Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel is bedoeld voor IT-beheerders en beveiligingsprofessionals die Microsoft Defender voor Eindpunt moeten offboarden of verwijderen van Linux-servers. Het verklaart het verschil tussen offboarden en verwijderen, helpt u bepalen welke optie geschikt is voor uw scenario en bevat stapsgewijze instructies voor elke methode. Ook wordt beschreven hoe offboarded en verwijderd apparaten worden weergegeven in de Microsoft Defender portal.
Overzicht
Wanneer u een apparaat offboardt van Defender for Endpoint of de Defender-toepassing verwijdert, worden er geen nieuwe detecties, beveiligingsproblemen of beveiligingsgegevens verzonden naar de Microsoft Defender-portal. Zeven dagen na het offboarden van een apparaat verandert de status van de sensor in inactief. Eerdere gegevens, zoals waarschuwingen, beveiligingsproblemen en de tijdlijn van het apparaat, voor een offboard of verwijderd apparaat blijven zichtbaar in de Microsoft Defender portal totdat de geconfigureerde bewaarperiode is verstreken. U ziet ook het apparaatprofiel (zonder gegevens) in de apparaatinventaris gedurende maximaal 180 dagen. Apparaten die de afgelopen 30 dagen niet actief waren, worden niet meegenomen in de blootstellingsscore van uw organisatie.
Als u alleen gegevens voor actieve apparaten wilt weergeven, kunt u filters gebruiken, zoals de status van de sensor, apparaattags of apparaatgroepen.
Wat is het verschil tussen offboarden en verwijderen?
Er zijn belangrijke verschillen tussen offboarden en verwijderen:
- Met offboarding wordt een apparaat losgekoppeld van de Defender-service, zodat het niet meer beveiligingsgegevens verzendt terwijl de agent is geïnstalleerd.
- Als u verwijdert, worden de Defender voor Eindpunt-software en -services volledig van het apparaat verwijderd en worden er geen beveiligingsgegevens meer verzonden.
Kiezen tussen offboarden en verwijderen
Offboard wanneer u de communicatie van Defender met de Defender-service tijdelijk wilt stoppen terwijl de Defender-toepassing op de Linux-server blijft geïnstalleerd. Deze optie wordt aanbevolen als u Defender later opnieuw wilt inschakelen zonder de agent opnieuw te installeren. U kunt bijvoorbeeld offboarden als u een probleem met de Defender-toepassing wilt oplossen of als u Defender tijdelijk wilt stoppen tijdens het uitvoeren van onderhoud op de server.
Verwijder de installatiering wanneer u de Defender-toepassing volledig van de Linux-server wilt verwijderen, bijvoorbeeld wanneer u de installatiering wijzigt (Prod/Insider Slow/Insider Fast) of wanneer u niet langer van plan bent om Microsoft Defender op het apparaat te gebruiken.
Hoe gedragen offboard- en verwijderd apparaten zich?
Nadat een apparaat is offboarded of verwijderd, gedraagt de Defender-toepassing zich als volgt:
- Het verzenden van telemetriegegevens (zoals waarschuwingen en beveiligingsproblemen) naar de Microsoft Defender portal wordt gestopt.
- Het wordt niet-gelicentieerd en niet-functioneel.
- Beveiligingsbeleid dat via Microsoft Defender wordt toegepast, wordt verwijderd.
Hoe worden offboard- en verwijderd apparaten weergegeven in de Defender-portal?
- De status van de sensor van het offboard of verwijderd apparaat verandert in Inactief na zeven dagen zonder telemetrie.
- Offboarded en verwijderd apparaten blijven maximaal 180 dagen zichtbaar. Zie Microsoft Defender voor Eindpunt gegevensopslag en privacy voor meer informatie over gegevensretentie.
- Historische gegevens (waarschuwingen, tijdlijn, software-inventaris) blijven toegankelijk tijdens de bewaarperiode.
- Er wordt geen expliciet offboarded of verwijderd label weergegeven in de portal. Als u onderscheid wilt maken tussen offboard- of verwijderd apparaten en apparaten die alleen zijn losgekoppeld of inactief, raden we u aan een tag toe te voegen aan het apparaat voordat u het offboardt of verwijdert. Dit maakt het gemakkelijker om deze apparaten later te identificeren en te filteren.
Een apparaat offboarden
Er zijn twee methoden beschikbaar voor het offboarden van een Linux-server vanuit Microsoft Defender voor Eindpunt:
- Offboarden met behulp van een script
- Offboard met behulp van een offboarding JSON-bestand.
Beide methoden bereiken hetzelfde resultaat, zodat u het resultaat kunt kiezen dat het beste bij uw scenario past.
Offboarden met behulp van een script
Ga naar de Microsoft Defender-portal (https://security.microsoft.com) en meld u aan.
Kies in het navigatiedeelvenster onder Systeemde optie Instellingen>Eindpunten en kies vervolgens onder Apparaatbeheer de optie Offboarding.
Selecteer Linux Server als het besturingssysteem en kies vervolgens in de sectie Implementatiemethodede optie Lokaal script.
Selecteer Pakket downloaden en selecteer vervolgens Downloaden. De gezipte map die wordt gedownload, heeft de naamWindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (waarbij JJJJ-MM-DD de vervaldatum van het pakket is).
Pak op uw Linux-server de inhoud van het ZIP-bestand uit naar een lokale map.
Open een terminal en navigeer naar de map waar het bestand MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD zich bevindt.
Typ
sudo python3 MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD.pyin de terminal. Hiermee wordt het offboarding-script uitgevoerd, waarmee het apparaat wordt offboards van Microsoft Defender voor Eindpunt.
Offboard met een offboarding JSON-bestand
Opmerking
Deze methode kan handmatig of automatisch worden uitgevoerd met behulp van het hulpprogramma voor configuratiebeheer van uw voorkeur Linux.
- Ga naar de Microsoft Defender-portal (https://security.microsoft.com) en meld u aan.
- Kies in het navigatiedeelvenster onder Systeemde optie Instellingen>Eindpunten en kies vervolgens onder Apparaatbeheer de optie Offboarding.
- Selecteer Linux Server als het besturingssysteem en kies vervolgens in de sectie Implementatiemethode de gewenste Linux hulpprogramma voor configuratiebeheer.
- Selecteer Pakket downloaden en selecteer vervolgens Downloaden. De gezipte map heeft de naamWindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (waarbij JJJJ-MM-DD de vervaldatum van het pakket is).
- Pak de inhoud van het ZIP-bestand uit en zoek het mdatp_offboard.json-bestand .
- Kopieer mdatp_offboard.json naar de volgende locatie op de Linux server:
/etc/opt/microsoft/mdatp/mdatp_offboard.json
De Defender-toepassing verwijderen van een Linux-server
Er zijn twee methoden beschikbaar om de Defender-toepassing te verwijderen van een Linux-server: Verwijderen met behulp van het Defender-implementatieprogramma (aanbevolen) of handmatige verwijdering. Beide methoden bereiken hetzelfde resultaat, zodat u het resultaat kunt kiezen dat het beste bij uw scenario past.
Verwijderen met behulp van het Defender-implementatieprogramma (aanbevolen)
Dit is de aanbevolen methode, omdat u hiermee de Defender-toepassing in één stap kunt verwijderen.
Ga naar de Microsoft Defender-portal (https://security.microsoft.com) en meld u aan.
Kies in het navigatiedeelvenster onder Systeemde optie Instellingen>Eindpunten en kies vervolgens onder Apparaatbeheer de optie Onboarding.
Selecteer Linux Server als besturingssysteem.
Ga naar het Defender-implementatieprogramma als de implementatiemethode en selecteer Pakket downloaden (er wordt een ZIP-bestand gedownload).
Pak het pakket uit en voer de volgende opdracht uit. Hiermee verwijdert u de Defender-toepassing en wordt de opslagplaats opgeschoond:
./defender_deployment_tool.sh --remove --clean
Handmatig verwijderen
Als u de Defender-toepassing handmatig wilt verwijderen en de opslagplaats wilt opschonen, voert u een van de volgende opdrachten uit (afhankelijk van uw Linux distributie):
Red Hat Enterprise Linux (RHEL) en varianten (CentOS en Oracle Linux)
sudo yum remove mdatp
of
sudo dnf remove mdatp
SUSE Linux Enterprise Server (SLES) en varianten
sudo zypper remove mdatp
Ubuntu en Debian
sudo apt-get purge mdatp
Mariner
sudo dnf remove mdatp
De offboardstatus van een apparaat controleren
Voer de volgende opdracht uit om de offboardingstatus van een apparaat te controleren:
mdatp health --field health_issues
Verwachte uitvoer
ATTENTION: No license found. Contact your administrator for help. ["missing license"]
De Defender-toepassing blijft op het apparaat geïnstalleerd, tenzij deze handmatig wordt verwijderd.