Delen via

Implementeer Microsoft Defender eindpuntbeveiliging op Linux-apparaten met behulp van het Defender-implementatiehulpprogramma (preview)

  • Van toepassing op: Microsoft Defender for Business, Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Het Defender-implementatieprogramma biedt een efficiënt, gebruiksvriendelijk onboardingproces voor Microsoft Defender voor Eindpunt op Linux-apparaten. Hiermee kunnen gebruikers Microsoft Defender voor Eindpunt installeren en onboarden met behulp van één pakket dat kan worden gedownload vanuit de Microsoft Defender-portal. Hierdoor hoeft u Defender niet te installeren met behulp van script-/cli-opdrachten van het installatieprogramma en vervolgens afzonderlijk het apparaat te onboarden met behulp van het onboardingpakket vanuit de portal.

Het hulpprogramma voor defender-implementatie ondersteunt zowel handmatige als bulksgewijs onboarding via hulpprogramma's van derden, zoals Chef, Ansible, Puppet en SaltStack. Het hulpprogramma ondersteunt verschillende parameters die u kunt gebruiken om grootschalige implementaties aan te passen, zodat u installaties op maat kunt maken in verschillende omgevingen.

Vereisten en systeemvereisten

Zie Vereisten voor Microsoft Defender voor Eindpunt op Linux voor een beschrijving van vereisten en systeemvereisten voordat u aan de slag gaat. Daarnaast moet ook aan de volgende vereisten worden voldaan:

  • Verbinding met de URL toestaan: msdefender.download.prss.microsoft.com. Voordat u begint met de implementatie, moet u de connectiviteitstest uitvoeren, waarmee wordt gecontroleerd of de URL's die Defender voor Eindpunt gebruikt, toegankelijk zijn of niet.
  • Op het eindpunt moet wget of curl zijn geïnstalleerd.

Het Defender-implementatiehulpprogramma dwingt de volgende set vereistencontroles af. Als niet wordt voldaan, wordt het implementatieproces afgebroken:

  • Apparaatgeheugen: groter dan 1 GB
  • Beschikbare schijfruimte op het apparaat: groter dan 2 GB
  • Glibc-bibliotheekversie op het apparaat: nieuwer dan 2.17
  • mdatp-versie op het apparaat: moet een ondersteunde versie zijn en niet verlopen. Voer de opdracht -mdatp healthuit om de vervaldatum van het product te controleren.

Implementatie: stapsgewijze handleiding

  1. Download het Defender-implementatieprogramma via de Defender-portal met behulp van de volgende stappen.

    1. Ga naar Instellingen>Eindpunten>Onboarding van apparaatbeheer>.

    2. Selecteer in de vervolgkeuzelijst Stap 1 linux-server (preview) als besturingssysteem.

    3. Selecteer onder Onboardingpakketten of -bestanden downloaden en toepassen de knop Pakket downloaden .

    Opmerking

    Omdat dit pakket de agent installeert en onboardt, is het een tenantspecifiek pakket en mag het niet worden gebruikt tussen tenants.

    Schermopname van de knop downloadpakket.

  2. Pak vanaf een opdrachtprompt de inhoud van het archief uit:

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive: WindowsDefenderATPOnboardingPackage.zip
inflating: defender_deployment_tool.sh

  3. Verdeel uitvoerbare machtigingen voor het script.

    chmod +x defender_deployment_tool.sh

  4. Voer het script uit met behulp van de volgende opdracht om Microsoft Defender voor Eindpunt op uw eindpunt te installeren en te onboarden.

    sudo bash defender_deployment_tool.sh

    Met deze opdracht installeert u de nieuwste agentversie van het productiekanaal en onboardt u het apparaat naar de Defender-portal. Het kan 5-20 minuten duren voordat het apparaat wordt weergegeven in de Apparaatinventaris.

    Opmerking

    Als u een systeembrede proxy hebt ingesteld om Defender for Endpoint-verkeer om te leiden, moet u de proxy ook configureren met behulp van het Defender-implementatiehulpprogramma. Raadpleeg de help voor de opdrachtregel (--help) voor beschikbare proxyopties.

  5. U kunt de implementatie verder aanpassen door parameters door te geven aan het hulpprogramma op basis van uw vereisten. Gebruik de optie --help om alle beschikbare opties weer te geven:

     ./defender_deployment_tool.sh --help

    Schermopname van de uitvoer van de Help-opdracht.

    De volgende tabel bevat voorbeelden van opdrachten voor nuttige scenario's.

    Scenario Opdracht
    Controleren op niet-blokkeringsvereisten sudo ./defender_deployment_tool.sh --pre-req-non-blocking
    De connectiviteitstest uitvoeren sudo ./defender_deployment_tool.sh --connectivity-test
    Implementeren op een aangepaste locatie sudo ./defender_deployment_tool.sh --install-path /usr/microsoft/
    Implementeren vanuit het insider-slow-kanaal sudo ./defender_deployment_tool.sh --channel insiders-slow
    Implementeren met behulp van een proxy sudo ./defender_deployment_tool.sh --http-proxy <http://username:password@proxy_host:proxy_port>
    Een specifieke agentversie implementeren sudo ./defender_deployment_tool.sh --mdatp 101.25042.0003 --channel prod
    Upgraden naar een specifieke agentversie sudo ./defender_deployment_tool.sh --upgrade --mdatp 101.24082.0004
    Downgraden naar een specifieke agentversie sudo ./defender_deployment_tool.sh --downgrade --mdatp 101.24082.0004
    Defender verwijderen sudo ./defender_deployment_tool.sh --remove
    Alleen onboarden als Defender al is geïnstalleerd sudo ./defender_deployment_tool.sh --only-onboard
    Offboard Defender sudo ./defender_deployment_tool.sh --offboard MicrosoftDefenderATPOffboardingLinuxServer.py
    (Opmerking: het meest recente offboarding-bestand kan worden gedownload vanuit de Microsoft Defender-portal)

Implementatiestatus controleren

  1. Open in de Microsoft Defender portal de apparaatinventaris. Het kan 5-20 minuten duren voordat het apparaat wordt weergegeven in de portal.

  2. Voer een antivirusdetectietest uit om te controleren of het apparaat correct is onboarded en rapporteert aan de service. Voer de volgende stappen uit op het zojuist onboardingsapparaat:

    1. Zorg ervoor dat realtime-beveiliging is ingeschakeld (aangegeven door een resultaat van true van het uitvoeren van de volgende opdracht):

      mdatp health --field real_time_protection_enabled

      Als deze niet is ingeschakeld, voert u de volgende opdracht uit:

      mdatp config real-time-protection --value enabled

    2. Open een Terminal-venster en voer de volgende opdracht uit om een detectietest uit te voeren:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. U kunt meer detectietests uitvoeren op zip-bestanden met behulp van een van de volgende opdrachten:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    4. De bestanden moeten in quarantaine worden geplaatst door Defender voor Eindpunt in Linux. Gebruik de volgende opdracht om alle gedetecteerde bedreigingen weer te geven:

      mdatp threat list

  3. Voer een EDR-detectietest uit en simuleer een detectie om te controleren of het apparaat correct is onboarded en rapporteert aan de service. Voer de volgende stappen uit op het zojuist onboardingsapparaat:

    1. Download het scriptbestand en pak het uit naar een onboarded Linux-server.

    2. Geef uitvoerbare machtigingen aan het script:

      chmod +x mde_linux_edr_diy.sh

    3. Voer de volgende opdracht uit:

      ./mde_linux_edr_diy.sh

    4. Na een paar minuten moet er een detectie worden gegenereerd in de Microsoft Defender XDR.

    5. Controleer de waarschuwingsdetails en de tijdlijn van de machine en voer de gebruikelijke onderzoeksstappen uit.

Connectiviteitsproblemen controleren

Als u verbindingsproblemen ondervindt, voert u deze opdracht uit om een connectiviteitstest uit te voeren:

sudo ./defender_deployment_tool.sh --connectivity-test

Het kan enige tijd duren voordat deze test is uitgevoerd, omdat er controles worden uitgevoerd voor elke URL die mdatp nodig heeft en eventuele problemen op te sporen, indien aanwezig. Als het probleem zich blijft voordoen, raadpleegt u de probleemoplossingsgids.

Problemen met de installatie oplossen

Wanneer u het Defender-implementatieprogramma uitvoert, wordt de activiteit geregistreerd in dit bestand:

/tmp/defender_deployment_tool.log

Als u installatieproblemen ondervindt, controleert u eerst het logboekbestand. Als dat niet helpt bij het oplossen van het probleem, voert u de volgende stappen uit:

  1. Zie Problemen met logboekinstallatie voor informatie over het vinden van het logboek dat automatisch wordt gegenereerd wanneer er een installatiefout optreedt.

  2. Zie Installatieproblemen voor informatie over veelvoorkomende installatieproblemen.

  3. Als de status van het apparaat onwaar is, raadpleegt u Statusproblemen met Defender voor Eindpunt-agent.

  4. Zie Prestatieproblemen oplossen voor problemen met productprestaties.

  5. Zie Problemen met cloudconnectiviteit oplossen voor proxy- en connectiviteitsproblemen.

Schakelen tussen kanalen nadat u vanuit een kanaal hebt geïmplementeerd

Defender voor Eindpunt op Linux kan worden geïmplementeerd via een van de volgende kanalen:

  • insiders-fast
  • insiders-slow
  • prod (productie)

Elk van deze kanalen komt overeen met een Linux-softwareopslagplaats. Het kanaal bepaalt het type en de frequentie van updates die aan uw apparaat worden aangeboden. Apparaten in insiders-fast ontvangen als eerste updates en nieuwe functies, later gevolgd door insiders-slow en ten slotte door prod.

Standaard configureert het implementatieprogramma uw apparaat voor het gebruik van het prod-kanaal. U kunt de configuratieopties die in dit document worden beschreven, gebruiken om te implementeren vanuit een ander kanaal.

Als u een voorbeeld van nieuwe functies wilt bekijken en vroege feedback wilt geven, is het raadzaam dat u sommige apparaten in uw onderneming configureert om insiders-fast of insiders-slow te gebruiken. Als u Defender voor Eindpunt op Linux al hebt geïmplementeerd vanuit een kanaal en wilt overschakelen naar een ander kanaal (bijvoorbeeld van prod naar insiders-fast), moet u eerst het huidige kanaal verwijderen, vervolgens de huidige kanaalopslagplaats verwijderen en vervolgens Defender installeren vanaf het nieuwe kanaal, zoals in het volgende voorbeeld wordt geïllustreerd, waarbij het kanaal wordt gewijzigd van insiders-fast naar prod:

  1. Verwijder de insiders-fast-kanaalversie van Defender voor Eindpunt op Linux.

    sudo ./defender_deployment_tool.sh --remove --channel insiders-fast

  2. Verwijder de Defender voor Eindpunt in de snelle linux-opslagplaats voor insiders.

    sudo ./defender_deployment_tool.sh --clean --channel insiders-fast

  3. Installeer Microsoft Defender voor Eindpunt in Linux met behulp van het productiekanaal.

    sudo ./defender_deployment_tool.sh --channel prod

Verwante onderwerpen

  • Last updated on