Linux'ta Uç Nokta için Microsoft Defender el ile dağıtma
Şunlar için geçerlidir:
- Sunucular için Uç Nokta için Microsoft Defender
- Sunucular için Microsoft Defender Plan 1 veya Plan 2
Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Bu makalede Linux'ta Uç Nokta için Microsoft Defender el ile nasıl dağıtılacağı açıklanmaktadır. Başarılı bir dağıtım için aşağıdaki görevlerin tümünün tamamlanması gerekir:
- Önkoşullar ve sistem gereksinimleri
- Linux yazılım deposunu yapılandırma
- Uygulama yüklemesi
- Ekleme paketini indirme
- İstemci yapılandırması
Önkoşullar ve sistem gereksinimleri
Başlamadan önce, geçerli yazılım sürümü için önkoşulların ve sistem gereksinimlerinin açıklaması için bkz. Linux'ta Uç Nokta için Microsoft Defender.
Uyarı
Ürün yüklemesinin ardından işletim sisteminizi yeni bir ana sürüme yükseltmek için ürünün yeniden yüklenmesi gerekir. Linux'ta mevcut Uç Nokta için Defender'ı kaldırmanız , işletim sistemini yükseltmeniz ve ardından aşağıdaki adımları izleyerek Linux'ta Uç Nokta için Defender'ı yeniden yapılandırmanız gerekir.
Linux yazılım deposunu yapılandırma
Linux'ta Uç Nokta için Defender aşağıdaki kanallardan birinden ( [kanal] olarak belirtilir) dağıtılabilir: insider-fast, insider-slow veya prod. Bu kanalların her biri bir Linux yazılım deposuna karşılık gelir. Bu makaledeki yönergelerde cihazınızı bu depolardan birini kullanacak şekilde yapılandırma açıklanmaktadır.
Kanal seçimi, cihazınıza sunulan güncelleştirmelerin türünü ve sıklığını belirler.
Insider hızlı cihazlarda güncelleştirmeleri ve yeni özellikleri ilk alan cihazlardır ve ardından insider'lar yavaş ve son olarak tarafından prodtakip edilir.
Yeni özellikleri önizlemek ve erken geri bildirim sağlamak için kuruluşunuzdaki bazı cihazları insider hızlı veya insider yavaş kullanacak şekilde yapılandırmanız önerilir.
Uyarı
İlk yüklemeden sonra kanalın değiştirilmesi için ürünün yeniden yüklenmesi gerekir. Ürün kanalını değiştirmek için: Mevcut paketi kaldırın, cihazınızı yeni kanalı kullanacak şekilde yeniden yapılandırın ve paketi yeni konumdan yüklemek için bu belgedeki adımları izleyin.
RHEL ve varyantları (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky ve Alma)
Henüz yüklenmediyse yükleyin
yum-utils:sudo yum install yum-utilsDağıtımınız ve sürümünüz için doğru paketi bulun. Paketi bulma konusunda size yol göstermesi için aşağıdaki tabloyu kullanın:
Dağıtım & sürümü Paket Alma 8.4 ve üzeri https://packages.microsoft.com/config/alma/8/prod.repo Alma 9.2 ve üzeri https://packages.microsoft.com/config/alma/9/prod.repo RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo Kayalık 8.7 ve üzeri https://packages.microsoft.com/config/rocky/8/prod.repo Kayalık 9.2 ve üzeri https://packages.microsoft.com/config/rocky/9/prod.repo Not
Dağıtımınız ve sürümünüz için altında en yakın girişi (ana, sonra ikincil)
https://packages.microsoft.com/config/rhel/tanımlayın.Aşağıdaki komutlarda [version] ve [channel] sözcüklerini tanımladığınız bilgilerle değiştirin:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repoİpucu
[version] sürümü de dahil olmak üzere sistemle ilgili bilgileri tanımlamak için hostnamectl komutunu kullanın.
Örneğin, CentOS 7 çalıştırıyorsanız ve Linux'ta Uç Nokta için Defender'ı kanaldan
proddağıtmak istiyorsanız:sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repoAlternatif olarak, seçilen cihazlardaki yeni özellikleri keşfetmek istiyorsanız, Linux'ta insider hızlı kanalına Uç Nokta için Microsoft Defender dağıtmak isteyebilirsiniz:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repoMicrosoft GPG ortak anahtarını yükleyin:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
SLES ve çeşitlemeler
Not
Dağıtımınız ve sürümünüz için altında en yakın girişi (ana, sonra ikincil) https://packages.microsoft.com/config/sles/tanımlayın.
Aşağıdaki komutlarda [distro] ve [version] sözcüklerini tanımladığınız bilgilerle değiştirin:
sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repoİpucu
Sürüm [version] dahil olmak üzere sistemle ilgili bilgileri tanımlamak için SPident komutunu kullanın.
Örneğin, SLES 12 çalıştırıyorsanız ve Uç Nokta için Microsoft Defender Linux'ta kanaldan
proddağıtmak istiyorsanız:sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repoMicrosoft GPG ortak anahtarını yükleyin:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
Ubuntu ve Debian sistemleri
Henüz yüklenmediyse yükleyin
curl:sudo apt-get install curlHenüz yüklenmediyse yükleyin
libplist-utils:sudo apt-get install libplist-utilsNot
Dağıtımınız ve sürümünüz için altında en yakın girişi (ana, sonra ikincil)
https://packages.microsoft.com/config/[distro]/tanımlayın.Aşağıdaki komutta [distro] ve [version] sözcüklerini tanımladığınız bilgilerle değiştirin:
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].listİpucu
[version] sürümü de dahil olmak üzere sistemle ilgili bilgileri tanımlamak için hostnamectl komutunu kullanın.
Örneğin, Ubuntu 18.04 çalıştırıyorsanız ve Uç Nokta için Microsoft Defender Linux'ta kanaldan
proddağıtmak istiyorsanız:curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.listDepo yapılandırmasını yükleyin:
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].listÖrneğin, kanalı seçtiyseniz
prod:sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.listgpgHenüz yüklü değilse paketi yükleyin:sudo apt-get install gpgKullanılamıyorsa
gpgyükleyingnupg.sudo apt-get install gnupgMicrosoft GPG ortak anahtarını yükleyin:
Debian 11 ve öncesi için aşağıdaki komutu çalıştırın.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/nullDebian 12 ve üzeri için aşağıdaki komutu çalıştırın.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
Henüz yüklü değilse HTTPS sürücüsünü yükleyin:
sudo apt-get install apt-transport-httpsDepo meta verilerini güncelleştirin:
sudo apt-get update
Mariner
Henüz yüklenmediyse yükleyin
dnf-plugins-core:sudo dnf install dnf-plugins-coreGerekli depoları yapılandırın ve etkinleştirin.
Not
Mariner'da Insider Hızlı Kanalı kullanılamaz.
Linux'ta Uç Nokta için Defender'ı kanaldan
proddağıtmak istiyorsanız. Aşağıdaki komutları kullanınsudo dnf install mariner-repos-extras sudo dnf config-manager --enable mariner-official-extrasAlternatif olarak, seçilen cihazlardaki yeni özellikleri keşfetmek istiyorsanız, Linux'ta Uç Nokta için Microsoft Defender insider'ların yavaş kanalına dağıtmak isteyebilirsiniz. Aşağıdaki komutları kullanın:
sudo dnf install mariner-repos-extras-preview sudo dnf config-manager --enable mariner-official-extras-preview
Uygulama yüklemesi
Linux dağıtımınıza Uç Nokta için Defender'ı yüklemek için aşağıdaki bölümlerde yer alan komutları kullanın.
RHEL ve varyantları (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky ve Alma)
sudo yum install mdatp
Not
Cihazınızda yapılandırılmış birden çok Microsoft deponuz varsa paketin yükleneceği depoya özgü olabilirsiniz. Aşağıdaki örnekte, bu cihazda depo kanalı da yapılandırılmışsa paketin insiders-fast kanaldan production nasıl yükleneceği gösterilmektedir. Cihazınızda birden çok Microsoft ürünü kullanıyorsanız bu durum oluşabilir. Sunucunuzun dağıtımına ve sürümüne bağlı olarak, depo diğer adı aşağıdaki örnekteki diğer addan farklı olabilir.
# list all repositories
yum repolist
...
packages-microsoft-com-prod packages-microsoft-com-prod 316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins 2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
SLES ve çeşitlemeler
sudo zypper install mdatp
Not
Cihazınızda yapılandırılmış birden çok Microsoft deponuz varsa paketin yükleneceği depoya özgü olabilirsiniz. Aşağıdaki örnekte, bu cihazda depo kanalı da yapılandırılmışsa paketin insiders-fast kanaldan production nasıl yükleneceği gösterilmektedir. Cihazınızda birden çok Microsoft ürünü kullanıyorsanız bu durum oluşabilir.
zypper repos
...
# | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp
Ubuntu ve Debian sistemleri
sudo apt-get install mdatp
Not
Cihazınızda yapılandırılmış birden çok Microsoft deponuz varsa paketin yükleneceği depoya özgü olabilirsiniz. Aşağıdaki örnekte, bu cihazda depo kanalı da yapılandırılmışsa paketin insiders-fast kanaldan production nasıl yükleneceği gösterilmektedir. Cihazınızda birden çok Microsoft ürünü kullanıyorsanız bu durum oluşabilir.
cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp
Not
Linux'ta Uç Nokta için Microsoft Defender yükledikten veya güncelleştirdikten sonra, denetimli'yi sabit modda çalıştırdığınız durumlar dışında, yeniden başlatmalar GEREKLI OLMAZ.
Mariner
sudo dnf install mdatp
Not
Cihazınızda yapılandırılmış birden çok Microsoft deponuz varsa paketin yükleneceği depoya özgü olabilirsiniz. Aşağıdaki örnekte, bu cihazda depo kanalı da yapılandırılmışsa paketin insiders-slow kanaldan production nasıl yükleneceği gösterilmektedir. Cihazınızda birden çok Microsoft ürünü kullanıyorsanız bu durum oluşabilir.
sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras
Ekleme paketini indirme
Ekleme paketini Microsoft Defender portalından indirin.
Uyarı
Uç Nokta için Defender yükleme paketini yeniden paketlemek desteklenen bir senaryo değildir. Bunun yapılması ürünün bütünlüğünü olumsuz etkileyebilir ve kurcalama uyarılarının ve güncelleştirmelerin uygulanamaması da dahil ancak bunlarla sınırlı olmamak üzere olumsuz sonuçlara yol açabilir.
Önemli
Bu adımı kaçırırsanız, yürütülen herhangi bir komut ürünün lisanssız olduğunu belirten bir uyarı iletisi gösterir.
mdatp health Ayrıca komutu değerini falsedöndürür.
Microsoft Defender portalında Ayarlar>Uç Noktaları>Cihaz yönetimi>Ekleme'ye gidin.
İlk açılan menüde işletim sistemi olarak Linux Server'ı seçin. İkinci açılan menüde dağıtım yöntemi olarak Yerel Betik'i seçin.
Ekleme paketini indir'i seçin. Dosyayı olarak
WindowsDefenderATPOnboardingPackage.zipkaydedin.
Komut isteminden dosyaya sahip olduğunuzu doğrulayın ve arşivin içeriğini ayıklayın:
ls -ltotal 8 -rw-r--r-- 1 test staff 5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zipunzip WindowsDefenderATPOnboardingPackage.zipArchive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
İstemci yapılandırması
Hedef cihaza kopyalayın
MicrosoftDefenderATPOnboardingLinuxServer.py.Not
Başlangıçta istemci cihazı bir kuruluşla ilişkilendirilir ve orgId özniteliği boş olur.
mdatp health --field org_idAşağıdaki senaryolardan birini çalıştırın.
Not
Bu komutu çalıştırmak için dağıtıma ve sürüme bağlı olarak cihaza sahip
pythonolmanız veyapython3yüklemeniz gerekir. Gerekirse bkz. Linux'ta Python Yükleme için Adım Adım Yönergeler.Daha önce devre dışı bırakılmış bir cihazı eklemek için /etc/opt/microsoft/mdatp konumunda bulunan mdatp_offboard.json dosyasını kaldırmanız gerekir.
RHEL 8.x veya Ubuntu 20.04 veya üzerini çalıştırıyorsanız kullanmanız
python3gerekir. Aşağıdaki komutu çalıştırın:sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.pyDiğer dağıtımlar ve sürümler için kullanmanız
pythongerekir. Aşağıdaki komutu çalıştırın:sudo python MicrosoftDefenderATPOnboardingLinuxServer.pyCihazın artık kuruluşunuzla ilişkilendirildiğini ve geçerli bir kuruluş tanımlayıcısı bildirdiğini doğrulayın:
mdatp health --field org_idAşağıdaki komutu çalıştırarak ürünün sistem durumunu denetleyin. Dönüş değeri
true, ürünün beklendiği gibi çalıştığını belirtir:mdatp health --field healthyÖnemli
Ürün ilk kez başlatıldığında en son kötü amaçlı yazılımdan koruma tanımlarını indirir. Bu işlem, ağ bağlantısına bağlı olarak birkaç dakika kadar sürebilir. Bu süre boyunca, daha önce bahsedilen komut değerini
falsedöndürür. Tanım güncelleştirmesinin durumunu denetlemek için aşağıdaki komutu kullanabilirsiniz:mdatp health --field definitions_statusİlk yüklemeyi tamamladıktan sonra bir ara sunucu yapılandırmanız da gerekebilir. Bkz . Linux'ta Uç Nokta için Defender'ı statik proxy bulma için yapılandırma: Yükleme sonrası yapılandırma.
Cihazın düzgün şekilde eklendiğini ve hizmete bildirildiğini doğrulamak için bir virüsten koruma algılama testi çalıştırın. Yeni eklenen cihazda aşağıdaki adımları gerçekleştirin:
Gerçek zamanlı korumanın etkinleştirildiğinden emin olun (aşağıdaki komutu çalıştırmanın
truesonucu olarak belirtilir):mdatp health --field real_time_protection_enabledEtkinleştirilmemişse aşağıdaki komutu yürütür:
mdatp config real-time-protection --value enabledAlgılama testi çalıştırmak için bir Terminal penceresi açın. ve ardından aşağıdaki komutu çalıştırın:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txtAşağıdaki komutlardan birini kullanarak zip dosyalarında daha fazla algılama testi çalıştırabilirsiniz:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zipDosyalar Linux'ta Uç Nokta için Defender tarafından karantinaya alınmalıdır.
Algılanan tüm tehditleri listelemek için aşağıdaki komutu kullanın:
mdatp threat list
Bir EDR algılama testi çalıştırın ve cihazın düzgün şekilde eklendiğini ve hizmete bildirildiğini doğrulamak için algılama simülasyonu yapın. Yeni eklenen cihazda aşağıdaki adımları gerçekleştirin:
Eklenen Linux sunucusunun Microsoft Defender XDR görüntülendiğini doğrulayın. Makinenin ilk eklemesi buysa, görünmesi 20 dakika kadar sürebilir.
Betik dosyasını indirip ekli bir Linux sunucusuna ayıklayın ve ardından aşağıdaki komutu çalıştırın:
./mde_linux_edr_diy.shBirkaç dakika sonra, Microsoft Defender XDR içinde bir algılama tetiklenmelidir.
Uyarı ayrıntılarına, makine zaman çizelgesine bakın ve tipik araştırma adımlarınızı gerçekleştirin.
paket dış paket bağımlılıklarını Uç Nokta için Microsoft Defender
Paket için mdatp aşağıdaki dış paket bağımlılıkları vardır:
- mdatp RPM paketi ,
glibc >= 2.17, ,policycoreutilsselinux-policy-targetedgerektirirmde-netfilter - DEBIAN için mdatp paketi ,
libc6 >= 2.23gerektirir,uuid-runtimemde-netfilter - Mariner için mdatp paketi ,
attr,libacldiffutils, ,libattr,libselinux-utils,selinux-policy, ,policycoreutilsgerektirirmde-netfilter
Not
Sürümünden 101.24082.0004başlayarak, Linux'ta Uç Nokta için Defender artık olay sağlayıcısını Auditd desteklememektedir. Tamamen daha verimli eBPF teknolojisine geçiş yapıyoruz.
Makinelerinizde eBPF desteklenmiyorsa veya Denetlendi'de kalması gereken belirli gereksinimler varsa ve makineleriniz Linux sürümünde uç nokta için Defender veya daha düşük bir sürüm 101.24072.0001 kullanıyorsa, mdatp için denetlenen pakette aşağıdaki diğer bağımlılıklar vardır:
- mdatp RPM paketi ,
semanagegerektiriraudit. - DEBIAN için mdatp paketi gerektirir
auditd. - Mariner için mdatp paketi gerektirir
audit.
Paket mde-netfilter ayrıca aşağıdaki paket bağımlılıklarına sahiptir:
- DEBIAN için
mde-netfilterpaket gerektirirlibnetfilter-queue1,libglib2.0-0 - RPM
mde-netfilteriçin paket ,libmnl,libnfnetlink,libnetfilter_queuegerektirirglib2 - Mariner
mde-netfilteriçin paket, gerektirirlibnfnetlink.libnetfilter_queue
eksik bağımlılık hataları nedeniyle Uç Nokta için Microsoft Defender yüklemesi başarısız olursa, önkoşul bağımlılıklarını el ile indirebilirsiniz.
Yükleme sorunlarını giderin
Yükleme sorunlarıyla karşılaşırsanız, kendi kendine sorun giderme için şu adımları izleyin:
Yükleme hatası oluştuğunda otomatik olarak oluşturulan günlüğü bulma hakkında bilgi için bkz . Günlük yükleme sorunları.
Yaygın yükleme sorunları hakkında bilgi için bkz . Yükleme sorunları.
Cihazın sistem durumu ise
falsebkz . Uç Nokta için Defender aracısı sistem durumu sorunları.Ürün performansı sorunları için bkz. Performans sorunlarını giderme.
Ara sunucu ve bağlantı sorunları için bkz. Bulut bağlantısı sorunlarını giderme.
Microsoft'tan destek almak için bir destek bileti açın ve istemci çözümleyicisi kullanılarak oluşturulan günlük dosyalarını sağlayın.
Kanallar arasında geçiş yapma
Örneğin, kanalı Insiders-Fast üretim olarak değiştirmek için aşağıdakileri yapın:
Linux'ta
Insiders-Fast channelUç Nokta için Defender sürümünü kaldırın.sudo yum remove mdatpLinux Insiders-Fast kanalında Uç Nokta için Defender'ı devre dışı bırakma
sudo yum-config-manager --disable packages-microsoft-com-fast-prodkullanarak Linux'ta
Production channelUç Nokta için Microsoft Defender yeniden yükleyin ve cihazı Microsoft Defender portalına yerleştirin.
Linux'ta Uç Nokta için Microsoft Defender için ilkeleri yapılandırma
Uç noktalarınızda virüsten koruma ve EDR ayarlarını yapılandırabilirsiniz. Daha fazla bilgi için aşağıdaki makalelere bakın:
- Linux'ta Uç Nokta için Microsoft Defender için ayarlama tercihleri kullanılabilir ayarları açıklar
- Güvenlik ayarları yönetimi, Microsoft Defender portalında ayarların nasıl yapılandırıldığı açıklanır.
Linux'ta Uç Nokta için Microsoft Defender kaldırma
El ile kaldırma için Linux dağıtımınız için aşağıdaki komutu yürütür.
-
sudo yum remove mdatpRHEL ve varyantlar için (CentOS ve Oracle Linux). -
sudo zypper remove mdatpSLES ve varyantlar için. -
sudo apt-get purge mdatpUbuntu ve Debian sistemleri için. -
sudo dnf remove mdatpMariner için
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.