使用 Defender 部署工具 (预览版) 将Microsoft Defender终结点安全性部署到 Linux 设备

Defender 部署工具为 Linux 设备上的Microsoft Defender for Endpoint提供了一个高效、用户友好的载入过程。 它允许用户使用可从Microsoft Defender门户下载的单个包来安装和载入Microsoft Defender for Endpoint。 这无需使用安装程序脚本/cli 命令安装 Defender，然后分别从门户使用载入包加入设备。

defender-deployment 工具支持通过 Chef、Ansible、Puppet 和 SaltStack 等第三方工具进行手动和批量载入。 该工具支持多个参数，可用于自定义大规模部署，从而可以跨不同的环境进行定制安装。

先决条件和系统要求

在开始之前，请参阅 Linux 上Microsoft Defender for Endpoint的先决条件，了解先决条件和系统要求。 此外，还需要满足以下要求：

• 允许连接到 URL： msdefender.download.prss.microsoft.com。 在开始部署之前，请确保运行 连接测试，以检查 Defender for Endpoint 使用的 URL 是否可访问。
• 终结点必须安装 wget 或 curl 。

Defender 部署工具强制实施以下一组先决条件检查，如果不满足，将中止部署过程：

• 设备内存：大于 1 GB
• 设备上的可用磁盘空间：大于 2GB
• 设备上的 Glibc 库版本：高于 2.17
• 设备上的 mdatp 版本：必须是受支持的版本且未过期。 若要检查产品到期日期，请运行命令 -mdatp health。

部署：分步指南

1. 使用以下步骤从 Defender 门户下载 Defender 部署工具。

   1. 转到“设置>终结点”“>设备管理>”“载入”。

   2. 在“步骤 1”下拉菜单中，选择“ Linux Server (Preview) ”作为作系统。

   3. 在 “下载并应用载入包或文件”下，选择“ 下载包 ”按钮。

   注意

   由于此包安装并载入代理，因此它是特定于租户的包，不得跨租户使用。

   

2. 在命令提示符下，提取存档的内容：

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive: WindowsDefenderATPOnboardingPackage.zip
   inflating: defender_deployment_tool.sh
   

3. 向脚本授予可执行权限。

   chmod +x defender_deployment_tool.sh
   

4. 使用以下命令运行脚本，在终结点上安装并加入Microsoft Defender for Endpoint。

   sudo bash defender_deployment_tool.sh
   

   此命令从生产通道安装最新代理版本，并将设备载入 Defender 门户。 设备可能需要 5-20 分钟才能显示在 设备清单中。

   注意

   如果已设置系统范围的代理以重定向 Defender for Endpoint 流量，请确保也使用 Defender 部署工具配置代理。 有关可用的代理选项，请参阅命令行帮助 (--help) 。

5. 可以通过根据要求将参数传递给工具来进一步自定义部署。 使用 选项 --help 查看所有可用选项：

    ./defender_deployment_tool.sh --help
   

   

   下表提供了适用于有用方案的命令示例。

   应用场景	命令
   检查未满足的非阻止先决条件	sudo ./defender_deployment_tool.sh --pre-req-non-blocking
   运行连接测试	sudo ./defender_deployment_tool.sh --connectivity-test
   部署到自定义位置	sudo ./defender_deployment_tool.sh --install-path /usr/microsoft/
   从预览体验成员慢速通道部署	sudo ./defender_deployment_tool.sh --channel insiders-slow
   使用代理进行部署	sudo ./defender_deployment_tool.sh --http-proxy <http://username:password@proxy_host:proxy_port>
   部署特定代理版本	sudo ./defender_deployment_tool.sh --mdatp 101.25042.0003 --channel prod
   升级到特定代理版本	sudo ./defender_deployment_tool.sh --upgrade --mdatp 101.24082.0004
   降级到特定代理版本	sudo ./defender_deployment_tool.sh --downgrade --mdatp 101.24082.0004
   卸载 Defender	sudo ./defender_deployment_tool.sh --remove
   仅当已安装 Defender 时加入	sudo ./defender_deployment_tool.sh --only-onboard
   Offboard Defender	sudo ./defender_deployment_tool.sh --offboard MicrosoftDefenderATPOffboardingLinuxServer.py (注意：可以从Microsoft Defender门户下载最新的卸载文件)

验证部署状态

1. 在Microsoft Defender门户中，打开设备清单。 设备可能需要 5-20 分钟才能显示在门户中。

2. 运行防病毒检测测试，验证设备是否已正确载入并向服务报告。 在新加入的设备上执行以下步骤：

   1. 通过运行以下命令) ，确保启用实时保护 (由 true 表示的结果：

      mdatp health --field real_time_protection_enabled
      

      如果未启用，请执行以下命令：

      mdatp config real-time-protection --value enabled
      

   2. 打开终端窗口并执行以下命令来运行检测测试：

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. 可以使用以下命令之一对 zip 文件运行更多检测测试：

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

   4. 这些文件应由 Linux 上的 Defender for Endpoint 隔离。 使用以下命令列出所有检测到的威胁：

      mdatp threat list
      

3. 运行 EDR 检测测试并模拟检测，验证设备是否已正确载入并向服务报告。 在新加入的设备上执行以下步骤：

   1. 将 脚本文件 下载并解压缩到载入的 Linux 服务器。

   2. 向脚本授予可执行权限：

      chmod +x mde_linux_edr_diy.sh
      

   3. 运行以下命令：

      ./mde_linux_edr_diy.sh
      

   4. 几分钟后，应在Microsoft Defender XDR中引发检测。

   5. 检查警报详细信息、计算机时间线，并执行典型的调查步骤。

检查连接问题

如果遇到任何连接问题，请运行以下命令以执行连接测试：

sudo ./defender_deployment_tool.sh --connectivity-test

此测试可能需要一些时间才能运行，因为它会对 mdatp 所需的每个 URL 执行检查，并查找任何问题（如果存在）。 如果问题仍然存在，请参阅故障排除指南。

排查安装问题

每当运行 Defender 部署工具时，活动都会记录在此文件中：

/tmp/defender_deployment_tool.log

如果遇到任何安装问题，请先检查日志文件。 如果这不能帮助你解决问题，请尝试执行以下步骤：

1. 有关如何查找发生安装错误时自动生成的日志的信息，请参阅 日志安装问题。

2. 有关常见安装问题的信息，请参阅 安装问题。

3. 如果设备的运行状况为 false，请参阅 Defender for Endpoint 代理运行状况问题。

4. 有关产品性能问题，请参阅 排查性能问题。

5. 有关代理和连接问题，请参阅 排查云连接问题。

从通道部署后如何在通道之间切换

可以从以下通道之一部署 Linux 上的 Defender for Endpoint：

• insiders-fast
• insiders-slow
• 生产 ()

其中每个通道都对应于 Linux 软件存储库。 通道确定提供给设备的更新的类型和频率。 预览体验成员中的设备首先接收更新和新功能，然后是预览体验成员慢速，最后是 prod。

默认情况下，部署工具将设备配置为使用 prod 通道。 可以使用本文档中所述的配置选项从其他通道进行部署。

若要预览新功能并提供早期反馈，建议将企业中的某些设备配置为使用预览体验成员-快速或预览体验成员-慢速。 如果已从某个通道在 Linux 上部署了 Defender for Endpoint，并且想要从 prod 切换到预览体验成员（例如) ） (其他频道，则必须首先删除当前通道，然后删除当前通道存储库，最后从新通道安装 Defender，如以下示例所示， 其中，频道从预览体验成员快速更改为生产：

1. 删除 Linux 上 Defender for Endpoint 的预览体验成员快速频道版本。

   sudo ./defender_deployment_tool.sh --remove --channel insiders-fast
   

2. 删除 Linux 预览体验成员快速存储库上的 Defender for Endpoint。

   sudo ./defender_deployment_tool.sh --clean --channel insiders-fast
   

3. 使用生产通道在 Linux 上安装Microsoft Defender for Endpoint。

   sudo ./defender_deployment_tool.sh --channel prod
   

相关内容

• Linux 上Microsoft Defender for Endpoint的先决条件
• 启用将Microsoft Defender for Endpoint部署到自定义位置
• 使用基于安装程序脚本的部署在 Linux 上部署Microsoft Defender for Endpoint
• 使用 Ansible 在 Linux 上部署Microsoft Defender for Endpoint
• 通过 Chef 在 Linux 上部署 Defender for Endpoint
• 使用 Puppet 在 Linux 上部署Microsoft Defender for Endpoint
• 使用 Saltstack 在 Linux 上部署Microsoft Defender for Endpoint
• 在 Linux 上手动部署Microsoft Defender for Endpoint
• 使用黄金映像在 Linux 上部署Microsoft Defender for Endpoint
• 使用 Defender for Endpoint 将非Azure计算机连接到 Microsoft Defender for Cloud (使用 Defender for Cloud)
• Linux for SAP 上的Microsoft Defender for Endpoint部署指南