Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Einführung
Sie können Defender für Endpunkt auf Linux mithilfe verschiedener Tools und Methoden bereitstellen. In diesem Artikel wird beschrieben, wie Sie die Bereitstellung von Defender für Endpunkt auf Linux mithilfe eines Installationsskripts automatisieren. Dieses Skript identifiziert die Verteilung und Version, wählt das richtige Repository aus, richtet das Gerät ein, um die neueste Agent-Version zu pullen, und integriert das Gerät mithilfe des Onboardingpakets in Defender für Endpunkt. Diese Methode wird dringend empfohlen, um den Bereitstellungsprozess zu vereinfachen.
Informationen zur Verwendung einer anderen Methode finden Sie im Abschnitt Verwandte Inhalte.
Wichtig
Wenn Sie mehrere Sicherheitslösungen parallel ausführen möchten, lesen Sie Überlegungen zu Leistung, Konfiguration und Support.
Möglicherweise haben Sie bereits gegenseitige Sicherheitsausschlüsse für Geräte konfiguriert, die in Microsoft Defender for Endpoint integriert wurden. Wenn Sie weiterhin wechselseitige Ausschlüsse festlegen müssen, um Konflikte zu vermeiden, lesen Sie Fügen Sie Microsoft Defender for Endpoint zur Ausschlussliste für Ihre vorhandene Lösung hinzu.
Voraussetzungen und Systemanforderungen
Bevor Sie beginnen, finden Sie unter Voraussetzungen für Defender für Endpunkt auf Linux eine Beschreibung der Voraussetzungen und Systemanforderungen.
Tipp
Bevor Sie das Installationsskript ausführen, um Defender auf Ihrem Linux Server bereitzustellen, wird empfohlen, das Skript mit der Option auszuführen, die Mindestsystemanforderungen (Arbeitsspeicher, CPU, Speicherplatz, unterstütztes Betriebssystem) vor der --pre-req Bereitstellung zu überprüfen.
Bereitstellungsprozess
Laden Sie das Onboardingpaket aus Microsoft Defender Portal herunter, indem Sie die folgenden Schritte ausführen:
Erweitern Sie im Microsoft Defender-Portal den Abschnitt System, und wählen Sie Einstellungen>Endpunkte>Geräteverwaltung>Onboarding aus.
Wählen Sie im ersten Dropdownmenü Linux Server als Betriebssystem aus.
Wählen Sie im zweiten Dropdownmenü Lokales Skript als Bereitstellungsmethode aus.
Wählen Sie "Onboardingpaket herunterladen" aus. Speichern Sie die Datei als
WindowsDefenderATPOnboardingPackage.zip.Extrahieren Sie den Inhalt des Archivs über die Eingabeaufforderung:
unzip WindowsDefenderATPOnboardingPackage.zipArchive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.pyWarnung
Das Neuverpacken des Defender for Endpoint-Installationspakets wird nicht unterstützt. Dies kann sich negativ auf die Integrität des Produkts auswirken und zu negativen Ergebnissen führen, einschließlich, aber nicht beschränkt auf das Auslösen von Manipulationswarnungen und nicht angewendeten Updates.
Wichtig
Wenn Sie diesen Schritt verpassen, zeigt jeder ausgeführte Befehl eine Warnmeldung an, die darauf hinweist, dass das Produkt nicht lizenziert ist. Außerdem gibt der Befehl mdatp health den Wert false zurück.
Laden Sie das Bash-Skript des Installationsprogramms herunter, das in unserem öffentlichen GitHub-Repository bereitgestellt wird.
Erteilen Sie dem Installationsskript ausführbare Berechtigungen:
chmod +x mde_installer.shFühren Sie das Installationsskript aus, und geben Sie das Onboardingpaket als Parameter an, um den Agent zu installieren und das Gerät im Defender-Portal zu integrieren.
sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --pre-reqDieser Befehl stellt die neueste Agent-Version im Produktionskanal bereit, überprüft die Mindestsystemanforderungen (Arbeitsspeicher, CPU, Speicherplatz auf dem Datenträger, unterstütztes Betriebssystem) und integriert das Gerät in Defender Portal.
Darüber hinaus können Sie weitere Parameter basierend auf Ihren Anforderungen übergeben, um die Installation zu ändern. Suchen Sie in der Hilfe nach allen verfügbaren Optionen:
❯ ./mde_installer.sh --help mde_installer.sh v0.7.0 usage: basename ./mde_installer.sh [OPTIONS] Options: -c|--channel specify the channel (insiders-fast / insiders-slow / prod) from which to install. Default: prod -i|--install install the product -r|--remove uninstall the product -u|--upgrade upgrade the existing product to a newer version if available -l|--downgrade downgrade the existing product to an older version if available -o|--onboard <script> onboard MDE with the specified onboarding script -f|--offboard <script> offboard MDE with the specified offboarding script -p|--passive-mode set real-time protection to passive mode -a|--rtp-mode set real-time protection to active mode. Passive-mode and rtp-mode are mutually exclusive -t|--tag set a tag by declaring <name> and <value>, e.g.: -t GROUP Coders -q|--pre-req check minimum system requirements for MDE (memory, CPU, disk space, supported OS) without installing -x|--skip_conflict skip conflicting application verification -w|--clean remove MDE repository from the package manager for the specified channel -y|--yes assume yes for all mid-process prompts (default, deprecated) -n|--no disable the default assume-yes behavior for prompts -s|--verbose enable verbose output -v|--version print the script version -d|--debug enable debug mode --log-path <PATH> also log output to PATH --http-proxy <URL> set http proxy --https-proxy <URL> set https proxy --ftp-proxy <URL> set ftp proxy --mdatp <version> install a specific version of MDE; uses the latest if not provided --use-local-repo skip MDE repository setup and use the locally configured repository -b|--install-path <PATH> specify the installation and configuration path for MDE. Default: / -h|--help display help
| Szenario | Befehl |
|---|---|
| Unter einem benutzerdefinierten Pfad installieren | sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --pre-req --install-path /custom/path/location |
| Installieren einer bestimmten Agent-Version | sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --pre-req –-mdatp 101.24082.0004 |
| Upgrade auf die neueste Agent-Version | sudo ./mde_installer.sh --upgrade |
| Upgrade auf eine bestimmte Agent-Version | sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004 |
| Downgrade auf eine bestimmte Agent-Version | sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004 |
| Agent deinstallieren | sudo ./mde_installer.sh --remove |
| Nur Vorabüberprüfungen ausführen (keine Installation) | sudo ./mde_installer.sh --pre-req |
Weitere Informationen zur Installation unter einem benutzerdefinierten Pfad finden Sie unter: Defender for Endpoint unter Linux unter einem benutzerdefinierten Pfad installieren.
Hinweis
- Wenn Sie Ihr Betriebssystem nach der Produktinstallation auf eine neue Hauptversion aktualisieren, muss das Produkt neu installiert werden. Sie müssen den vorhandenen Defender für Endpunkt auf Linux deinstallieren, das Betriebssystem aktualisieren und Defender für Endpunkt dann auf Linux neu konfigurieren.
- Der Installationspfad kann nach der Installation von Defender für Endpunkt nicht mehr geändert werden. Wenn Sie einen anderen Pfad verwenden möchten, deinstallieren Sie das Produkt, und installieren Sie es am neuen Speicherort neu.
Bereitstellungsstatus überprüfen
Öffnen Sie im Microsoft Defender-Portal den Gerätebestand. Es kann 5 bis 20 Minuten dauern, bis das Gerät im Portal angezeigt wird.
Führen Sie einen Antiviren-Erkennungstest aus, um zu überprüfen, ob das Gerät ordnungsgemäß eingebunden ist und an den Dienst meldet. Führen Sie die folgenden Schritte auf dem neu eingebundenen Gerät durch:
Stellen Sie sicher, dass der Echtzeitschutz aktiviert ist (gekennzeichnet durch das Ergebnis der Ausführung des
truefolgenden Befehls):mdatp health --field real_time_protection_enabledWenn sie nicht aktiviert ist, führen Sie den folgenden Befehl aus:
mdatp config real-time-protection --value enabledÖffnen Sie ein Terminalfenster, und führen Sie den folgenden Befehl aus, um einen Erkennungstest auszuführen:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txtSie können weitere Erkennungstests für ZIP-Dateien ausführen, indem Sie einen der folgenden Befehle verwenden:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zipDie Dateien sollten von Defender für Endpunkt auf Linux unter Quarantäne gesetzt werden. Verwenden Sie den folgenden Befehl, um alle entdeckten Bedrohungen aufzulisten:
mdatp threat list
Führen Sie einen EDR-Erkennungstest aus, und simulieren Sie eine Erkennung, um zu überprüfen, ob das Gerät ordnungsgemäß integriert ist, und melden Sie es an den Dienst. Führen Sie die folgenden Schritte auf dem neu eingebundenen Gerät durch:
Laden Sie die Skriptdatei herunter, und extrahieren Sie sie auf einen integrierten Linux Server.
Erteilen Sie dem Skript ausführbare Berechtigungen:
chmod +x mde_linux_edr_diy.shFühren Sie den folgenden Befehl aus:
./mde_linux_edr_diy.shNach ein paar Minuten sollte eine Erkennung im Defender Portal ausgelöst werden.
Überprüfen Sie die Warnungsdetails, computer Zeitleiste, und führen Sie die typischen Untersuchungsschritte aus.
Microsoft Defender for Endpoint externe Paketabhängigkeiten
Wenn die Installation von Microsoft Defender for Endpoint aufgrund fehlender Abhängigkeiten fehlschlägt, können Sie die erforderlichen Abhängigkeiten manuell herunterladen.
Für das mdatp-Paket bestehen die folgenden externen Paketabhängigkeiten:
- Das Paket
mdatp RPMerfordert -glibc >= 2.17 - Für DEBIAN erfordert das
mdatpPaketlibc6 >= 2.23 - Für Mariner erfordert das
mdatp-Paketattr,diffutils,libacl,libattr,libselinux-utils,selinux-policy,policycoreutils
Hinweis
Ab Version 101.24082.0004unterstützt Defender für Endpunkt auf Linux den Auditd Ereignisanbieter nicht mehr. Wir sind dabei, vollständig auf die effizientere eBPF-Technologie umzusteigen.
Wenn eBPF auf Ihren Geräten nicht unterstützt wird oder wenn bestimmte Anforderungen bestehen, bei Auditd zu bleiben, und Ihre Geräte Defender for Endpoint unter Linux in Version 101.24072.0001 oder früher verwenden, bestehen für mdatp weitere Abhängigkeiten vom auditd-Paket.
Für version älter als 101.25032.0000:
- RPM-Paketanforderungen:
mde-netfilter,pcre - Debian-Paket benötigt:
mde-netfilter,libpcre3 - Das Paket
mde-netfilterverfügt außerdem über die folgenden Paketabhängigkeiten: - Für DEBIAN erfordert das Paket mde-netfilterlibnetfilter-queue1undlibglib2.0-0. - Für RPM erfordert das Paket mde-netfilterlibmnl,libnfnetlink,libnetfilter_queueundglib2. Ab Version101.25042.0003ist uuid-runtime nicht mehr als externe Abhängigkeit erforderlich.
Beheben von Installationsproblemen
Wenn Bei der Installation Probleme auftreten, führen Sie zur Selbstbehandlung die folgenden Schritte aus:
Informationen zum Suchen des Protokolls, das automatisch generiert wird, wenn ein Installationsfehler auftritt, finden Sie unter Protokollinstallationsprobleme.
Informationen zu häufigen Installationsproblemen finden Sie unter Installationsprobleme.
Wenn der Gerätezustand
falseist, siehe Probleme mit dem Zustand des Defender for Endpoint-Agents.Informationen zu Problemen mit der Produktleistung finden Sie unter Behandeln von Leistungsproblemen.
Informationen zu Proxy- und Konnektivitätsproblemen finden Sie unter Behandeln von Problemen mit der Cloudkonnektivität.
Um Support von Microsoft zu erhalten, öffnen Sie ein Supportticket, und stellen Sie die Protokolldateien bereit, die mit dem Clientanalysetool erstellt wurden.
So wechseln Sie zwischen Kanälen
Gehen Sie beispielsweise wie folgt vor, um den Kanal von Insiders-Fast in Produktion zu ändern:
Deinstallieren Sie die
Insiders-Fast channelVersion von Defender für Endpunkt auf Linux.sudo yum remove mdatpDeaktivieren Sie den Defender for Endpoint im Repository „Linux Insiders-Fast“.
sudo yum repolistHinweis
Die Ausgabe sollte
packages-microsoft-com-fast-prodanzeigen.sudo yum-config-manager --disable packages-microsoft-com-fast-prodStellen Sie Microsoft Defender for Endpoint auf Linux mithilfe des Produktionskanals erneut bereit.
Defender für Endpunkt auf Linux kann über einen der folgenden Kanäle bereitgestellt werden (bezeichnet als [Kanal]):
insiders-fastinsiders-slowprod
Jeder dieser Kanäle entspricht einem Linux Softwarerepository. In den Anweisungen in diesem Artikel wird beschrieben, wie Sie Ihr Gerät für die Verwendung eines dieser Repositorys konfigurieren.
Die Wahl des Kanals bestimmt den Typ und die Häufigkeit der Updates, die Ihrem Gerät angeboten werden. Geräte in insiders-fast erhalten als erste Updates und neue Funktionen, anschließend folgen insiders-slow und schließlich prod.
Um neue Funktionen vorab zu testen und frühzeitig Feedback zu geben, empfiehlt es sich, einige Geräte in Ihrem Unternehmen so zu konfigurieren, dass sie entweder insiders-fast oder insiders-slow verwenden.
Warnung
Wenn Sie den Kanal nach der Erstinstallation wechseln, muss das Produkt neu installiert werden. Um den Produktkanal zu wechseln: Deinstallieren Sie das vorhandene Paket, konfigurieren Sie Ihr Gerät neu, um den neuen Kanal zu verwenden, und führen Sie die Schritte in diesem Dokument aus, um das Paket am neuen Speicherort zu installieren.
Konfigurieren von Richtlinien für Microsoft Defender in Linux
Informationen zum Konfigurieren von Antiviren- und EDR-Einstellungen finden Sie in den folgenden Artikeln:
- Die Defender für Endpunkt-Sicherheitseinstellungenverwaltung beschreibt, wie Einstellungen im Microsoft Defender-Portal konfiguriert werden. (Diese Methode wird empfohlen.)
- Festlegen von Einstellungen für Defender for Endpoint unter Linux beschreibt die Einstellungen, die Sie konfigurieren können.
Verwandte Inhalte
- Voraussetzungen für Microsoft Defender for Endpoint auf Linux
- Bereitstellen von Defender für Endpunkt auf Linux mit Ansible
- Defender for Endpoint auf Linux mit Chef bereitstellen
- Defender for Endpoint unter Linux mit Puppet bereitstellen
- Bereitstellen von Defender for Endpoint unter Linux mit SaltStack
- Manuelles Bereitstellen von Defender für Endpunkt auf Linux
- Verbinden Sie Ihre Nicht-Azure-Computer mit Microsoft Defender for Cloud über Defender for Endpoint (direktes Onboarding mit Defender for Cloud)
- Bereitstellungsleitfaden für Defender for Endpoint unter Linux für SAP
- Installieren von Defender für Endpunkt auf Linux in einem benutzerdefinierten Pfad