Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo è destinato agli amministratori IT e ai professionisti della sicurezza che devono eseguire l'offboarding o disinstallare Microsoft Defender per endpoint dai server Linux. Illustra la differenza tra l'offboarding e la disinstallazione, consente di decidere quale opzione è adatta allo scenario e fornisce istruzioni dettagliate per ogni metodo. Descrive anche come vengono visualizzati i dispositivi offboarding e disinstallati nel portale di Microsoft Defender.
Panoramica
Quando si esegue l'offboarding di un dispositivo da Defender per endpoint o si disinstalla l'applicazione Defender, non vengono inviati nuovi rilevamenti, vulnerabilità o dati di sicurezza al portale di Microsoft Defender. Sette giorni dopo l'offboarding di un dispositivo, lo stato di integrità del sensore diventa inattivo. I dati passati, ad esempio avvisi, vulnerabilità e sequenza temporale del dispositivo, per un dispositivo offboarded o disinstallato rimangono visibili nel portale di Microsoft Defender fino alla scadenza del periodo di conservazione configurato. Il profilo del dispositivo (senza dati) viene visualizzato anche nell'inventario dei dispositivi per un massimo di 180 giorni. I dispositivi che non erano attivi negli ultimi 30 giorni non vengono inclusi nel punteggio di esposizione dell'organizzazione.
Per visualizzare i dati solo per i dispositivi attivi, è possibile usare filtri, ad esempio lo stato di integrità del sensore, i tag del dispositivo o i gruppi di dispositivi.
Qual è la differenza tra offboarding e disinstallazione?
Esistono differenze importanti tra l'offboarding e la disinstallazione:
- L'offboarding disconnette un dispositivo dal servizio Defender in modo da interrompere l'invio dei dati di sicurezza mentre lascia l'agente installato.
- La disinstallazione rimuove completamente il software e i servizi di Defender per endpoint dal dispositivo e interrompe l'invio dei dati di sicurezza.
Come scegliere tra offboarding e disinstallazione
Offboard quando si vuole impedire temporaneamente a Defender di comunicare con il servizio Defender mantenendo l'applicazione Defender installata nel server Linux. Questa opzione è consigliata se si prevede di riabilitare Defender in un secondo momento senza reinstallare l'agente. Ad esempio, potrebbe essere necessario eseguire l'offboarding se è necessario risolvere un problema con l'applicazione Defender o se si vuole arrestare temporaneamente Defender durante l'esecuzione della manutenzione nel server.
Disinstallare quando si vuole rimuovere completamente l'applicazione Defender dal server Linux, ad esempio quando si modifica l'anello di installazione (Prod/Insider Slow/Insider Fast) o quando non si prevede più di usare Microsoft Defender nel dispositivo.
Come si comportano i dispositivi offboarding e disinstallati?
Dopo aver eseguito correttamente l'offboarding o la disinstallazione di un dispositivo, l'applicazione Defender si comporta come segue:
- Interrompe l'invio di dati di telemetria (ad esempio avvisi e vulnerabilità) al portale di Microsoft Defender.
- Diventa senza licenza e non funzionale.
- I criteri di sicurezza applicati tramite Microsoft Defender vengono rimossi.
Come vengono visualizzati i dispositivi offboard e disinstallati nel portale di Defender?
- Lo stato di integrità del sensore del dispositivo offboarded o disinstallato viene modificato in Inattivo dopo sette giorni di assenza di dati di telemetria.
- I dispositivi offboarding e disinstallati rimangono visibili per un massimo di 180 giorni. Per altre informazioni sulla conservazione dei dati, vedere Microsoft Defender per endpoint l'archiviazione e la privacy dei dati.
- I dati cronologici (avvisi, sequenza temporale, inventario software) rimangono accessibili durante il periodo di conservazione.
- Nel portale non viene visualizzata alcuna etichetta offboarded o disinstallata esplicita. Per distinguere tra i dispositivi offboard o disinstallati e quelli semplicemente disconnessi o inattivi, è consigliabile aggiungere un tag al dispositivo prima dell'offboarding o della disinstallazione. In questo modo è più semplice identificare e filtrare i dispositivi in un secondo momento.
Esegui l'offboarding di un dispositivo
Sono disponibili due metodi per eseguire l'offboarding di un server Linux da Microsoft Defender per endpoint:
- Offboard con uno script
- Offboard usando un file JSON di offboarding.
Entrambi i metodi ottengono lo stesso risultato, quindi è possibile scegliere quello più adatto al proprio scenario.
Offboard con uno script
Passare al portale di Microsoft Defender (https://security.microsoft.com) e accedere.
Nel riquadro di spostamento, in Sistema, scegliere Impostazioni>Endpoint e quindi, in Gestione dei dispositivi, scegliere Offboarding.
Selezionare Linux Server come sistema operativo e quindi nella sezione Metodo di distribuzione scegliere Script locale.
Selezionare Scarica pacchetto e quindi Scarica. La cartella compressa scaricata è denominata WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (dove AAAA-MM-GG è la data di scadenza del pacchetto).
Nel server Linux estrarre il contenuto del file ZIP in una directory locale.
Aprire un terminale e passare alla directory in cui si trova il file MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD .
Digitare
sudo python3 MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD.pynel terminale. Viene eseguito lo script di offboarding, che esegue l'offboarding del dispositivo da Microsoft Defender per endpoint.
Offboard con un file JSON di offboarding
Nota
Questo metodo può essere eseguito manualmente o automaticamente usando lo strumento di gestione della configurazione Linux preferito.
- Passare al portale di Microsoft Defender (https://security.microsoft.com) e accedere.
- Nel riquadro di spostamento, in Sistema, scegliere Impostazioni>Endpoint e quindi, in Gestione dei dispositivi, scegliere Offboarding.
- Selezionare Linux Server come sistema operativo e quindi nella sezione Metodo di distribuzione scegliere lo strumento di gestione della configurazione Linux preferito.
- Selezionare Scarica pacchetto e quindi Scarica. La cartella compressa è denominata WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (dove AAAA-MM-GG è la data di scadenza del pacchetto).
- Estrarre il contenuto del file ZIP e individuare il file mdatp_offboard.json .
- Copiare mdatp_offboard.json nel percorso seguente nel server Linux:
/etc/opt/microsoft/mdatp/mdatp_offboard.json
Disinstallare l'applicazione Defender da un server Linux
Sono disponibili due metodi per disinstallare l'applicazione Defender da un server Linux: disinstallare usando lo strumento di distribuzione Defender (consigliato) o la disinstallazione manuale. Entrambi i metodi ottengono lo stesso risultato, quindi è possibile scegliere quello più adatto al proprio scenario.
Disinstallare usando lo strumento di distribuzione defender (scelta consigliata)
Questo è il metodo consigliato, in quanto consente di disinstallare l'applicazione Defender in un unico passaggio.
Passare al portale di Microsoft Defender (https://security.microsoft.com) e accedere.
Nel riquadro di spostamento, in Sistema, scegliere Impostazioni>Endpoint e quindi, in Gestione dispositivi, scegliere Onboarding.
Selezionare Linux Server come sistema operativo.
Passare allo strumento di distribuzione Defender come metodo di distribuzione e selezionare Scarica pacchetto (viene scaricato un file ZIP).
Estrarre il pacchetto ed eseguire il comando seguente. In questo modo viene rimossa l'applicazione Defender e viene pulito il repository:
./defender_deployment_tool.sh --remove --clean
Disinstallazione manuale
Per rimuovere manualmente l'applicazione Defender e pulire il repository, eseguire uno dei comandi seguenti (a seconda di quale sia appropriato, a seconda della distribuzione Linux):
Red Hat Enterprise Linux (RHEL) e varianti (CentOS e Oracle Linux)
sudo yum remove mdatp
o
sudo dnf remove mdatp
SUSE Linux Enterprise Server (SLES) e varianti
sudo zypper remove mdatp
Ubuntu e Debian
sudo apt-get purge mdatp
Mariner
sudo dnf remove mdatp
Come verificare lo stato di offboarding di un dispositivo
Per verificare lo stato di offboarding di un dispositivo, eseguire il comando seguente:
mdatp health --field health_issues
Output previsto
ATTENTION: No license found. Contact your administrator for help. ["missing license"]
L'applicazione Defender rimane installata nel dispositivo a meno che non venga disinstallata manualmente.