Linux에서 수동으로 엔드포인트용 Microsoft Defender 배포
적용 대상:
- 엔드포인트 서버용 Microsoft Defender
- 서버용 Microsoft Defender
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
팁
Linux에서 엔드포인트용 Microsoft Defender 배포하는 방법에 대한 고급 지침을 찾고 있나요? Linux의 엔드포인트용 Defender에 대한 고급 배포 가이드를 참조하세요.
이 문서에서는 Linux에 엔드포인트용 Microsoft Defender 수동으로 배포하는 방법을 설명합니다. 성공적으로 배포하려면 다음 작업을 모두 완료해야 합니다.
필수 구성 요소 및 시스템 요구 사항
시작하기 전에 현재 소프트웨어 버전에 대한 필수 구성 요소 및 시스템 요구 사항에 대한 설명은 Linux의 엔드포인트용 Microsoft Defender 참조하세요.
경고
제품을 설치한 후 운영 체제를 새 주 버전으로 업그레이드하려면 제품을 다시 설치해야 합니다. Linux에서 기존 엔드포인트용 Defender를 제거하고 , 운영 체제를 업그레이드한 다음, 아래 단계에 따라 Linux에서 엔드포인트용 Defender를 다시 구성해야 합니다.
Linux 소프트웨어 리포지토리 구성
Linux의 엔드포인트용 Defender는 다음 채널( [채널]로 표시됨) 중 하나에서 배포할 수 있습니다. 참가자가 빠르게, 참가자가 느리거나 prod
, 입니다. 이러한 각 채널은 Linux 소프트웨어 리포지토리에 해당합니다. 이 문서의 지침에서는 이러한 리포지토리 중 하나를 사용하도록 디바이스를 구성하는 방법을 설명합니다.
채널의 선택은 디바이스에 제공되는 업데이트의 유형과 빈도를 결정합니다. 참가자 속도가 빠른 디바이스는 업데이트 및 새로운 기능을 받은 첫 번째 장치이며, 나중에 는 내부자가 느리 고 마지막으로 에 의해 prod
수행됩니다.
새 기능을 미리 보고 초기 피드백을 제공하려면 참가자를 빠르게 사용하거나 참가자 속도가 느리도록 엔터프라이즈의 일부 디바이스를 구성하는 것이 좋습니다.
경고
초기 설치 후 채널을 전환하려면 제품을 다시 설치해야 합니다. 제품 채널을 전환하려면 기존 패키지를 제거하고 새 채널을 사용하도록 디바이스를 다시 구성하고 이 문서의 단계에 따라 새 위치에서 패키지를 설치합니다.
설치 관리자 스크립트
수동 설치에 대해 논의하는 동안 또는 공용 GitHub 리포지토리에 제공된 자동화된 설치 관리자 bash 스크립트를 사용할 수 있습니다. 스크립트는 배포 및 버전을 식별하고, 올바른 리포지토리의 선택을 간소화하고, 최신 패키지를 끌어오도록 디바이스를 설정하고, 제품 설치 및 온보딩 단계를 결합합니다.
> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel specify the channel from which you want to install. Default: insiders-fast
-i|--install install the product
-r|--remove remove the product
-u|--upgrade upgrade the existing product
-o|--onboard onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req enforce minimum requirements
-w|--clean remove repo from package manager for a specific channel
-v|--version print out script version
-h|--help display help
자세한 내용은 여기를 참조하세요.
RHEL 및 변형(CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky 및 Alma)
아직 설치되지 않은 경우 다음을 설치
yum-utils
합니다.sudo yum install yum-utils
참고
배포 및 버전을 지정하고 에서 가장 가까운 항목(주 항목, 부 항목 기준)을 식별합니다
https://packages.microsoft.com/config/rhel/
.다음 표를 사용하여 패키지를 찾는 데 도움이 됩니다.
배포판 & 버전 패키지 앨마 8.4 이상 https://packages.microsoft.com/config/alma/8/prod.repo 앨마 9.2 이상 https://packages.microsoft.com/config/alma/9/prod.repo RHEL/Centos/Oracle 9.0-9.8의 경우 https://packages.microsoft.com/config/rhel/9/prod.repo RHEL/Centos/Oracle 8.0-8.10의 경우 https://packages.microsoft.com/config/rhel/8/prod.repo RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo Amazon Linux 2023의 경우 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo 페도라 33용 https://packages.microsoft.com/config/fedora/33/prod.repo Fedora 34용 https://packages.microsoft.com/config/fedora/34/prod.repo Rocky 8.7 이상 https://packages.microsoft.com/config/rocky/8/prod.repo Rocky 9.2 이상 https://packages.microsoft.com/config/rocky/9/prod.repo 다음 명령에서 [version] 및 [channel] 을 식별한 정보로 바꿉니다.
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
팁
hostnamectl 명령을 사용하여 릴리스 [버전]을 비롯한 시스템 관련 정보를 식별합니다.
예를 들어 CentOS 7을 실행하고 채널에서
prod
Linux에 엔드포인트용 Defender를 배포하려는 경우:sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
또는 선택한 디바이스에서 새로운 기능을 탐색하려는 경우 Linux의 엔드포인트용 Microsoft Defender 참가자 빠른 채널에 배포할 수 있습니다.
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
Microsoft GPG 공개 키를 설치합니다.
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
SLES 및 변형
참고
배포 및 버전을 지정하고 에서 가장 가까운 항목(주 항목, 부 항목 기준)을 식별합니다 https://packages.microsoft.com/config/sles/
.
다음 명령에서 [배포판] 및 [버전] 을 식별한 정보로 바꿉니다.
sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
팁
SPident 명령을 사용하여 릴리스 [버전]을 비롯한 시스템 관련 정보를 식별합니다.
예를 들어 SLES 12를 실행하고 채널에서 prod
Linux에 엔드포인트용 Microsoft Defender 배포하려는 경우:
sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
Microsoft GPG 공개 키를 설치합니다.
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
Ubuntu 및 Debian 시스템
아직 설치되지 않은 경우 다음을 설치
curl
합니다.sudo apt-get install curl
아직 설치되지 않은 경우 다음을 설치
libplist-utils
합니다.sudo apt-get install libplist-utils
참고
배포 및 버전을 지정하고 에서 가장 가까운 항목(주 항목, 부 항목 기준)을 식별합니다
https://packages.microsoft.com/config/[distro]/
.다음 명령에서 [배포판] 및 [버전] 을 식별한 정보로 바꿉 있습니다.
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
팁
hostnamectl 명령을 사용하여 릴리스 [버전]을 비롯한 시스템 관련 정보를 식별합니다.
예를 들어 Ubuntu 18.04를 실행하고 채널에서
prod
Linux에 엔드포인트용 Microsoft Defender 배포하려는 경우:curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
리포지토리 구성을 설치합니다.
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
예를 들어 채널을 선택한
prod
경우:sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
gpg
아직 설치되지 않은 경우 패키지를 설치합니다.sudo apt-get install gpg
를 사용할 수 없는 경우
gpg
를 설치합니다gnupg
.sudo apt-get install gnupg
Microsoft GPG 공개 키를 설치합니다.
Debian 11 이하의 경우 다음 명령을 실행합니다.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
Debian 12 이상에서는 다음 명령을 실행합니다.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
아직 설치되지 않은 경우 HTTPS 드라이버를 설치합니다.
sudo apt-get install apt-transport-https
리포지토리 메타데이터를 업데이트합니다.
sudo apt-get update
선원
아직 설치되지 않은 경우 다음을 설치
dnf-plugins-core
합니다.sudo dnf install dnf-plugins-core
필요한 리포지토리 구성 및 사용
참고
마리너에서는 Insider Fast Channel을 사용할 수 없습니다.
채널에서 Linux에 엔드포인트용 Defender를
prod
배포하려는 경우 다음 명령을 사용합니다.sudo dnf install mariner-repos-extras sudo dnf config-manager --enable mariner-official-extras
또는 선택한 디바이스에서 새로운 기능을 탐색하려는 경우 Linux의 엔드포인트용 Microsoft Defender 참가자 느린 채널에 배포할 수 있습니다. 다음 명령을 사용합니다.
sudo dnf install mariner-repos-extras-preview sudo dnf config-manager --enable mariner-official-extras-preview
응용 프로그램 설치
RHEL 및 변형(CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky 및 Alma)
sudo yum install mdatp
참고
디바이스에 여러 Microsoft 리포지토리를 구성한 경우 패키지를 설치할 리포지토리에 대해 구체적으로 지정할 수 있습니다. 다음 예제에서는 이 디바이스에 리포지토리 채널도 insiders-fast
구성된 경우 채널에서 production
패키지를 설치하는 방법을 보여 줍니다. 이 상황은 디바이스에서 여러 Microsoft 제품을 사용하는 경우에 발생할 수 있습니다. 배포 및 서버 버전에 따라 리포지토리 별칭은 다음 예제의 별칭과 다를 수 있습니다.
# list all repositories
yum repolist
...
packages-microsoft-com-prod packages-microsoft-com-prod 316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins 2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
SLES 및 변형
sudo zypper install mdatp
참고
디바이스에 여러 Microsoft 리포지토리를 구성한 경우 패키지를 설치할 리포지토리에 대해 구체적으로 지정할 수 있습니다. 다음 예제에서는 이 디바이스에 리포지토리 채널도 insiders-fast
구성된 경우 채널에서 production
패키지를 설치하는 방법을 보여 줍니다. 이 상황은 디바이스에서 여러 Microsoft 제품을 사용하는 경우에 발생할 수 있습니다.
zypper repos
...
# | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp
Ubuntu 및 Debian 시스템
sudo apt-get install mdatp
참고
디바이스에 여러 Microsoft 리포지토리를 구성한 경우 패키지를 설치할 리포지토리에 대해 구체적으로 지정할 수 있습니다. 다음 예제에서는 이 디바이스에 리포지토리 채널도 insiders-fast
구성된 경우 채널에서 production
패키지를 설치하는 방법을 보여 줍니다. 이 상황은 디바이스에서 여러 Microsoft 제품을 사용하는 경우에 발생할 수 있습니다.
cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp
참고
다시 부팅은 변경할 수 없는 모드에서 auditD를 실행하는 경우를 제외하고 Linux에서 엔드포인트용 Microsoft Defender 설치하거나 업데이트한 후에는 필요하지 않습니다.
선원
sudo dnf install mdatp
참고
디바이스에 여러 Microsoft 리포지토리를 구성한 경우 패키지를 설치할 리포지토리에 대해 구체적으로 지정할 수 있습니다. 다음 예제에서는 이 디바이스에 리포지토리 채널도 insiders-slow
구성된 경우 채널에서 production
패키지를 설치하는 방법을 보여 줍니다. 이 상황은 디바이스에서 여러 Microsoft 제품을 사용하는 경우에 발생할 수 있습니다.
sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras
온보딩 패키지 다운로드
Microsoft Defender 포털에서 온보딩 패키지를 다운로드합니다.
경고
엔드포인트용 Defender 설치 패키지를 다시 패키징하는 것은 지원되는 시나리오가 아닙니다. 이렇게 하면 제품의 무결성에 부정적인 영향을 미칠 수 있으며 변조 경고 및 업데이트가 적용되지 않는 것을 포함하지만 이에 국한되지 않는 부정적인 결과를 초래할 수 있습니다.
중요
이 단계를 놓치면 실행된 모든 명령에는 제품이 허가되지 않았음을 나타내는 경고 메시지가 표시됩니다.
mdatp health
또한 명령은 의 값을 반환합니다false
.
Microsoft Defender 포털에서 설정 > 엔드포인트 > 디바이스 관리 > 온보딩으로 이동합니다.
첫 번째 드롭다운 메뉴에서 Linux Server 를 운영 체제로 선택합니다. 두 번째 드롭다운 메뉴에서 배포 방법으로 로컬 스크립트 를 선택합니다.
온보딩 패키지 다운로드를 선택합니다. 파일을 WindowsDefenderATPOnboardingPackage.zip 저장합니다.
명령 프롬프트에서 파일이 있는지 확인하고 보관 파일의 내용을 추출합니다.
ls -l
total 8 -rw-r--r-- 1 test staff 5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
unzip WindowsDefenderATPOnboardingPackage.zip
Archive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
클라이언트 구성
대상 디바이스에 MicrosoftDefenderATPOnboardingLinuxServer.py 복사합니다.
참고
처음에는 클라이언트 디바이스가 organization 연결되지 않고 orgId 특성이 비어 있습니다.
mdatp health --field org_id
MicrosoftDefenderATPOnboardingLinuxServer.py 실행합니다.
참고
이 명령을 실행하려면 배포판 및 버전에 따라 디바이스에 있거나 설치되어 있어야 합니다
python
python3
. 필요한 경우 Linux에 Python을 설치하기 위한 단계별 지침을 참조하세요.참고
이전에 오프보딩된 디바이스를 온보딩하려면 /etc/opt/microsoft/mdatp에 있는 mdatp_offboard.json 파일을 제거해야 합니다.
RHEL 8.x 또는 Ubuntu 20.04 이상을 실행하는 경우 를 사용해야
python3
합니다.sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
나머지 배포판 및 버전의 경우 를 사용해야
python
합니다.sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
이제 디바이스가 organization 연결되어 있는지 확인하고 유효한 organization 식별자를 보고합니다.
mdatp health --field org_id
다음 명령을 실행하여 제품의 상태 상태 확인합니다. 의
true
반환 값은 제품이 예상대로 작동하고 있음을 표시합니다.mdatp health --field healthy
중요
제품이 처음으로 시작되면 최신 맬웨어 방지 정의를 다운로드합니다. 네트워크 연결에 따라 최대 몇 분 정도 걸릴 수 있습니다. 이 시간 동안 위의 명령은 의 값을 반환합니다
false
. 다음 명령을 사용하여 정의 업데이트의 상태 검사 수 있습니다.mdatp health --field definitions_status
초기 설치를 완료한 후 프록시를 구성해야 할 수도 있습니다. 정적 프록시 검색: 설치 후 구성은 Linux에서 엔드포인트용 Defender 구성을 참조하세요.
AV 검색 테스트를 실행하여 디바이스가 제대로 온보딩되고 서비스에 보고되는지 확인합니다. 새로 온보딩된 디바이스에서 다음 단계를 수행합니다.
실시간 보호가 사용하도록 설정되어 있는지 확인합니다(다음 명령을 실행한 결과로
true
표시됨).mdatp health --field real_time_protection_enabled
사용하도록 설정되지 않은 경우 다음 명령을 실행합니다.
mdatp config real-time-protection --value enabled
터미널 창을 열고 다음 명령을 실행하여 검색 테스트를 실행합니다.
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
다음 명령 중 하나를 사용하여 zip 파일에서 더 많은 검색 테스트를 실행할 수 있습니다.
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
파일은 Linux의 엔드포인트용 Defender에 의해 격리되어야 합니다. 다음 명령을 사용하여 검색된 모든 위협을 나열합니다.
mdatp threat list
EDR 검색 테스트를 실행하고 검색을 시뮬레이션하여 디바이스가 제대로 온보딩되고 서비스에 보고되는지 확인합니다. 새로 온보딩된 디바이스에서 다음 단계를 수행합니다.
온보딩된 Linux 서버가 Microsoft Defender XDR 표시되는지 확인합니다. 컴퓨터의 첫 번째 온보딩인 경우 머신이 나타날 때까지 최대 20분이 걸릴 수 있습니다.
스크립트 파일을 다운로드하여 온보딩된 Linux 서버에 추출하고 다음 명령을 실행합니다.
./mde_linux_edr_diy.sh
몇 분 후 Microsoft Defender XDR 검색을 발생시켜야 합니다.
경고 세부 정보, 컴퓨터 타임라인 살펴보고 일반적인 조사 단계를 수행합니다.
패키지 외부 패키지 종속성 엔드포인트용 Microsoft Defender
mdatp 패키지에 대한 다음 외부 패키지 종속성이 있습니다.
- mdatp RPM 패키지에는
glibc >= 2.17
, ,policycoreutils
, 가selinux-policy-targeted
필요합니다.mde-netfilter
- DEBIAN의 경우 mdatp 패키지에는 , , 가
uuid-runtime
필요합니다.libc6 >= 2.23
mde-netfilter
- Mariner의 경우 mdatp 패키지에는
attr
, ,diffutils
,libacl
libattr
,libselinux-utils
, ,selinux-policy
가policycoreutils
필요합니다.mde-netfilter
참고
버전 101.24082.0004
부터 Linux의 엔드포인트용 Defender는 더 이상 이벤트 공급자를 Auditd
지원하지 않습니다. 보다 효율적인 eBPF 기술로 완전히 전환하고 있습니다.
컴퓨터에서 eBPF가 지원되지 않거나 Auditd에 남아 있어야 하는 특정 요구 사항이 있고 컴퓨터가 Linux 버전 101.24072.0001
이하의 엔드포인트용 Defender를 사용하는 경우 mdatp에 대해 감사된 패키지에 대한 다음과 같은 추가 종속성이 존재합니다.
- mdatp RPM 패키지에는 ,
semanage
가audit
필요합니다. - DEBIAN의 경우 mdatp 패키지에 가
auditd
필요합니다. - Mariner의 경우 mdatp 패키지에는 가
audit
필요합니다.
mde-netfilter 패키지에는 다음 패키지 종속성도 있습니다.
- DEBIAN의 경우 mde-netfilter 패키지에는 가 필요합니다.
libnetfilter-queue1
libglib2.0-0
- RPM의 경우 mde-netfilter 패키지에는
libmnl
, ,libnfnetlink
, 가libnetfilter_queue
필요합니다.glib2
- Mariner의 경우 mde-netfilter 패키지에는 가 필요합니다.
libnfnetlink
libnetfilter_queue
종속성 오류 누락으로 인해 엔드포인트용 Microsoft Defender 설치가 실패하는 경우 필수 구성 요소 종속성을 수동으로 다운로드할 수 있습니다.
로그 설치 문제
오류가 발생할 때 설치 관리자가 만든 자동으로 생성된 로그를 찾는 방법에 대한 자세한 내용은 로그 설치 문제를 참조하세요.
Insiders-Fast 프로덕션 채널로 마이그레이션하는 방법
Linux에서
Insiders-Fast channel
엔드포인트용 Defender 버전을 제거합니다.sudo yum remove mdatp
Linux Insiders-Fast 리포지토리에서 엔드포인트용 Defender 사용 안 함
sudo yum repolist
참고
출력에 가 표시됩니다
packages-microsoft-com-fast-prod
.sudo yum-config-manager --disable packages-microsoft-com-fast-prod
프로덕션 채널을 사용하여 Linux에서 엔드포인트용 Microsoft Defender 다시 배포합니다.
제거
클라이언트 디바이스에서 Linux의 엔드포인트용 Defender를 제거하는 방법에 대한 자세한 내용은 제거 를 참조하세요.
참고 항목
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.