Linux'ta Uç Nokta için Microsoft Defender el ile dağıtma
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Sunucusu
- Sunucular için Microsoft Defender
Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
İpucu
Linux'ta Uç Nokta için Microsoft Defender dağıtma konusunda gelişmiş yönergeler mi arıyorsunuz? Bkz. Linux'ta Uç Nokta için Defender'da gelişmiş dağıtım kılavuzu.
Bu makalede Linux'ta Uç Nokta için Microsoft Defender el ile nasıl dağıtılacağı açıklanmaktadır. Başarılı bir dağıtım için aşağıdaki görevlerin tümünün tamamlanması gerekir:
- Önkoşullar ve sistem gereksinimleri
- Linux yazılım deposunu yapılandırma
- Uygulama yüklemesi
- Ekleme paketini indirme
- İstemci yapılandırması
Önkoşullar ve sistem gereksinimleri
Başlamadan önce, geçerli yazılım sürümü için önkoşulların ve sistem gereksinimlerinin açıklaması için bkz. Linux'ta Uç Nokta için Microsoft Defender.
Uyarı
Ürün yüklemesinin ardından işletim sisteminizi yeni bir ana sürüme yükseltmek için ürünün yeniden yüklenmesi gerekir. Linux'ta mevcut Uç Nokta için Defender'ı kaldırmanız , işletim sistemini yükseltmeniz ve ardından aşağıdaki adımları izleyerek Linux'ta Uç Nokta için Defender'ı yeniden yapılandırmanız gerekir.
Linux yazılım deposunu yapılandırma
Linux'ta Uç Nokta için Defender aşağıdaki kanallardan birinden ( [kanal] olarak belirtilir) dağıtılabilir: insider-fast, insider-slow veya prod
. Bu kanalların her biri bir Linux yazılım deposuna karşılık gelir. Bu makaledeki yönergelerde cihazınızı bu depolardan birini kullanacak şekilde yapılandırma açıklanmaktadır.
Kanal seçimi, cihazınıza sunulan güncelleştirmelerin türünü ve sıklığını belirler.
Insider hızlı cihazlarda güncelleştirmeleri ve yeni özellikleri ilk alan cihazlardır ve ardından insider'lar yavaş ve son olarak tarafından prod
takip edilir.
Yeni özellikleri önizlemek ve erken geri bildirim sağlamak için kuruluşunuzdaki bazı cihazları insider hızlı veya insider yavaş kullanacak şekilde yapılandırmanız önerilir.
Uyarı
İlk yüklemeden sonra kanalın değiştirilmesi için ürünün yeniden yüklenmesi gerekir. Ürün kanalını değiştirmek için: Mevcut paketi kaldırın, cihazınızı yeni kanalı kullanacak şekilde yeniden yapılandırın ve paketi yeni konumdan yüklemek için bu belgedeki adımları izleyin.
RHEL ve varyantları (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky ve Alma)
Henüz yüklenmediyse yükleyin
yum-utils
:sudo yum install yum-utils
Dağıtımınız ve sürümünüz için doğru paketi bulun. Paketi bulma konusunda size yol göstermesi için aşağıdaki tabloyu kullanın:
Dağıtım & sürümü Paket Alma 8.4 ve üzeri https://packages.microsoft.com/config/alma/8/prod.repo Alma 9.2 ve üzeri https://packages.microsoft.com/config/alma/9/prod.repo RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo Kayalık 8.7 ve üzeri https://packages.microsoft.com/config/rocky/8/prod.repo Kayalık 9.2 ve üzeri https://packages.microsoft.com/config/rocky/9/prod.repo Not
Dağıtımınız ve sürümünüz için altında en yakın girişi (ana, sonra ikincil)
https://packages.microsoft.com/config/rhel/
tanımlayın.Aşağıdaki komutlarda [version] ve [channel] sözcüklerini tanımladığınız bilgilerle değiştirin:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
İpucu
[version] sürümü de dahil olmak üzere sistemle ilgili bilgileri tanımlamak için hostnamectl komutunu kullanın.
Örneğin, CentOS 7 çalıştırıyorsanız ve Linux'ta Uç Nokta için Defender'ı kanaldan
prod
dağıtmak istiyorsanız:sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
Alternatif olarak, seçilen cihazlardaki yeni özellikleri keşfetmek istiyorsanız, Linux'ta insider hızlı kanalına Uç Nokta için Microsoft Defender dağıtmak isteyebilirsiniz:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
Microsoft GPG ortak anahtarını yükleyin:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
SLES ve çeşitlemeler
Not
Dağıtımınız ve sürümünüz için altında en yakın girişi (ana, sonra ikincil) https://packages.microsoft.com/config/sles/
tanımlayın.
Aşağıdaki komutlarda [distro] ve [version] sözcüklerini tanımladığınız bilgilerle değiştirin:
sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
İpucu
Sürüm [version] dahil olmak üzere sistemle ilgili bilgileri tanımlamak için SPident komutunu kullanın.
Örneğin, SLES 12 çalıştırıyorsanız ve Uç Nokta için Microsoft Defender Linux'ta kanaldan
prod
dağıtmak istiyorsanız:sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
Microsoft GPG ortak anahtarını yükleyin:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
Ubuntu ve Debian sistemleri
Henüz yüklenmediyse yükleyin
curl
:sudo apt-get install curl
Henüz yüklenmediyse yükleyin
libplist-utils
:sudo apt-get install libplist-utils
Not
Dağıtımınız ve sürümünüz için altında en yakın girişi (ana, sonra ikincil)
https://packages.microsoft.com/config/[distro]/
tanımlayın.Aşağıdaki komutta [distro] ve [version] sözcüklerini tanımladığınız bilgilerle değiştirin:
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
İpucu
[version] sürümü de dahil olmak üzere sistemle ilgili bilgileri tanımlamak için hostnamectl komutunu kullanın.
Örneğin, Ubuntu 18.04 çalıştırıyorsanız ve Uç Nokta için Microsoft Defender Linux'ta kanaldan
prod
dağıtmak istiyorsanız:curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
Depo yapılandırmasını yükleyin:
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
Örneğin, kanalı seçtiyseniz
prod
:sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
gpg
Henüz yüklü değilse paketi yükleyin:sudo apt-get install gpg
Kullanılamıyorsa
gpg
yükleyingnupg
.sudo apt-get install gnupg
Microsoft GPG ortak anahtarını yükleyin:
Debian 11 ve öncesi için aşağıdaki komutu çalıştırın.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
Debian 12 ve üzeri için aşağıdaki komutu çalıştırın.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
Henüz yüklü değilse HTTPS sürücüsünü yükleyin:
sudo apt-get install apt-transport-https
Depo meta verilerini güncelleştirin:
sudo apt-get update
Mariner
Henüz yüklenmediyse yükleyin
dnf-plugins-core
:sudo dnf install dnf-plugins-core
Gerekli depoları yapılandırın ve etkinleştirin.
Not
Mariner'da Insider Hızlı Kanalı kullanılamaz.
Linux'ta Uç Nokta için Defender'ı kanaldan
prod
dağıtmak istiyorsanız. Aşağıdaki komutları kullanınsudo dnf install mariner-repos-extras sudo dnf config-manager --enable mariner-official-extras
Alternatif olarak, seçilen cihazlardaki yeni özellikleri keşfetmek istiyorsanız, Linux'ta Uç Nokta için Microsoft Defender insider'ların yavaş kanalına dağıtmak isteyebilirsiniz. Aşağıdaki komutları kullanın:
sudo dnf install mariner-repos-extras-preview sudo dnf config-manager --enable mariner-official-extras-preview
Uygulama yüklemesi
Linux dağıtımınıza Uç Nokta için Defender'ı yüklemek için aşağıdaki bölümlerde yer alan komutları kullanın.
RHEL ve varyantları (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky ve Alma)
sudo yum install mdatp
Not
Cihazınızda yapılandırılmış birden çok Microsoft deponuz varsa paketin yükleneceği depoya özgü olabilirsiniz. Aşağıdaki örnekte, bu cihazda depo kanalı da yapılandırılmışsa paketin insiders-fast
kanaldan production
nasıl yükleneceği gösterilmektedir. Cihazınızda birden çok Microsoft ürünü kullanıyorsanız bu durum oluşabilir. Sunucunuzun dağıtımına ve sürümüne bağlı olarak, depo diğer adı aşağıdaki örnekteki diğer addan farklı olabilir.
# list all repositories
yum repolist
...
packages-microsoft-com-prod packages-microsoft-com-prod 316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins 2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
SLES ve çeşitlemeler
sudo zypper install mdatp
Not
Cihazınızda yapılandırılmış birden çok Microsoft deponuz varsa paketin yükleneceği depoya özgü olabilirsiniz. Aşağıdaki örnekte, bu cihazda depo kanalı da yapılandırılmışsa paketin insiders-fast
kanaldan production
nasıl yükleneceği gösterilmektedir. Cihazınızda birden çok Microsoft ürünü kullanıyorsanız bu durum oluşabilir.
zypper repos
...
# | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp
Ubuntu ve Debian sistemleri
sudo apt-get install mdatp
Not
Cihazınızda yapılandırılmış birden çok Microsoft deponuz varsa paketin yükleneceği depoya özgü olabilirsiniz. Aşağıdaki örnekte, bu cihazda depo kanalı da yapılandırılmışsa paketin insiders-fast
kanaldan production
nasıl yükleneceği gösterilmektedir. Cihazınızda birden çok Microsoft ürünü kullanıyorsanız bu durum oluşabilir.
cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp
Not
Linux'ta Uç Nokta için Microsoft Defender yükledikten veya güncelleştirdikten sonra, denetimli'yi sabit modda çalıştırdığınız durumlar dışında, yeniden başlatmalar GEREKLI OLMAZ.
Mariner
sudo dnf install mdatp
Not
Cihazınızda yapılandırılmış birden çok Microsoft deponuz varsa paketin yükleneceği depoya özgü olabilirsiniz. Aşağıdaki örnekte, bu cihazda depo kanalı da yapılandırılmışsa paketin insiders-slow
kanaldan production
nasıl yükleneceği gösterilmektedir. Cihazınızda birden çok Microsoft ürünü kullanıyorsanız bu durum oluşabilir.
sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras
Ekleme paketini indirme
Ekleme paketini Microsoft Defender portalından indirin.
Uyarı
Uç Nokta için Defender yükleme paketini yeniden paketlemek desteklenen bir senaryo değildir. Bunun yapılması ürünün bütünlüğünü olumsuz etkileyebilir ve kurcalama uyarılarının ve güncelleştirmelerin uygulanamaması da dahil ancak bunlarla sınırlı olmamak üzere olumsuz sonuçlara yol açabilir.
Önemli
Bu adımı kaçırırsanız, yürütülen herhangi bir komut ürünün lisanssız olduğunu belirten bir uyarı iletisi gösterir.
mdatp health
Ayrıca komutu değerini false
döndürür.
Microsoft Defender portalında Ayarlar>Uç Noktaları>Cihaz yönetimi>Ekleme'ye gidin.
İlk açılan menüde işletim sistemi olarak Linux Server'ı seçin. İkinci açılan menüde dağıtım yöntemi olarak Yerel Betik'i seçin.
Ekleme paketini indir'i seçin. Dosyayı olarak
WindowsDefenderATPOnboardingPackage.zip
kaydedin.Komut isteminden dosyaya sahip olduğunuzu doğrulayın ve arşivin içeriğini ayıklayın:
ls -l
total 8 -rw-r--r-- 1 test staff 5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
unzip WindowsDefenderATPOnboardingPackage.zip
Archive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
İstemci yapılandırması
Hedef cihaza kopyalayın
MicrosoftDefenderATPOnboardingLinuxServer.py
.Not
Başlangıçta istemci cihazı bir kuruluşla ilişkilendirilir ve orgId özniteliği boş olur.
mdatp health --field org_id
Aşağıdaki senaryolardan birini çalıştırın.
Not
Bu komutu çalıştırmak için dağıtıma ve sürüme bağlı olarak cihaza sahip
python
olmanız veyapython3
yüklemeniz gerekir. Gerekirse bkz. Linux'ta Python Yükleme için Adım Adım Yönergeler.Daha önce devre dışı bırakılmış bir cihazı eklemek için /etc/opt/microsoft/mdatp konumunda bulunan mdatp_offboard.json dosyasını kaldırmanız gerekir.
RHEL 8.x veya Ubuntu 20.04 veya üzerini çalıştırıyorsanız kullanmanız
python3
gerekir. Aşağıdaki komutu çalıştırın:sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
Diğer dağıtımlar ve sürümler için kullanmanız
python
gerekir. Aşağıdaki komutu çalıştırın:sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
Cihazın artık kuruluşunuzla ilişkilendirildiğini ve geçerli bir kuruluş tanımlayıcısı bildirdiğini doğrulayın:
mdatp health --field org_id
Aşağıdaki komutu çalıştırarak ürünün sistem durumunu denetleyin. Dönüş değeri
true
, ürünün beklendiği gibi çalıştığını belirtir:mdatp health --field healthy
Önemli
Ürün ilk kez başlatıldığında en son kötü amaçlı yazılımdan koruma tanımlarını indirir. Bu işlem, ağ bağlantısına bağlı olarak birkaç dakika kadar sürebilir. Bu süre boyunca, daha önce bahsedilen komut değerini
false
döndürür. Tanım güncelleştirmesinin durumunu denetlemek için aşağıdaki komutu kullanabilirsiniz:mdatp health --field definitions_status
İlk yüklemeyi tamamladıktan sonra bir ara sunucu yapılandırmanız da gerekebilir. Bkz . Linux'ta Uç Nokta için Defender'ı statik proxy bulma için yapılandırma: Yükleme sonrası yapılandırma.
Cihazın düzgün şekilde eklendiğini ve hizmete bildirildiğini doğrulamak için bir virüsten koruma algılama testi çalıştırın. Yeni eklenen cihazda aşağıdaki adımları gerçekleştirin:
Gerçek zamanlı korumanın etkinleştirildiğinden emin olun (aşağıdaki komutu çalıştırmanın
true
sonucu olarak belirtilir):mdatp health --field real_time_protection_enabled
Etkinleştirilmemişse aşağıdaki komutu yürütür:
mdatp config real-time-protection --value enabled
Algılama testi çalıştırmak için bir Terminal penceresi açın. ve ardından aşağıdaki komutu çalıştırın:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
Aşağıdaki komutlardan birini kullanarak zip dosyalarında daha fazla algılama testi çalıştırabilirsiniz:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
Dosyalar Linux'ta Uç Nokta için Defender tarafından karantinaya alınmalıdır.
Algılanan tüm tehditleri listelemek için aşağıdaki komutu kullanın:
mdatp threat list
Bir EDR algılama testi çalıştırın ve cihazın düzgün şekilde eklendiğini ve hizmete bildirildiğini doğrulamak için algılama simülasyonu yapın. Yeni eklenen cihazda aşağıdaki adımları gerçekleştirin:
Eklenen Linux sunucusunun Microsoft Defender XDR görüntülendiğini doğrulayın. Makinenin ilk eklemesi buysa, görünmesi 20 dakika kadar sürebilir.
Betik dosyasını indirip ekli bir Linux sunucusuna ayıklayın ve ardından aşağıdaki komutu çalıştırın:
./mde_linux_edr_diy.sh
Birkaç dakika sonra, Microsoft Defender XDR içinde bir algılama tetiklenmelidir.
Uyarı ayrıntılarına, makine zaman çizelgesine bakın ve tipik araştırma adımlarınızı gerçekleştirin.
paket dış paket bağımlılıklarını Uç Nokta için Microsoft Defender
Paket için mdatp
aşağıdaki dış paket bağımlılıkları vardır:
- mdatp RPM paketi ,
glibc >= 2.17
, ,policycoreutils
selinux-policy-targeted
gerektirirmde-netfilter
- DEBIAN için mdatp paketi ,
libc6 >= 2.23
gerektirir,uuid-runtime
mde-netfilter
- Mariner için mdatp paketi ,
attr
,libacl
diffutils
, ,libattr
,libselinux-utils
,selinux-policy
, ,policycoreutils
gerektirirmde-netfilter
Not
Sürümünden 101.24082.0004
başlayarak, Linux'ta Uç Nokta için Defender artık olay sağlayıcısını Auditd
desteklememektedir. Tamamen daha verimli eBPF teknolojisine geçiş yapıyoruz.
Makinelerinizde eBPF desteklenmiyorsa veya Denetlendi'de kalması gereken belirli gereksinimler varsa ve makineleriniz Linux sürümünde uç nokta için Defender veya daha düşük bir sürüm 101.24072.0001
kullanıyorsa, mdatp için denetlenen pakette aşağıdaki diğer bağımlılıklar vardır:
- mdatp RPM paketi ,
semanage
gerektiriraudit
. - DEBIAN için mdatp paketi gerektirir
auditd
. - Mariner için mdatp paketi gerektirir
audit
.
Paket mde-netfilter
ayrıca aşağıdaki paket bağımlılıklarına sahiptir:
- DEBIAN için
mde-netfilter
paket gerektirirlibnetfilter-queue1
,libglib2.0-0
- RPM
mde-netfilter
için paket ,libmnl
,libnfnetlink
,libnetfilter_queue
gerektirirglib2
- Mariner
mde-netfilter
için paket, gerektirirlibnfnetlink
.libnetfilter_queue
eksik bağımlılık hataları nedeniyle Uç Nokta için Microsoft Defender yüklemesi başarısız olursa, önkoşul bağımlılıklarını el ile indirebilirsiniz.
Yükleme sorunlarını giderin
Yükleme hatası oluştuğunda oluşturulan günlüğü bulma hakkında ayrıntılı bilgi için bkz . Günlük yükleme sorunları.
Yaygın yükleme sorunları hakkında bilgi için bkz . Yükleme sorunları.
Cihazın sistem durumu yanlışsa bkz . Aracı sistem durumu sorunlarını araştırma.
Ürün performansı sorunları için bkz. Linux'ta Uç Nokta için Microsoft Defender performans sorunlarını giderme.
Ara sunucu ve bağlantı sorunları için bkz. Linux'ta Uç Nokta için Microsoft Defender için bulut bağlantısı sorunlarını giderme.
Microsoft'tan destek almak için bir destek bileti açın ve Uç Nokta için Microsoft Defender istemci çözümleyici aracını kullanarak oluşturulan günlük dosyalarını sağlayın.
Kanallar arasında geçiş yapma
Örneğin, kanalı Insiders-Fast üretim olarak değiştirmek için aşağıdakileri yapın:
Linux'ta
Insiders-Fast channel
Uç Nokta için Defender sürümünü kaldırın.sudo yum remove mdatp
Linux Insiders-Fast kanalında Uç Nokta için Defender'ı devre dışı bırakma
sudo yum-config-manager --disable packages-microsoft-com-fast-prod
kullanarak Linux'ta
Production channel
Uç Nokta için Microsoft Defender yeniden yükleyin ve cihazı Microsoft Defender portalına yerleştirin.
Linux'ta Uç Nokta için Microsoft Defender için ilkeleri yapılandırma
Uç noktalarınızda virüsten koruma ve EDR ayarlarını yapılandırabilirsiniz. Daha fazla bilgi için aşağıdaki makalelere bakın:
- Linux'ta Uç Nokta için Microsoft Defender için ayarlama tercihleri kullanılabilir ayarları açıklar
- Güvenlik ayarları yönetimi, Microsoft Defender portalında ayarların nasıl yapılandırıldığı açıklanır.
Linux'ta Uç Nokta için Microsoft Defender kaldırma
El ile kaldırma için Linux dağıtımınız için aşağıdaki komutu yürütür.
-
sudo yum remove mdatp
RHEL ve varyantlar için (CentOS ve Oracle Linux). -
sudo zypper remove mdatp
SLES ve varyantlar için. -
sudo apt-get purge mdatp
Ubuntu ve Debian sistemleri için. -
sudo dnf remove mdatp
Mariner için
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.