다음을 통해 공유


Linux에서 수동으로 엔드포인트용 Microsoft Defender 배포

적용 대상:

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

Linux에서 엔드포인트용 Microsoft Defender 배포하는 방법에 대한 고급 지침을 찾고 있나요? Linux의 엔드포인트용 Defender에 대한 고급 배포 가이드를 참조하세요.

이 문서에서는 Linux에 엔드포인트용 Microsoft Defender 수동으로 배포하는 방법을 설명합니다. 성공적으로 배포하려면 다음 작업을 모두 완료해야 합니다.

필수 구성 요소 및 시스템 요구 사항

시작하기 전에 현재 소프트웨어 버전에 대한 필수 구성 요소 및 시스템 요구 사항에 대한 설명은 Linux의 엔드포인트용 Microsoft Defender 참조하세요.

경고

제품을 설치한 후 운영 체제를 새 주 버전으로 업그레이드하려면 제품을 다시 설치해야 합니다. Linux에서 기존 엔드포인트용 Defender를 제거하고 , 운영 체제를 업그레이드한 다음, 아래 단계에 따라 Linux에서 엔드포인트용 Defender를 다시 구성해야 합니다.

Linux 소프트웨어 리포지토리 구성

Linux의 엔드포인트용 Defender는 다음 채널( [채널]로 표시됨) 중 하나에서 배포할 수 있습니다. 참가자가 빠르게, 참가자가 느리거나 prod, 입니다. 이러한 각 채널은 Linux 소프트웨어 리포지토리에 해당합니다. 이 문서의 지침에서는 이러한 리포지토리 중 하나를 사용하도록 디바이스를 구성하는 방법을 설명합니다.

채널의 선택은 디바이스에 제공되는 업데이트의 유형과 빈도를 결정합니다. 참가자 속도가 빠른 디바이스는 업데이트 및 새로운 기능을 받은 첫 번째 장치이며, 나중에 는 내부자가 느리 고 마지막으로 에 의해 prod수행됩니다.

새 기능을 미리 보고 초기 피드백을 제공하려면 참가자를 빠르게 사용하거나 참가자 속도가 느리도록 엔터프라이즈의 일부 디바이스를 구성하는 것이 좋습니다.

경고

초기 설치 후 채널을 전환하려면 제품을 다시 설치해야 합니다. 제품 채널을 전환하려면 기존 패키지를 제거하고 새 채널을 사용하도록 디바이스를 다시 구성하고 이 문서의 단계에 따라 새 위치에서 패키지를 설치합니다.

설치 관리자 스크립트

수동 설치에 대해 논의하는 동안 또는 공용 GitHub 리포지토리에 제공된 자동화된 설치 관리자 bash 스크립트를 사용할 수 있습니다. 스크립트는 배포 및 버전을 식별하고, 올바른 리포지토리의 선택을 간소화하고, 최신 패키지를 끌어오도록 디바이스를 설정하고, 제품 설치 및 온보딩 단계를 결합합니다.

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

자세한 내용은 여기를 참조하세요.

RHEL 및 변형(CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky 및 Alma)

SLES 및 변형

참고

배포 및 버전을 지정하고 에서 가장 가까운 항목(주 항목, 부 항목 기준)을 식별합니다 https://packages.microsoft.com/config/sles/.

다음 명령에서 [배포판][버전] 을 식별한 정보로 바꿉니다.

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

SPident 명령을 사용하여 릴리스 [버전]을 비롯한 시스템 관련 정보를 식별합니다.

예를 들어 SLES 12를 실행하고 채널에서 prod Linux에 엔드포인트용 Microsoft Defender 배포하려는 경우:

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
  • Microsoft GPG 공개 키를 설치합니다.

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
    

Ubuntu 및 Debian 시스템

  • 아직 설치되지 않은 경우 다음을 설치 curl 합니다.

    sudo apt-get install curl
    
  • 아직 설치되지 않은 경우 다음을 설치 libplist-utils 합니다.

    sudo apt-get install libplist-utils
    

    참고

    배포 및 버전을 지정하고 에서 가장 가까운 항목(주 항목, 부 항목 기준)을 식별합니다 https://packages.microsoft.com/config/[distro]/.

    다음 명령에서 [배포판][버전] 을 식별한 정보로 바꿉 있습니다.

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
    

    hostnamectl 명령을 사용하여 릴리스 [버전]을 비롯한 시스템 관련 정보를 식별합니다.

    예를 들어 Ubuntu 18.04를 실행하고 채널에서 prod Linux에 엔드포인트용 Microsoft Defender 배포하려는 경우:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
    
  • 리포지토리 구성을 설치합니다.

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
    

    예를 들어 채널을 선택한 prod 경우:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
    
  • gpg 아직 설치되지 않은 경우 패키지를 설치합니다.

    sudo apt-get install gpg
    

    를 사용할 수 없는 경우 gpg 를 설치합니다 gnupg.

    sudo apt-get install gnupg
    
  • Microsoft GPG 공개 키를 설치합니다.

    • Debian 11 이하의 경우 다음 명령을 실행합니다.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
      
    • Debian 12 이상에서는 다음 명령을 실행합니다.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
      
  • 아직 설치되지 않은 경우 HTTPS 드라이버를 설치합니다.

    sudo apt-get install apt-transport-https
    
  • 리포지토리 메타데이터를 업데이트합니다.

    sudo apt-get update
    

선원

  • 아직 설치되지 않은 경우 다음을 설치 dnf-plugins-core 합니다.

    sudo dnf install dnf-plugins-core
    
  • 필요한 리포지토리 구성 및 사용

    참고

    마리너에서는 Insider Fast Channel을 사용할 수 없습니다.

    채널에서 Linux에 엔드포인트용 Defender를 prod 배포하려는 경우 다음 명령을 사용합니다.

    sudo dnf install mariner-repos-extras
    sudo dnf config-manager --enable mariner-official-extras
    

    또는 선택한 디바이스에서 새로운 기능을 탐색하려는 경우 Linux의 엔드포인트용 Microsoft Defender 참가자 느린 채널에 배포할 수 있습니다. 다음 명령을 사용합니다.

    sudo dnf install mariner-repos-extras-preview
    sudo dnf config-manager --enable mariner-official-extras-preview
    

응용 프로그램 설치

RHEL 및 변형(CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky 및 Alma)

sudo yum install mdatp

참고

디바이스에 여러 Microsoft 리포지토리를 구성한 경우 패키지를 설치할 리포지토리에 대해 구체적으로 지정할 수 있습니다. 다음 예제에서는 이 디바이스에 리포지토리 채널도 insiders-fast 구성된 경우 채널에서 production 패키지를 설치하는 방법을 보여 줍니다. 이 상황은 디바이스에서 여러 Microsoft 제품을 사용하는 경우에 발생할 수 있습니다. 배포 및 서버 버전에 따라 리포지토리 별칭은 다음 예제의 별칭과 다를 수 있습니다.

# list all repositories
yum repolist
...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES 및 변형

sudo zypper install mdatp

참고

디바이스에 여러 Microsoft 리포지토리를 구성한 경우 패키지를 설치할 리포지토리에 대해 구체적으로 지정할 수 있습니다. 다음 예제에서는 이 디바이스에 리포지토리 채널도 insiders-fast 구성된 경우 채널에서 production 패키지를 설치하는 방법을 보여 줍니다. 이 상황은 디바이스에서 여러 Microsoft 제품을 사용하는 경우에 발생할 수 있습니다.

zypper repos
...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu 및 Debian 시스템

sudo apt-get install mdatp

참고

디바이스에 여러 Microsoft 리포지토리를 구성한 경우 패키지를 설치할 리포지토리에 대해 구체적으로 지정할 수 있습니다. 다음 예제에서는 이 디바이스에 리포지토리 채널도 insiders-fast 구성된 경우 채널에서 production 패키지를 설치하는 방법을 보여 줍니다. 이 상황은 디바이스에서 여러 Microsoft 제품을 사용하는 경우에 발생할 수 있습니다.

cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp

참고

다시 부팅은 변경할 수 없는 모드에서 auditD를 실행하는 경우를 제외하고 Linux에서 엔드포인트용 Microsoft Defender 설치하거나 업데이트한 후에는 필요하지 않습니다.

선원

sudo dnf install mdatp

참고

디바이스에 여러 Microsoft 리포지토리를 구성한 경우 패키지를 설치할 리포지토리에 대해 구체적으로 지정할 수 있습니다. 다음 예제에서는 이 디바이스에 리포지토리 채널도 insiders-slow 구성된 경우 채널에서 production 패키지를 설치하는 방법을 보여 줍니다. 이 상황은 디바이스에서 여러 Microsoft 제품을 사용하는 경우에 발생할 수 있습니다.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

온보딩 패키지 다운로드

Microsoft Defender 포털에서 온보딩 패키지를 다운로드합니다.

경고

엔드포인트용 Defender 설치 패키지를 다시 패키징하는 것은 지원되는 시나리오가 아닙니다. 이렇게 하면 제품의 무결성에 부정적인 영향을 미칠 수 있으며 변조 경고 및 업데이트가 적용되지 않는 것을 포함하지만 이에 국한되지 않는 부정적인 결과를 초래할 수 있습니다.

중요

이 단계를 놓치면 실행된 모든 명령에는 제품이 허가되지 않았음을 나타내는 경고 메시지가 표시됩니다. mdatp health 또한 명령은 의 값을 반환합니다false.

  1. Microsoft Defender 포털에서 설정 > 엔드포인트 > 디바이스 관리 > 온보딩으로 이동합니다.

  2. 첫 번째 드롭다운 메뉴에서 Linux Server 를 운영 체제로 선택합니다. 두 번째 드롭다운 메뉴에서 배포 방법으로 로컬 스크립트 를 선택합니다.

  3. 온보딩 패키지 다운로드를 선택합니다. 파일을 WindowsDefenderATPOnboardingPackage.zip 저장합니다.

    Microsoft Defender 포털에서 온보딩 패키지 다운로드

  4. 명령 프롬프트에서 파일이 있는지 확인하고 보관 파일의 내용을 추출합니다.

    ls -l
    
    total 8
    -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
    
    unzip WindowsDefenderATPOnboardingPackage.zip
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
    

클라이언트 구성

  1. 대상 디바이스에 MicrosoftDefenderATPOnboardingLinuxServer.py 복사합니다.

    참고

    처음에는 클라이언트 디바이스가 organization 연결되지 않고 orgId 특성이 비어 있습니다.

    mdatp health --field org_id
    
  2. MicrosoftDefenderATPOnboardingLinuxServer.py 실행합니다.

    참고

    이 명령을 실행하려면 배포판 및 버전에 따라 디바이스에 있거나 설치되어 있어야 합니다 pythonpython3 . 필요한 경우 Linux에 Python을 설치하기 위한 단계별 지침을 참조하세요.

    참고

    이전에 오프보딩된 디바이스를 온보딩하려면 /etc/opt/microsoft/mdatp에 있는 mdatp_offboard.json 파일을 제거해야 합니다.

    RHEL 8.x 또는 Ubuntu 20.04 이상을 실행하는 경우 를 사용해야 python3합니다.

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
    

    나머지 배포판 및 버전의 경우 를 사용해야 python합니다.

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
    
  3. 이제 디바이스가 organization 연결되어 있는지 확인하고 유효한 organization 식별자를 보고합니다.

    mdatp health --field org_id
    
  4. 다음 명령을 실행하여 제품의 상태 상태 확인합니다. 의 true 반환 값은 제품이 예상대로 작동하고 있음을 표시합니다.

    mdatp health --field healthy
    

    중요

    제품이 처음으로 시작되면 최신 맬웨어 방지 정의를 다운로드합니다. 네트워크 연결에 따라 최대 몇 분 정도 걸릴 수 있습니다. 이 시간 동안 위의 명령은 의 값을 반환합니다 false. 다음 명령을 사용하여 정의 업데이트의 상태 검사 수 있습니다.

    mdatp health --field definitions_status
    

    초기 설치를 완료한 후 프록시를 구성해야 할 수도 있습니다. 정적 프록시 검색: 설치 후 구성은 Linux에서 엔드포인트용 Defender 구성을 참조하세요.

  5. AV 검색 테스트를 실행하여 디바이스가 제대로 온보딩되고 서비스에 보고되는지 확인합니다. 새로 온보딩된 디바이스에서 다음 단계를 수행합니다.

    • 실시간 보호가 사용하도록 설정되어 있는지 확인합니다(다음 명령을 실행한 결과로 true 표시됨).

      mdatp health --field real_time_protection_enabled
      

      사용하도록 설정되지 않은 경우 다음 명령을 실행합니다.

      mdatp config real-time-protection --value enabled
      
    • 터미널 창을 열고 다음 명령을 실행하여 검색 테스트를 실행합니다.

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      
    • 다음 명령 중 하나를 사용하여 zip 파일에서 더 많은 검색 테스트를 실행할 수 있습니다.

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      
    • 파일은 Linux의 엔드포인트용 Defender에 의해 격리되어야 합니다. 다음 명령을 사용하여 검색된 모든 위협을 나열합니다.

      mdatp threat list
      
  6. EDR 검색 테스트를 실행하고 검색을 시뮬레이션하여 디바이스가 제대로 온보딩되고 서비스에 보고되는지 확인합니다. 새로 온보딩된 디바이스에서 다음 단계를 수행합니다.

    • 온보딩된 Linux 서버가 Microsoft Defender XDR 표시되는지 확인합니다. 컴퓨터의 첫 번째 온보딩인 경우 머신이 나타날 때까지 최대 20분이 걸릴 수 있습니다.

    • 스크립트 파일을 다운로드하여 온보딩된 Linux 서버에 추출하고 다음 명령을 실행합니다../mde_linux_edr_diy.sh

    • 몇 분 후 Microsoft Defender XDR 검색을 발생시켜야 합니다.

    • 경고 세부 정보, 컴퓨터 타임라인 살펴보고 일반적인 조사 단계를 수행합니다.

패키지 외부 패키지 종속성 엔드포인트용 Microsoft Defender

mdatp 패키지에 대한 다음 외부 패키지 종속성이 있습니다.

  • mdatp RPM 패키지에는 glibc >= 2.17, , policycoreutils, 가 selinux-policy-targeted필요합니다. mde-netfilter
  • DEBIAN의 경우 mdatp 패키지에는 , , 가 uuid-runtime필요합니다.libc6 >= 2.23mde-netfilter
  • Mariner의 경우 mdatp 패키지에는 attr, , diffutils, libacllibattr, libselinux-utils, , selinux-policypolicycoreutils필요합니다.mde-netfilter

참고

버전 101.24082.0004부터 Linux의 엔드포인트용 Defender는 더 이상 이벤트 공급자를 Auditd 지원하지 않습니다. 보다 효율적인 eBPF 기술로 완전히 전환하고 있습니다. 컴퓨터에서 eBPF가 지원되지 않거나 Auditd에 남아 있어야 하는 특정 요구 사항이 있고 컴퓨터가 Linux 버전 101.24072.0001 이하의 엔드포인트용 Defender를 사용하는 경우 mdatp에 대해 감사된 패키지에 대한 다음과 같은 추가 종속성이 존재합니다.

  • mdatp RPM 패키지에는 , semanageaudit필요합니다.
  • DEBIAN의 경우 mdatp 패키지에 가 auditd필요합니다.
  • Mariner의 경우 mdatp 패키지에는 가 audit필요합니다.

mde-netfilter 패키지에는 다음 패키지 종속성도 있습니다.

  • DEBIAN의 경우 mde-netfilter 패키지에는 가 필요합니다.libnetfilter-queue1libglib2.0-0
  • RPM의 경우 mde-netfilter 패키지에는 libmnl, , libnfnetlink, 가 libnetfilter_queue필요합니다. glib2
  • Mariner의 경우 mde-netfilter 패키지에는 가 필요합니다.libnfnetlinklibnetfilter_queue

종속성 오류 누락으로 인해 엔드포인트용 Microsoft Defender 설치가 실패하는 경우 필수 구성 요소 종속성을 수동으로 다운로드할 수 있습니다.

로그 설치 문제

오류가 발생할 때 설치 관리자가 만든 자동으로 생성된 로그를 찾는 방법에 대한 자세한 내용은 로그 설치 문제를 참조하세요.

Insiders-Fast 프로덕션 채널로 마이그레이션하는 방법

  1. Linux에서 Insiders-Fast channel 엔드포인트용 Defender 버전을 제거합니다.

    sudo yum remove mdatp
    
  2. Linux Insiders-Fast 리포지토리에서 엔드포인트용 Defender 사용 안 함

    sudo yum repolist
    

    참고

    출력에 가 표시됩니다 packages-microsoft-com-fast-prod.

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod
    
  3. 프로덕션 채널을 사용하여 Linux에서 엔드포인트용 Microsoft Defender 다시 배포합니다.

제거

클라이언트 디바이스에서 Linux의 엔드포인트용 Defender를 제거하는 방법에 대한 자세한 내용은 제거 를 참조하세요.

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.