Partilhar via

Implementar Microsoft Defender segurança de ponto final em dispositivos Linux com a ferramenta de implementação do Defender (pré-visualização)

  • Aplica-se a: Microsoft Defender for Business, Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

A ferramenta de implementação do Defender fornece um processo de inclusão eficiente e amigável para Microsoft Defender para Endpoint em dispositivos Linux. Permite que os utilizadores instalem e integrem Microsoft Defender para Endpoint através de um único pacote que pode ser transferido a partir do portal Microsoft Defender. Isto elimina a necessidade de instalar o Defender através dos comandos de script/cli do instalador e, em seguida, em separado, para integrar o dispositivo com o pacote de inclusão do portal.

A ferramenta defender-deployment suporta a inclusão manual e em massa através de ferramentas de terceiros, como o Chef, Ansible, Puppet e SaltStack. A ferramenta suporta vários parâmetros que pode utilizar para personalizar implementações de grande escala, o que permite ter instalações personalizadas em vários ambientes.

Pré-requisitos e requisitos de sistema

Antes de começar, consulte Pré-requisitos para Microsoft Defender para Endpoint no Linux para obter uma descrição dos pré-requisitos e requisitos de sistema. Além disso, os seguintes requisitos também têm de ser cumpridos:

  • Permitir ligação ao URL: msdefender.download.prss.microsoft.com. Antes de começar a implementação, certifique-se de que executa o teste de conectividade, que verifica se os URLs utilizados pelo Defender para Ponto Final estão acessíveis ou não.
  • O ponto final tem de ter o wget ou o curl instalados.

A ferramenta de implementação do Defender impõe o seguinte conjunto de verificações de pré-requisitos, que, se não forem cumpridas, abortarão o processo de implementação:

  • Memória do dispositivo: superior a 1 GB
  • Espaço disponível em disco no dispositivo: superior a 2 GB
  • Versão da biblioteca Glibc no dispositivo: mais recente do que a 2.17
  • versão do mdatp no dispositivo: tem de ser uma versão suportada e não ter expirado. Para verificar a data de expiração do produto, execute o comando -mdatp health.

Implementação: guia passo a passo

  1. Transfira a ferramenta de implementação do Defender a partir do portal do Defender com os seguintes passos.

    1. Aceda a Definições>Pontos FinaisGestão> de dispositivos >Integração.

    2. No menu pendente Passo 1, selecione Servidor Linux (Pré-visualização) como o sistema operativo.

    3. Em Transferir e aplicar pacotes ou ficheiros de inclusão, selecione o botão Transferir pacote .

    Nota

    Uma vez que este pacote instala e integra o agente, é um pacote específico do inquilino e não pode ser utilizado entre inquilinos.

    Captura de ecrã a mostrar o botão transferir pacote.

  2. Numa linha de comandos, extraia os conteúdos do arquivo:

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive: WindowsDefenderATPOnboardingPackage.zip
inflating: defender_deployment_tool.sh

  3. Conceda permissões executáveis ao script.

    chmod +x defender_deployment_tool.sh

  4. Execute o script com o seguinte comando para instalar e integrar Microsoft Defender para Endpoint no ponto final.

    sudo bash defender_deployment_tool.sh

    Este comando instala a versão mais recente do agente a partir do canal de produção e integra o dispositivo no portal do Defender. O dispositivo pode demorar entre 5 a 20 minutos a aparecer no Inventário de Dispositivos.

    Nota

    Se tiver configurado um proxy ao nível do sistema para redirecionar o Defender para o tráfego do Ponto Final, certifique-se de que também configura o proxy com a ferramenta de implementação do Defender. Consulte a ajuda da linha de comandos (--ajuda) para obter as opções de proxy disponíveis.

  5. Pode personalizar ainda mais a implementação ao transmitir parâmetros para a ferramenta com base nos seus requisitos. Utilize a opção --help para ver todas as opções disponíveis:

     ./defender_deployment_tool.sh --help

    Captura de ecrã a mostrar a saída do comando de ajuda.

    A tabela seguinte fornece exemplos de comandos para cenários úteis.

    Cenário Comando
    Verificar se existem pré-requisitos não cumpridos sem bloqueio sudo ./defender_deployment_tool.sh --pre-req-non-blocking
    Executar o teste de conectividade sudo ./defender_deployment_tool.sh --connectivity-test
    Implementar numa localização personalizada sudo ./defender_deployment_tool.sh --install-path /usr/microsoft/
    Implementar a partir do canal insider-slow sudo ./defender_deployment_tool.sh --channel insiders-slow
    Implementar com um proxy sudo ./defender_deployment_tool.sh --http-proxy <http://username:password@proxy_host:proxy_port>
    Implementar uma versão específica do agente sudo ./defender_deployment_tool.sh --mdatp 101.25042.0003 --channel prod
    Atualizar para uma versão específica do agente sudo ./defender_deployment_tool.sh --upgrade --mdatp 101.24082.0004
    Mudar para uma versão anterior para uma versão específica do agente sudo ./defender_deployment_tool.sh --downgrade --mdatp 101.24082.0004
    Desinstalar o Defender sudo ./defender_deployment_tool.sh --remove
    Apenas integração se o Defender já estiver instalado sudo ./defender_deployment_tool.sh --only-onboard
    Offboard Defender sudo ./defender_deployment_tool.sh --offboard MicrosoftDefenderATPOffboardingLinuxServer.py
    (Nota: o ficheiro de exclusão mais recente pode ser transferido a partir do portal do Microsoft Defender)

Verificar o estado da implementação

  1. No portal Microsoft Defender, abra o inventário de dispositivos. O dispositivo pode demorar entre 5 a 20 minutos a aparecer no portal.

  2. Execute um teste de deteção de antivírus para verificar se o dispositivo está corretamente integrado e a reportar ao serviço. Execute os seguintes passos no dispositivo recentemente integrado:

    1. Certifique-se de que a proteção em tempo real está ativada (indicada por um resultado verdadeiro da execução do seguinte comando):

      mdatp health --field real_time_protection_enabled

      Se não estiver ativado, execute o seguinte comando:

      mdatp config real-time-protection --value enabled

    2. Abra uma janela do Terminal e execute o seguinte comando para executar um teste de deteção:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Pode executar mais testes de deteção em ficheiros zip com um dos seguintes comandos:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    4. Os ficheiros devem ser colocados em quarentena pelo Defender para Endpoint no Linux. Utilize o seguinte comando para listar todas as ameaças detetadas:

      mdatp threat list

  3. Execute um teste de deteção EDR e simule uma deteção para verificar se o dispositivo está corretamente integrado e a reportar ao serviço. Execute os seguintes passos no dispositivo recentemente integrado:

    1. Transfira e extraia o ficheiro de script para um servidor Linux integrado.

    2. Conceda permissões executáveis ao script:

      chmod +x mde_linux_edr_diy.sh

    3. Execute o seguinte comando:

      ./mde_linux_edr_diy.sh

    4. Após alguns minutos, deve ser criada uma deteção no Microsoft Defender XDR.

    5. Verifique os detalhes do alerta, a linha cronológica do computador e execute os passos típicos de investigação.

Verificar problemas de conectividade

Se estiver a ter problemas de conectividade, execute este comando para realizar um teste de conectividade:

sudo ./defender_deployment_tool.sh --connectivity-test

Este teste pode demorar algum tempo a ser executado, uma vez que efetua verificações para todos os URLs necessários para mdatp e encontrar quaisquer problemas, se estiverem presentes. Se o problema persistir, veja o guia de resolução de problemas.

Resolver problemas de instalação

Sempre que executar a ferramenta de implementação do Defender, a atividade é registada neste ficheiro:

/tmp/defender_deployment_tool.log

Se tiver problemas de instalação, verifique primeiro o ficheiro de registo. Se isso não o ajudar a resolver o problema, experimente seguir estes passos:

  1. Para obter informações sobre como localizar o registo gerado automaticamente quando ocorre um erro de instalação, veja Problemas de instalação de registos.

  2. Para obter informações sobre problemas comuns de instalação, veja Problemas de instalação.

  3. Se o estado de funcionamento do dispositivo for falso, veja Problemas de estado de funcionamento do agente do Defender para Endpoint.

  4. Para problemas de desempenho do produto, veja Resolver problemas de desempenho.

  5. Para problemas de proxy e conectividade, veja Resolver problemas de conectividade da cloud.

Como alternar entre canais depois de implementar a partir de um canal

O Defender para Endpoint no Linux pode ser implementado a partir de um dos seguintes canais:

  • insiders-fast
  • insiders-slow
  • prod (produção)

Cada um destes canais corresponde a um repositório de software Linux. O canal determina o tipo e a frequência das atualizações que são oferecidas ao seu dispositivo. Os dispositivos em insiders-fast são os primeiros a receber atualizações e novas funcionalidades, seguidas posteriormente por utilizadores do insider-slow e, por último, pelo prod.

Por predefinição, a ferramenta de implementação configura o dispositivo para utilizar o canal prod. Pode utilizar as opções de configuração descritas neste documento para implementar a partir de um canal diferente.

Para pré-visualizar novas funcionalidades e fornecer comentários antecipados, recomenda-se que configure alguns dispositivos na sua empresa para utilizar utilizadores do insider fast ou insiders-slow. Se já tiver implementado o Defender para Endpoint no Linux a partir de um canal e quiser mudar para um canal diferente (de prod para insiders-fast, por exemplo), primeiro tem de remover o canal atual, eliminar o repositório de canal atual e, em seguida, instalar o Defender a partir do novo canal, conforme ilustrado no exemplo seguinte, em que o canal é alterado de insiders-fast para prod:

  1. Remova a versão de canal insiders-fast do Defender para Endpoint no Linux..

    sudo ./defender_deployment_tool.sh --remove --channel insiders-fast

  2. Elimine o Defender para Endpoint no repositório linux insiders-fast.

    sudo ./defender_deployment_tool.sh --clean --channel insiders-fast

  3. Instale Microsoft Defender para Endpoint no Linux com o canal de produção.

    sudo ./defender_deployment_tool.sh --channel prod

Conteúdos relacionados

  • Last updated on