Развертывание Microsoft Defender безопасности конечных точек на устройствах Linux с помощью средства развертывания Defender (предварительная версия)

Средство развертывания Defender обеспечивает эффективный и удобный процесс подключения для Microsoft Defender для конечной точки на устройствах Linux. Она позволяет пользователям устанавливать и подключить Microsoft Defender для конечной точки с помощью одного пакета, который можно скачать на портале Microsoft Defender. Это избавляет от необходимости устанавливать Defender с помощью скриптов установщика или команд cli, а затем отдельно подключить устройство с помощью пакета подключения на портале.

Средство развертывания defender поддерживает ручную и массовую адаптацию с помощью сторонних средств, таких как Chef, Ansible, Puppet и SaltStack. Средство поддерживает несколько параметров, которые можно использовать для настройки крупномасштабных развертываний, что позволяет использовать специализированные установки в различных средах.

Предварительные требования и требования к системе

Прежде чем приступить к работе, ознакомьтесь с описанием предварительных требований и системных требований в статье Предварительные требования для Microsoft Defender для конечной точки в Linux. Кроме того, необходимо выполнить следующие требования:

• Разрешить подключение к URL-адресу: msdefender.download.prss.microsoft.com. Перед развертыванием обязательно выполните тест подключения, который проверяет, доступны ли URL-адреса, которые использует Defender для конечной точки.
• На конечной точке должен быть установлен wget или curl .

Средство развертывания Defender применяет следующий набор проверок предварительных требований, которые, если они не выполняются, прервет процесс развертывания:

• Память устройства: более 1 ГБ
• Доступное место на диске на устройстве: более 2 ГБ
• Версия библиотеки Glibc на устройстве: более новая, чем 2.17
• Версия mdatp на устройстве: должна быть поддерживаемой версией, а срок действия не истек. Чтобы проверка дату окончания срока действия продукта, выполните команду -mdatp health.

Развертывание: пошаговое руководство

1. Скачайте средство развертывания Defender на портале Defender, выполнив следующие действия.

   1. Перейдите в раздел Параметры>Конечные> точки Подключениеуправления устройствами>.

   2. В раскрывающемся меню Шаг 1 выберите Сервер Linux (предварительная версия) в качестве операционной системы.

   3. В разделе Скачать и применить пакеты или файлы подключения нажмите кнопку Скачать пакет .

   Примечание.

   Так как этот пакет устанавливает и подключает агент, он является пакетом конкретного клиента и не должен использоваться в разных клиентах.

   

2. Из командной строки извлеките содержимое архива:

   unzip LinuxDefenderDeploymentTool.zip
   

   Archive: LinuxDefenderDeploymentTool.zip
   inflating: defender_deployment_tool.sh
   

3. Предоставьте скрипту разрешения на выполнение.

   chmod +x defender_deployment_tool.sh
   

4. Запустите скрипт, используя следующую команду, чтобы установить и подключить Microsoft Defender для конечной точки к конечной точке.

   sudo bash defender_deployment_tool.sh
   

   Эта команда устанавливает последнюю версию агента из рабочего канала и подключает устройство к порталу Defender. Для отображения устройства в инвентаризации устройств может потребоваться 5–20 минут.

   Примечание.

   Если вы настроили общесистемный прокси-сервер для перенаправления трафика Defender для конечной точки, убедитесь, что прокси-сервер также настроен с помощью средства развертывания Defender. Доступные параметры прокси-сервера см. в справке командной строки (--help).

5. Вы можете дополнительно настроить развертывание, передав параметры в средство в зависимости от ваших требований. Используйте параметр --help , чтобы просмотреть все доступные параметры:

    ./defender_deployment_tool.sh --help
   

   

   В следующей таблице приведены примеры команд для полезных сценариев.

   Сценарий	Команда
   Проверьте наличие неблокирующих предварительных требований	sudo ./defender_deployment_tool.sh --pre-req-non-blocking
   Запуск теста подключения	sudo ./defender_deployment_tool.sh --connectivity-test
   Развертывание в пользовательском расположении	sudo ./defender_deployment_tool.sh --install-path /usr/microsoft/
   Развертывание из канала с медленным выполнением программы предварительной оценки	sudo ./defender_deployment_tool.sh --channel insiders-slow
   Развертывание с помощью прокси-сервера	sudo ./defender_deployment_tool.sh --http-proxy <http://username:password@proxy_host:proxy_port>
   Развертывание определенной версии агента	sudo ./defender_deployment_tool.sh --mdatp 101.25042.0003 --channel prod
   Обновление до определенной версии агента	sudo ./defender_deployment_tool.sh --upgrade --mdatp 101.24082.0004
   Переход на определенную версию агента	sudo ./defender_deployment_tool.sh --downgrade --mdatp 101.24082.0004
   Удаление Defender	sudo ./defender_deployment_tool.sh --remove
   Подключение только в том случае, если Defender уже установлен	sudo ./defender_deployment_tool.sh --only-onboard
   Offboard Defender	sudo ./defender_deployment_tool.sh --offboard MicrosoftDefenderATPOffboardingLinuxServer.py (Примечание. Последний файл offboarding можно скачать на портале Microsoft Defender)

Проверка состояния развертывания

1. На портале Microsoft Defender откройте инвентаризацию устройств. На отображение устройства на портале может потребоваться 5–20 минут.

2. Запустите тест обнаружения антивирусной программы, чтобы убедиться, что устройство правильно подключено и сообщает службе. На недавно подключенном устройстве выполните следующие действия.

   1. Убедитесь, что включена защита в режиме реального времени (обозначается результатом true при выполнении следующей команды):

      mdatp health --field real_time_protection_enabled
      

      Если он не включен, выполните следующую команду:

      mdatp config real-time-protection --value enabled
      

   2. Откройте окно терминала и выполните следующую команду, чтобы запустить тест обнаружения:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. Вы можете выполнить дополнительные тесты обнаружения в ZIP-файлах с помощью любой из следующих команд:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

   4. Файлы должны быть помещены в карантин Defender для конечной точки в Linux. Используйте следующую команду, чтобы получить список всех обнаруженных угроз:

      mdatp threat list
      

3. Запустите тест обнаружения EDR и имитируйте обнаружение, чтобы убедиться, что устройство правильно подключено и сообщает службе. На недавно подключенном устройстве выполните следующие действия.

   1. Скачайте и извлеките файл скрипта на подключенный сервер Linux.

   2. Предоставьте исполняемые разрешения скрипту:

      chmod +x mde_linux_edr_diy.sh
      

   3. Выполните следующую команду:

      ./mde_linux_edr_diy.sh
      

   4. Через несколько минут в Microsoft Defender XDR должно быть поднято обнаружение.

   5. Проверьте сведения об оповещении, временная шкала компьютера и выполните типичные действия по расследованию.

Проверка проблем с подключением

Если у вас возникли проблемы с подключением, выполните следующую команду, чтобы выполнить тест подключения:

sudo ./defender_deployment_tool.sh --connectivity-test

Этот тест может занять некоторое время, так как он выполняет проверки для каждого URL-адреса, необходимого для mdatp, и обнаруживает проблемы, если они есть. Если проблема не исчезнет, обратитесь к руководству по устранению неполадок.

Устранение неполадок при установке

При каждом запуске средства развертывания Defender действие регистрируется в следующем файле:

/tmp/defender_deployment_tool.log

Если у вас возникли проблемы с установкой, сначала проверка файл журнала. Если это не поможет вам устранить проблему, попробуйте выполнить следующие действия.

1. Сведения о том, как найти журнал, который создается автоматически при возникновении ошибки установки, см. в разделе Проблемы с установкой журнала.

2. Сведения о распространенных проблемах с установкой см. в разделе Проблемы с установкой.

3. Если работоспособность устройства имеет значение false, см. статью Проблемы с работоспособностью агента Defender для конечной точки.

4. Сведения о проблемах с производительностью продукта см. в статье Устранение проблем с производительностью.

5. Сведения о проблемах с прокси-сервером и подключением см. в статье Устранение неполадок с подключением к облаку.

Переключение между каналами после развертывания из канала

Defender для конечной точки в Linux можно развернуть из одного из следующих каналов:

• скорость предварительной оценки
• программы предварительной оценки — медленный
• prod (рабочая среда)

Каждый из этих каналов соответствует репозиторию программного обеспечения Linux. Канал определяет тип и частоту обновлений, предлагаемых вашему устройству. Устройства в программе предварительной оценки быстро первыми получают обновления и новые функции, а затем инсайдеры медленно и, наконец, prod.

По умолчанию средство развертывания настраивает устройство для использования канала Prod. Параметры конфигурации, описанные в этом документе, можно использовать для развертывания из другого канала.

Для предварительного просмотра новых функций и предоставления ранних отзывов рекомендуется настроить некоторые устройства в организации для использования программы предварительной оценки быстрой или медленной для участников программы предварительной оценки. Если вы уже развернули Defender для конечной точки в Linux из канала и хотите переключиться на другой канал (например, с prod на insiders-fast), необходимо сначала удалить текущий канал, затем удалить текущий репозиторий канала и, наконец, установить Defender из нового канала, как показано в следующем примере, где канал изменяется с insiders-fast на prod:

1. Удалите версию Defender для конечной точки в Linux для канала предварительной оценки.

   sudo ./defender_deployment_tool.sh --remove --channel insiders-fast
   

2. Удалите Defender для конечной точки в репозитории Linux с быстрой подготовкой участников программы предварительной оценки.

   sudo ./defender_deployment_tool.sh --clean --channel insiders-fast
   

3. Установите Microsoft Defender для конечной точки в Linux с помощью рабочего канала.

   sudo ./defender_deployment_tool.sh --channel prod
   

Связанные материалы

• Предварительные требования для Microsoft Defender для конечной точки в Linux
• Включение развертывания Microsoft Defender для конечной точки в пользовательском расположении
• Развертывание на основе скриптов установщика для развертывания Microsoft Defender для конечной точки в Linux
• Развертывание Microsoft Defender для конечной точки в Linux с помощью Ansible
• Развертывание Defender для конечной точки в Linux с помощью Chef
• Развертывание Microsoft Defender для конечной точки в Linux с помощью Puppet
• Развертывание Microsoft Defender для конечной точки в Linux с помощью Saltstack
• Развертывание Microsoft Defender для конечной точки в Linux вручную
• Развертывание Microsoft Defender для конечной точки в Linux с помощью золотых образов
• Подключение компьютеров, не относящихся к Azure, к Microsoft Defender для облака с помощью Defender для конечной точки (прямое подключение с помощью Defender для облака)
• Руководство по развертыванию Microsoft Defender для конечной точки в Linux для SAP