Используйте развертывание с помощью сценария установки, чтобы развернуть Microsoft Defender для конечной точки в Linux

Введение

Вы можете развернуть Defender for Endpoint в Linux с помощью различных инструментов и методов. В этой статье описывается, как автоматизировать развертывание Defender для конечной точки на Linux с помощью скрипта установщика. Этот скрипт определяет дистрибутив и версию, выбирает правильный репозиторий, настраивает устройство для извлечения последней версии агента и устанавливает устройство в Defender для конечной точки с помощью пакета подключения. Этот метод настоятельно рекомендуется для упрощения процесса развертывания.

Чтобы использовать другой метод, см. раздел Связанное содержимое.

Важно!

Если вы хотите параллельно запустить несколько решений безопасности, см. раздел Рекомендации по производительности, конфигурации и поддержке.

Возможно, вы уже настроили взаимные исключения безопасности для устройств, подключенных к Microsoft Defender для конечной точки. Если вам по-прежнему нужно настроить взаимные исключения, чтобы избежать конфликтов, см. раздел Добавление Microsoft Defender для конечной точки в список исключений для существующего решения.

Предварительные требования и требования к системе

Прежде чем приступить к работе, ознакомьтесь с разделом Предварительные требования для Defender для конечной точки на Linux, чтобы узнать о предварительных требованиях и требования к системе.

Совет

Перед запуском скрипта установщика для развертывания Defender на вашем сервере Linux рекомендуется запустить этот скрипт с параметром --pre-req, чтобы перед развертыванием проверить минимальные системные требования (объем памяти, ЦП, дисковое пространство, поддерживаемая операционная система).

Процесс развертывания

  1. Скачайте пакет подключения с портала Microsoft Defender, выполнив следующие действия.

    1. На портале Microsoft Defender разверните раздел Система и выберите Параметры>Конечные точки>Управление устройствами>Подключение.

    2. В первом раскрывающемся меню выберите Linux Server в качестве операционной системы.

    3. Во втором раскрывающемся меню выберите Локальный скрипт в качестве метода развертывания.

    4. Выберите Скачать пакет подключения. Сохраните файл как WindowsDefenderATPOnboardingPackage.zip.

      Снимок экрана, показывающий параметры, которые нужно выбрать, чтобы скачать пакет адаптации.

    5. Из командной строки извлеките содержимое архива:

      unzip WindowsDefenderATPOnboardingPackage.zip
      
      Archive:  WindowsDefenderATPOnboardingPackage.zip
      inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
      

      Предупреждение

      Переупаковка установочного пакета Microsoft Defender для конечной точки не поддерживается. Это может негативно повлиять на целостность продукта и привести к нежелательным последствиям, в том числе, помимо прочего, к срабатыванию предупреждений о несанкционированном изменении и невозможности установки обновлений.

      Важно!

      Если вы пропустите этот шаг, любая выполненная команда отображает предупреждающее сообщение о том, что продукт не лицензирован. Кроме того, команда mdatp health возвращает значение false.

  2. Скачайте скрипт bash установщика , предоставленный в общедоступном репозитории GitHub.

  3. Предоставьте исполняемые разрешения скрипту установщика:

    chmod +x mde_installer.sh
    
  4. Выполните скрипт установщика и укажите пакет подключения в качестве параметра для установки агента и подключения устройства к порталу Defender.

    sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --pre-req
    

    Эта команда развертывает последнюю версию агента в рабочем канале, проверяет минимальные требования к системе (память, ЦП, дисковое пространство, поддерживаемая ОС) и подключение устройства к порталу Defender.

    Кроме того, вы можете передать дополнительный параметр в зависимости от ваших требований для изменения установки. См. справку по всем доступным параметрам:

     ❯ ./mde_installer.sh --help
    mde_installer.sh v0.7.0
    usage: basename ./mde_installer.sh [OPTIONS]
    Options:
    -c|--channel              specify the channel (insiders-fast / insiders-slow / prod) from which to install. Default: prod
    -i|--install              install the product
    -r|--remove               uninstall the product
    -u|--upgrade              upgrade the existing product to a newer version if available
    -l|--downgrade            downgrade the existing product to an older version if available
    -o|--onboard <script>     onboard MDE with the specified onboarding script
    -f|--offboard <script>    offboard MDE with the specified offboarding script
    -p|--passive-mode         set real-time protection to passive mode
    -a|--rtp-mode             set real-time protection to active mode. Passive-mode and rtp-mode are mutually exclusive
    -t|--tag                  set a tag by declaring <name> and <value>, e.g.: -t GROUP Coders
    -q|--pre-req              check minimum system requirements for MDE (memory, CPU, disk space, supported OS) without installing
    -x|--skip_conflict        skip conflicting application verification
    -w|--clean                remove MDE repository from the package manager for the specified channel
    -y|--yes                  assume yes for all mid-process prompts (default, deprecated)
    -n|--no                   disable the default assume-yes behavior for prompts
    -s|--verbose              enable verbose output
    -v|--version              print the script version
    -d|--debug                enable debug mode
    --log-path <PATH>         also log output to PATH
    --http-proxy <URL>        set http proxy
    --https-proxy <URL>       set https proxy
    --ftp-proxy <URL>         set ftp proxy
    --mdatp <version>         install a specific version of MDE; uses the latest if not provided
    --use-local-repo          skip MDE repository setup and use the locally configured repository
    -b|--install-path <PATH>  specify the installation and configuration path for MDE. Default: /
    -h|--help                 display help
    
Сценарий Команда
Установка в пользовательское расположение пути sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --pre-req --install-path /custom/path/location
Установка определенной версии агента sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --pre-req –-mdatp 101.24082.0004
Обновление до последней версии агента sudo ./mde_installer.sh --upgrade
Обновление до определенной версии агента sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004
Понизить версию агента до определенной версии sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004
Удалить агент sudo ./mde_installer.sh --remove
Выполнять только предварительные проверки (без установки) sudo ./mde_installer.sh --pre-req

Дополнительные сведения об установке в пользовательский каталог см. в статье: Установка Defender for Endpoint в Linux в пользовательский каталог.

Примечание.

  • Для обновления операционной системы до новой основной версии после установки продукта требуется переустановка продукта. Необходимо удалить существующий Defender для конечной точки на Linux, обновить операционную систему, а затем перенастроить Defender для конечной точки на Linux.
  • Путь установки нельзя изменить после установки Defender для конечной точки. Чтобы использовать другой путь, удалите и переустановите продукт в новом расположении.

Проверка состояния развертывания

  1. На портале Microsoft Defender откройте инвентаризацию устройств. На отображение устройства на портале может потребоваться 5–20 минут.

  2. Запустите тест обнаружения антивирусной программы, чтобы убедиться, что устройство правильно подключено и сообщает службе. На недавно подключенном устройстве выполните следующие действия.

    1. Убедитесь, что защита в реальном времени включена (это обозначается результатом true при выполнении следующей команды):

      mdatp health --field real_time_protection_enabled
      

      Если он не включен, выполните следующую команду:

      mdatp config real-time-protection --value enabled
      
    2. Откройте окно терминала и выполните следующую команду, чтобы запустить тест обнаружения:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      
    3. Вы можете выполнить дополнительные тесты обнаружения в ZIP-файлах с помощью любой из следующих команд:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      
    4. Файлы должны быть помещены в карантин с помощью Defender для конечных точек в Linux. Используйте следующую команду, чтобы получить список всех обнаруженных угроз:

      mdatp threat list
      
  3. Запустите тест обнаружения EDR и имитируйте обнаружение, чтобы убедиться, что устройство корректно подключено к службе и передаёт в неё данные. На недавно подключенном устройстве выполните следующие действия.

    1. Скачайте и извлеките файл скрипта на подключенный сервер Linux.

    2. Предоставьте исполняемые разрешения скрипту:

      chmod +x mde_linux_edr_diy.sh
      
    3. Выполните следующую команду:

      ./mde_linux_edr_diy.sh
      
    4. Через несколько минут на портале Defender необходимо вызвать обнаружение.

    5. Проверьте сведения о предупреждении, временную шкалу компьютера и выполните обычные действия в ходе расследования.

Зависимости внешних пакетов Microsoft Defender для конечной точки

Если установка Microsoft Defender для конечной точки завершается сбоем из-за ошибок, связанных с отсутствием зависимостей, вы можете вручную загрузить необходимые зависимости.

Для пакета mdatp существуют следующие внешние зависимости пакетов:

  • Пакет mdatp RPM требует - glibc >= 2.17
  • Для DEBIAN пакет mdatp требует libc6 >= 2.23
  • Для Mariner пакет mdatp требует attr,diffutils , libacl, libattr,libselinux-utils , selinux-policy. policycoreutils

Примечание.

Начиная с версии 101.24082.0004, Defender for Endpoint в Linux больше не поддерживает поставщик событий Auditd. Мы полностью переходим на более эффективную технологию eBPF. Если eBPF не поддерживается на ваших компьютерах или существуют определенные требования, чтобы оставаться на Auditd, а на ваших компьютерах используется Defender for Endpoint в Linux версии 101.24072.0001 или более ранней, то для mdatp существуют другие зависимости от пакета auditd. Для версий старше 101.25032.0000:

  • Пакет RPM требует: mde-netfilter, pcre
  • Для пакета DEBIAN требуется: mde-netfilter, libpcre3
  • Пакет mde-netfilter также имеет следующие зависимости: - Для DEBIAN пакет mde-netfilter требует libnetfilter-queue1 и libglib2.0-0 - Для RPM пакет mde-netfilter требует libmnl, libnfnetlink, libnetfilter_queue и glib2 Начиная с версии 101.25042.0003 uuid-runtime больше не требуется в качестве внешней зависимости.

Устранение неполадок при установке

Если у вас возникли проблемы с установкой, для самостоятельного устранения неполадок выполните следующие действия.

  1. Сведения о том, как найти журнал, который создается автоматически при возникновении ошибки установки, см. в разделе Проблемы с установкой журнала.

  2. Сведения о распространенных проблемах с установкой см. в разделе Проблемы с установкой.

  3. Если состояние устройства: false, см. раздел Проблемы с работоспособностью агента Defender for Endpoint.

  4. Сведения о проблемах с производительностью продукта см. в статье Устранение проблем с производительностью.

  5. Сведения о проблемах с прокси-сервером и подключением см. в статье Устранение неполадок с подключением к облаку.

Чтобы получить поддержку от Корпорации Майкрософт, откройте запрос в службу поддержки и предоставьте файлы журнала, созданные с помощью анализатора клиента.

Переключение между каналами

Например, чтобы изменить канал с Insiders-Fast на рабочий, выполните следующие действия.

  1. Удалите версию Insiders-Fast channel приложения Defender for Endpoint для Linux.

    sudo yum remove mdatp
    
  2. Отключите Defender для конечной точки в репозитории Linux Insiders-Fast.

    sudo yum repolist
    

    Примечание.

    В выходных данных должно отображаться значение packages-microsoft-com-fast-prod.

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod
    
  3. Повторное развертывание Microsoft Defender для конечной точки на Linux с помощью рабочего канала.

Microsoft Defender for Endpoint в Linux можно развернуть через один из следующих каналов (обозначаемых как [channel]):

  • insiders-fast
  • insiders-slow
  • prod

Каждый из этих каналов соответствует репозиторию программного обеспечения Linux. Инструкции в этой статье описывают настройку устройства для использования одного из этих репозиториев.

Выбор канала определяет тип и частоту обновлений, предлагаемых вашему устройству. Устройства в insiders-fast первыми получают обновления и новые функции; позже их получают устройства в insiders-slow, а в последнюю очередь — в prod.

Для предварительного просмотра новых функций и предоставления ранних отзывов рекомендуется настроить некоторые устройства в организации для использования insiders-fast или insiders-slow.

Предупреждение

Переключение канала после начальной установки требует переустановки продукта. Чтобы переключить канал продукта, удалите существующий пакет, перенастройте устройство для использования нового канала и выполните действия, описанные в этом документе, чтобы установить пакет из нового расположения.

Настройка политик для Microsoft Defender в Linux

Сведения о настройке параметров антивирусной программы и EDR см. в следующих статьях: