ARM64 기반 디바이스용 Linux의 엔드포인트용 Microsoft Defender(미리 보기)

• 엔드포인트 서버용 Microsoft Defender
• 서버용 Microsoft Defender

ARM64 기반 디바이스용 Linux의 엔드포인트용 Defender 개요

이미 알고 있듯이 Linux의 엔드포인트용 Microsoft Defender 고급 위협으로부터 서버 디바이스를 보호하는 데 도움이 되는 통합 엔드포인트 보안 솔루션입니다. Linux의 엔드포인트용 Defender는 이제 미리 보기에서 ARM64 기반 Linux 서버에 대한 지원을 확장하고 있습니다. x64 기반 Linux 서버(Intel 및 AMD 64비트 플랫폼 포함)와 마찬가지로 다음 기능이 포함되어 있습니다.

• Microsoft Defender 바이러스 백신
• EDR(엔드포인트 감지 및 응답)
• 실시간 응답
• 디바이스 격리
• 고급 헌팅
• 취약성 관리
• 보안 설정 관리를 사용하는 중앙 집중식 정책 구성

처음에는 다음 Linux 배포판이 미리 보기에서 지원됩니다.

• Ubuntu 20.04 ARM64
• Ubuntu 22.04 ARM64
• Amazon Linux 2 ARM64
• Amazon Linux 2023 ARM64

이 문서의 설치 절차는 ARM64 기반 디바이스의 내부 느린 채널에서 에이전트 버전을 101.24102.0002 설치합니다. (Linux의 엔드포인트용 Microsoft Defender 새로운 기능 참조)

ARM64 기반 디바이스용 Linux에서 엔드포인트용 Defender 배포

여러 방법 중에서 선택하여 Linux의 엔드포인트용 Defender를 ARM64 기반 디바이스에 배포할 수 있습니다.

• 설치 관리자 스크립트
• Ansible
• 괴뢰
• Microsoft Defender for Cloud

시작하기 전에

• Linux의 엔드포인트용 Defender에 대한 필수 구성 요소가 충족되는지 확인합니다.

• 엔드포인트용 Defender에 서버를 온보딩하려면 서버 라이선스가 필요합니다. 다음 옵션 중에서 선택할 수 있습니다.

  • 서버 플랜 1 또는 플랜 2(클라우드용 Defender의 일부) 제품에 대한 Microsoft Defender
  • 엔드포인트 서버용 Microsoft Defender

설치 관리자 스크립트를 사용하여 배포

1. Microsoft Defender 포털에서 설정>엔드포인트>디바이스 관리>온보딩으로 이동합니다.

2. 온보딩 화면에서 다음 옵션을 선택합니다.

   

   1. 온보딩 프로세스를 시작할 운영 체제 선택 목록에서 Linux Server를 선택합니다.

   2. 연결 유형 목록에서 간소화를 선택합니다. 또는 필요한 경우 Standard 선택할 수 있습니다. 자세한 내용은 엔드포인트용 Microsoft Defender 대해 간소화된 연결을 사용하여 디바이스 온보딩을 참조하세요.

   3. 배포 방법 목록에서 로컬 스크립트(Python)를 선택합니다.

   4. 온보딩 패키지 다운로드를 선택합니다.

3. 새 브라우저 창에서 엔드포인트용 Defender 설치 관리자 bash 스크립트를 다운로드합니다.

4. 다음 명령을 사용하여 스크립트에 필요한 권한을 부여합니다.

   $chmod +x /mde_installer.sh

5. 다음 명령을 실행하여 설치 관리자 스크립트를 실행합니다.

   $sudo ~/mde_installer.sh --install --channel insiders-slow --onboard ~/MicrosoftDefenderATPOnboardingLinuxServer.py

6. 다음 단계에 따라 배포의 유효성을 검사합니다.

   1. 디바이스에서 다음 명령을 실행하여 상태 상태 검사. 의 true 반환 값은 제품이 예상대로 작동하고 있음을 표시합니다.

      $ mdatp health --field healthy

   2. Microsoft Defender 포털의 자산>디바이스에서 방금 온보딩한 Linux 디바이스를 찾습니다. 디바이스가 포털에 표시되는 데 약 20분이 걸릴 수 있습니다.

7. 문제가 발생하면 배포 문제 해결 (이 문서)을 참조하세요.

Ansible에서 설치 관리자 스크립트를 사용하여 배포

1. Microsoft Defender 포털에서 설정>엔드포인트>디바이스 관리>온보딩으로 이동합니다.

2. 온보딩 화면에서 다음 옵션을 선택합니다.

   

   1. 온보딩 프로세스를 시작할 운영 체제 선택 목록에서 Linux Server를 선택합니다.

   2. 연결 유형 목록에서 간소화를 선택합니다. 또는 필요한 경우 Standard 선택할 수 있습니다. 자세한 내용은 엔드포인트용 Microsoft Defender 대해 간소화된 연결을 사용하여 디바이스 온보딩을 참조하세요.

   3. 배포 방법 목록에서 기본 Linux 구성 관리 도구를 선택합니다.

   4. 온보딩 패키지 다운로드를 선택합니다.

3. 새 브라우저 창에서 엔드포인트용 Defender 설치 관리자 bash 스크립트를 다운로드합니다.

4. Ansible 서버에 설치 YAML 파일을 만듭니다. 예를 들어 /etc/ansible/playbooks/install_mdatp.yml은 3단계에서 다운로드한 를 사용하여 mde_installer.sh 입니다.

   
   name: Install and Onboard MDE
   hosts: servers
   tasks:
   - name: Create a directory if it does not exist
     ansible.builtin.file:
       path: /tmp/mde_install
       state: directory
       mode: '0755'
   
   - name: Copy Onboarding script
     ansible.builtin.copy:
       src: "{{ onboarding_script }}"
       dest: /tmp/mde_install/mdatp_onboard.json
   - name: Install MDE on host
     ansible.builtin.script: "{{ mde_installer_script }} --install --channel {{ channel | default('insiders-slow') }} --onboard /tmp/mde_install/mdatp_onboard.json"
     register: script_output
     args:
       executable: sudo
   
   - name: Display the installation output
     debug:
       msg: "Return code [{{ script_output.rc }}] {{ script_output.stdout }}"
   
   - name: Display any installation errors
     debug:
       msg: "{{ script_output.stderr }}"
   
   

5. 다음 명령을 사용하여 Linux에서 엔드포인트용 Defender를 배포합니다. 해당 경로 및 채널을 적절하게 편집합니다.

   
   ansible-playbook -i  /etc/ansible/hosts /etc/ansible/playbooks/install_mdatp.yml --extra-vars "onboarding_script=<path to mdatp_onboard.json > mde_installer_script=<path to mde_installer.sh> channel=<channel to deploy for: insiders-slow > "
   
   

6. 다음 단계에 따라 배포의 유효성을 검사합니다.

   1. 디바이스에서 다음 명령을 실행하여 디바이스 상태, 연결, 바이러스 백신 및 EDR 검색을 검사.

      
      - name: Run post-installation basic MDE test
        hosts: myhosts
        tasks:
      
         - name: Check health
           ansible.builtin.command: mdatp health --field healthy
           register: health_status
      
         - name: MDE health test failed
           fail: msg="MDE is not healthy. health status => \n{{ health_status.stdout       }}\nMDE deployment not complete"
           when: health_status.stdout != "true"
      
         - name: Run connectivity test
           ansible.builtin.command: mdatp connectivity test
           register: connectivity_status
      
         - name: Connectivity failed
           fail: msg="Connectivity failed. Connectivity result => \n{{ connectivity_status.stdout }}\n MDE deployment not complete"
           when: connectivity_status.rc != 0
      
         - name: Check RTP status
           ansible.builtin.command: mdatp health --field real_time_protection_enabled
           register: rtp_status
      
         - name: Enable RTP
           ansible.builtin.command: mdatp config real-time-protection --value enabled
           become: yes
           become_user: root
           when: rtp_status.stdout != "true"
      
         - name: Pause for 5 second to enable RTP
           ansible.builtin.pause:
           seconds: 5
      
         - name: Download EICAR
           ansible.builtin.get_url:
           url: https://secure.eicar.org/eicar.com.txt
           dest: /tmp/eicar.com.txt
      
         - name: Pause for 5 second to detect eicar 
           ansible.builtin.pause:
           seconds: 5
      
         - name: Check for EICAR file
           stat: path=/tmp/eicar.com.txt
           register: eicar_test
      
         - name: EICAR test failed
           fail: msg="EICAR file not deleted. MDE deployment not complete"
           when: eicar_test.stat.exists
      
         - name: MDE Deployed
           debug:
           msg: "MDE succesfully deployed"
      
      

   2. Microsoft Defender 포털의 자산>디바이스에서 방금 온보딩한 Linux 디바이스를 찾습니다. 디바이스가 포털에 표시되는 데 약 20분이 걸릴 수 있습니다.

7. 문제가 발생하면 배포 문제 해결 (이 문서)을 참조하세요.

Puppet과 함께 설치 관리자 스크립트를 사용하여 배포

1. Microsoft Defender 포털에서 설정>엔드포인트>디바이스 관리>온보딩으로 이동합니다.

2. 온보딩 화면에서 다음 옵션을 선택합니다.

   

   1. 온보딩 프로세스를 시작할 운영 체제 선택 목록에서 Linux Server를 선택합니다.

   2. 연결 유형 목록에서 간소화를 선택합니다. 또는 필요한 경우 Standard 선택할 수 있습니다. 자세한 내용은 엔드포인트용 Microsoft Defender 대해 간소화된 연결을 사용하여 디바이스 온보딩을 참조하세요.

   3. 배포 방법 목록에서 기본 Linux 구성 관리 도구를 선택합니다.

   4. 온보딩 패키지 다운로드를 선택합니다. 파일을 로 WindowsDefenderATPOnboardingPackage.zip저장합니다.

3. 다음 명령을 사용하여 온보딩 패키지의 콘텐츠를 추출합니다.

   unzip WindowsDefenderATPOnboardingPackage.zip

   다음 출력이 표시됩니다.

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: mdatp_onboard.json
   

4. 새 브라우저 창에서 엔드포인트용 Defender 설치 관리자 bash 스크립트 (이 스크립트를 호출 mde_installer.sh)를 다운로드합니다.

5. 4단계의 스크립트를 사용하는 다음 절차를 사용하여 Puppet 매니페스트를 mde_installer.sh 만듭니다.

   1. Puppet 설치의 modules 폴더에서 다음 폴더를 만듭니다.

      • install_mdatp/files
      • install_mdatp/manifests

      modules 폴더는 일반적으로 Puppet 서버에 있습니다/etc/puppetlabs/code/environments/production/modules.

   2. mdatp_onboard.json 이전에 만든 파일을 폴더에 복사합니다install_mdatp/files.

   3. 에 복사 mde_installer.sh 합니다 install_mdatp/files folder.

   4. init.pp 다음 배포 지침이 포함된 파일을 내부에 install_mdatp/manifests 만듭니다.

      tree install_mdatp
      Output: 
      install_mdatp
      ├── files
      │   ├── mdatp_onboard.sh
      │   └── mde_installer.sh
      └── manifests
          └── init.pp
      

6. Puppet 매니페스트를 사용하여 디바이스의 Linux에 엔드포인트용 Defender를 설치합니다.

   
   # Puppet manifest to install Microsoft Defender for Endpoint on Linux.
   # @param channel The release channel based on your environment, insider-fast or prod.
   
   class install_mdatp (
     $channel = 'insiders-slow',
   ) {
     # Ensure that the directory /tmp/mde_install exists
     file { '/tmp/mde_install':
       ensure => directory,
       mode   => '0755',
     }
   
   # Copy the installation script to the destination
   file { '/tmp/mde_install/mde_installer.sh':
     ensure => file,
     source => 'puppet:///modules/install_mdatp/mde_installer.sh',
     mode   => '0777',
     }
   
   # Copy the onboarding script to the destination
   file { '/tmp/mde_install/mdatp_onboard.json':
    ensure => file,
    source => 'puppet:///modules/install_mdatp/mdatp_onboard.json',
    mode   => '0777',
    }
   
   #Install MDE on the host using an external script
   exec { 'install_mde':
    command     => "/tmp/mde_install/mde_installer.sh --install --channel ${channel} --onboard /tmp/mde_install/mdatp_onboard.json",
    path        => '/bin:/usr/bin',
    user        => 'root',
    logoutput   => true,
    require     => File['/tmp/mde_install/mde_installer.sh', '/tmp/mde_install/mdatp_onboard.json'], # Ensure the script is copied before running the installer
   }
   }
   

7. 배포의 유효성을 검사합니다. Microsoft Defender 포털의 자산>디바이스에서 방금 온보딩한 Linux 디바이스를 찾습니다. 디바이스가 포털에 표시되는 데 약 20분이 걸릴 수 있습니다.

클라우드용 Microsoft Defender 사용하여 Linux에서 엔드포인트용 Defender 배포

organization 클라우드용 Defender를 사용하는 경우 이를 사용하여 Linux에 엔드포인트용 Defender를 배포할 수 있습니다.

1. ARM64 기반 Linux 디바이스에서 자동 배포를 사용하도록 설정하는 것이 좋습니다. VM 프로비저닝 후 다음과 같이 디바이스의 파일 /etc/mde.arm.d/mde.conf 아래에 변수를 정의합니다.

   OPT_FOR_MDE_ARM_PREVIEW=1

2. 온보딩이 완료되기까지 1~6시간 정도 기다립니다.

3. Microsoft Defender 포털의 자산>디바이스에서 방금 온보딩한 Linux 디바이스를 찾습니다.

클라우드용 Defender에 대한 도움이 필요하세요?

자세한 내용은 다음 문서를 참조하세요.

• 엔드포인트용 Defender 통합 사용: Linux
• 비 Azure 머신을 클라우드용 Microsoft Defender 연결: Linux 서버 온보딩

배포 문제 해결

Linux의 엔드포인트용 Defender를 ARM64 기반 디바이스에 배포하는 데 문제가 있는 경우 도움말을 사용할 수 있습니다. 먼저 일반적인 문제 목록과 resolve 방법을 검토합니다. 문제가 지속되면 문의하세요.

일반적인 문제 및 resolve 방법

다음 표에는 일반적인 문제와 resolve 방법이 요약되어 있습니다.

도움이 필요한 경우 문의하세요.

에서 mdearmsupport@microsoft.com문의할 때 문제를 자세히 설명해야 합니다. 가능한 경우 스크린샷과 클라이언트 분석기 로그를 포함합니다.

XMDE 클라이언트 분석기 ARM 미리 보기

1. Bash를 사용하여 XMDE 클라이언트 분석기 ARM 미리 보기를 다운로드합니다.

   wget --quiet -O XMDEClientAnalyzerARMPreview.zip https://go.microsoft.com/fwlink/?linkid=2299668
   

2. 지원 도구를 실행합니다.

   sudo ./MDESupportTool -d --mdatp-log debug
   

3. 화면의 지침에 따라 로그 컬렉션의 끝에 후속 작업을 수행합니다. 로그는 디렉터리에 있습니다 /tmp .

   로그 집합은 루트 사용자가 소유하므로 로그 집합을 제거하려면 루트 권한이 필요할 수 있습니다.

참고 항목

• Microsoft Defender for Endpoint(Linux용)

• 플랫폼별 지원되는 엔드포인트용 Microsoft Defender 기능