prod.repo Rocky 9.2 i nowsze https://packages.microsoft.com/config/rocky/9/prod.repo Uwaga
W przypadku dystrybucji i wersji zidentyfikuj najbliższy wpis dla niego (według głównej, a następnie pomocniczej) w obszarze
https://packages.microsoft.com/config/rhel/
.W następujących poleceniach zastąp ciąg [version] i [channel] zidentyfikowanymi informacjami:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
Porada
Użyj polecenia hostnamectl, aby zidentyfikować informacje związane z systemem, w tym wydanie [wersja].
Jeśli na przykład używasz systemu CentOS 7 i chcesz wdrożyć usługę Defender for Endpoint w systemie Linux z kanału
prod
:sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
Jeśli chcesz eksplorować nowe funkcje na wybranych urządzeniach, możesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux na kanale insiders-fast:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
Zainstaluj klucz publiczny usługi Microsoft GPG:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
SLES i warianty
Uwaga
W przypadku dystrybucji i wersji zidentyfikuj najbliższy wpis dla niego (według głównej, a następnie pomocniczej) w obszarze https://packages.microsoft.com/config/sles/
.
W następujących poleceniach zastąp ciąg [dystrybucja] i [wersja] zidentyfikowanymi informacjami:
sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
Porada
Użyj polecenia SPident, aby zidentyfikować informacje związane z systemem, w tym wydanie [wersja].
Jeśli na przykład używasz protokołu SLES 12 i chcesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux z kanału
prod
:sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
Zainstaluj klucz publiczny usługi Microsoft GPG:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
Systemy Ubuntu i Debian
Zainstaluj
curl
, jeśli nie jest jeszcze zainstalowana:sudo apt-get install curl
Zainstaluj
libplist-utils
, jeśli nie jest jeszcze zainstalowana:sudo apt-get install libplist-utils
Uwaga
W przypadku dystrybucji i wersji zidentyfikuj najbliższy wpis dla niego (według głównej, a następnie pomocniczej) w obszarze
https://packages.microsoft.com/config/[distro]/
.W poniższym poleceniu zastąp ciąg [dystrybucja] i [wersja] zidentyfikowanymi informacjami:
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
Porada
Użyj polecenia hostnamectl, aby zidentyfikować informacje związane z systemem, w tym wydanie [wersja].
Jeśli na przykład używasz systemu Ubuntu 18.04 i chcesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux z kanału
prod
:curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
Zainstaluj konfigurację repozytorium:
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
Jeśli na przykład wybrano
prod
kanał:sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
Zainstaluj pakiet,
gpg
jeśli nie został jeszcze zainstalowany:sudo apt-get install gpg
Jeśli
gpg
program nie jest dostępny, zainstaluj programgnupg
.sudo apt-get install gnupg
Zainstaluj klucz publiczny usługi Microsoft GPG:
W przypadku systemu Debian 11 lub starszego uruchom następujące polecenie.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
W przypadku systemu Debian 12 lub nowszego uruchom następujące polecenie.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
Zainstaluj sterownik HTTPS, jeśli nie został jeszcze zainstalowany:
sudo apt-get install apt-transport-https
Zaktualizuj metadane repozytorium:
sudo apt-get update
Marynarz
Zainstaluj
dnf-plugins-core
, jeśli nie jest jeszcze zainstalowana:sudo dnf install dnf-plugins-core
Skonfiguruj i włącz wymagane repozytoria.
Uwaga
Na Mariner, Insider Fast Channel nie jest dostępny.
Jeśli chcesz wdrożyć usługę Defender for Endpoint w systemie Linux z kanału
prod
. Użyj następujących poleceńsudo dnf install mariner-repos-extras sudo dnf config-manager --enable mariner-official-extras
Jeśli chcesz też eksplorować nowe funkcje na wybranych urządzeniach, możesz wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux na kanale z wolnym dostępem do informacji poufnych. Użyj następujących poleceń:
sudo dnf install mariner-repos-extras-preview sudo dnf config-manager --enable mariner-official-extras-preview
Instalacja aplikacji
Użyj poleceń w poniższych sekcjach, aby zainstalować usługę Defender for Endpoint w dystrybucji systemu Linux.
RHEL i warianty (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky i Alma)
sudo yum install mdatp
Uwaga
Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production
, jeśli na tym urządzeniu skonfigurowano również insiders-fast
kanał repozytorium. Taka sytuacja może wystąpić, jeśli używasz wielu produktów firmy Microsoft na urządzeniu. W zależności od dystrybucji i wersji serwera alias repozytorium może być inny niż w poniższym przykładzie.
# list all repositories
yum repolist
...
packages-microsoft-com-prod packages-microsoft-com-prod 316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins 2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
SLES i warianty
sudo zypper install mdatp
Uwaga
Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production
, jeśli na tym urządzeniu skonfigurowano również insiders-fast
kanał repozytorium. Taka sytuacja może wystąpić, jeśli używasz wielu produktów firmy Microsoft na urządzeniu.
zypper repos
...
# | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp
Systemy Ubuntu i Debian
sudo apt-get install mdatp
Uwaga
Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production
, jeśli na tym urządzeniu skonfigurowano również insiders-fast
kanał repozytorium. Taka sytuacja może wystąpić, jeśli używasz wielu produktów firmy Microsoft na urządzeniu.
cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp
Uwaga
Ponowny rozruch nie jest wymagany po zainstalowaniu lub zaktualizowaniu Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux, z wyjątkiem sytuacji, gdy przeprowadzasz inspekcję w trybie niezmiennym.
Marynarz
sudo dnf install mdatp
Uwaga
Jeśli na urządzeniu skonfigurowano wiele repozytoriów firmy Microsoft, możesz określić, z którego repozytorium zainstalować pakiet. W poniższym przykładzie pokazano, jak zainstalować pakiet z kanału production
, jeśli na tym urządzeniu skonfigurowano również insiders-slow
kanał repozytorium. Taka sytuacja może wystąpić, jeśli używasz wielu produktów firmy Microsoft na urządzeniu.
sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras
Pobieranie pakietu dołączania
Pobierz pakiet dołączania z portalu Microsoft Defender.
Ostrzeżenie
Ponowne pakowanie pakietu instalacyjnego usługi Defender for Endpoint nie jest obsługiwanym scenariuszem. Może to negatywnie wpłynąć na integralność produktu i prowadzić do niekorzystnych wyników, w tym między innymi do wyzwalania niestosowania alertów i aktualizacji powodujących naruszenie.
Ważna
Jeśli ten krok zostanie pominięty, każde wykonane polecenie wyświetli komunikat ostrzegawczy wskazujący, że produkt jest nielicencjonowany.
mdatp health
Również polecenie zwraca wartość false
.
W portalu Microsoft Defender przejdź do pozycji Ustawienia>Punkty końcowe>Dołączanie urządzeń dozarządzania urządzeniami>.
W pierwszym menu rozwijanym wybierz pozycję Linux Server jako system operacyjny. W drugim menu rozwijanym wybierz pozycję Skrypt lokalny jako metodę wdrażania.
Wybierz pozycję Pobierz pakiet dołączania. Zapisz plik jako
WindowsDefenderATPOnboardingPackage.zip
.W wierszu polecenia sprawdź, czy masz plik, i wyodrębnij zawartość archiwum:
ls -l
total 8 -rw-r--r-- 1 test staff 5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
unzip WindowsDefenderATPOnboardingPackage.zip
Archive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
Konfiguracja klienta
Skopiuj
MicrosoftDefenderATPOnboardingLinuxServer.py
na urządzenie docelowe.Uwaga
Początkowo urządzenie klienckie nie jest skojarzone z organizacją, a atrybut orgId jest pusty.
mdatp health --field org_id
Uruchom jeden z poniższych scenariuszy.
Uwaga
Aby uruchomić to polecenie, musisz mieć
python
lubpython3
zainstalować na urządzeniu w zależności od dystrybucji i wersji. W razie potrzeby zobacz Instrukcje krok po kroku dotyczące instalowania języka Python w systemie Linux.Aby dołączyć urządzenie, które zostało wcześniej dołączone, należy usunąć plik mdatp_offboard.json znajdujący się pod adresem /etc/opt/microsoft/mdatp.
Jeśli używasz systemu RHEL 8.x lub Ubuntu 20.04 lub nowszego, musisz użyć programu
python3
. Uruchom następujące polecenie:sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
W pozostałych dystrybucjach i wersjach należy użyć polecenia
python
. Uruchom następujące polecenie:sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
Sprawdź, czy urządzenie jest teraz skojarzone z Twoją organizacją i zgłosi prawidłowy identyfikator organizacji:
mdatp health --field org_id
Sprawdź stan kondycji produktu, uruchamiając następujące polecenie. Zwracana wartość
true
oznacza, że produkt działa zgodnie z oczekiwaniami:mdatp health --field healthy
Ważna
Gdy produkt zostanie uruchomiony po raz pierwszy, pobierze najnowsze definicje chroniące przed złośliwym oprogramowaniem. Ten proces może potrwać do kilku minut w zależności od łączności sieciowej. W tym czasie wymienione wcześniej polecenie zwraca wartość
false
. Stan aktualizacji definicji można sprawdzić za pomocą następującego polecenia:mdatp health --field definitions_status
Może być również konieczne skonfigurowanie serwera proxy po zakończeniu instalacji początkowej. Zobacz Konfigurowanie usługi Defender dla punktu końcowego w systemie Linux w celu odnajdywania statycznego serwera proxy: konfiguracja po instalacji.
Uruchom test wykrywania oprogramowania antywirusowego, aby sprawdzić, czy urządzenie jest prawidłowo dołączone i jest raportowane do usługi. Wykonaj następujące kroki na nowo dołączonym urządzeniu:
Upewnij się, że ochrona w czasie rzeczywistym jest włączona (oznaczona wynikiem uruchomienia następującego
true
polecenia):mdatp health --field real_time_protection_enabled
Jeśli nie jest włączona, wykonaj następujące polecenie:
mdatp config real-time-protection --value enabled
Aby uruchomić test wykrywania, otwórz okno Terminal. a następnie uruchom następujące polecenie:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
Możesz uruchomić więcej testów wykrywania plików zip przy użyciu jednego z następujących poleceń:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
Pliki powinny zostać poddane kwarantannie przez usługę Defender for Endpoint w systemie Linux.
Użyj następującego polecenia, aby wyświetlić listę wszystkich wykrytych zagrożeń:
mdatp threat list
Uruchom test wykrywania EDR i symuluj wykrywanie, aby sprawdzić, czy urządzenie jest prawidłowo dołączone i raportuje do usługi. Wykonaj następujące kroki na nowo dołączonym urządzeniu:
Sprawdź, czy dołączony serwer z systemem Linux jest wyświetlany w Microsoft Defender XDR. Jeśli jest to pierwsze dołączenie maszyny, jej wyświetlenie może potrwać do 20 minut.
Pobierz i wyodrębnij plik skryptu na dołączony serwer z systemem Linux, a następnie uruchom następujące polecenie:
./mde_linux_edr_diy.sh
Po kilku minutach należy podnieść wykrywanie w Microsoft Defender XDR.
Przyjrzyj się szczegółom alertu, osi czasu maszyny i wykonaj typowe kroki badania.
Ochrona punktu końcowego w usłudze Microsoft Defender zależności pakietów zewnętrznych
Dla pakietu istnieją następujące zależności pakietów mdatp
zewnętrznych:
- Pakiet MDATP RPM wymaga
glibc >= 2.17
, ,policycoreutils
,selinux-policy-targeted
mde-netfilter
- W przypadku debiana pakiet mdatp wymaga
libc6 >= 2.23
, ,uuid-runtime
mde-netfilter
- W przypadku programu Mariner pakiet mdatp wymaga
attr
,diffutils
,libacl
,libattr
,libselinux-utils
,selinux-policy
, ,policycoreutils
mde-netfilter
Uwaga
Począwszy od wersji 101.24082.0004
, usługa Defender dla punktu końcowego w systemie Linux nie obsługuje Auditd
już dostawcy zdarzeń. Całkowicie przechodzimy na bardziej wydajną technologię eBPF.
Jeśli platforma eBPF nie jest obsługiwana na maszynach lub jeśli istnieją określone wymagania dotyczące zachowania inspekcji, a maszyny korzystają z usługi Defender for Endpoint w wersji systemu Linux lub niższej 101.24072.0001
, istnieją następujące inne zależności od pakietu z inspekcją dla mdatp:
- Pakiet MDATP RPM wymaga
audit
,semanage
. - W przypadku debiana pakiet mdatp wymaga polecenia
auditd
. - W przypadku programu Mariner pakiet mdatp wymaga polecenia
audit
.
Pakiet mde-netfilter
ma również następujące zależności pakietów:
- W przypadku debiana
mde-netfilter
pakiet wymaga polecenialibnetfilter-queue1
,libglib2.0-0
- W przypadku modułu
mde-netfilter
RPM pakiet wymagalibmnl
, ,libnfnetlink
,libnetfilter_queue
glib2
- W przypadku programu Mariner
mde-netfilter
pakiet wymaga polecenialibnfnetlink
,libnetfilter_queue
Jeśli instalacja Ochrona punktu końcowego w usłudze Microsoft Defender zakończy się niepowodzeniem z powodu błędów braku zależności, możesz ręcznie pobrać zależności wymagań wstępnych.
Rozwiąż problemy z instalacją
Aby uzyskać szczegółowe informacje na temat znajdowania dziennika wygenerowanego po wystąpieniu błędu instalacji, zobacz Problemy z instalacją dziennika.
Aby uzyskać informacje o typowych problemach z instalacją, zobacz Problemy z instalacją.
Jeśli kondycja urządzenia jest fałszywa, zobacz Badanie problemów z kondycją agenta.
Aby uzyskać informacje o problemach z wydajnością produktów, zobacz Rozwiązywanie problemów z wydajnością Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.
Aby uzyskać informacje o problemach z serwerem proxy i łącznością, zobacz Rozwiązywanie problemów z łącznością w chmurze dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.
Aby uzyskać pomoc techniczną od firmy Microsoft, otwórz bilet pomocy technicznej i podaj pliki dziennika utworzone przy użyciu narzędzia analizatora klienta Ochrona punktu końcowego w usłudze Microsoft Defender.
Jak przełączać się między kanałami
Aby na przykład zmienić kanał z Insiders-Fast na Produkcyjny, wykonaj następujące czynności:
Odinstaluj
Insiders-Fast channel
wersję usługi Defender for Endpoint w systemie Linux.sudo yum remove mdatp
Wyłączanie usługi Defender dla punktu końcowego w kanale Insiders-Fast systemu Linux
sudo yum-config-manager --disable packages-microsoft-com-fast-prod
Zainstaluj ponownie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux przy użyciu
Production channel
polecenia i dołącz urządzenie w portalu Microsoft Defender.
Jak skonfigurować zasady dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux
Ustawienia oprogramowania antywirusowego i EDR można skonfigurować w punktach końcowych. Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:
- Ustawienie preferencji dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux opisuje dostępne ustawienia
- Zarządzanie ustawieniami zabezpieczeń opisuje sposób konfigurowania ustawień w portalu Microsoft Defender.
Odinstalowywanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux
Aby ręcznie odinstalować, wykonaj następujące polecenie dla dystrybucji systemu Linux.
-
sudo yum remove mdatp
dla RHEL i wariantów (CentOS i Oracle Linux). -
sudo zypper remove mdatp
dla SLES i wariantów. -
sudo apt-get purge mdatp
systemów Ubuntu i Debian. -
sudo dnf remove mdatp
dla marynarza
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.