Aracılığıyla paylaş


Linux'ta Uç Nokta için Microsoft Defender el ile dağıtma

Şunlar için geçerlidir:

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

İpucu

Linux'ta Uç Nokta için Microsoft Defender dağıtma konusunda gelişmiş yönergeler mi arıyorsunuz? Bkz. Linux'ta Uç Nokta için Defender'da gelişmiş dağıtım kılavuzu.

Bu makalede Linux'ta Uç Nokta için Microsoft Defender el ile nasıl dağıtılacağı açıklanmaktadır. Başarılı bir dağıtım için aşağıdaki görevlerin tümünün tamamlanması gerekir:

Önkoşullar ve sistem gereksinimleri

Başlamadan önce, geçerli yazılım sürümü için önkoşulların ve sistem gereksinimlerinin açıklaması için bkz. Linux'ta Uç Nokta için Microsoft Defender.

Uyarı

Ürün yüklemesinin ardından işletim sisteminizi yeni bir ana sürüme yükseltmek için ürünün yeniden yüklenmesi gerekir. Linux'ta mevcut Uç Nokta için Defender'ı kaldırmanız , işletim sistemini yükseltmeniz ve ardından aşağıdaki adımları izleyerek Linux'ta Uç Nokta için Defender'ı yeniden yapılandırmanız gerekir.

Linux yazılım deposunu yapılandırma

Linux'ta Uç Nokta için Defender aşağıdaki kanallardan birinden ( [kanal] olarak belirtilir) dağıtılabilir: insider-fast, insider-slow veya prod. Bu kanalların her biri bir Linux yazılım deposuna karşılık gelir. Bu makaledeki yönergelerde cihazınızı bu depolardan birini kullanacak şekilde yapılandırma açıklanmaktadır.

Kanal seçimi, cihazınıza sunulan güncelleştirmelerin türünü ve sıklığını belirler. Insider hızlı cihazlarda güncelleştirmeleri ve yeni özellikleri ilk alan cihazlardır ve ardından insider'lar yavaş ve son olarak tarafından prodtakip edilir.

Yeni özellikleri önizlemek ve erken geri bildirim sağlamak için kuruluşunuzdaki bazı cihazları insider hızlı veya insider yavaş kullanacak şekilde yapılandırmanız önerilir.

Uyarı

İlk yüklemeden sonra kanalın değiştirilmesi için ürünün yeniden yüklenmesi gerekir. Ürün kanalını değiştirmek için: Mevcut paketi kaldırın, cihazınızı yeni kanalı kullanacak şekilde yeniden yapılandırın ve paketi yeni konumdan yüklemek için bu belgedeki adımları izleyin.

RHEL ve varyantları (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky ve Alma)

  1. Henüz yüklenmediyse yükleyin yum-utils :

    sudo yum install yum-utils
    
  2. Dağıtımınız ve sürümünüz için doğru paketi bulun. Paketi bulma konusunda size yol göstermesi için aşağıdaki tabloyu kullanın:

    Dağıtım & sürümü Paket
    Alma 8.4 ve üzeri https://packages.microsoft.com/config/alma/8/prod.repo
    Alma 9.2 ve üzeri https://packages.microsoft.com/config/alma/9/prod.repo
    RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo
    RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo
    RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo
    Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
    Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo
    Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo
    Kayalık 8.7 ve üzeri https://packages.microsoft.com/config/rocky/8/prod.repo
    Kayalık 9.2 ve üzeri https://packages.microsoft.com/config/rocky/9/prod.repo

    Not

    Dağıtımınız ve sürümünüz için altında en yakın girişi (ana, sonra ikincil) https://packages.microsoft.com/config/rhel/tanımlayın.

  3. Aşağıdaki komutlarda [version] ve [channel] sözcüklerini tanımladığınız bilgilerle değiştirin:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
    

    İpucu

    [version] sürümü de dahil olmak üzere sistemle ilgili bilgileri tanımlamak için hostnamectl komutunu kullanın.

    Örneğin, CentOS 7 çalıştırıyorsanız ve Linux'ta Uç Nokta için Defender'ı kanaldan prod dağıtmak istiyorsanız:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
    

    Alternatif olarak, seçilen cihazlardaki yeni özellikleri keşfetmek istiyorsanız, Linux'ta insider hızlı kanalına Uç Nokta için Microsoft Defender dağıtmak isteyebilirsiniz:

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
    
  4. Microsoft GPG ortak anahtarını yükleyin:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
    

SLES ve çeşitlemeler

Not

Dağıtımınız ve sürümünüz için altında en yakın girişi (ana, sonra ikincil) https://packages.microsoft.com/config/sles/tanımlayın.

  1. Aşağıdaki komutlarda [distro] ve [version] sözcüklerini tanımladığınız bilgilerle değiştirin:

    sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
    

    İpucu

    Sürüm [version] dahil olmak üzere sistemle ilgili bilgileri tanımlamak için SPident komutunu kullanın.

    Örneğin, SLES 12 çalıştırıyorsanız ve Uç Nokta için Microsoft Defender Linux'ta kanaldan prod dağıtmak istiyorsanız:

    sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
    
  2. Microsoft GPG ortak anahtarını yükleyin:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
    

Ubuntu ve Debian sistemleri

  1. Henüz yüklenmediyse yükleyin curl :

    sudo apt-get install curl
    
  2. Henüz yüklenmediyse yükleyin libplist-utils :

    sudo apt-get install libplist-utils
    

    Not

    Dağıtımınız ve sürümünüz için altında en yakın girişi (ana, sonra ikincil) https://packages.microsoft.com/config/[distro]/tanımlayın.

  3. Aşağıdaki komutta [distro] ve [version] sözcüklerini tanımladığınız bilgilerle değiştirin:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
    

    İpucu

    [version] sürümü de dahil olmak üzere sistemle ilgili bilgileri tanımlamak için hostnamectl komutunu kullanın.

    Örneğin, Ubuntu 18.04 çalıştırıyorsanız ve Uç Nokta için Microsoft Defender Linux'ta kanaldan prod dağıtmak istiyorsanız:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
    
  4. Depo yapılandırmasını yükleyin:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
    

    Örneğin, kanalı seçtiyseniz prod :

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
    
  5. gpg Henüz yüklü değilse paketi yükleyin:

    sudo apt-get install gpg
    

    Kullanılamıyorsa gpg yükleyin gnupg.

    sudo apt-get install gnupg
    
  6. Microsoft GPG ortak anahtarını yükleyin:

    • Debian 11 ve öncesi için aşağıdaki komutu çalıştırın.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
      
    • Debian 12 ve üzeri için aşağıdaki komutu çalıştırın.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
      
  7. Henüz yüklü değilse HTTPS sürücüsünü yükleyin:

    sudo apt-get install apt-transport-https
    
  8. Depo meta verilerini güncelleştirin:

    sudo apt-get update
    

Mariner

  1. Henüz yüklenmediyse yükleyin dnf-plugins-core :

    sudo dnf install dnf-plugins-core
    
  2. Gerekli depoları yapılandırın ve etkinleştirin.

    Not

    Mariner'da Insider Hızlı Kanalı kullanılamaz.

    Linux'ta Uç Nokta için Defender'ı kanaldan prod dağıtmak istiyorsanız. Aşağıdaki komutları kullanın

    sudo dnf install mariner-repos-extras
    sudo dnf config-manager --enable mariner-official-extras
    

    Alternatif olarak, seçilen cihazlardaki yeni özellikleri keşfetmek istiyorsanız, Linux'ta Uç Nokta için Microsoft Defender insider'ların yavaş kanalına dağıtmak isteyebilirsiniz. Aşağıdaki komutları kullanın:

    sudo dnf install mariner-repos-extras-preview
    sudo dnf config-manager --enable mariner-official-extras-preview
    

Uygulama yüklemesi

Linux dağıtımınıza Uç Nokta için Defender'ı yüklemek için aşağıdaki bölümlerde yer alan komutları kullanın.

RHEL ve varyantları (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky ve Alma)

sudo yum install mdatp

Not

Cihazınızda yapılandırılmış birden çok Microsoft deponuz varsa paketin yükleneceği depoya özgü olabilirsiniz. Aşağıdaki örnekte, bu cihazda depo kanalı da yapılandırılmışsa paketin insiders-fast kanaldan production nasıl yükleneceği gösterilmektedir. Cihazınızda birden çok Microsoft ürünü kullanıyorsanız bu durum oluşabilir. Sunucunuzun dağıtımına ve sürümüne bağlı olarak, depo diğer adı aşağıdaki örnekteki diğer addan farklı olabilir.

# list all repositories
yum repolist
...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES ve çeşitlemeler

sudo zypper install mdatp

Not

Cihazınızda yapılandırılmış birden çok Microsoft deponuz varsa paketin yükleneceği depoya özgü olabilirsiniz. Aşağıdaki örnekte, bu cihazda depo kanalı da yapılandırılmışsa paketin insiders-fast kanaldan production nasıl yükleneceği gösterilmektedir. Cihazınızda birden çok Microsoft ürünü kullanıyorsanız bu durum oluşabilir.

zypper repos
...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu ve Debian sistemleri

sudo apt-get install mdatp

Not

Cihazınızda yapılandırılmış birden çok Microsoft deponuz varsa paketin yükleneceği depoya özgü olabilirsiniz. Aşağıdaki örnekte, bu cihazda depo kanalı da yapılandırılmışsa paketin insiders-fast kanaldan production nasıl yükleneceği gösterilmektedir. Cihazınızda birden çok Microsoft ürünü kullanıyorsanız bu durum oluşabilir.

cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp

Not

Linux'ta Uç Nokta için Microsoft Defender yükledikten veya güncelleştirdikten sonra, denetimli'yi sabit modda çalıştırdığınız durumlar dışında, yeniden başlatmalar GEREKLI OLMAZ.

Mariner

sudo dnf install mdatp

Not

Cihazınızda yapılandırılmış birden çok Microsoft deponuz varsa paketin yükleneceği depoya özgü olabilirsiniz. Aşağıdaki örnekte, bu cihazda depo kanalı da yapılandırılmışsa paketin insiders-slow kanaldan production nasıl yükleneceği gösterilmektedir. Cihazınızda birden çok Microsoft ürünü kullanıyorsanız bu durum oluşabilir.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Ekleme paketini indirme

Ekleme paketini Microsoft Defender portalından indirin.

Uyarı

Uç Nokta için Defender yükleme paketini yeniden paketlemek desteklenen bir senaryo değildir. Bunun yapılması ürünün bütünlüğünü olumsuz etkileyebilir ve kurcalama uyarılarının ve güncelleştirmelerin uygulanamaması da dahil ancak bunlarla sınırlı olmamak üzere olumsuz sonuçlara yol açabilir.

Önemli

Bu adımı kaçırırsanız, yürütülen herhangi bir komut ürünün lisanssız olduğunu belirten bir uyarı iletisi gösterir. mdatp health Ayrıca komutu değerini falsedöndürür.

  1. Microsoft Defender portalında Ayarlar>Uç Noktaları>Cihaz yönetimi>Ekleme'ye gidin.

  2. İlk açılan menüde işletim sistemi olarak Linux Server'ı seçin. İkinci açılan menüde dağıtım yöntemi olarak Yerel Betik'i seçin.

  3. Ekleme paketini indir'i seçin. Dosyayı olarak WindowsDefenderATPOnboardingPackage.zipkaydedin.

    Microsoft Defender portalında ekleme paketi indirme

  4. Komut isteminden dosyaya sahip olduğunuzu doğrulayın ve arşivin içeriğini ayıklayın:

    ls -l
    
    total 8
    -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
    
    unzip WindowsDefenderATPOnboardingPackage.zip
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
    

İstemci yapılandırması

  1. Hedef cihaza kopyalayın MicrosoftDefenderATPOnboardingLinuxServer.py .

    Not

    Başlangıçta istemci cihazı bir kuruluşla ilişkilendirilir ve orgId özniteliği boş olur.

    mdatp health --field org_id
    
  2. Aşağıdaki senaryolardan birini çalıştırın.

    Not

    Bu komutu çalıştırmak için dağıtıma ve sürüme bağlı olarak cihaza sahip python olmanız veya python3 yüklemeniz gerekir. Gerekirse bkz. Linux'ta Python Yükleme için Adım Adım Yönergeler.

    Daha önce devre dışı bırakılmış bir cihazı eklemek için /etc/opt/microsoft/mdatp konumunda bulunan mdatp_offboard.json dosyasını kaldırmanız gerekir.

    RHEL 8.x veya Ubuntu 20.04 veya üzerini çalıştırıyorsanız kullanmanız python3gerekir. Aşağıdaki komutu çalıştırın:

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
    

    Diğer dağıtımlar ve sürümler için kullanmanız pythongerekir. Aşağıdaki komutu çalıştırın:

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
    
  3. Cihazın artık kuruluşunuzla ilişkilendirildiğini ve geçerli bir kuruluş tanımlayıcısı bildirdiğini doğrulayın:

    mdatp health --field org_id
    
  4. Aşağıdaki komutu çalıştırarak ürünün sistem durumunu denetleyin. Dönüş değeri true , ürünün beklendiği gibi çalıştığını belirtir:

    mdatp health --field healthy
    

    Önemli

    Ürün ilk kez başlatıldığında en son kötü amaçlı yazılımdan koruma tanımlarını indirir. Bu işlem, ağ bağlantısına bağlı olarak birkaç dakika kadar sürebilir. Bu süre boyunca, daha önce bahsedilen komut değerini falsedöndürür. Tanım güncelleştirmesinin durumunu denetlemek için aşağıdaki komutu kullanabilirsiniz:

    mdatp health --field definitions_status
    

    İlk yüklemeyi tamamladıktan sonra bir ara sunucu yapılandırmanız da gerekebilir. Bkz . Linux'ta Uç Nokta için Defender'ı statik proxy bulma için yapılandırma: Yükleme sonrası yapılandırma.

  5. Cihazın düzgün şekilde eklendiğini ve hizmete bildirildiğini doğrulamak için bir virüsten koruma algılama testi çalıştırın. Yeni eklenen cihazda aşağıdaki adımları gerçekleştirin:

    1. Gerçek zamanlı korumanın etkinleştirildiğinden emin olun (aşağıdaki komutu çalıştırmanın true sonucu olarak belirtilir):

      mdatp health --field real_time_protection_enabled
      

      Etkinleştirilmemişse aşağıdaki komutu yürütür:

      mdatp config real-time-protection --value enabled
      
    2. Algılama testi çalıştırmak için bir Terminal penceresi açın. ve ardından aşağıdaki komutu çalıştırın:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      
    3. Aşağıdaki komutlardan birini kullanarak zip dosyalarında daha fazla algılama testi çalıştırabilirsiniz:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

      Dosyalar Linux'ta Uç Nokta için Defender tarafından karantinaya alınmalıdır.

    4. Algılanan tüm tehditleri listelemek için aşağıdaki komutu kullanın:

      mdatp threat list
      
  6. Bir EDR algılama testi çalıştırın ve cihazın düzgün şekilde eklendiğini ve hizmete bildirildiğini doğrulamak için algılama simülasyonu yapın. Yeni eklenen cihazda aşağıdaki adımları gerçekleştirin:

    1. Eklenen Linux sunucusunun Microsoft Defender XDR görüntülendiğini doğrulayın. Makinenin ilk eklemesi buysa, görünmesi 20 dakika kadar sürebilir.

    2. Betik dosyasını indirip ekli bir Linux sunucusuna ayıklayın ve ardından aşağıdaki komutu çalıştırın:./mde_linux_edr_diy.sh

      Birkaç dakika sonra, Microsoft Defender XDR içinde bir algılama tetiklenmelidir.

    3. Uyarı ayrıntılarına, makine zaman çizelgesine bakın ve tipik araştırma adımlarınızı gerçekleştirin.

paket dış paket bağımlılıklarını Uç Nokta için Microsoft Defender

Paket için mdatp aşağıdaki dış paket bağımlılıkları vardır:

  • mdatp RPM paketi , glibc >= 2.17, , policycoreutilsselinux-policy-targetedgerektirirmde-netfilter
  • DEBIAN için mdatp paketi , libc6 >= 2.23gerektirir, uuid-runtimemde-netfilter
  • Mariner için mdatp paketi , attr, libacldiffutils, , libattr, libselinux-utils, selinux-policy, , policycoreutilsgerektirirmde-netfilter

Not

Sürümünden 101.24082.0004başlayarak, Linux'ta Uç Nokta için Defender artık olay sağlayıcısını Auditd desteklememektedir. Tamamen daha verimli eBPF teknolojisine geçiş yapıyoruz. Makinelerinizde eBPF desteklenmiyorsa veya Denetlendi'de kalması gereken belirli gereksinimler varsa ve makineleriniz Linux sürümünde uç nokta için Defender veya daha düşük bir sürüm 101.24072.0001 kullanıyorsa, mdatp için denetlenen pakette aşağıdaki diğer bağımlılıklar vardır:

  • mdatp RPM paketi , semanagegerektiriraudit.
  • DEBIAN için mdatp paketi gerektirir auditd.
  • Mariner için mdatp paketi gerektirir audit.

Paket mde-netfilter ayrıca aşağıdaki paket bağımlılıklarına sahiptir:

  • DEBIAN için mde-netfilter paket gerektirir libnetfilter-queue1, libglib2.0-0
  • RPM mde-netfilter için paket , libmnl, libnfnetlink, libnetfilter_queuegerektirir glib2
  • Mariner mde-netfilter için paket, gerektirir libnfnetlink. libnetfilter_queue

eksik bağımlılık hataları nedeniyle Uç Nokta için Microsoft Defender yüklemesi başarısız olursa, önkoşul bağımlılıklarını el ile indirebilirsiniz.

Yükleme sorunlarını giderin

Kanallar arasında geçiş yapma

Örneğin, kanalı Insiders-Fast üretim olarak değiştirmek için aşağıdakileri yapın:

  1. Linux'ta Insiders-Fast channel Uç Nokta için Defender sürümünü kaldırın.

    sudo yum remove mdatp
    
  2. Linux Insiders-Fast kanalında Uç Nokta için Defender'ı devre dışı bırakma

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod
    
  3. kullanarak Linux'ta Production channelUç Nokta için Microsoft Defender yeniden yükleyin ve cihazı Microsoft Defender portalına yerleştirin.

Linux'ta Uç Nokta için Microsoft Defender için ilkeleri yapılandırma

Uç noktalarınızda virüsten koruma ve EDR ayarlarını yapılandırabilirsiniz. Daha fazla bilgi için aşağıdaki makalelere bakın:

Linux'ta Uç Nokta için Microsoft Defender kaldırma

El ile kaldırma için Linux dağıtımınız için aşağıdaki komutu yürütür.

  • sudo yum remove mdatp RHEL ve varyantlar için (CentOS ve Oracle Linux).
  • sudo zypper remove mdatp SLES ve varyantlar için.
  • sudo apt-get purge mdatp Ubuntu ve Debian sistemleri için.
  • sudo dnf remove mdatp Mariner için

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.