Aracılığıyla paylaş


Linux'ta Uç Nokta için Microsoft Defender el ile dağıtma

Şunlar için geçerlidir:

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

İpucu

Linux'ta Uç Nokta için Microsoft Defender dağıtma konusunda gelişmiş yönergeler mi arıyorsunuz? Bkz. Linux'ta Uç Nokta için Defender'da gelişmiş dağıtım kılavuzu.

Bu makalede Linux'ta Uç Nokta için Microsoft Defender el ile nasıl dağıtılacağı açıklanmaktadır. Başarılı bir dağıtım için aşağıdaki görevlerin tümünün tamamlanması gerekir:

Önkoşullar ve sistem gereksinimleri

Başlamadan önce, geçerli yazılım sürümü için önkoşulların ve sistem gereksinimlerinin açıklaması için bkz. Linux'ta Uç Nokta için Microsoft Defender.

Uyarı

Ürün yüklemesinin ardından işletim sisteminizi yeni bir ana sürüme yükseltmek için ürünün yeniden yüklenmesi gerekir. Linux'ta mevcut Uç Nokta için Defender'ı kaldırmanız , işletim sistemini yükseltmeniz ve ardından aşağıdaki adımları izleyerek Linux'ta Uç Nokta için Defender'ı yeniden yapılandırmanız gerekir.

Linux yazılım deposunu yapılandırma

Linux'ta Uç Nokta için Defender aşağıdaki kanallardan birinden ( [kanal] olarak belirtilir) dağıtılabilir: insider-fast, insider-slow veya prod. Bu kanalların her biri bir Linux yazılım deposuna karşılık gelir. Bu makaledeki yönergelerde cihazınızı bu depolardan birini kullanacak şekilde yapılandırma açıklanmaktadır.

Kanal seçimi, cihazınıza sunulan güncelleştirmelerin türünü ve sıklığını belirler. Insider hızlı cihazlarda güncelleştirmeleri ve yeni özellikleri ilk alan cihazlardır ve ardından insider'lar yavaş ve son olarak tarafından prodtakip edilir.

Yeni özellikleri önizlemek ve erken geri bildirim sağlamak için kuruluşunuzdaki bazı cihazları insider hızlı veya insider yavaş kullanacak şekilde yapılandırmanız önerilir.

Uyarı

İlk yüklemeden sonra kanalın değiştirilmesi için ürünün yeniden yüklenmesi gerekir. Ürün kanalını değiştirmek için: Mevcut paketi kaldırın, cihazınızı yeni kanalı kullanacak şekilde yeniden yapılandırın ve paketi yeni konumdan yüklemek için bu belgedeki adımları izleyin.

Yükleyici betiği

El ile yüklemeyi tartışırken alternatif olarak, genel GitHub depomuzda sağlanan otomatik yükleyici bash betiğini kullanabilirsiniz. Betik dağıtımı ve sürümü tanımlar, doğru depo seçimini basitleştirir, cihazı en son paketi çekecek şekilde ayarlar ve ürün yükleme ve ekleme adımlarını birleştirir.

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

Daha fazla bilgi için buraya bakın.

RHEL ve varyantları (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky ve Alma)

SLES ve çeşitlemeler

Not

Dağıtımınız ve sürümünüz ve altında https://packages.microsoft.com/config/sles/bunun için en yakın girişi (ana, sonra ikincil) belirleyin.

Aşağıdaki komutlarda [distro] ve [version] sözcüklerini tanımladığınız bilgilerle değiştirin:

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

İpucu

Sürüm [version] dahil olmak üzere sistemle ilgili bilgileri tanımlamak için SPident komutunu kullanın.

Örneğin, SLES 12 çalıştırıyorsanız ve Uç Nokta için Microsoft Defender Linux'ta kanaldan prod dağıtmak istiyorsanız:

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
  • Microsoft GPG ortak anahtarını yükleyin:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
    

Ubuntu ve Debian sistemleri

  • Henüz yüklenmediyse yükleyin curl :

    sudo apt-get install curl
    
  • Henüz yüklenmediyse yükleyin libplist-utils :

    sudo apt-get install libplist-utils
    

    Not

    Dağıtımınız ve sürümünüz ve altında https://packages.microsoft.com/config/[distro]/bunun için en yakın girişi (ana, sonra ikincil) belirleyin.

    Aşağıdaki komutta [distro] ve [version] sözcüklerini tanımladığınız bilgilerle değiştirin:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
    

    İpucu

    [version] sürümü de dahil olmak üzere sistemle ilgili bilgileri tanımlamak için hostnamectl komutunu kullanın.

    Örneğin, Ubuntu 18.04 çalıştırıyorsanız ve Uç Nokta için Microsoft Defender Linux'ta kanaldan prod dağıtmak istiyorsanız:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
    
  • Depo yapılandırmasını yükleyin:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
    

    Örneğin, kanalı seçtiyseniz prod :

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
    
  • gpg Henüz yüklü değilse paketi yükleyin:

    sudo apt-get install gpg
    

    Kullanılamıyorsa gpg yükleyin gnupg.

    sudo apt-get install gnupg
    
  • Microsoft GPG ortak anahtarını yükleyin:

    • Debian 11 ve öncesi için aşağıdaki komutu çalıştırın.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
      
    • Debian 12 ve üzeri için aşağıdaki komutu çalıştırın.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
      
  • Henüz yüklü değilse HTTPS sürücüsünü yükleyin:

    sudo apt-get install apt-transport-https
    
  • Depo meta verilerini güncelleştirin:

    sudo apt-get update
    

Mariner

  • Henüz yüklenmediyse yükleyin dnf-plugins-core :

    sudo dnf install dnf-plugins-core
    
  • Gerekli depoları yapılandırma ve etkinleştirme

    Not

    Mariner'da Insider Hızlı Kanalı kullanılamıyor.

    Linux'ta Uç Nokta için Defender'ı kanaldan prod dağıtmak istiyorsanız. Aşağıdaki komutları kullanın

    sudo dnf install mariner-repos-extras
    sudo dnf config-manager --enable mariner-official-extras
    

    Alternatif olarak, seçilen cihazlardaki yeni özellikleri keşfetmek istiyorsanız, Linux'ta Uç Nokta için Microsoft Defender insider'ların yavaş kanalına dağıtmak isteyebilirsiniz. Aşağıdaki komutları kullanın:

    sudo dnf install mariner-repos-extras-preview
    sudo dnf config-manager --enable mariner-official-extras-preview
    

Uygulama yüklemesi

RHEL ve varyantları (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky ve Alma)

sudo yum install mdatp

Not

Cihazınızda yapılandırılmış birden çok Microsoft deponuz varsa paketin yükleneceği depoya özgü olabilirsiniz. Aşağıdaki örnekte, bu cihazda depo kanalı da yapılandırılmışsa paketin insiders-fast kanaldan production nasıl yükleneceği gösterilmektedir. Cihazınızda birden çok Microsoft ürünü kullanıyorsanız bu durum oluşabilir. Sunucunuzun dağıtımına ve sürümüne bağlı olarak, depo diğer adı aşağıdaki örnekteki diğer addan farklı olabilir.

# list all repositories
yum repolist
...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES ve çeşitlemeler

sudo zypper install mdatp

Not

Cihazınızda yapılandırılmış birden çok Microsoft deponuz varsa paketin yükleneceği depoya özgü olabilirsiniz. Aşağıdaki örnekte, bu cihazda depo kanalı da yapılandırılmışsa paketin insiders-fast kanaldan production nasıl yükleneceği gösterilmektedir. Cihazınızda birden çok Microsoft ürünü kullanıyorsanız bu durum oluşabilir.

zypper repos
...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu ve Debian sistemleri

sudo apt-get install mdatp

Not

Cihazınızda yapılandırılmış birden çok Microsoft deponuz varsa paketin yükleneceği depoya özgü olabilirsiniz. Aşağıdaki örnekte, bu cihazda depo kanalı da yapılandırılmışsa paketin insiders-fast kanaldan production nasıl yükleneceği gösterilmektedir. Cihazınızda birden çok Microsoft ürünü kullanıyorsanız bu durum oluşabilir.

cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp

Not

Linux'ta Uç Nokta için Microsoft Defender yükledikten veya güncelleştirdikten sonra, denetimli'yi sabit modda çalıştırdığınız durumlar dışında, yeniden başlatmalar GEREKLI OLMAZ.

Mariner

sudo dnf install mdatp

Not

Cihazınızda yapılandırılmış birden çok Microsoft deponuz varsa paketin yükleneceği depoya özgü olabilirsiniz. Aşağıdaki örnekte, bu cihazda depo kanalı da yapılandırılmışsa paketin insiders-slow kanaldan production nasıl yükleneceği gösterilmektedir. Cihazınızda birden çok Microsoft ürünü kullanıyorsanız bu durum oluşabilir.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Ekleme paketini indirme

Ekleme paketini Microsoft Defender portalından indirin.

Uyarı

Uç Nokta için Defender yükleme paketini yeniden paketlemek desteklenen bir senaryo değildir. Bunun yapılması ürünün bütünlüğünü olumsuz etkileyebilir ve kurcalama uyarılarının ve güncelleştirmelerin uygulanamaması da dahil ancak bunlarla sınırlı olmamak üzere olumsuz sonuçlara yol açabilir.

Önemli

Bu adımı kaçırırsanız, yürütülen herhangi bir komut ürünün lisanssız olduğunu belirten bir uyarı iletisi gösterir. mdatp health Ayrıca komutu değerini falsedöndürür.

  1. Microsoft Defender portalında Ayarlar > Uç Noktaları > Cihaz yönetimi > Ekleme'ye gidin.

  2. İlk açılan menüde işletim sistemi olarak Linux Server'ı seçin. İkinci açılan menüde dağıtım yöntemi olarak Yerel Betik'i seçin.

  3. Ekleme paketini indir'i seçin. Dosyayı WindowsDefenderATPOnboardingPackage.zip olarak kaydedin.

    Microsoft Defender portalında ekleme paketi indirme

  4. Komut isteminden dosyaya sahip olduğunuzu doğrulayın ve arşivin içeriğini ayıklayın:

    ls -l
    
    total 8
    -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
    
    unzip WindowsDefenderATPOnboardingPackage.zip
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
    

İstemci yapılandırması

  1. MicrosoftDefenderATPOnboardingLinuxServer.py hedef cihaza kopyalayın.

    Not

    Başlangıçta istemci cihazı bir kuruluşla ilişkilendirilmemiştir ve orgId özniteliği boş olur.

    mdatp health --field org_id
    
  2. MicrosoftDefenderATPOnboardingLinuxServer.py çalıştırın.

    Not

    Bu komutu çalıştırmak için dağıtıma ve sürüme bağlı olarak cihaza sahip python olmanız veya python3 yüklemeniz gerekir. Gerekirse bkz. Linux'ta Python Yükleme için Adım Adım Yönergeler.

    Not

    Daha önce eklenen bir cihazı eklemek için /etc/opt/microsoft/mdatp konumunda bulunan mdatp_offboard.json dosyasını kaldırmanız gerekir.

    RHEL 8.x veya Ubuntu 20.04 veya üzerini çalıştırıyorsanız kullanmanız python3gerekir.

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
    

    Diğer dağıtımlar ve sürümler için kullanmanız pythongerekir.

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
    
  3. Cihazın artık kuruluşunuzla ilişkilendirildiğini ve geçerli bir kuruluş tanımlayıcısı bildirdiğini doğrulayın:

    mdatp health --field org_id
    
  4. Aşağıdaki komutu çalıştırarak ürünün sistem durumunu denetleyin. Dönüş değeri true , ürünün beklendiği gibi çalıştığını belirtir:

    mdatp health --field healthy
    

    Önemli

    Ürün ilk kez başlatıldığında en son kötü amaçlı yazılımdan koruma tanımlarını indirir. Bu işlem, ağ bağlantısına bağlı olarak birkaç dakika kadar sürebilir. Bu süre boyunca yukarıdaki komut değerini falsedöndürür. Tanım güncelleştirmesinin durumunu denetlemek için aşağıdaki komutu kullanabilirsiniz:

    mdatp health --field definitions_status
    

    İlk yüklemeyi tamamladıktan sonra bir ara sunucu yapılandırmanız gerekebileceğini lütfen unutmayın. Bkz . Linux'ta Uç Nokta için Defender'ı statik proxy bulma için yapılandırma: Yükleme sonrası yapılandırma.

  5. Cihazın düzgün şekilde eklendiğini ve hizmete bildirildiğini doğrulamak için bir AV algılama testi çalıştırın. Yeni eklenen cihazda aşağıdaki adımları gerçekleştirin:

    • Gerçek zamanlı korumanın etkinleştirildiğinden emin olun (aşağıdaki komutu çalıştırmanın true sonucu olarak belirtilir):

      mdatp health --field real_time_protection_enabled
      

      Etkinleştirilmemişse aşağıdaki komutu yürütür:

      mdatp config real-time-protection --value enabled
      
    • Bir Terminal penceresi açın ve aşağıdaki komutu yürüterek bir algılama testi çalıştırın:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      
    • Aşağıdaki komutlardan birini kullanarak zip dosyalarında daha fazla algılama testi çalıştırabilirsiniz:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      
    • Dosyalar Linux'ta Uç Nokta için Defender tarafından karantinaya alınmalıdır. Algılanan tüm tehditleri listelemek için aşağıdaki komutu kullanın:

      mdatp threat list
      
  6. Bir EDR algılama testi çalıştırın ve cihazın düzgün şekilde eklendiğini ve hizmete bildirildiğini doğrulamak için algılama simülasyonu yapın. Yeni eklenen cihazda aşağıdaki adımları gerçekleştirin:

    • Eklenen Linux sunucusunun Microsoft Defender XDR görüntülendiğini doğrulayın. Makinenin ilk eklemesi buysa, görünmesi 20 dakika kadar sürebilir.

    • Betik dosyasını indirip ekli bir Linux sunucusuna ayıklayın ve aşağıdaki komutu çalıştırın:./mde_linux_edr_diy.sh

    • Birkaç dakika sonra, Microsoft Defender XDR içinde bir algılama tetiklenmelidir.

    • Uyarı ayrıntılarına, makine zaman çizelgesine bakın ve tipik araştırma adımlarınızı gerçekleştirin.

paket dış paket bağımlılıklarını Uç Nokta için Microsoft Defender

mdatp paketi için aşağıdaki dış paket bağımlılıkları vardır:

  • mdatp RPM paketi , glibc >= 2.17, , policycoreutilsselinux-policy-targetedgerektirirmde-netfilter
  • DEBIAN için mdatp paketi , libc6 >= 2.23gerektirir, uuid-runtimemde-netfilter
  • Mariner için mdatp paketi , attr, libacldiffutils, , libattr, libselinux-utils, selinux-policy, , policycoreutilsgerektirirmde-netfilter

Not

Sürümünden 101.24082.0004başlayarak, Linux'ta Uç Nokta için Defender artık olay sağlayıcısını Auditd desteklememektedir. Tamamen daha verimli eBPF teknolojisine geçiş yapıyoruz. Makinelerinizde eBPF desteklenmiyorsa veya Denetlendi'de kalması gereken belirli gereksinimler varsa ve makineleriniz Linux sürümünde Uç Nokta için Defender veya daha düşük bir sürüm 101.24072.0001 kullanıyorsa, mdatp için denetlenen pakete aşağıdaki ek bağımlılık vardır:

  • mdatp RPM paketi , semanagegerektiriraudit.
  • DEBIAN için mdatp paketi gerektirir auditd.
  • Mariner için mdatp paketi gerektirir audit.

mde-netfilter paketi de aşağıdaki paket bağımlılıklarına sahiptir:

  • DEBIAN için, mde-netfilter paketi gerektirir libnetfilter-queue1. libglib2.0-0
  • RPM için, mde-netfilter paketi , libmnl, libnfnetlink, libnetfilter_queuegerektirir glib2
  • Mariner için mde-netfilter paketi gerektirir libnfnetlink. libnetfilter_queue

eksik bağımlılık hataları nedeniyle Uç Nokta için Microsoft Defender yüklemesi başarısız olursa, önkoşul bağımlılıklarını el ile indirebilirsiniz.

Günlük yükleme sorunları

Bir hata oluştuğunda yükleyici tarafından oluşturulan otomatik olarak oluşturulan günlüğü bulma hakkında daha fazla bilgi için bkz. Günlük yükleme sorunları .

Insiders-Fast'dan Üretim kanalına geçiş

  1. Linux'ta Insiders-Fast channel Uç Nokta için Defender sürümünü kaldırın.

    sudo yum remove mdatp
    
  2. Linux Insiders-Fast deposunda Uç Nokta için Defender'ı devre dışı bırakma

    sudo yum repolist
    

    Not

    Çıkışta gösterilmelidir packages-microsoft-com-fast-prod.

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod
    
  3. Üretim kanalını kullanarak Linux'ta Uç Nokta için Microsoft Defender yeniden dağıtın.

Kaldırma

Linux'ta Uç Nokta için Defender'ı istemci cihazlarından kaldırma hakkında ayrıntılı bilgi için bkz. Kaldırma .

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.