Compartilhar via

Implementar Microsoft Defender para Ponto de Extremidade no Linux manualmente

  • Artigo

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Dica

Está à procura de orientações avançadas sobre como implementar Microsoft Defender para Ponto de Extremidade no Linux? Veja Guia de implementação avançada no Defender para Endpoint no Linux.

Este artigo descreve como implementar Microsoft Defender para Ponto de Extremidade manualmente no Linux. Uma implementação bem-sucedida requer a conclusão de todas as seguintes tarefas:

Pré-requisitos e requisitos de sistema

Antes de começar, consulte Microsoft Defender para Ponto de Extremidade no Linux para obter uma descrição dos pré-requisitos e requisitos de sistema para a versão atual do software.

Aviso

Atualizar o sistema operativo para uma nova versão principal após a instalação do produto requer a reinstalação do produto. Tem de Desinstalar o Defender para Endpoint existente no Linux, atualizar o sistema operativo e, em seguida, reconfigurar o Defender para Endpoint no Linux ao seguir os passos abaixo.

Configurar o repositório de software linux

O Defender para Endpoint no Linux pode ser implementado a partir de um dos seguintes canais (indicado como [canal]): insiders-fast, insiders-slow ou prod. Cada um destes canais corresponde a um repositório de software Linux. As instruções neste artigo descrevem a configuração do dispositivo para utilizar um destes repositórios.

A escolha do canal determina o tipo e a frequência das atualizações que são oferecidas ao seu dispositivo. Os dispositivos no insider-fast são os primeiros a receber atualizações e novas funcionalidades, seguidos posteriormente por insiders-slow e por último por prod.

Para pré-visualizar as novas funcionalidades e fornecer feedback antecipado, recomenda-se que configure alguns dispositivos na sua empresa para utilizarem insiders fast ou insiders-slow.

Aviso

Mudar o canal após a instalação inicial requer que o produto seja reinstalado. Para mudar o canal de produto: desinstale o pacote existente, reconfigure o seu dispositivo para utilizar o novo canal e siga os passos neste documento para instalar o pacote a partir da nova localização.

RHEL e variantes (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky e Alma)

  1. Instale yum-utils se ainda não estiver instalado:

    sudo yum install yum-utils

  2. Localize o pacote correto para a sua distribuição e versão. Utilize a tabela seguinte para ajudar a orientá-lo na localização do pacote:

    Distribuição & versão Pacote
    Alma 8.4 e superior https://packages.microsoft.com/config/alma/8/prod.repo
    Alma 9.2 e superior https://packages.microsoft.com/config/alma/9/prod.repo
    RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo
    RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo
    RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo
    Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
    Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo
    Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo
    Rocky 8.7 e superior https://packages.microsoft.com/config/rocky/8/prod.repo
    Rocky 9.2 e superior https://packages.microsoft.com/config/rocky/9/prod.repo

    Observação

    Para a sua distribuição e versão, identifique a entrada mais próxima da mesma (por principal e, em seguida, menor) em https://packages.microsoft.com/config/rhel/.

  3. Nos seguintes comandos, substitua [versão] e [canal] pelas informações que identificou:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo

    Dica

    Utilize o comando hostnamectl para identificar informações relacionadas com o sistema, incluindo a versão [versão].

    Por exemplo, se estiver a executar o CentOS 7 e quiser implementar o Defender para Endpoint no Linux a prod partir do canal:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo

    Em alternativa, se quiser explorar novas funcionalidades em dispositivos selecionados, poderá querer implementar Microsoft Defender para Ponto de Extremidade no Linux para o canal insider-fast:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo

  4. Instale a chave pública do Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

SLES e variantes

Observação

Para a sua distribuição e versão, identifique a entrada mais próxima da mesma (por principal e, em seguida, menor) em https://packages.microsoft.com/config/sles/.

  1. Nos seguintes comandos, substitua [distro] e [versão] pelas informações que identificou:

    sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

    Dica

    Utilize o comando SPident para identificar informações relacionadas com o sistema, incluindo a versão [versão].

    Por exemplo, se estiver a executar o SLES 12 e quiser implementar Microsoft Defender para Ponto de Extremidade no Linux a prod partir do canal:

    sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  2. Instale a chave pública do Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

Sistemas Ubuntu e Debian

  1. Instale curl se ainda não estiver instalado:

    sudo apt-get install curl

  2. Instale libplist-utils se ainda não estiver instalado:

    sudo apt-get install libplist-utils

    Observação

    Para a sua distribuição e versão, identifique a entrada mais próxima da mesma (por principal e, em seguida, menor) em https://packages.microsoft.com/config/[distro]/.

  3. No seguinte comando, substitua [distro] e [version] pelas informações que identificou:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    Dica

    Utilize o comando hostnamectl para identificar informações relacionadas com o sistema, incluindo a versão [versão].

    Por exemplo, se estiver a executar o Ubuntu 18.04 e quiser implementar Microsoft Defender para Ponto de Extremidade no Linux a prod partir do canal:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  4. Instale a configuração do repositório:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    Por exemplo, se tiver escolhido prod o canal:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  5. Instale o gpg pacote se ainda não estiver instalado:

    sudo apt-get install gpg

    Se gpg não estiver disponível, instale gnupg.

    sudo apt-get install gnupg

  6. Instale a chave pública do Microsoft GPG:

    • Para Debian 11 e anterior, execute o seguinte comando.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

    • Para Debian 12 e posterior, execute o seguinte comando.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  7. Instale o controlador HTTPS se ainda não estiver instalado:

    sudo apt-get install apt-transport-https

  8. Atualize os metadados do repositório:

    sudo apt-get update

Mariner

  1. Instale dnf-plugins-core se ainda não estiver instalado:

    sudo dnf install dnf-plugins-core

  2. Configure e ative os repositórios necessários.

    Observação

    No Mariner, o Insider Fast Channel não está disponível.

    Se quiser implementar o Defender para Endpoint no Linux a prod partir do canal. Utilize os seguintes comandos

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    Em alternativa, se quiser explorar novas funcionalidades em dispositivos selecionados, poderá querer implementar Microsoft Defender para Ponto de Extremidade no Linux no canal insider-slow. Utilize os seguintes comandos:

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

Instalação do aplicativo

Utilize os comandos nas secções seguintes para instalar o Defender para Endpoint na sua distribuição do Linux.

RHEL e variantes (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky e Alma)

sudo yum install mdatp

Observação

Se tiver vários repositórios da Microsoft configurados no seu dispositivo, pode ser específico sobre qual o repositório a partir do qual instalar o pacote. O exemplo seguinte mostra como instalar o pacote a production partir do canal se também tiver o canal de insiders-fast repositório configurado neste dispositivo. Esta situação pode ocorrer se estiver a utilizar vários produtos Microsoft no seu dispositivo. Consoante a distribuição e a versão do servidor, o alias do repositório pode ser diferente do do exemplo seguinte.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES e variantes

sudo zypper install mdatp

Observação

Se tiver vários repositórios da Microsoft configurados no seu dispositivo, pode ser específico sobre qual o repositório a partir do qual instalar o pacote. O exemplo seguinte mostra como instalar o pacote a production partir do canal se também tiver o canal de insiders-fast repositório configurado neste dispositivo. Esta situação pode ocorrer se estiver a utilizar vários produtos Microsoft no seu dispositivo.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Sistemas Ubuntu e Debian

sudo apt-get install mdatp

Observação

Se tiver vários repositórios da Microsoft configurados no seu dispositivo, pode ser específico sobre qual o repositório a partir do qual instalar o pacote. O exemplo seguinte mostra como instalar o pacote a production partir do canal se também tiver o canal de insiders-fast repositório configurado neste dispositivo. Esta situação pode ocorrer se estiver a utilizar vários produtos Microsoft no seu dispositivo.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Observação

Os reinícios NÃO são necessários após instalar ou atualizar Microsoft Defender para Ponto de Extremidade no Linux, exceto quando estiver a executar o auditD no modo imutável.

Mariner

sudo dnf install mdatp

Observação

Se tiver vários repositórios da Microsoft configurados no seu dispositivo, pode ser específico sobre qual o repositório a partir do qual instalar o pacote. O exemplo seguinte mostra como instalar o pacote a production partir do canal se também tiver o canal de insiders-slow repositório configurado neste dispositivo. Esta situação pode ocorrer se estiver a utilizar vários produtos Microsoft no seu dispositivo.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Transferir o pacote de inclusão

Transfira o pacote de inclusão a partir do portal do Microsoft Defender.

Aviso

Reembalar o pacote de instalação do Defender para Endpoint não é um cenário suportado. Fazê-lo pode afetar negativamente a integridade do produto e levar a resultados adversos, incluindo, mas não se limitando a acionar alertas de adulteração e atualizações que não se aplicam.

Importante

Se perder este passo, qualquer comando executado mostra uma mensagem de aviso a indicar que o produto não está licenciado. Além disso, o mdatp health comando devolve um valor de false.

  1. No portal Microsoft Defender, aceda a Definições Pontos Finais>Gestão> dedispositivos>Integração.

  2. No primeiro menu pendente, selecione Servidor Linux como o sistema operativo. No segundo menu pendente, selecione Script Local como método de implementação.

  3. Selecione Baixar pacote de integração. Guarde o ficheiro como WindowsDefenderATPOnboardingPackage.zip.

    Transferir um pacote de inclusão no portal do Microsoft Defender

  4. Numa linha de comandos, verifique se tem o ficheiro e extraia o conteúdo do arquivo:

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

Configuração do cliente

  1. Copie MicrosoftDefenderATPOnboardingLinuxServer.py para o dispositivo de destino.

    Observação

    Inicialmente, o dispositivo cliente não está associado a uma organização e o atributo orgId está em branco.

    mdatp health --field org_id

  2. Execute um dos cenários abaixo.

    Observação

    Para executar este comando, tem de ter python ou python3 instalado no dispositivo, consoante a distribuição e a versão. Se necessário, veja Instruções passo a passo para Instalar o Python no Linux.

    Para integrar um dispositivo que estava anteriormente offboard, tem de remover o ficheiro de mdatp_offboard.json localizado em /etc/opt/microsoft/mdatp.

    Se estiver a executar o RHEL 8.x ou Ubuntu 20.04 ou superior, tem de utilizar python3. Execute o seguinte comando:

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    Para o resto das distribuições e versões, tem de utilizar python. Execute o seguinte comando:

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. Verifique se o dispositivo está agora associado à sua organização e reporte um identificador de organização válido:

    mdatp health --field org_id

  4. Verifique o estado de funcionamento status do produto ao executar o seguinte comando. Um valor devolvido de true indica que o produto está a funcionar conforme esperado:

    mdatp health --field healthy

    Importante

    Quando o produto é iniciado pela primeira vez, transfere as definições antimalware mais recentes. Este processo pode demorar alguns minutos, consoante a conectividade de rede. Durante este período, o comando mencionado anteriormente devolve um valor de false. Pode marcar a status da atualização de definições com o seguinte comando:

    mdatp health --field definitions_status

    Também poderá ter de configurar um proxy depois de concluir a instalação inicial. Veja Configurar o Defender para Endpoint no Linux para deteção de proxy estático: Configuração pós-instalação.

  5. Execute um teste de deteção de antivírus para verificar se o dispositivo está corretamente integrado e a reportar ao serviço. Execute os seguintes passos no dispositivo recentemente integrado:

    1. Certifique-se de que a proteção em tempo real está ativada (indicada por um resultado da true execução do seguinte comando):

      mdatp health --field real_time_protection_enabled

      Se não estiver ativado, execute o seguinte comando:

      mdatp config real-time-protection --value enabled

    2. Para executar um teste de deteção, abra uma janela terminal. e, em seguida, execute o seguinte comando:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Pode executar mais testes de deteção em ficheiros zip com um dos seguintes comandos:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

      Os ficheiros devem ser colocados em quarentena pelo Defender para Endpoint no Linux.

    4. Utilize o seguinte comando para listar todas as ameaças detetadas:

      mdatp threat list

  6. Execute um teste de deteção EDR e simule uma deteção para verificar se o dispositivo está corretamente integrado e a reportar ao serviço. Execute os seguintes passos no dispositivo recentemente integrado:

    1. Verifique se o servidor Linux integrado aparece no Microsoft Defender XDR. Se esta for a primeira integração da máquina, pode demorar até 20 minutos até aparecer.

    2. Transfira e extraia o ficheiro de script para um servidor Linux integrado e, em seguida, execute o seguinte comando: ./mde_linux_edr_diy.sh

      Após alguns minutos, deve ser criada uma deteção no Microsoft Defender XDR.

    3. Observe os detalhes do alerta, o computador linha do tempo e execute os passos típicos de investigação.

Microsoft Defender para Ponto de Extremidade empacotar dependências de pacotes externos

Existem as seguintes dependências de pacotes externos para o mdatp pacote:

  • O pacote Mdatp RPM requer glibc >= 2.17, , policycoreutils, selinux-policy-targetedmde-netfilter
  • Para DEBIAN, o pacote mdatp requer libc6 >= 2.23, , uuid-runtimemde-netfilter
  • Para Mariner, o pacote mdatp requer attr, diffutils, , libacl, libselinux-utilslibattr, selinux-policy, , policycoreutilsmde-netfilter

Observação

A partir da versão 101.24082.0004, o Defender para Endpoint no Linux já não suporta o Auditd fornecedor de eventos. Estamos a transitar completamente para a tecnologia eBPF mais eficiente. Se o eBPF não for suportado nos computadores ou se existirem requisitos específicos para permanecer em Auditado e os computadores estiverem a utilizar o Defender para Endpoint na versão 101.24072.0001 do Linux ou inferior, existem as seguintes outras dependências no pacote auditado para mdatp:

  • O pacote Mdatp RPM requer audit, semanage.
  • Para o DEBIAN, o pacote mdatp requer auditd.
  • Para o Mariner, o pacote mdatp requer audit.

O mde-netfilter pacote também tem as seguintes dependências de pacote:

  • Para o DEBIAN, o mde-netfilter pacote requer libnetfilter-queue1, libglib2.0-0
  • Para o RPM, o mde-netfilter pacote requer libmnl, , libnfnetlink, libnetfilter_queueglib2
  • Para o Mariner, o mde-netfilter pacote requer libnfnetlink, libnetfilter_queue

Se a instalação do Microsoft Defender para Ponto de Extremidade falhar devido a erros de dependências em falta, pode transferir manualmente as dependências de pré-requisitos.

Solucionar problemas de instalação

Como alternar entre canais

Por exemplo, para alterar o canal de Insiders-Fast para Produção, faça o seguinte:

  1. Desinstale a Insiders-Fast channel versão do Defender para Endpoint no Linux.

    sudo yum remove mdatp

  2. Desativar o Defender para Endpoint no canal de Insiders-Fast do Linux

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Reinstale Microsoft Defender para Ponto de Extremidade no Linux com o Production channele integre o dispositivo no portal do Microsoft Defender.

Como configurar políticas para Microsoft Defender para Ponto de Extremidade no Linux

Pode configurar as definições de antivírus e EDR nos pontos finais. Para saber mais, confira os seguintes artigos:

Desinstalar Microsoft Defender para Ponto de Extremidade no Linux

Para desinstalação manual, execute o seguinte comando para a distribuição do Linux.

  • sudo yum remove mdatp para RHEL e variantes (CentOS e Oracle Linux).
  • sudo zypper remove mdatp para SLES e variantes.
  • sudo apt-get purge mdatp para sistemas Ubuntu e Debian.
  • sudo dnf remove mdatp para Mariner

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.