Bereitstellen Microsoft Defender Endpunktsicherheit auf Linux-Geräten mithilfe des Defender-Bereitstellungstools (Vorschau)

Das Defender-Bereitstellungstool bietet einen effizienten, benutzerfreundlichen Onboardingprozess für Microsoft Defender for Endpoint auf Linux-Geräten. Es ermöglicht Benutzern, Microsoft Defender for Endpoint mithilfe eines einzelnen Pakets zu installieren und zu integrieren, das aus dem Microsoft Defender-Portal heruntergeladen werden kann. Dadurch entfällt die Notwendigkeit, Defender mithilfe von Installationsskript-/CLI-Befehlen zu installieren und dann separat das Onboarding des Geräts mithilfe des Onboardingpakets aus dem Portal durchzuführen.

Das Defender-Bereitstellungstool unterstützt sowohl manuelles als auch Massen-Onboarding über Drittanbietertools wie Chef, Ansible, Puppet und SaltStack. Das Tool unterstützt mehrere Parameter, mit denen Sie umfangreiche Bereitstellungen anpassen können, sodass Sie maßgeschneiderte Installationen für verschiedene Umgebungen verwenden können.

Voraussetzungen und Systemanforderungen

Bevor Sie beginnen, finden Sie unter Voraussetzungen für Microsoft Defender for Endpoint unter Linux eine Beschreibung der Voraussetzungen und Systemanforderungen. Darüber hinaus müssen die folgenden Anforderungen erfüllt sein:

• Verbindung mit der URL zulassen: msdefender.download.prss.microsoft.com. Bevor Sie mit der Bereitstellung beginnen, stellen Sie sicher, dass Sie den Konnektivitätstest ausführen, mit dem überprüft wird, ob auf die von Defender für Endpunkt verwendeten URLs zugegriffen werden kann.
• Auf dem Endpunkt muss entweder wget oder curl installiert sein.

Das Defender-Bereitstellungstool erzwingt die folgenden Voraussetzungsprüfungen, die den Bereitstellungsprozess abbrechen, wenn sie nicht erfüllt werden:

• Gerätearbeitsspeicher: Größer als 1 GB
• Verfügbarer Speicherplatz auf dem Gerät: Größer als 2 GB
• Glibc-Bibliotheksversion auf dem Gerät: Neuer als 2.17
• mdatp-Version auf dem Gerät: Muss eine unterstützte Version sein und ist nicht abgelaufen. Um das Ablaufdatum des Produkts zu überprüfen, führen Sie den Befehl aus -mdatp health.

Bereitstellung: Schritt-für-Schritt-Anleitung

1. Laden Sie das Defender-Bereitstellungstool aus dem Defender-Portal herunter, indem Sie die folgenden Schritte ausführen.

   1. Wechseln Sie zu Einstellungen>Endpunkte>Onboarding derGeräteverwaltung>.

   2. Wählen Sie im Dropdownmenü Schritt 1 die Option Linux-Server (Vorschau) als Betriebssystem aus.

   3. Wählen Sie unter Herunterladen und Anwenden von Onboardingpaketen oder -dateien die Schaltfläche Paket herunterladen aus.

   Hinweis

   Da dieses Paket den Agent installiert und integriert, handelt es sich um ein mandantenspezifisches Paket und darf nicht mandantenübergreifend verwendet werden.

   

2. Extrahieren Sie an einer Eingabeaufforderung den Inhalt des Archivs:

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive: WindowsDefenderATPOnboardingPackage.zip
   inflating: defender_deployment_tool.sh
   

3. Erteilen Sie dem Skript ausführbare Berechtigungen.

   chmod +x defender_deployment_tool.sh
   

4. Führen Sie das Skript mit dem folgenden Befehl aus, um Microsoft Defender for Endpoint auf Ihrem Endpunkt zu installieren und zu integrieren.

   sudo bash defender_deployment_tool.sh
   

   Dieser Befehl installiert die neueste Agent-Version aus dem Produktionskanal und integriert das Gerät in das Defender-Portal. Es kann 5 bis 20 Minuten dauern, bis das Gerät im Gerätebestand angezeigt wird.

   Hinweis

   Wenn Sie einen systemweiten Proxy zum Umleiten von Defender für Endpunkt-Datenverkehr eingerichtet haben, stellen Sie sicher, dass Sie den Proxy auch mithilfe des Defender-Bereitstellungstools konfigurieren. Verfügbare Proxyoptionen finden Sie in der Befehlszeilenhilfe (--help).

5. Sie können die Bereitstellung weiter anpassen, indem Sie Parameter basierend auf Ihren Anforderungen an das Tool übergeben. Verwenden Sie die Option --help , um alle verfügbaren Optionen anzuzeigen:

    ./defender_deployment_tool.sh --help
   

   

   Die folgende Tabelle enthält Beispiele für Befehle für nützliche Szenarien.

   Szenario	Befehl
   Überprüfen auf nicht erfüllte nicht blockierende Voraussetzungen	sudo ./defender_deployment_tool.sh --pre-req-non-blocking
   Ausführen des Konnektivitätstests	sudo ./defender_deployment_tool.sh --connectivity-test
   Bereitstellen an einem benutzerdefinierten Speicherort	sudo ./defender_deployment_tool.sh --install-path /usr/microsoft/
   Bereitstellen über den insider-langsamen Kanal	sudo ./defender_deployment_tool.sh --channel insiders-slow
   Bereitstellen mithilfe eines Proxys	sudo ./defender_deployment_tool.sh --http-proxy <http://username:password@proxy_host:proxy_port>
   Bereitstellen einer bestimmten Agent-Version	sudo ./defender_deployment_tool.sh --mdatp 101.25042.0003 --channel prod
   Upgrade auf eine bestimmte Agent-Version	sudo ./defender_deployment_tool.sh --upgrade --mdatp 101.24082.0004
   Downgrade auf eine bestimmte Agent-Version	sudo ./defender_deployment_tool.sh --downgrade --mdatp 101.24082.0004
   Deinstallieren von Defender	sudo ./defender_deployment_tool.sh --remove
   Onboarding nur, wenn Defender bereits installiert ist	sudo ./defender_deployment_tool.sh --only-onboard
   Offboarden von Defender	sudo ./defender_deployment_tool.sh --offboard MicrosoftDefenderATPOffboardingLinuxServer.py (Hinweis: Die neueste Offboardingdatei kann aus dem Microsoft Defender-Portal heruntergeladen werden.)

Überprüfen der bereitstellungs status

1. Öffnen Sie im Microsoft Defender-Portal den Gerätebestand. Es kann 5 bis 20 Minuten dauern, bis das Gerät im Portal angezeigt wird.

2. Führen Sie einen Antivirenerkennungstest aus, um zu überprüfen, ob das Gerät ordnungsgemäß integriert ist und berichte an den Dienst. Führen Sie die folgenden Schritte auf dem neu eingebundenen Gerät durch:

   1. Stellen Sie sicher, dass der Echtzeitschutz aktiviert ist (gekennzeichnet durch ein Ergebnis von "true", wenn Sie den folgenden Befehl ausführen):

      mdatp health --field real_time_protection_enabled
      

      Wenn sie nicht aktiviert ist, führen Sie den folgenden Befehl aus:

      mdatp config real-time-protection --value enabled
      

   2. Öffnen Sie ein Terminalfenster, und führen Sie den folgenden Befehl aus, um einen Erkennungstest auszuführen:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. Sie können weitere Erkennungstests für ZIP-Dateien ausführen, indem Sie einen der folgenden Befehle verwenden:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

   4. Die Dateien sollten von Defender für Endpunkt unter Linux unter Quarantäne gesetzt werden. Verwenden Sie den folgenden Befehl, um alle entdeckten Bedrohungen aufzulisten:

      mdatp threat list
      

3. Führen Sie einen EDR-Erkennungstest aus, und simulieren Sie eine Erkennung, um zu überprüfen, ob das Gerät ordnungsgemäß integriert ist, und melden Sie es an den Dienst. Führen Sie die folgenden Schritte auf dem neu eingebundenen Gerät durch:

   1. Laden Sie die Skriptdatei herunter, und extrahieren Sie sie auf einen integrierten Linux-Server.

   2. Erteilen Sie dem Skript ausführbare Berechtigungen:

      chmod +x mde_linux_edr_diy.sh
      

   3. Führen Sie den folgenden Befehl aus:

      ./mde_linux_edr_diy.sh
      

   4. Nach einigen Minuten sollte eine Erkennung im Microsoft Defender XDR ausgelöst werden.

   5. Überprüfen Sie die Warnungsdetails, computer Zeitleiste, und führen Sie die typischen Untersuchungsschritte aus.

Überprüfen von Konnektivitätsproblemen

Wenn Konnektivitätsprobleme auftreten, führen Sie diesen Befehl aus, um einen Konnektivitätstest durchzuführen:

sudo ./defender_deployment_tool.sh --connectivity-test

Die Ausführung dieses Tests kann einige Zeit in Anspruch nehmen, da er überprüfungen für jede url durchführt, die von mdatp benötigt wird und ggf. Probleme gefunden werden. Wenn das Problem weiterhin besteht, lesen Sie den Leitfaden zur Problembehandlung.

Problembehandlung bei der Installation

Wenn Sie das Defender-Bereitstellungstool ausführen, wird die Aktivität in dieser Datei protokolliert:

/tmp/defender_deployment_tool.log

Wenn Probleme mit der Installation auftreten, überprüfen Sie zuerst die Protokolldatei. Wenn das Problem dadurch nicht behoben werden kann, führen Sie die folgenden Schritte aus:

1. Informationen zum Suchen des Protokolls, das automatisch generiert wird, wenn ein Installationsfehler auftritt, finden Sie unter Protokollinstallationsprobleme.

2. Informationen zu häufigen Installationsproblemen finden Sie unter Installationsprobleme.

3. Wenn die Integrität des Geräts false ist, finden Sie weitere Informationen unter Probleme mit der Integrität des Defender für Endpunkt-Agents.

4. Informationen zu Problemen mit der Produktleistung finden Sie unter Behandeln von Leistungsproblemen.

5. Informationen zu Proxy- und Konnektivitätsproblemen finden Sie unter Behandeln von Problemen mit der Cloudkonnektivität.

Wechseln zwischen Kanälen nach der Bereitstellung über einen Kanal

Defender für Endpunkt unter Linux kann über einen der folgenden Kanäle bereitgestellt werden:

• insiders-fast
• insiders-slow
• prod (Produktion)

Jeder dieser Kanäle entspricht einem Linux-Softwarerepository. Der Kanal bestimmt den Typ und die Häufigkeit der Updates, die Ihrem Gerät angeboten werden. Geräte in Insider-fast sind die ersten, die Updates und neue Features erhalten, gefolgt von Insider-langsam und zuletzt von Prod.

Standardmäßig konfiguriert das Bereitstellungstool Ihr Gerät für die Verwendung des Prod-Kanals. Sie können die in diesem Dokument beschriebenen Konfigurationsoptionen für die Bereitstellung über einen anderen Kanal verwenden.

Um eine Vorschau neuer Features anzuzeigen und frühzeitig Feedback zu geben, wird empfohlen, einige Geräte in Ihrem Unternehmen so zu konfigurieren, dass sie entweder insiders-fast oder insiders-slow verwenden. Wenn Sie Defender für Endpunkt unter Linux bereits über einen Kanal bereitgestellt haben und zu einem anderen Kanal wechseln möchten (z. B. von prod zu insiders-fast), müssen Sie zuerst den aktuellen Kanal entfernen, dann das aktuelle Kanalrepository löschen und schließlich Defender aus dem neuen Kanal installieren, wie im folgenden Beispiel veranschaulicht, in dem der Kanal von insiders-fast in prod geändert wird:

1. Entfernen Sie die Insider-schnelle Kanalversion von Defender für Endpunkt unter Linux.

   sudo ./defender_deployment_tool.sh --remove --channel insiders-fast
   

2. Löschen Sie defender für Endpunkt im Linux-Insider-Schnellrepository.

   sudo ./defender_deployment_tool.sh --clean --channel insiders-fast
   

3. Installieren Sie Microsoft Defender for Endpoint unter Linux mithilfe des Produktionskanals.

   sudo ./defender_deployment_tool.sh --channel prod
   

Verwandte Inhalte

• Voraussetzungen für Microsoft Defender for Endpoint unter Linux
• Aktivieren der Bereitstellung von Microsoft Defender for Endpoint an einem benutzerdefinierten Speicherort
• Verwenden der auf Installationsskript basierenden Bereitstellung zum Bereitstellen von Microsoft Defender for Endpoint unter Linux
• Bereitstellen von Microsoft Defender for Endpoint unter Linux mit Ansible
• Microsoft Defender für Endpunkt unter Linux mit Chef bereitstellen
• Bereitstellen von Microsoft Defender for Endpoint unter Linux mit Puppet
• Bereitstellen von Microsoft Defender for Endpoint unter Linux mit Saltstack
• Manuelles Bereitstellen von Microsoft Defender for Endpoint unter Linux
• Bereitstellen von Microsoft Defender for Endpoint unter Linux mithilfe von goldenen Images
• Verbinden Ihrer Nicht-Azure-Computer mit Microsoft Defender für Cloud mit Defender für Endpunkt (direktes Onboarding mit Defender für Cloud)
• Bereitstellungsleitfaden für Microsoft Defender for Endpoint unter Linux für SAP