Defender 展開ツールMicrosoft Defender使用して Linux デバイスにエンドポイント セキュリティをデプロイする (プレビュー)

Defender デプロイ ツールは、Linux デバイス上のMicrosoft Defender for Endpointに対して効率的で使いやすいオンボード プロセスを提供します。 これにより、ユーザーは、Microsoft Defender ポータルからダウンロードできる 1 つのパッケージを使用して、Microsoft Defender for Endpointをインストールしてオンボードできます。 これにより、インストーラー スクリプト/cli コマンドを使用して Defender をインストールし、ポータルからオンボード パッケージを使用してデバイスをオンボードする必要がなくなります。

defender-deployment ツールは、Chef、Ansible、Puppet、SaltStack などのサードパーティ製ツールを使用した手動オンボードと一括オンボードの両方をサポートします。 このツールでは、大規模なデプロイをカスタマイズするために使用できるいくつかのパラメーターがサポートされているため、さまざまな環境でカスタマイズされたインストールを行うことができます。

前提条件とシステム要件

作業を開始する前に、前提条件とシステム要件の説明については、「Linux 上のMicrosoft Defender for Endpointの前提条件」を参照してください。 さらに、次の要件も満たす必要があります。

• URL への接続を許可する: msdefender.download.prss.microsoft.com。 デプロイを開始する前に、 接続テストを実行してください。このテストでは、Defender for Endpoint で使用される URL にアクセスできるかどうかを確認します。
• エンドポイントには 、wget または curl がインストールされている必要があります。

Defender 展開ツールでは、次の一連の前提条件チェックが適用されます。これが満たされていない場合は、デプロイ プロセスが中止されます。

• デバイス メモリ: 1 GB を超える
• デバイスで使用可能なディスク領域: 2 GB を超える
• デバイス上の Glibc ライブラリバージョン: 2.17 より新しい
• デバイス上の mdatp バージョン: サポートされているバージョンであり、有効期限が切れていない必要があります。 製品の有効期限をチェックするには、コマンド -mdatp healthを実行します。

デプロイ: ステップ バイ ステップ ガイド

1. 次の手順に従って、Defender ポータルから Defender デプロイ ツールをダウンロードします。

   1. [設定>Endpoints>Device management>Onboarding に移動します。

   2. [手順 1] ドロップダウン メニューで、オペレーティング システムとして [Linux Server (プレビュー)] を選択します。

   3. [ オンボード パッケージまたはファイルをダウンロードして適用する] で、[ パッケージのダウンロード ] ボタンを選択します。

   注:

   このパッケージはエージェントをインストールしてオンボードするため、テナント固有のパッケージであり、テナント間で使用することはできません。

   

2. コマンド プロンプトから、アーカイブの内容を抽出します。

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive: WindowsDefenderATPOnboardingPackage.zip
   inflating: defender_deployment_tool.sh
   

3. スクリプトに実行可能なアクセス許可を付与します。

   chmod +x defender_deployment_tool.sh
   

4. 次のコマンドを使用してスクリプトを実行し、エンドポイントにMicrosoft Defender for Endpointをインストールしてオンボードします。

   sudo bash defender_deployment_tool.sh
   

   このコマンドは、運用チャネルから最新のエージェント バージョンをインストールし、デバイスを Defender ポータルにオンボードします。 デバイス インベントリにデバイスが表示されるまでに 5 ~ 20 分かかる場合があります。

   注:

   Defender for Endpoint トラフィックをリダイレクトするようにシステム全体のプロキシを設定している場合は、Defender デプロイ ツールも使用してプロキシを構成してください。 使用可能なプロキシ オプションについては、コマンド ライン ヘルプ (--help) を参照してください。

5. 要件に基づいてツールにパラメーターを渡すことで、デプロイをさらにカスタマイズできます。 --helpオプションを使用して、使用可能なすべてのオプションを表示します。

    ./defender_deployment_tool.sh --help
   

   

   次の表に、便利なシナリオのコマンドの例を示します。

   シナリオ	コマンド
   アンメット 非ブロッキングの前提条件を確認する	sudo ./defender_deployment_tool.sh --pre-req-non-blocking
   接続テストを実行する	sudo ./defender_deployment_tool.sh --connectivity-test
   カスタムの場所にデプロイする	sudo ./defender_deployment_tool.sh --install-path /usr/microsoft/
   insider-slow チャネルからデプロイする	sudo ./defender_deployment_tool.sh --channel insiders-slow
   プロキシを使用してデプロイする	sudo ./defender_deployment_tool.sh --http-proxy <http://username:password@proxy_host:proxy_port>
   特定のエージェント バージョンをデプロイする	sudo ./defender_deployment_tool.sh --mdatp 101.25042.0003 --channel prod
   特定のエージェント バージョンにアップグレードする	sudo ./defender_deployment_tool.sh --upgrade --mdatp 101.24082.0004
   特定のエージェント バージョンへのダウングレード	sudo ./defender_deployment_tool.sh --downgrade --mdatp 101.24082.0004
   Defender をアンインストールする	sudo ./defender_deployment_tool.sh --remove
   Defender が既にインストールされている場合にのみオンボードする	sudo ./defender_deployment_tool.sh --only-onboard
   Offboard Defender	sudo ./defender_deployment_tool.sh --offboard MicrosoftDefenderATPOffboardingLinuxServer.py (注: 最新のオフボード ファイルは、Microsoft Defender ポータルからダウンロードできます)

デプロイの状態を確認する

1. Microsoft Defender ポータルで、デバイス インベントリを開きます。 デバイスがポータルに表示されるまでに 5 ~ 20 分かかる場合があります。

2. ウイルス対策検出テストを実行して、デバイスが適切にオンボードされ、サービスに報告されていることを確認します。 新しくオンボードされたデバイスで次の手順を実行します。

   1. リアルタイム保護が有効になっていることを確認します (次のコマンドを実行した場合の true の結果で示されます)。

      mdatp health --field real_time_protection_enabled
      

      有効になっていない場合は、次のコマンドを実行します。

      mdatp config real-time-protection --value enabled
      

   2. ターミナル ウィンドウを開き、次のコマンドを実行して検出テストを実行します。

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. 次のいずれかのコマンドを使用して、zip ファイルでより多くの検出テストを実行できます。

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

   4. ファイルは、Linux 上の Defender for Endpoint によって検疫する必要があります。 次のコマンドを使用して、検出されたすべての脅威を一覧表示します。

      mdatp threat list
      

3. EDR 検出テストを実行し、検出をシミュレートして、デバイスが適切にオンボードされ、サービスに報告されていることを確認します。 新しくオンボードされたデバイスで次の手順を実行します。

   1. オンボードされた Linux サーバーに スクリプト ファイル をダウンロードして抽出します。

   2. スクリプトに実行可能なアクセス許可を付与します。

      chmod +x mde_linux_edr_diy.sh
      

   3. 次のコマンドを実行します。

      ./mde_linux_edr_diy.sh
      

   4. 数分後、Microsoft Defender XDRで検出を発生させる必要があります。

   5. アラートの詳細、コンピューターのタイムラインを確認し、一般的な調査手順を実行します。

接続の問題を確認する

接続の問題が発生している場合は、次のコマンドを実行して接続テストを実行します。

sudo ./defender_deployment_tool.sh --connectivity-test

このテストは、mdatp で必要なすべての URL のチェックを実行し、存在する場合は問題が見つかるので、実行に時間がかかる場合があります。 問題が解決しない場合は、トラブルシューティング ガイドを参照してください。

インストールのトラブルシューティング

Defender デプロイ ツールを実行するたびに、アクティビティはこのファイルに記録されます。

/tmp/defender_deployment_tool.log

インストールの問題が発生した場合は、まずログ ファイルをチェックします。 それでも問題を解決できない場合は、次の手順に従ってください。

1. インストール エラーが発生したときに自動的に生成されるログを検索する方法については、「 ログのインストールの問題」を参照してください。

2. 一般的なインストールの問題については、「 インストールの問題」を参照してください。

3. デバイスの正常性が false の場合は、「 Defender for Endpoint エージェントの正常性の問題」を参照してください。

4. 製品のパフォーマンスの問題については、「 パフォーマンスの問題のトラブルシューティング」を参照してください。

5. プロキシと接続の問題については、「 クラウド接続の問題のトラブルシューティング」を参照してください。

チャネルからデプロイした後でチャネルを切り替える方法

Defender for Endpoint on Linux は、次のいずれかのチャネルからデプロイできます。

• insiders-fast
• insiders-slow
• prod (運用環境)

これらの各チャネルは、Linux ソフトウェア リポジトリに対応しています。 チャネルは、デバイスに提供される更新プログラムの種類と頻度を決定します。 インサイダーファーストのデバイスは、更新プログラムと新機能を最初に受け取り、その後、インサイダーが遅く、最後にprodによって続きます。

既定では、デプロイ ツールは、prod チャネルを使用するようにデバイスを構成します。 このドキュメントで説明されている構成オプションを使用して、別のチャネルからデプロイできます。

新機能をプレビューし、早期フィードバックを提供するには、社内の一部のデバイスを、Insider-fast または insiders-slow を使用するように構成することをお勧めします。 チャネルから Linux 上に Defender for Endpoint を既にデプロイしていて、別のチャネル (たとえば、prod から insiders-fast) に切り替える場合は、最初に現在のチャネルを削除してから、現在のチャネル リポジトリを削除してから、最後に新しいチャネルから Defender をインストールする必要があります。次の例に示すように、チャネルが insiders-fast から prod に変更されます。

1. Linux 上の Defender for Endpoint の insiders-fast チャネル バージョンを削除します。

   sudo ./defender_deployment_tool.sh --remove --channel insiders-fast
   

2. Linux insiders-fast リポジトリで Defender for Endpoint を削除します。

   sudo ./defender_deployment_tool.sh --clean --channel insiders-fast
   

3. 運用チャネルを使用して Linux にMicrosoft Defender for Endpointをインストールします。

   sudo ./defender_deployment_tool.sh --channel prod
   

関連コンテンツ

• Linux でのMicrosoft Defender for Endpointの前提条件
• カスタムの場所へのMicrosoft Defender for Endpointのデプロイを有効にする
• インストーラー スクリプト ベースのデプロイを使用して Linux にMicrosoft Defender for Endpointをデプロイする
• Ansible を使用して Linux にMicrosoft Defender for Endpointをデプロイする
• Chef を使用して Linux 用 Microsoft Defender for Endpoint を展開する
• Puppet を使用して Linux にMicrosoft Defender for Endpointをデプロイする
• Saltstack を使用して Linux にMicrosoft Defender for Endpointをデプロイする
• Linux 用 Microsoft Defender for Endpoint を手動で展開する
• ゴールデン イメージを使用して Linux にMicrosoft Defender for Endpointをデプロイする
• Defender for Endpoint を使用して、Azure以外のマシンを Microsoft Defender for Cloud に接続する (Defender for Cloud を使用した直接オンボード)
• Linux for SAP でのMicrosoft Defender for Endpointのデプロイ ガイダンス