Freigeben über

Verwenden der auf Installationsskript basierenden Bereitstellung zum Bereitstellen von Microsoft Defender for Endpoint unter Linux

  • Gilt für:: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Einführung

Sie können Defender für Endpunkt unter Linux mithilfe verschiedener Tools und Methoden bereitstellen. In diesem Artikel wird beschrieben, wie Sie die Bereitstellung von Defender für Endpunkt unter Linux mithilfe eines Installationsskripts automatisieren. Dieses Skript identifiziert die Verteilung und Version, wählt das richtige Repository aus, richtet das Gerät ein, um die neueste Agent-Version zu pullen, und integriert das Gerät mithilfe des Onboardingpakets in Defender für Endpunkt. Diese Methode wird dringend empfohlen, um den Bereitstellungsprozess zu vereinfachen.

Informationen zur Verwendung einer anderen Methode finden Sie im Abschnitt Verwandte Inhalte.

Wichtig

Wenn Sie mehrere Sicherheitslösungen parallel ausführen möchten, lesen Sie Überlegungen zu Leistung, Konfiguration und Support.

Möglicherweise haben Sie bereits gegenseitige Sicherheitsausschlüsse für Geräte konfiguriert, die in Microsoft Defender for Endpoint integriert wurden. Wenn Sie weiterhin gegenseitige Ausschlüsse festlegen müssen, um Konflikte zu vermeiden, lesen Sie Hinzufügen von Microsoft Defender for Endpoint zur Ausschlussliste für Ihre vorhandene Lösung.

Voraussetzungen und Systemanforderungen

Bevor Sie beginnen, finden Sie unter Voraussetzungen für Defender für Endpunkt unter Linux eine Beschreibung der Voraussetzungen und Systemanforderungen.

Bereitstellungsprozess

  1. Laden Sie das Onboardingpaket aus Microsoft Defender Portal herunter, indem Sie die folgenden Schritte ausführen:

    1. Erweitern Sie im Microsoft Defender-Portal den Abschnitt System, und wählen Sie Einstellungen>Endpunkte>Geräteverwaltung>Onboarding aus.

    2. Wählen Sie im ersten Dropdownmenü Linux Server als Betriebssystem aus.

    3. Wählen Sie im zweiten Dropdownmenü Lokales Skript als Bereitstellungsmethode aus.

    4. Wählen Sie "Onboardingpaket herunterladen" aus. Speichern Sie die Datei als WindowsDefenderATPOnboardingPackage.zip.

      Screenshot: Optionen zum Herunterladen des Onboardingpakets

    5. Extrahieren Sie an einer Eingabeaufforderung den Inhalt des Archivs:

      unzip WindowsDefenderATPOnboardingPackage.zip

      Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

      Warnung

      Das erneute Packen des Defender für Endpunkt-Installationspakets ist kein unterstütztes Szenario. Dies kann sich negativ auf die Integrität des Produkts auswirken und zu negativen Ergebnissen führen, einschließlich, aber nicht beschränkt auf das Auslösen von Manipulationswarnungen und nicht angewendeten Updates.

      Wichtig

      Wenn Sie diesen Schritt verpassen, zeigt jeder ausgeführte Befehl eine Warnmeldung an, die darauf hinweist, dass das Produkt nicht lizenziert ist. Außerdem gibt der Befehl mdatp health den Wert false zurück.

  2. Laden Sie das Bash-Skript des Installationsprogramms herunter, das in unserem öffentlichen GitHub-Repository bereitgestellt wird.

  3. Erteilen Sie dem Installationsskript ausführbare Berechtigungen:

    chmod +x mde_installer.sh

  4. Führen Sie das Installationsskript aus, und geben Sie das Onboardingpaket als Parameter an, um den Agent zu installieren und das Gerät im Defender-Portal zu integrieren.

    sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --min_req

    Dieser Befehl stellt die neueste Agent-Version im Produktionskanal bereit, überprüft die Mindestanzahl der Systemvoraussetzungen und integriert das Gerät in Defender Portal.

    Darüber hinaus können Sie weitere Parameter basierend auf Ihren Anforderungen übergeben, um die Installation zu ändern. Suchen Sie in der Hilfe nach allen verfügbaren Optionen:

     ❯ ./mde_installer.sh --help
mde_installer.sh v0.7.0
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel         specify the channel(insiders-fast / insiders-slow / prod) from which you want to install. Default: prod
-i|--install         install the product
-r|--remove          uninstall the product
-u|--upgrade         upgrade the existing product to a newer version if available
-l|--downgrade       downgrade the existing product to a older version if available
-o|--onboard         onboard the product with <onboarding_script>
-f|--offboard        offboard the product with <offboarding_script>
-p|--passive-mode    set real time protection to passive mode
-a|--rtp-mode        set real time protection to active mode. passive-mode and rtp-mode are mutually exclusive
-t|--tag             set a tag by declaring <name> and <value>, e.g: -t GROUP Coders
-m|--min_req         enforce minimum requirements
-x|--skip_conflict   skip conflicting application verification
-w|--clean           remove repo from package manager for a specific channel
-y|--yes             assume yes for all mid-process prompts (default, deprecated)
-n|--no              remove assume yes sign
-s|--verbose         verbose output
-v|--version         print out script version
-d|--debug           set debug mode
--log-path <PATH>    also log output to PATH
--http-proxy <URL>   set http proxy
--https-proxy <URL>  set https proxy
--ftp-proxy <URL>    set ftp proxy
--mdatp              specific version of mde to be installed. will use the latest if not provided
-b|--install-path    specify the installation and configuration path for MDE. Default: /
-h|--help            display help
    Szenario Befehl
    Installieren an einem benutzerdefinierten Pfadspeicherort sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --min_req --install-path /custom/path/location
    Installieren einer bestimmten Agent-Version sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --min_req –-mdatp 101.24082.0004
    Upgrade auf die neueste Agent-Version sudo ./mde_installer.sh --upgrade
    Upgrade auf eine bestimmte Agent-Version sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004
    Downgrade auf eine bestimmte Agent-Version sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004
    Deinstallieren des Agents sudo ./mde_installer.sh --remove

    Ausführliche Informationen zur Installation in einem benutzerdefinierten Pfad finden Sie unter Installieren von Defender für Endpunkt unter Linux in einem benutzerdefinierten Pfad.

    Hinweis

    1. Wenn Sie Ihr Betriebssystem nach der Produktinstallation auf eine neue Hauptversion aktualisieren, muss das Produkt neu installiert werden. Sie müssen den vorhandenen Defender für Endpunkt unter Linux deinstallieren, das Betriebssystem aktualisieren und dann Defender für Endpunkt unter Linux neu konfigurieren.

    2. Der Installationspfad kann nach der Installation von Defender für Endpunkt nicht mehr geändert werden. Wenn Sie einen anderen Pfad verwenden möchten, deinstallieren Sie das Produkt, und installieren Sie es am neuen Speicherort neu.

Überprüfen der bereitstellungs status

  1. Öffnen Sie im Microsoft Defender-Portal den Gerätebestand. Es kann 5 bis 20 Minuten dauern, bis das Gerät im Portal angezeigt wird.

  2. Führen Sie einen Antivirenerkennungstest aus, um zu überprüfen, ob das Gerät ordnungsgemäß integriert ist und berichte an den Dienst. Führen Sie die folgenden Schritte auf dem neu eingebundenen Gerät durch:

    1. Stellen Sie sicher, dass der Echtzeitschutz aktiviert ist (gekennzeichnet durch das Ergebnis der Ausführung des true folgenden Befehls):

      mdatp health --field real_time_protection_enabled

      Wenn sie nicht aktiviert ist, führen Sie den folgenden Befehl aus:

      mdatp config real-time-protection --value enabled

    2. Öffnen Sie ein Terminalfenster, und führen Sie den folgenden Befehl aus, um einen Erkennungstest auszuführen:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Sie können weitere Erkennungstests für ZIP-Dateien ausführen, indem Sie einen der folgenden Befehle verwenden:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    4. Die Dateien sollten von Defender für Endpunkt unter Linux unter Quarantäne gesetzt werden. Verwenden Sie den folgenden Befehl, um alle entdeckten Bedrohungen aufzulisten:

      mdatp threat list

  3. Führen Sie einen EDR-Erkennungstest aus, und simulieren Sie eine Erkennung, um zu überprüfen, ob das Gerät ordnungsgemäß integriert ist, und melden Sie es an den Dienst. Führen Sie die folgenden Schritte auf dem neu eingebundenen Gerät durch:

    1. Laden Sie die Skriptdatei herunter, und extrahieren Sie sie auf einen integrierten Linux-Server.

    2. Erteilen Sie dem Skript ausführbare Berechtigungen:

      chmod +x mde_linux_edr_diy.sh

    3. Führen Sie den folgenden Befehl aus:

      ./mde_linux_edr_diy.sh

    4. Nach einigen Minuten sollte eine Erkennung im Microsoft Defender XDR ausgelöst werden.

    5. Überprüfen Sie die Warnungsdetails, computer Zeitleiste, und führen Sie die typischen Untersuchungsschritte aus.

Microsoft Defender for Endpoint externe Paketabhängigkeiten

Wenn die Microsoft Defender for Endpoint Installation aufgrund fehlender Abhängigkeitsfehler fehlschlägt, können Sie die erforderlichen Abhängigkeiten manuell herunterladen.

Für das Paket sind die mdatp folgenden externen Paketabhängigkeiten vorhanden:

  • Für mdatp RPM das Paket ist folgendes erforderlich: glibc >= 2.17
  • Für DEBIAN erfordert das mdatp Paket libc6 >= 2.23
  • Für Mariner erfordert attrdas mdatp Paket ,diffutils, libacl, libattr,libselinux-utils , selinux-policy,policycoreutils

Hinweis

Ab Version 101.24082.0004unterstützt Defender für Endpunkt unter Linux den Auditd Ereignisanbieter nicht mehr. Wir sind dabei, vollständig auf die effizientere eBPF-Technologie umzusteigen. Wenn eBPF auf Ihren Computern nicht unterstützt wird oder bestimmte Anforderungen bestehen, um auf Auditdzu bleiben, und Ihre Computer Defender für Endpunkt unter Linux 101.24072.0001 oder früher verwenden, bestehen andere Abhängigkeiten vom überwachten Paket für mdatp. Für version älter als 101.25032.0000:

  • RPM-Paketanforderungen: mde-netfilter, pcre
  • Debian-Paket benötigt: mde-netfilter, libpcre3
  • Das mde-netfilter Paket verfügt auch über die folgenden Paketabhängigkeiten: - Für DEBIAN erfordert libnetfilter-queue1 das Paket mde-netfilter und libglib2.0-0 : Für RPM erfordert libmnldas mde-netfilter-Paket , libnfnetlinklibnetfilter_queue, und glib2 ab Version 101.25042.0003ist uuid-runtime nicht mehr als externe Abhängigkeit erforderlich.

Problembehandlung bei Problemen mit Installation und Update

Wenn Bei der Installation Probleme auftreten, führen Sie zur Selbstbehandlung die folgenden Schritte aus:

  1. Informationen zum Suchen des Protokolls, das automatisch generiert wird, wenn ein Installationsfehler auftritt, finden Sie unter Protokollinstallationsprobleme.

  2. Informationen zu häufigen Installationsproblemen finden Sie unter Installationsprobleme.

  3. Wenn die Integrität des Geräts lautet false, finden Sie weitere Informationen unter Integritätsprobleme des Defender für Endpunkt-Agents.

  4. Informationen zu Problemen mit der Produktleistung finden Sie unter Behandeln von Leistungsproblemen.

  5. Informationen zu Proxy- und Konnektivitätsproblemen finden Sie unter Behandeln von Problemen mit der Cloudkonnektivität.

Um Support von Microsoft zu erhalten, öffnen Sie ein Supportticket, und stellen Sie die Protokolldateien bereit, die mit dem Clientanalysetool erstellt wurden.

Wechseln zwischen Kanälen

Gehen Sie beispielsweise wie folgt vor, um den Kanal von Insiders-Fast in Produktion zu ändern:

  1. Deinstallieren Sie die Insiders-Fast channel Version von Defender für Endpunkt unter Linux.

    sudo yum remove mdatp

  2. Deaktivieren Sie das Repository Defender für Endpunkt unter Linux Insiders-Fast.

    sudo yum repolist

    Hinweis

    Die Ausgabe sollte anzeigen packages-microsoft-com-fast-prod.

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Stellen Sie Microsoft Defender for Endpoint unter Linux mithilfe des Produktionskanals erneut bereit.

Defender für Endpunkt unter Linux kann über einen der folgenden Kanäle bereitgestellt werden (bezeichnet als [Kanal]):

  • insiders-fast
  • insiders-slow
  • prod

Jeder dieser Kanäle entspricht einem Linux-Softwarerepository. In den Anweisungen in diesem Artikel wird beschrieben, wie Sie Ihr Gerät für die Verwendung eines dieser Repositorys konfigurieren.

Die Wahl des Kanals bestimmt den Typ und die Häufigkeit der Updates, die Ihrem Gerät angeboten werden. Geräte in Insider-fast sind die ersten, die Updates und neue Features erhalten, gefolgt von Insider-langsam und schließlich von Prod.

Um eine Vorschau neuer Features anzuzeigen und frühzeitig Feedback zu geben, empfiehlt es sich, einige Geräte in Ihrem Unternehmen für die Verwendung von oder insiders-fastinsiders-slowzu konfigurieren.

Warnung

Wenn Sie den Kanal nach der Erstinstallation wechseln, muss das Produkt neu installiert werden. Um den Produktkanal zu wechseln: Deinstallieren Sie das vorhandene Paket, konfigurieren Sie Ihr Gerät neu, um den neuen Kanal zu verwenden, und führen Sie die Schritte in diesem Dokument aus, um das Paket am neuen Speicherort zu installieren.

Konfigurieren von Richtlinien für Microsoft Defender unter Linux

Informationen zum Konfigurieren von Antiviren- und EDR-Einstellungen finden Sie in den folgenden Artikeln:

Verwandte Inhalte

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community

  • Last updated on