Jaa

Ota Microsoft Defender for Endpoint käyttöön Linux asennusohjelman komentosarjapohjaisen käyttöönoton avulla

  • Koskee seuraavia:: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Johdanto

Voit ottaa Defender for Endpointin käyttöön Linux käyttämällä erilaisia työkaluja ja menetelmiä. Tässä artikkelissa kuvataan, miten voit automatisoida Defender for Endpointin käyttöönoton Linux asennuskomentosarjan avulla. Tämä komentosarja tunnistaa jakelun ja version, valitsee oikean säilön, määrittää laitteen hakemaan uusimman agentin version ja lisää laitteen Defender for Endpointiin perehdytyspaketin avulla. Tätä menetelmää suositellaan käyttöönottoprosessin yksinkertaistamiseen.

Jos haluat käyttää toista menetelmää, katso Aiheeseen liittyvä sisältö -osio.

Tärkeää

Jos haluat suorittaa useita suojausratkaisuja rinnakkain, tutustu ohjeartikkeliin Suorituskykyyn, määrityksiin ja tukeen liittyvät seikat.

Olet ehkä jo määrittänyt keskinäiset suojauksen poissulkemiset laitteille, jotka on otettu käyttöön Microsoft Defender for Endpoint. Jos ristiriitojen välttämiseksi on edelleen määritettävä keskinäisiä poissulkemisia, katso Microsoft Defender for Endpoint lisääminen olemassa olevan ratkaisusi poissulkemisluetteloon.

Edellytykset ja järjestelmävaatimukset

Ennen kuin aloitat, katso edellytyksistä ja järjestelmävaatimuksista kohdasta Defender for Endpoint on Linux.

Vihje

Ennen kuin suoritat asennusohjelman komentosarjan Defenderin ottamiseksi käyttöön Linux palvelimessa, on suositeltavaa suorittaa komentosarja ja --pre-req tarkistaa järjestelmän vähimmäisvaatimukset (muisti, suoritin, levytila, tuettu käyttöjärjestelmä) ennen käyttöönottoa.

Käyttöönottoprosessi

  1. Lataa perehdytyspaketti Microsoft Defender portaalista seuraavasti:

    1. Laajenna Microsoft Defender-portaalissaJärjestelmä-osio ja valitse Asetukset>PäätepisteetLaitteiden hallinnan>perehdytys>.

    2. Valitse ensimmäisessä avattavassa valikossa Linux Palvelin käyttöjärjestelmäksi.

    3. Valitse käyttöönottomenetelmäksi paikallinen komentosarja toisesta avattavasta valikosta.

    4. Valitse Lataa perehdytyspaketti. Tallenna tiedosto nimellä WindowsDefenderATPOnboardingPackage.zip.

      Näyttökuva, jossa näkyvät vaihtoehdot perehdytyspaketin lataamiseksi.

    5. Poimi komentokehotteesta arkiston sisältö:

      unzip WindowsDefenderATPOnboardingPackage.zip

      Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

      Varoitus

      Defender for Endpoint -asennuspaketin uudelleenpakkaamista ei tueta. Tämä voi vaikuttaa kielteisesti tuotteen eheyteen ja johtaa haitallisiin tuloksiin, mukaan lukien muun muassa peukalointiilmoitusten ja päivitysten epäonnistumiseen.

      Tärkeää

      Jos et näe tätä vaihetta, suoritettavassa komennossa näkyy varoitussanoma, joka ilmaisee, että tuotteella ei ole käyttöoikeutta. Myös mdatp-kuntokomento palauttaa arvon false.

  2. Lataa asennusohjelman bash-komentosarja , joka on annettu julkisessa GitHub-säilössämme.

  3. Myönnä suoritettavat käyttöoikeudet asennusohjelman komentosarjaan:

    chmod +x mde_installer.sh

  4. Suorita asennusohjelman komentosarja ja anna perehdytyspaketti parametrina agentin asentamiseksi ja laitteen liittämiseksi Defender-portaaliin.

    sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --pre-req

    Tämä komento ottaa käyttöön uusimman agenttiversion tuotantokanavassa, tarkistaa järjestelmän vähimmäisvaatimukset (muisti, suoritin, levytila, tuettu käyttöjärjestelmä) ja ottaa laitteen käyttöön Defender Portalissa.

    Lisäksi voit välittää lisää parametria sen mukaan, mitä asennusta on muokattava. Katso ohjeesta kaikki käytettävissä olevat vaihtoehdot:

     ❯ ./mde_installer.sh --help
mde_installer.sh v0.7.0
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel              specify the channel (insiders-fast / insiders-slow / prod) from which to install. Default: prod
-i|--install              install the product
-r|--remove               uninstall the product
-u|--upgrade              upgrade the existing product to a newer version if available
-l|--downgrade            downgrade the existing product to an older version if available
-o|--onboard <script>     onboard MDE with the specified onboarding script
-f|--offboard <script>    offboard MDE with the specified offboarding script
-p|--passive-mode         set real-time protection to passive mode
-a|--rtp-mode             set real-time protection to active mode. Passive-mode and rtp-mode are mutually exclusive
-t|--tag                  set a tag by declaring <name> and <value>, e.g.: -t GROUP Coders
-q|--pre-req              check minimum system requirements for MDE (memory, CPU, disk space, supported OS) without installing
-x|--skip_conflict        skip conflicting application verification
-w|--clean                remove MDE repository from the package manager for the specified channel
-y|--yes                  assume yes for all mid-process prompts (default, deprecated)
-n|--no                   disable the default assume-yes behavior for prompts
-s|--verbose              enable verbose output
-v|--version              print the script version
-d|--debug                enable debug mode
--log-path <PATH>         also log output to PATH
--http-proxy <URL>        set http proxy
--https-proxy <URL>       set https proxy
--ftp-proxy <URL>         set ftp proxy
--mdatp <version>         install a specific version of MDE; uses the latest if not provided
--use-local-repo          skip MDE repository setup and use the locally configured repository
-b|--install-path <PATH>  specify the installation and configuration path for MDE. Default: /
-h|--help                 display help
Skenaario Komento
Asenna mukautetun polun sijaintiin sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --pre-req --install-path /custom/path/location
Asenna tietty agenttiversio sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --pre-req –-mdatp 101.24082.0004
Päivitä uusimpaan agenttiversioon sudo ./mde_installer.sh --upgrade
Päivitä tiettyyn agenttiversioon sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004
Tietyn agentin version alentaminen sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004
Poista agentin asennus sudo ./mde_installer.sh --remove
Suorita vain esitoimitustarkistukset (ei asennusta) sudo ./mde_installer.sh --pre-req

Lisätietoja asentamisesta mukautettuun polkuun on artikkelissa Asenna Defender for Endpoint Linux mukautettuun polkuun.

Huomautus

  • Käyttöjärjestelmän päivittäminen uuteen pääversioon tuotteen asennuksen jälkeen edellyttää tuotteen asentamista uudelleen. Sinun on poistettava aiemmin luodun Defender for Endpointin asennus Linux, päivitettävä käyttöjärjestelmä ja määritettävä sitten Defender for Endpoint uudelleen Linux.
  • Asennuspolkua ei voi muuttaa, kun Defender for Endpoint on asennettu. Jos haluat käyttää eri polkua, poista tuotteen asennus ja asenna se uudelleen uuteen sijaintiin.

Tarkista käyttöönoton tila

  1. Avaa laitteen varasto Microsoft Defender portaalissa. Laitteen näkyminen portaalissa voi kestää 5–20 minuuttia.

  2. Suorita virustentorjunnan tunnistustesti varmistaaksesi, että laite on otettu käyttöön oikein, ja raportoi palveluun. Suorita seuraavat vaiheet juuri perehdytetyssä laitteessa:

    1. Varmista, että reaaliaikainen suojaus on käytössä (seuraavan komennon suorittamisen true tuloksena):

      mdatp health --field real_time_protection_enabled

      Jos se ei ole käytössä, suorita seuraava komento:

      mdatp config real-time-protection --value enabled

    2. Avaa Pääte-ikkuna ja suorita seuraava komento tunnistustestin suorittamiseksi:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Voit suorittaa lisää tunnistustestejä zip-tiedostoille käyttämällä jompaakumpaa seuraavista komennoista:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    4. Defender asettaa tiedostot karanteeniin päätepistettä varten Linux. Luettele kaikki havaitut uhat seuraavan komennon avulla:

      mdatp threat list

  3. Suorita EDR-tunnistustesti ja simuloi tunnistamista varmistaaksesi, että laite on oikein otettu käyttöön, ja raportoi palveluun. Suorita seuraavat vaiheet juuri perehdytetyssä laitteessa:

    1. Lataa komentosarjatiedosto ja pura se Linux palvelimeen.

    2. Myönnä suoritettavan tiedoston käyttöoikeudet komentosarjaan:

      chmod +x mde_linux_edr_diy.sh

    3. Suorita seuraava komento:

      ./mde_linux_edr_diy.sh

    4. Muutaman minuutin kuluttua Microsoft Defender XDR pitäisi havaita.

    5. Tarkista ilmoituksen tiedot, koneen aikajana ja suorita tyypilliset tutkintavaiheet.

Ulkoisten pakettien riippuvuuksien Microsoft Defender for Endpoint

Jos Microsoft Defender for Endpoint asennus epäonnistuu puuttuvien riippuvuusvirheiden vuoksi, voit ladata vaaditut riippuvuudet manuaalisesti.

Paketille on seuraavat ulkoisen mdatp paketin riippuvuudet:

  • Paketti mdatp RPM edellyttää - glibc >= 2.17
  • DEBIAN-paketille mdatp vaaditaan libc6 >= 2.23
  • Mariner-paketti mdatp edellyttää attr,diffutils, , libacl, libattrlibselinux-utils, , selinux-policypolicycoreutils

Huomautus

Versiosta 101.24082.0004alkaen Defender for Endpoint on Linux ei enää tue tapahtuman tarjoajaaAuditd. Olemme siirtymässä täysin tehokkaampaan eBPF-teknologiaan. Jos eBPF koneita ei tueta tai jos kohteessa on tiettyjä vaatimuksia ja Auditdlaitteesi käyttävät Defender for Endpointia Linux versiossa 101.24072.0001 tai aiemmassa versiossa, muut riippuvuussuhteet valvottuun pakettiin ovat olemassa kohteelle mdatp. Versio, joka on vanhempi kuin 101.25032.0000:

  • RPM-paketin tarpeet: mde-netfilter, pcre
  • DEBIAN-paketin tarpeet: mde-netfilter, libpcre3
  • mde-netfilter Paketilla on myös seuraavat pakettiriippuvuudet: - Debian-paketille mde-netfilter-paketti edellyttää libnetfilter-queue1 ja libglib2.0-0 - RPM:ssä mde-netfilter-paketti edellyttää libmnl, libnfnetlink, ja libnetfilter_queueglib2 alusta versiolla 101.25042.0003, uuid-runtime ei ole enää tarpeen ulkoisena riippuvuussuhteena.

Asennusongelmien vianmääritys

Jos kohtaat asennusongelmia, suorita itse vianmääritys seuraavasti:

  1. Lisätietoja automaattisesti asennusvirheen ilmetessä luodun lokin löytämisestä on artikkelissa Kirjaa asennusongelmat lokiin.

  2. Lisätietoja yleisistä asennusongelmista on kohdassa Asennusongelmat.

  3. Jos laitteen kunto on false, katso Defender for Endpoint agentin kunto-ongelmat.

  4. Lisätietoja tuotteen suorituskykyongelmista on artikkelissa Suorituskykyongelmien vianmääritys.

  5. Katso välityspalvelin- ja yhteysongelmat kohdasta Pilvipalveluun liittyvien ongelmien vianmääritys.

Jos haluat saada tukea Microsoftilta, avaa tukipalvelupyyntö ja anna lokitiedostot, jotka on luotu asiakasanalysaattorin avulla.

Kanavien välillä vaihtaminen

Voit esimerkiksi muuttaa kanavan Insiders-Fast tuotantokanavaksi seuraavasti:

  1. Insiders-Fast channel Poista Defender for Endpoint -version asennus Linux.

    sudo yum remove mdatp

  2. Poista Defender for Endpoint käytöstä säilössä Linux Insiders-Fast.

    sudo yum repolist

    Huomautus

    Tulosteen pitäisi näyttää packages-microsoft-com-fast-prod.

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Microsoft Defender for Endpoint uudelleen tuotantokanavaa käyttämällä Linux.

Defender for Endpoint on Linux voidaan ottaa käyttöön jostakin seuraavista kanavista (merkitään muodossa [kanava]):

  • insiders-fast
  • insiders-slow
  • prod

Jokainen näistä kanavista vastaa Linux ohjelmistosäilöä. Tämän artikkelin ohjeissa kuvataan laitteen määrittäminen käyttämään jotakin näistä säilöistä.

Kanavan valinta määrittää laitteellesi tarjottavien päivitysten tyypin ja esiintymistiheyden. Insider-laitteiden laitteet ovat ensimmäisiä, jotka saavat päivityksiä ja uusia ominaisuuksia, ja niitä seuraavat myöhemmin insider-käyttäjät, jotka ovat hitaita ja viimeiseksi prod.

Jotta voit esikatsella uusia ominaisuuksia ja antaa varhaista palautetta, on suositeltavaa määrittää jotkin yrityksen laitteet käyttämään joko insiders-fast tai insiders-slow.

Varoitus

Kanavan vaihtaminen ensimmäisen asennuksen jälkeen edellyttää tuotteen uudelleenasentamista. Tuotekanavan vaihtaminen: poista aiemmin luodun paketin asennus, määritä laitteesi käyttämään uutta kanavaa ja asenna paketti uudesta sijainnista tämän asiakirjan ohjeiden mukaisesti.

Microsoft Defender käytäntöjen määrittäminen Linux

Lisätietoja virustentorjunnan ja EDR-asetusten määrittämisestä on seuraavissa artikkeleissa:

Aiheeseen liittyvä sisältö

  • Last updated on