Linux'ta Uç Nokta için Microsoft Defender el ile dağıtma
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Sunucusu
- Sunucular için Microsoft Defender
Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
İpucu
Linux'ta Uç Nokta için Microsoft Defender dağıtma konusunda gelişmiş yönergeler mi arıyorsunuz? Bkz. Linux'ta Uç Nokta için Defender'da gelişmiş dağıtım kılavuzu.
Bu makalede Linux'ta Uç Nokta için Microsoft Defender el ile nasıl dağıtılacağı açıklanmaktadır. Başarılı bir dağıtım için aşağıdaki görevlerin tümünün tamamlanması gerekir:
- Önkoşullar ve sistem gereksinimleri
- Linux yazılım deposunu yapılandırma
- Uygulama yüklemesi
- Ekleme paketini indirme
- İstemci yapılandırması
Önkoşullar ve sistem gereksinimleri
Başlamadan önce, geçerli yazılım sürümü için önkoşulların ve sistem gereksinimlerinin açıklaması için bkz. Linux'ta Uç Nokta için Microsoft Defender.
Uyarı
Ürün yüklemesinin ardından işletim sisteminizi yeni bir ana sürüme yükseltmek için ürünün yeniden yüklenmesi gerekir. Linux'ta mevcut Uç Nokta için Defender'ı kaldırmanız , işletim sistemini yükseltmeniz ve ardından aşağıdaki adımları izleyerek Linux'ta Uç Nokta için Defender'ı yeniden yapılandırmanız gerekir.
Linux yazılım deposunu yapılandırma
Linux'ta Uç Nokta için Defender aşağıdaki kanallardan birinden ( [kanal] olarak belirtilir) dağıtılabilir: insider-fast, insider-slow veya prod
. Bu kanalların her biri bir Linux yazılım deposuna karşılık gelir. Bu makaledeki yönergelerde cihazınızı bu depolardan birini kullanacak şekilde yapılandırma açıklanmaktadır.
Kanal seçimi, cihazınıza sunulan güncelleştirmelerin türünü ve sıklığını belirler.
Insider hızlı cihazlarda güncelleştirmeleri ve yeni özellikleri ilk alan cihazlardır ve ardından insider'lar yavaş ve son olarak tarafından prod
takip edilir.
Yeni özellikleri önizlemek ve erken geri bildirim sağlamak için kuruluşunuzdaki bazı cihazları insider hızlı veya insider yavaş kullanacak şekilde yapılandırmanız önerilir.
Uyarı
İlk yüklemeden sonra kanalın değiştirilmesi için ürünün yeniden yüklenmesi gerekir. Ürün kanalını değiştirmek için: Mevcut paketi kaldırın, cihazınızı yeni kanalı kullanacak şekilde yeniden yapılandırın ve paketi yeni konumdan yüklemek için bu belgedeki adımları izleyin.
Yükleyici betiği
El ile yüklemeyi tartışırken alternatif olarak, genel GitHub depomuzda sağlanan otomatik yükleyici bash betiğini kullanabilirsiniz. Betik dağıtımı ve sürümü tanımlar, doğru depo seçimini basitleştirir, cihazı en son paketi çekecek şekilde ayarlar ve ürün yükleme ve ekleme adımlarını birleştirir.
> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel specify the channel from which you want to install. Default: insiders-fast
-i|--install install the product
-r|--remove remove the product
-u|--upgrade upgrade the existing product
-o|--onboard onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req enforce minimum requirements
-w|--clean remove repo from package manager for a specific channel
-v|--version print out script version
-h|--help display help
Daha fazla bilgi için buraya bakın.
RHEL ve varyantları (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky ve Alma)
Henüz yüklenmediyse yükleyin
yum-utils
:sudo yum install yum-utils
Not
Dağıtımınız ve sürümünüz ve altında
https://packages.microsoft.com/config/rhel/
bunun için en yakın girişi (ana, sonra ikincil) belirleyin.Paketi bulma konusunda size yol göstermesi için aşağıdaki tabloyu kullanın:
Dağıtım & sürümü Paket Alma 8.4 ve üzeri için https://packages.microsoft.com/config/alma/8/prod.repo Alma 9.2 ve üzeri için https://packages.microsoft.com/config/alma/9/prod.repo RHEL/Centos/Oracle 9.0-9.8 için https://packages.microsoft.com/config/rhel/9/prod.repo RHEL/Centos/Oracle 8.0-8.10 için https://packages.microsoft.com/config/rhel/8/prod.repo RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 için https://packages.microsoft.com/config/rhel/7.2/prod.repo Amazon Linux 2023 için https://packages.microsoft.com/config/amazonlinux/2023/prod.repo Fedora için 33 https://packages.microsoft.com/config/fedora/33/prod.repo Fedora için 34 https://packages.microsoft.com/config/fedora/34/prod.repo Rocky 8.7 ve üzeri için https://packages.microsoft.com/config/rocky/8/prod.repo Rocky 9.2 ve üzeri için https://packages.microsoft.com/config/rocky/9/prod.repo Aşağıdaki komutlarda [version] ve [channel] sözcüklerini tanımladığınız bilgilerle değiştirin:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
İpucu
[version] sürümü de dahil olmak üzere sistemle ilgili bilgileri tanımlamak için hostnamectl komutunu kullanın.
Örneğin, CentOS 7 çalıştırıyorsanız ve Linux'ta Uç Nokta için Defender'ı kanaldan
prod
dağıtmak istiyorsanız:sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
Alternatif olarak, seçilen cihazlardaki yeni özellikleri keşfetmek istiyorsanız, Linux'ta insider hızlı kanalına Uç Nokta için Microsoft Defender dağıtmak isteyebilirsiniz:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
Microsoft GPG ortak anahtarını yükleyin:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
SLES ve çeşitlemeler
Not
Dağıtımınız ve sürümünüz ve altında https://packages.microsoft.com/config/sles/
bunun için en yakın girişi (ana, sonra ikincil) belirleyin.
Aşağıdaki komutlarda [distro] ve [version] sözcüklerini tanımladığınız bilgilerle değiştirin:
sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
İpucu
Sürüm [version] dahil olmak üzere sistemle ilgili bilgileri tanımlamak için SPident komutunu kullanın.
Örneğin, SLES 12 çalıştırıyorsanız ve Uç Nokta için Microsoft Defender Linux'ta kanaldan prod
dağıtmak istiyorsanız:
sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
Microsoft GPG ortak anahtarını yükleyin:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
Ubuntu ve Debian sistemleri
Henüz yüklenmediyse yükleyin
curl
:sudo apt-get install curl
Henüz yüklenmediyse yükleyin
libplist-utils
:sudo apt-get install libplist-utils
Not
Dağıtımınız ve sürümünüz ve altında
https://packages.microsoft.com/config/[distro]/
bunun için en yakın girişi (ana, sonra ikincil) belirleyin.Aşağıdaki komutta [distro] ve [version] sözcüklerini tanımladığınız bilgilerle değiştirin:
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
İpucu
[version] sürümü de dahil olmak üzere sistemle ilgili bilgileri tanımlamak için hostnamectl komutunu kullanın.
Örneğin, Ubuntu 18.04 çalıştırıyorsanız ve Uç Nokta için Microsoft Defender Linux'ta kanaldan
prod
dağıtmak istiyorsanız:curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
Depo yapılandırmasını yükleyin:
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
Örneğin, kanalı seçtiyseniz
prod
:sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
gpg
Henüz yüklü değilse paketi yükleyin:sudo apt-get install gpg
Kullanılamıyorsa
gpg
yükleyingnupg
.sudo apt-get install gnupg
Microsoft GPG ortak anahtarını yükleyin:
Debian 11 ve öncesi için aşağıdaki komutu çalıştırın.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
Debian 12 ve üzeri için aşağıdaki komutu çalıştırın.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
Henüz yüklü değilse HTTPS sürücüsünü yükleyin:
sudo apt-get install apt-transport-https
Depo meta verilerini güncelleştirin:
sudo apt-get update
Mariner
Henüz yüklenmediyse yükleyin
dnf-plugins-core
:sudo dnf install dnf-plugins-core
Gerekli depoları yapılandırma ve etkinleştirme
Not
Mariner'da Insider Hızlı Kanalı kullanılamıyor.
Linux'ta Uç Nokta için Defender'ı kanaldan
prod
dağıtmak istiyorsanız. Aşağıdaki komutları kullanınsudo dnf install mariner-repos-extras sudo dnf config-manager --enable mariner-official-extras
Alternatif olarak, seçilen cihazlardaki yeni özellikleri keşfetmek istiyorsanız, Linux'ta Uç Nokta için Microsoft Defender insider'ların yavaş kanalına dağıtmak isteyebilirsiniz. Aşağıdaki komutları kullanın:
sudo dnf install mariner-repos-extras-preview sudo dnf config-manager --enable mariner-official-extras-preview
Uygulama yüklemesi
RHEL ve varyantları (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky ve Alma)
sudo yum install mdatp
Not
Cihazınızda yapılandırılmış birden çok Microsoft deponuz varsa paketin yükleneceği depoya özgü olabilirsiniz. Aşağıdaki örnekte, bu cihazda depo kanalı da yapılandırılmışsa paketin insiders-fast
kanaldan production
nasıl yükleneceği gösterilmektedir. Cihazınızda birden çok Microsoft ürünü kullanıyorsanız bu durum oluşabilir. Sunucunuzun dağıtımına ve sürümüne bağlı olarak, depo diğer adı aşağıdaki örnekteki diğer addan farklı olabilir.
# list all repositories
yum repolist
...
packages-microsoft-com-prod packages-microsoft-com-prod 316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins 2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
SLES ve çeşitlemeler
sudo zypper install mdatp
Not
Cihazınızda yapılandırılmış birden çok Microsoft deponuz varsa paketin yükleneceği depoya özgü olabilirsiniz. Aşağıdaki örnekte, bu cihazda depo kanalı da yapılandırılmışsa paketin insiders-fast
kanaldan production
nasıl yükleneceği gösterilmektedir. Cihazınızda birden çok Microsoft ürünü kullanıyorsanız bu durum oluşabilir.
zypper repos
...
# | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp
Ubuntu ve Debian sistemleri
sudo apt-get install mdatp
Not
Cihazınızda yapılandırılmış birden çok Microsoft deponuz varsa paketin yükleneceği depoya özgü olabilirsiniz. Aşağıdaki örnekte, bu cihazda depo kanalı da yapılandırılmışsa paketin insiders-fast
kanaldan production
nasıl yükleneceği gösterilmektedir. Cihazınızda birden çok Microsoft ürünü kullanıyorsanız bu durum oluşabilir.
cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp
Not
Linux'ta Uç Nokta için Microsoft Defender yükledikten veya güncelleştirdikten sonra, denetimli'yi sabit modda çalıştırdığınız durumlar dışında, yeniden başlatmalar GEREKLI OLMAZ.
Mariner
sudo dnf install mdatp
Not
Cihazınızda yapılandırılmış birden çok Microsoft deponuz varsa paketin yükleneceği depoya özgü olabilirsiniz. Aşağıdaki örnekte, bu cihazda depo kanalı da yapılandırılmışsa paketin insiders-slow
kanaldan production
nasıl yükleneceği gösterilmektedir. Cihazınızda birden çok Microsoft ürünü kullanıyorsanız bu durum oluşabilir.
sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras
Ekleme paketini indirme
Ekleme paketini Microsoft Defender portalından indirin.
Uyarı
Uç Nokta için Defender yükleme paketini yeniden paketlemek desteklenen bir senaryo değildir. Bunun yapılması ürünün bütünlüğünü olumsuz etkileyebilir ve kurcalama uyarılarının ve güncelleştirmelerin uygulanamaması da dahil ancak bunlarla sınırlı olmamak üzere olumsuz sonuçlara yol açabilir.
Önemli
Bu adımı kaçırırsanız, yürütülen herhangi bir komut ürünün lisanssız olduğunu belirten bir uyarı iletisi gösterir.
mdatp health
Ayrıca komutu değerini false
döndürür.
Microsoft Defender portalında Ayarlar > Uç Noktaları > Cihaz yönetimi > Ekleme'ye gidin.
İlk açılan menüde işletim sistemi olarak Linux Server'ı seçin. İkinci açılan menüde dağıtım yöntemi olarak Yerel Betik'i seçin.
Ekleme paketini indir'i seçin. Dosyayı WindowsDefenderATPOnboardingPackage.zip olarak kaydedin.
Komut isteminden dosyaya sahip olduğunuzu doğrulayın ve arşivin içeriğini ayıklayın:
ls -l
total 8 -rw-r--r-- 1 test staff 5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
unzip WindowsDefenderATPOnboardingPackage.zip
Archive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
İstemci yapılandırması
MicrosoftDefenderATPOnboardingLinuxServer.py hedef cihaza kopyalayın.
Not
Başlangıçta istemci cihazı bir kuruluşla ilişkilendirilmemiştir ve orgId özniteliği boş olur.
mdatp health --field org_id
MicrosoftDefenderATPOnboardingLinuxServer.py çalıştırın.
Not
Bu komutu çalıştırmak için dağıtıma ve sürüme bağlı olarak cihaza sahip
python
olmanız veyapython3
yüklemeniz gerekir. Gerekirse bkz. Linux'ta Python Yükleme için Adım Adım Yönergeler.Not
Daha önce eklenen bir cihazı eklemek için /etc/opt/microsoft/mdatp konumunda bulunan mdatp_offboard.json dosyasını kaldırmanız gerekir.
RHEL 8.x veya Ubuntu 20.04 veya üzerini çalıştırıyorsanız kullanmanız
python3
gerekir.sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
Diğer dağıtımlar ve sürümler için kullanmanız
python
gerekir.sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
Cihazın artık kuruluşunuzla ilişkilendirildiğini ve geçerli bir kuruluş tanımlayıcısı bildirdiğini doğrulayın:
mdatp health --field org_id
Aşağıdaki komutu çalıştırarak ürünün sistem durumunu denetleyin. Dönüş değeri
true
, ürünün beklendiği gibi çalıştığını belirtir:mdatp health --field healthy
Önemli
Ürün ilk kez başlatıldığında en son kötü amaçlı yazılımdan koruma tanımlarını indirir. Bu işlem, ağ bağlantısına bağlı olarak birkaç dakika kadar sürebilir. Bu süre boyunca yukarıdaki komut değerini
false
döndürür. Tanım güncelleştirmesinin durumunu denetlemek için aşağıdaki komutu kullanabilirsiniz:mdatp health --field definitions_status
İlk yüklemeyi tamamladıktan sonra bir ara sunucu yapılandırmanız gerekebileceğini lütfen unutmayın. Bkz . Linux'ta Uç Nokta için Defender'ı statik proxy bulma için yapılandırma: Yükleme sonrası yapılandırma.
Cihazın düzgün şekilde eklendiğini ve hizmete bildirildiğini doğrulamak için bir AV algılama testi çalıştırın. Yeni eklenen cihazda aşağıdaki adımları gerçekleştirin:
Gerçek zamanlı korumanın etkinleştirildiğinden emin olun (aşağıdaki komutu çalıştırmanın
true
sonucu olarak belirtilir):mdatp health --field real_time_protection_enabled
Etkinleştirilmemişse aşağıdaki komutu yürütür:
mdatp config real-time-protection --value enabled
Bir Terminal penceresi açın ve aşağıdaki komutu yürüterek bir algılama testi çalıştırın:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
Aşağıdaki komutlardan birini kullanarak zip dosyalarında daha fazla algılama testi çalıştırabilirsiniz:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
Dosyalar Linux'ta Uç Nokta için Defender tarafından karantinaya alınmalıdır. Algılanan tüm tehditleri listelemek için aşağıdaki komutu kullanın:
mdatp threat list
Bir EDR algılama testi çalıştırın ve cihazın düzgün şekilde eklendiğini ve hizmete bildirildiğini doğrulamak için algılama simülasyonu yapın. Yeni eklenen cihazda aşağıdaki adımları gerçekleştirin:
Eklenen Linux sunucusunun Microsoft Defender XDR görüntülendiğini doğrulayın. Makinenin ilk eklemesi buysa, görünmesi 20 dakika kadar sürebilir.
Betik dosyasını indirip ekli bir Linux sunucusuna ayıklayın ve aşağıdaki komutu çalıştırın:
./mde_linux_edr_diy.sh
Birkaç dakika sonra, Microsoft Defender XDR içinde bir algılama tetiklenmelidir.
Uyarı ayrıntılarına, makine zaman çizelgesine bakın ve tipik araştırma adımlarınızı gerçekleştirin.
paket dış paket bağımlılıklarını Uç Nokta için Microsoft Defender
mdatp paketi için aşağıdaki dış paket bağımlılıkları vardır:
- mdatp RPM paketi ,
glibc >= 2.17
, ,policycoreutils
selinux-policy-targeted
gerektirirmde-netfilter
- DEBIAN için mdatp paketi ,
libc6 >= 2.23
gerektirir,uuid-runtime
mde-netfilter
- Mariner için mdatp paketi ,
attr
,libacl
diffutils
, ,libattr
,libselinux-utils
,selinux-policy
, ,policycoreutils
gerektirirmde-netfilter
Not
Sürümünden 101.24082.0004
başlayarak, Linux'ta Uç Nokta için Defender artık olay sağlayıcısını Auditd
desteklememektedir. Tamamen daha verimli eBPF teknolojisine geçiş yapıyoruz.
Makinelerinizde eBPF desteklenmiyorsa veya Denetlendi'de kalması gereken belirli gereksinimler varsa ve makineleriniz Linux sürümünde Uç Nokta için Defender veya daha düşük bir sürüm 101.24072.0001
kullanıyorsa, mdatp için denetlenen pakete aşağıdaki ek bağımlılık vardır:
- mdatp RPM paketi ,
semanage
gerektiriraudit
. - DEBIAN için mdatp paketi gerektirir
auditd
. - Mariner için mdatp paketi gerektirir
audit
.
mde-netfilter paketi de aşağıdaki paket bağımlılıklarına sahiptir:
- DEBIAN için, mde-netfilter paketi gerektirir
libnetfilter-queue1
.libglib2.0-0
- RPM için, mde-netfilter paketi ,
libmnl
,libnfnetlink
,libnetfilter_queue
gerektirirglib2
- Mariner için mde-netfilter paketi gerektirir
libnfnetlink
.libnetfilter_queue
eksik bağımlılık hataları nedeniyle Uç Nokta için Microsoft Defender yüklemesi başarısız olursa, önkoşul bağımlılıklarını el ile indirebilirsiniz.
Günlük yükleme sorunları
Bir hata oluştuğunda yükleyici tarafından oluşturulan otomatik olarak oluşturulan günlüğü bulma hakkında daha fazla bilgi için bkz. Günlük yükleme sorunları .
Insiders-Fast'dan Üretim kanalına geçiş
Linux'ta
Insiders-Fast channel
Uç Nokta için Defender sürümünü kaldırın.sudo yum remove mdatp
Linux Insiders-Fast deposunda Uç Nokta için Defender'ı devre dışı bırakma
sudo yum repolist
Not
Çıkışta gösterilmelidir
packages-microsoft-com-fast-prod
.sudo yum-config-manager --disable packages-microsoft-com-fast-prod
Üretim kanalını kullanarak Linux'ta Uç Nokta için Microsoft Defender yeniden dağıtın.
Kaldırma
Linux'ta Uç Nokta için Defender'ı istemci cihazlarından kaldırma hakkında ayrıntılı bilgi için bkz. Kaldırma .
Ayrıca bkz.
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.