Implementar Microsoft Defender para Ponto de Extremidade no Linux manualmente
Aplica-se a:
- Microsoft Defender para Ponto de Extremidade para servidores
- Microsoft Defender para Servidores Plano 1 ou Plano 2
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Este artigo descreve como implementar Microsoft Defender para Ponto de Extremidade manualmente no Linux. Uma implementação bem-sucedida requer a conclusão de todas as seguintes tarefas:
- Pré-requisitos e requisitos de sistema
- Configurar o repositório de software linux
- Instalação do aplicativo
- Transferir o pacote de inclusão
- Configuração do cliente
Pré-requisitos e requisitos de sistema
Antes de começar, consulte Microsoft Defender para Ponto de Extremidade no Linux para obter uma descrição dos pré-requisitos e requisitos de sistema para a versão atual do software.
Aviso
Atualizar o sistema operativo para uma nova versão principal após a instalação do produto requer a reinstalação do produto. Tem de Desinstalar o Defender para Endpoint existente no Linux, atualizar o sistema operativo e, em seguida, reconfigurar o Defender para Endpoint no Linux ao seguir os passos abaixo.
Configurar o repositório de software linux
O Defender para Endpoint no Linux pode ser implementado a partir de um dos seguintes canais (indicado como [canal]): insiders-fast, insiders-slow ou prod
. Cada um destes canais corresponde a um repositório de software Linux. As instruções neste artigo descrevem a configuração do dispositivo para utilizar um destes repositórios.
A escolha do canal determina o tipo e a frequência das atualizações que são oferecidas ao seu dispositivo. Os dispositivos no insider-fast são os primeiros a receber atualizações e novas funcionalidades, seguidos posteriormente por insiders-slow e por último por prod
.
Para pré-visualizar as novas funcionalidades e fornecer feedback antecipado, recomenda-se que configure alguns dispositivos na sua empresa para utilizarem insiders fast ou insiders-slow.
Aviso
Mudar o canal após a instalação inicial requer que o produto seja reinstalado. Para mudar o canal de produto: desinstale o pacote existente, reconfigure o seu dispositivo para utilizar o novo canal e siga os passos neste documento para instalar o pacote a partir da nova localização.
RHEL e variantes (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky e Alma)
Instale
yum-utils
se ainda não estiver instalado:sudo yum install yum-utils
Localize o pacote correto para a sua distribuição e versão. Utilize a tabela seguinte para ajudar a orientá-lo na localização do pacote:
Distribuição & versão Pacote Alma 8.4 e superior https://packages.microsoft.com/config/alma/8/prod.repo Alma 9.2 e superior https://packages.microsoft.com/config/alma/9/prod.repo RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo Rocky 8.7 e superior https://packages.microsoft.com/config/rocky/8/prod.repo Rocky 9.2 e superior https://packages.microsoft.com/config/rocky/9/prod.repo Observação
Para a sua distribuição e versão, identifique a entrada mais próxima da mesma (por principal e, em seguida, menor) em
https://packages.microsoft.com/config/rhel/
.Nos seguintes comandos, substitua [versão] e [canal] pelas informações que identificou:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
Dica
Utilize o comando hostnamectl para identificar informações relacionadas com o sistema, incluindo a versão [versão].
Por exemplo, se estiver a executar o CentOS 7 e quiser implementar o Defender para Endpoint no Linux a
prod
partir do canal:sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
Em alternativa, se quiser explorar novas funcionalidades em dispositivos selecionados, poderá querer implementar Microsoft Defender para Ponto de Extremidade no Linux para o canal insider-fast:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
Instale a chave pública do Microsoft GPG:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
SLES e variantes
Observação
Para a sua distribuição e versão, identifique a entrada mais próxima da mesma (por principal e, em seguida, menor) em https://packages.microsoft.com/config/sles/
.
Nos seguintes comandos, substitua [distro] e [versão] pelas informações que identificou:
sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
Dica
Utilize o comando SPident para identificar informações relacionadas com o sistema, incluindo a versão [versão].
Por exemplo, se estiver a executar o SLES 12 e quiser implementar Microsoft Defender para Ponto de Extremidade no Linux a
prod
partir do canal:sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
Instale a chave pública do Microsoft GPG:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
Sistemas Ubuntu e Debian
Instale
curl
se ainda não estiver instalado:sudo apt-get install curl
Instale
libplist-utils
se ainda não estiver instalado:sudo apt-get install libplist-utils
Observação
Para a sua distribuição e versão, identifique a entrada mais próxima da mesma (por principal e, em seguida, menor) em
https://packages.microsoft.com/config/[distro]/
.No seguinte comando, substitua [distro] e [version] pelas informações que identificou:
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
Dica
Utilize o comando hostnamectl para identificar informações relacionadas com o sistema, incluindo a versão [versão].
Por exemplo, se estiver a executar o Ubuntu 18.04 e quiser implementar Microsoft Defender para Ponto de Extremidade no Linux a
prod
partir do canal:curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
Instale a configuração do repositório:
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
Por exemplo, se tiver escolhido
prod
o canal:sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
Instale o
gpg
pacote se ainda não estiver instalado:sudo apt-get install gpg
Se
gpg
não estiver disponível, instalegnupg
.sudo apt-get install gnupg
Instale a chave pública do Microsoft GPG:
Para Debian 11 e anterior, execute o seguinte comando.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
Para Debian 12 e posterior, execute o seguinte comando.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
Instale o controlador HTTPS se ainda não estiver instalado:
sudo apt-get install apt-transport-https
Atualize os metadados do repositório:
sudo apt-get update
Mariner
Instale
dnf-plugins-core
se ainda não estiver instalado:sudo dnf install dnf-plugins-core
Configure e ative os repositórios necessários.
Observação
No Mariner, o Insider Fast Channel não está disponível.
Se quiser implementar o Defender para Endpoint no Linux a
prod
partir do canal. Utilize os seguintes comandossudo dnf install mariner-repos-extras sudo dnf config-manager --enable mariner-official-extras
Em alternativa, se quiser explorar novas funcionalidades em dispositivos selecionados, poderá querer implementar Microsoft Defender para Ponto de Extremidade no Linux no canal insider-slow. Utilize os seguintes comandos:
sudo dnf install mariner-repos-extras-preview sudo dnf config-manager --enable mariner-official-extras-preview
Instalação do aplicativo
Utilize os comandos nas secções seguintes para instalar o Defender para Endpoint na sua distribuição do Linux.
RHEL e variantes (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky e Alma)
sudo yum install mdatp
Observação
Se tiver vários repositórios da Microsoft configurados no seu dispositivo, pode ser específico sobre qual o repositório a partir do qual instalar o pacote. O exemplo seguinte mostra como instalar o pacote a production
partir do canal se também tiver o canal de insiders-fast
repositório configurado neste dispositivo. Esta situação pode ocorrer se estiver a utilizar vários produtos Microsoft no seu dispositivo. Consoante a distribuição e a versão do servidor, o alias do repositório pode ser diferente do do exemplo seguinte.
# list all repositories
yum repolist
...
packages-microsoft-com-prod packages-microsoft-com-prod 316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins 2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
SLES e variantes
sudo zypper install mdatp
Observação
Se tiver vários repositórios da Microsoft configurados no seu dispositivo, pode ser específico sobre qual o repositório a partir do qual instalar o pacote. O exemplo seguinte mostra como instalar o pacote a production
partir do canal se também tiver o canal de insiders-fast
repositório configurado neste dispositivo. Esta situação pode ocorrer se estiver a utilizar vários produtos Microsoft no seu dispositivo.
zypper repos
...
# | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp
Sistemas Ubuntu e Debian
sudo apt-get install mdatp
Observação
Se tiver vários repositórios da Microsoft configurados no seu dispositivo, pode ser específico sobre qual o repositório a partir do qual instalar o pacote. O exemplo seguinte mostra como instalar o pacote a production
partir do canal se também tiver o canal de insiders-fast
repositório configurado neste dispositivo. Esta situação pode ocorrer se estiver a utilizar vários produtos Microsoft no seu dispositivo.
cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp
Observação
Os reinícios NÃO são necessários após instalar ou atualizar Microsoft Defender para Ponto de Extremidade no Linux, exceto quando estiver a executar o auditD no modo imutável.
Mariner
sudo dnf install mdatp
Observação
Se tiver vários repositórios da Microsoft configurados no seu dispositivo, pode ser específico sobre qual o repositório a partir do qual instalar o pacote. O exemplo seguinte mostra como instalar o pacote a production
partir do canal se também tiver o canal de insiders-slow
repositório configurado neste dispositivo. Esta situação pode ocorrer se estiver a utilizar vários produtos Microsoft no seu dispositivo.
sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras
Transferir o pacote de inclusão
Transfira o pacote de inclusão a partir do portal do Microsoft Defender.
Aviso
Reembalar o pacote de instalação do Defender para Endpoint não é um cenário suportado. Fazê-lo pode afetar negativamente a integridade do produto e levar a resultados adversos, incluindo, mas não se limitando a acionar alertas de adulteração e atualizações que não se aplicam.
Importante
Se perder este passo, qualquer comando executado mostra uma mensagem de aviso a indicar que o produto não está licenciado. Além disso, o mdatp health
comando devolve um valor de false
.
No portal Microsoft Defender, aceda a Definições Pontos Finais>Gestão> dedispositivos>Integração.
No primeiro menu pendente, selecione Servidor Linux como o sistema operativo. No segundo menu pendente, selecione Script Local como método de implementação.
Selecione Baixar pacote de integração. Guarde o ficheiro como
WindowsDefenderATPOnboardingPackage.zip
.Numa linha de comandos, verifique se tem o ficheiro e extraia o conteúdo do arquivo:
ls -l
total 8 -rw-r--r-- 1 test staff 5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
unzip WindowsDefenderATPOnboardingPackage.zip
Archive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
Configuração do cliente
Copie
MicrosoftDefenderATPOnboardingLinuxServer.py
para o dispositivo de destino.Observação
Inicialmente, o dispositivo cliente não está associado a uma organização e o atributo orgId está em branco.
mdatp health --field org_id
Execute um dos cenários abaixo.
Observação
Para executar este comando, tem de ter
python
oupython3
instalado no dispositivo, consoante a distribuição e a versão. Se necessário, veja Instruções passo a passo para Instalar o Python no Linux.Para integrar um dispositivo que estava anteriormente offboard, tem de remover o ficheiro de mdatp_offboard.json localizado em /etc/opt/microsoft/mdatp.
Se estiver a executar o RHEL 8.x ou Ubuntu 20.04 ou superior, tem de utilizar
python3
. Execute o seguinte comando:sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
Para o resto das distribuições e versões, tem de utilizar
python
. Execute o seguinte comando:sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
Verifique se o dispositivo está agora associado à sua organização e reporte um identificador de organização válido:
mdatp health --field org_id
Verifique o estado de funcionamento status do produto ao executar o seguinte comando. Um valor devolvido de
true
indica que o produto está a funcionar conforme esperado:mdatp health --field healthy
Importante
Quando o produto é iniciado pela primeira vez, transfere as definições antimalware mais recentes. Este processo pode demorar alguns minutos, consoante a conectividade de rede. Durante este período, o comando mencionado anteriormente devolve um valor de
false
. Pode marcar a status da atualização de definições com o seguinte comando:mdatp health --field definitions_status
Também poderá ter de configurar um proxy depois de concluir a instalação inicial. Veja Configurar o Defender para Endpoint no Linux para deteção de proxy estático: Configuração pós-instalação.
Execute um teste de deteção de antivírus para verificar se o dispositivo está corretamente integrado e a reportar ao serviço. Execute os seguintes passos no dispositivo recentemente integrado:
Certifique-se de que a proteção em tempo real está ativada (indicada por um resultado da
true
execução do seguinte comando):mdatp health --field real_time_protection_enabled
Se não estiver ativado, execute o seguinte comando:
mdatp config real-time-protection --value enabled
Para executar um teste de deteção, abra uma janela terminal. e, em seguida, execute o seguinte comando:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
Pode executar mais testes de deteção em ficheiros zip com um dos seguintes comandos:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
Os ficheiros devem ser colocados em quarentena pelo Defender para Endpoint no Linux.
Utilize o seguinte comando para listar todas as ameaças detetadas:
mdatp threat list
Execute um teste de deteção EDR e simule uma deteção para verificar se o dispositivo está corretamente integrado e a reportar ao serviço. Execute os seguintes passos no dispositivo recentemente integrado:
Verifique se o servidor Linux integrado aparece no Microsoft Defender XDR. Se esta for a primeira integração da máquina, pode demorar até 20 minutos até aparecer.
Transfira e extraia o ficheiro de script para um servidor Linux integrado e, em seguida, execute o seguinte comando:
./mde_linux_edr_diy.sh
Após alguns minutos, deve ser criada uma deteção no Microsoft Defender XDR.
Observe os detalhes do alerta, o computador linha do tempo e execute os passos típicos de investigação.
Microsoft Defender para Ponto de Extremidade empacotar dependências de pacotes externos
Existem as seguintes dependências de pacotes externos para o mdatp
pacote:
- O pacote Mdatp RPM requer
glibc >= 2.17
, ,policycoreutils
,selinux-policy-targeted
mde-netfilter
- Para DEBIAN, o pacote mdatp requer
libc6 >= 2.23
, ,uuid-runtime
mde-netfilter
- Para Mariner, o pacote mdatp requer
attr
,diffutils
, ,libacl
,libselinux-utils
libattr
,selinux-policy
, ,policycoreutils
mde-netfilter
Observação
A partir da versão 101.24082.0004
, o Defender para Endpoint no Linux já não suporta o Auditd
fornecedor de eventos. Estamos a transitar completamente para a tecnologia eBPF mais eficiente.
Se o eBPF não for suportado nos computadores ou se existirem requisitos específicos para permanecer em Auditado e os computadores estiverem a utilizar o Defender para Endpoint na versão 101.24072.0001
do Linux ou inferior, existem as seguintes outras dependências no pacote auditado para mdatp:
- O pacote Mdatp RPM requer
audit
,semanage
. - Para o DEBIAN, o pacote mdatp requer
auditd
. - Para o Mariner, o pacote mdatp requer
audit
.
O mde-netfilter
pacote também tem as seguintes dependências de pacote:
- Para o DEBIAN, o
mde-netfilter
pacote requerlibnetfilter-queue1
,libglib2.0-0
- Para o RPM, o
mde-netfilter
pacote requerlibmnl
, ,libnfnetlink
,libnetfilter_queue
glib2
- Para o Mariner, o
mde-netfilter
pacote requerlibnfnetlink
,libnetfilter_queue
Se a instalação do Microsoft Defender para Ponto de Extremidade falhar devido a erros de dependências em falta, pode transferir manualmente as dependências de pré-requisitos.
Solucionar problemas de instalação
Se tiver problemas de instalação, para resolução automática de problemas, siga estes passos:
Para obter informações sobre como localizar o registo gerado automaticamente quando ocorre um erro de instalação, veja Problemas de instalação de registos.
Para obter informações sobre problemas comuns de instalação, veja Problemas de instalação.
Se o estado de funcionamento do dispositivo for
false
, consulte Problemas de estado de funcionamento do agente do Defender para Endpoint.Para problemas de desempenho do produto, veja Resolver problemas de desempenho.
Para problemas de proxy e conectividade, veja Resolver problemas de conectividade da cloud.
Para obter suporte da Microsoft, abra um pedido de suporte e forneça os ficheiros de registo criados com o analisador de cliente.
Como alternar entre canais
Por exemplo, para alterar o canal de Insiders-Fast para Produção, faça o seguinte:
Desinstale a
Insiders-Fast channel
versão do Defender para Endpoint no Linux.sudo yum remove mdatp
Desativar o Defender para Endpoint no canal de Insiders-Fast do Linux
sudo yum-config-manager --disable packages-microsoft-com-fast-prod
Reinstale Microsoft Defender para Ponto de Extremidade no Linux com o
Production channel
e integre o dispositivo no portal do Microsoft Defender.
Como configurar políticas para Microsoft Defender para Ponto de Extremidade no Linux
Pode configurar as definições de antivírus e EDR nos pontos finais. Para saber mais, confira os seguintes artigos:
- Definir preferências para Microsoft Defender para Ponto de Extremidade no Linux descreve as definições disponíveis
- A gestão de definições de segurança descreve como configurar as definições no portal do Microsoft Defender.
Desinstalar Microsoft Defender para Ponto de Extremidade no Linux
Para desinstalação manual, execute o seguinte comando para a distribuição do Linux.
-
sudo yum remove mdatp
para RHEL e variantes (CentOS e Oracle Linux). -
sudo zypper remove mdatp
para SLES e variantes. -
sudo apt-get purge mdatp
para sistemas Ubuntu e Debian. -
sudo dnf remove mdatp
para Mariner
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.