Partager via

Déployer Microsoft Defender sécurité de point de terminaison sur des appareils Linux à l’aide de l’outil de déploiement Defender (préversion)

  • S’applique à: Microsoft Defender for Business, Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

L’outil de déploiement Defender fournit un processus d’intégration efficace et convivial pour Microsoft Defender pour point de terminaison sur les appareils Linux. Il permet aux utilisateurs d’installer et d’intégrer des Microsoft Defender pour point de terminaison à l’aide d’un package unique qui peut être téléchargé à partir du portail Microsoft Defender. Cela élimine la nécessité d’installer Defender à l’aide des commandes de script/cli du programme d’installation, puis, séparément, d’intégrer l’appareil à l’aide du package d’intégration à partir du portail.

L’outil de déploiement defender prend en charge l’intégration manuelle et en bloc via des outils tiers tels que Chef, Ansible, Puppet et SaltStack. L’outil prend en charge plusieurs paramètres que vous pouvez utiliser pour personnaliser les déploiements à grande échelle, ce qui permet d’avoir des installations personnalisées dans différents environnements.

Conditions préalables et configuration système requise

Avant de commencer, consultez Prérequis pour Microsoft Defender pour point de terminaison sur Linux pour obtenir une description des prérequis et de la configuration système requise. En outre, les conditions suivantes doivent également être remplies :

  • Autoriser la connexion à l’URL : msdefender.download.prss.microsoft.com. Avant de commencer le déploiement, veillez à exécuter le test de connectivité, qui vérifie si les URL que Defender pour point de terminaison utilise sont accessibles ou non.
  • Wget ou curl doit être installé sur le point de terminaison.

L’outil de déploiement Defender applique l’ensemble suivant de vérifications des prérequis, qui, si elle n’est pas remplie, abandonne le processus de déploiement :

  • Mémoire de l’appareil : Supérieure à 1 Go
  • Espace disque disponible sur l’appareil : Supérieur à 2 Go
  • Version de la bibliothèque Glibc sur l’appareil : Plus récente que 2.17
  • Version de mdatp sur l’appareil : doit être une version prise en charge et n’a pas expiré. Pour case activée date d’expiration du produit, exécutez la commande -mdatp health.

Déploiement : Guide pas à pas

  1. Téléchargez l’outil de déploiement Defender à partir du portail Defender en procédant comme suit.

    1. Accédez à Paramètres Points>de terminaison>Gestion des> appareilsIntégration.

    2. Dans le menu déroulant Étape 1, sélectionnez Serveur Linux (préversion) comme système d’exploitation.

    3. Sous Télécharger et appliquer des packages ou des fichiers d’intégration, sélectionnez le bouton Télécharger le package .

    Remarque

    Étant donné que ce package installe et intègre l’agent, il s’agit d’un package spécifique au locataire et ne doit pas être utilisé entre les locataires.

    Capture d’écran montrant le bouton Télécharger le package.

  2. À partir d’une invite de commandes, extrayez le contenu de l’archive :

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive: WindowsDefenderATPOnboardingPackage.zip
inflating: defender_deployment_tool.sh

  3. Accordez des autorisations exécutables au script.

    chmod +x defender_deployment_tool.sh

  4. Exécutez le script à l’aide de la commande suivante pour installer et intégrer Microsoft Defender pour point de terminaison sur votre point de terminaison.

    sudo bash defender_deployment_tool.sh

    Cette commande installe la dernière version de l’agent à partir du canal de production et intègre l’appareil au portail Defender. L’affichage de l’appareil dans l’inventaire des appareils peut prendre de 5 à 20 minutes.

    Remarque

    Si vous avez configuré un proxy à l’échelle du système pour rediriger le trafic Defender pour point de terminaison, veillez également à configurer le proxy à l’aide de l’outil de déploiement Defender. Reportez-vous à l’aide de ligne de commande (--help) pour connaître les options de proxy disponibles.

  5. Vous pouvez personnaliser davantage le déploiement en passant des paramètres à l’outil en fonction de vos besoins. Utilisez l’option --help pour afficher toutes les options disponibles :

     ./defender_deployment_tool.sh --help

    Capture d’écran montrant la sortie de la commande d’aide.

    Le tableau suivant fournit des exemples de commandes pour des scénarios utiles.

    Scénario Commande
    Vérifier les conditions préalables non bloquantes non remplies sudo ./defender_deployment_tool.sh --pre-req-non-blocking
    Exécuter le test de connectivité sudo ./defender_deployment_tool.sh --connectivity-test
    Déployer sur un emplacement personnalisé sudo ./defender_deployment_tool.sh --install-path /usr/microsoft/
    Déployer à partir du canal insider-slow sudo ./defender_deployment_tool.sh --channel insiders-slow
    Déployer à l’aide d’un proxy sudo ./defender_deployment_tool.sh --http-proxy <http://username:password@proxy_host:proxy_port>
    Déployer une version d’agent spécifique sudo ./defender_deployment_tool.sh --mdatp 101.25042.0003 --channel prod
    Mettre à niveau vers une version d’agent spécifique sudo ./defender_deployment_tool.sh --upgrade --mdatp 101.24082.0004
    Passer à une version d’agent spécifique sudo ./defender_deployment_tool.sh --downgrade --mdatp 101.24082.0004
    Désinstaller Defender sudo ./defender_deployment_tool.sh --remove
    Intégrer uniquement si Defender est déjà installé sudo ./defender_deployment_tool.sh --only-onboard
    Offboard Defender sudo ./defender_deployment_tool.sh --offboard MicrosoftDefenderATPOffboardingLinuxServer.py
    (Remarque : le dernier fichier de désintégrage peut être téléchargé à partir du portail Microsoft Defender)

Vérifier les status de déploiement

  1. Dans le portail Microsoft Defender, ouvrez l’inventaire des appareils. L’affichage de l’appareil dans le portail peut prendre 5 à 20 minutes.

  2. Exécutez un test de détection antivirus pour vérifier que l’appareil est correctement intégré et qu’il signale au service. Effectuez les étapes suivantes sur l’appareil nouvellement intégré :

    1. Assurez-vous que la protection en temps réel est activée (indiqué par le résultat true de l’exécution de la commande suivante) :

      mdatp health --field real_time_protection_enabled

      S’il n’est pas activé, exécutez la commande suivante :

      mdatp config real-time-protection --value enabled

    2. Ouvrez une fenêtre Terminal et exécutez la commande suivante pour exécuter un test de détection :

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Vous pouvez exécuter d’autres tests de détection sur des fichiers zip à l’aide de l’une des commandes suivantes :

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    4. Les fichiers doivent être mis en quarantaine par Defender pour point de terminaison sur Linux. Utilisez la commande suivante pour répertorier toutes les menaces détectées :

      mdatp threat list

  3. Exécutez un test de détection EDR et simulez une détection pour vérifier que l’appareil est correctement intégré et qu’il signale au service. Effectuez les étapes suivantes sur l’appareil nouvellement intégré :

    1. Téléchargez et extrayez le fichier de script sur un serveur Linux intégré.

    2. Accordez des autorisations exécutables au script :

      chmod +x mde_linux_edr_diy.sh

    3. Exécutez la commande suivante :

      ./mde_linux_edr_diy.sh

    4. Après quelques minutes, une détection doit être déclenchée dans le Microsoft Defender XDR.

    5. Vérifiez les détails de l’alerte, chronologie machine et effectuez vos étapes d’investigation classiques.

Vérifier les problèmes de connectivité

Si vous rencontrez des problèmes de connectivité, exécutez cette commande pour effectuer un test de connectivité :

sudo ./defender_deployment_tool.sh --connectivity-test

Ce test peut prendre un certain temps à s’exécuter, car il effectue des vérifications pour chaque URL nécessaire par mdatp et détecte les éventuels problèmes présents. Si le problème persiste, reportez-vous au guide de résolution des problèmes.

Résoudre les problèmes d’installation

Chaque fois que vous exécutez l’outil de déploiement Defender, l’activité est journalisée dans ce fichier :

/tmp/defender_deployment_tool.log

Si vous rencontrez des problèmes d’installation, commencez par case activée le fichier journal. Si cela ne vous aide pas à résoudre le problème, procédez comme suit :

  1. Pour plus d’informations sur la recherche du journal généré automatiquement lorsqu’une erreur d’installation se produit, consultez Problèmes d’installation du journal.

  2. Pour plus d’informations sur les problèmes d’installation courants, consultez Problèmes d’installation.

  3. Si l’intégrité de l’appareil est false, consultez Problèmes d’intégrité de l’agent Defender pour point de terminaison.

  4. Pour connaître les problèmes de performances du produit, consultez Résoudre les problèmes de performances.

  5. Pour les problèmes de proxy et de connectivité, consultez Résoudre les problèmes de connectivité cloud.

Comment basculer entre les canaux une fois que vous avez déployé à partir d’un canal

Defender pour point de terminaison sur Linux peut être déployé à partir de l’un des canaux suivants :

  • insiders-fast
  • insiders-slow
  • prod (production)

Chacun de ces canaux correspond à un référentiel de logiciels Linux. Le canal détermine le type et la fréquence des mises à jour qui sont proposées à votre appareil. Les appareils dans insiders-fast sont les premiers à recevoir des mises à jour et de nouvelles fonctionnalités, suivis ultérieurement par les insiders-slow et enfin par prod.

Par défaut, l’outil de déploiement configure votre appareil pour utiliser le canal prod. Vous pouvez utiliser les options de configuration décrites dans ce document pour effectuer un déploiement à partir d’un autre canal.

Pour afficher un aperçu des nouvelles fonctionnalités et fournir des commentaires précoces, il est recommandé de configurer certains appareils de votre entreprise pour qu’ils utilisent des insiders rapides ou des insiders lents. Si vous avez déjà déployé Defender pour point de terminaison sur Linux à partir d’un canal et que vous souhaitez basculer vers un autre canal (de prod à insiders-fast, par exemple), vous devez d’abord supprimer le canal actuel, puis supprimer le référentiel de canal actuel, puis enfin installer Defender à partir du nouveau canal, comme illustré dans l’exemple suivant, où le canal passe d’insiders-fast à prod :

  1. Supprimez la version de canal insiders-fast de Defender pour point de terminaison sur Linux.

    sudo ./defender_deployment_tool.sh --remove --channel insiders-fast

  2. Supprimez defender pour point de terminaison sur le dépôt linux insiders-fast.

    sudo ./defender_deployment_tool.sh --clean --channel insiders-fast

  3. Installez Microsoft Defender pour point de terminaison sur Linux à l’aide du canal de production.

    sudo ./defender_deployment_tool.sh --channel prod

Contenu connexe

  • Last updated on