Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Introdução
Pode implementar o Defender para Endpoint no Linux com várias ferramentas e métodos. Este artigo descreve como automatizar a implementação do Defender para Endpoint no Linux através de um script do instalador. Este script identifica a distribuição e a versão, seleciona o repositório correto, configura o dispositivo para solicitar a versão mais recente do agente e integra o dispositivo no Defender para Ponto Final com o pacote de integração. Este método é altamente recomendado para simplificar o processo de implementação.
Para utilizar outro método, consulte a secção Conteúdo relacionado.
Importante
Se quiser executar várias soluções de segurança lado a lado, veja Considerações sobre desempenho, configuração e suporte.
Talvez você já tenha configurado exclusões mútuas de segurança para dispositivos integrados ao Microsoft Defender para Ponto de Extremidade. Se você ainda precisar definir exclusões mútuas para evitar conflitos, consulte Adicionar o Microsoft Defender para Ponto de Extremidade à lista de exclusões da sua solução existente.
Pré-requisitos e requisitos de sistema
Antes de começar, consulte Pré-requisitos do Defender para Endpoint no Linux para obter uma descrição dos pré-requisitos e requisitos de sistema.
Dica
Antes de executar o script do instalador para implementar o Defender no servidor Linux, recomenda-se que execute o script com a opção --pre-req de marcar requisitos mínimos de sistema (memória, CPU, espaço em disco, SO suportado) antes da implementação.
Processo de implantação
Baixe o pacote de integração no portal do Microsoft Defender seguindo estas etapas:
No portal do Microsoft Defender, expanda a seção Sistema e selecione Configurações>Endpoints>Gerenciamento de dispositivos>Integração.
No primeiro menu suspenso, selecione Linux Server como o sistema operacional.
No segundo menu pendente, selecione Script Local como método de implementação.
Selecione Baixar pacote de integração. Guarde o ficheiro como
WindowsDefenderATPOnboardingPackage.zip.Numa linha de comandos, extraia os conteúdos do arquivo:
unzip WindowsDefenderATPOnboardingPackage.zipArchive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.pyAviso
Reembalar o pacote de instalação do Defender para Endpoint não é um cenário suportado. Fazê-lo pode afetar negativamente a integridade do produto e levar a resultados adversos, incluindo, mas não se limitando a acionar alertas de adulteração e atualizações que não se aplicam.
Importante
Se perder este passo, qualquer comando executado mostra uma mensagem de aviso a indicar que o produto não está licenciado. Além disso, o comando de estado de funcionamento mdatp devolve um valor falso.
Baixe o script de instalação em bash disponibilizado em nosso repositório público no GitHub.
Conceda permissões executáveis ao script do instalador:
chmod +x mde_installer.shExecute o script do instalador e forneça o pacote de inclusão como um parâmetro para instalar o agente e integrar o dispositivo no portal do Defender.
sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --pre-reqEste comando implementa a versão mais recente do agente no canal de produção, verifica os requisitos mínimos de sistema (memória, CPU, espaço em disco, SO suportado) e integra o dispositivo no Portal do Defender.
Além disso, pode transmitir mais parâmetros com base nos seus requisitos para modificar a instalação. Consulte a ajuda para todas as opções disponíveis:
❯ ./mde_installer.sh --help mde_installer.sh v0.7.0 usage: basename ./mde_installer.sh [OPTIONS] Options: -c|--channel specify the channel (insiders-fast / insiders-slow / prod) from which to install. Default: prod -i|--install install the product -r|--remove uninstall the product -u|--upgrade upgrade the existing product to a newer version if available -l|--downgrade downgrade the existing product to an older version if available -o|--onboard <script> onboard MDE with the specified onboarding script -f|--offboard <script> offboard MDE with the specified offboarding script -p|--passive-mode set real-time protection to passive mode -a|--rtp-mode set real-time protection to active mode. Passive-mode and rtp-mode are mutually exclusive -t|--tag set a tag by declaring <name> and <value>, e.g.: -t GROUP Coders -q|--pre-req check minimum system requirements for MDE (memory, CPU, disk space, supported OS) without installing -x|--skip_conflict skip conflicting application verification -w|--clean remove MDE repository from the package manager for the specified channel -y|--yes assume yes for all mid-process prompts (default, deprecated) -n|--no disable the default assume-yes behavior for prompts -s|--verbose enable verbose output -v|--version print the script version -d|--debug enable debug mode --log-path <PATH> also log output to PATH --http-proxy <URL> set http proxy --https-proxy <URL> set https proxy --ftp-proxy <URL> set ftp proxy --mdatp <version> install a specific version of MDE; uses the latest if not provided --use-local-repo skip MDE repository setup and use the locally configured repository -b|--install-path <PATH> specify the installation and configuration path for MDE. Default: / -h|--help display help
| Cenário | Comando |
|---|---|
| Instalar numa localização de caminho personalizado | sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --pre-req --install-path /custom/path/location |
| Instalar uma versão específica do agente | sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --pre-req –-mdatp 101.24082.0004 |
| Atualizar para a versão mais recente do agente | sudo ./mde_installer.sh --upgrade |
| Atualizar para uma versão específica do agente | sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004 |
| Fazer downgrade para uma versão específica do agente | sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004 |
| Desinstalar agente | sudo ./mde_installer.sh --remove |
| Executar apenas verificações de pré-requisitos (sem instalação) | sudo ./mde_installer.sh --pre-req |
Para obter detalhes sobre como instalar num caminho personalizado, consulte: Instalar o Defender para Endpoint no Linux para um caminho personalizado.
Observação
- Atualizar o sistema operativo para uma nova versão principal após a instalação do produto requer que o produto seja reinstalado. Tem de desinstalar o Defender para Endpoint existente no Linux, atualizar o sistema operativo e, em seguida, reconfigurar o Defender para Endpoint no Linux.
- O caminho de instalação não pode ser alterado após a instalação do Defender para Endpoint. Para utilizar um caminho diferente, desinstale e reinstale o produto na nova localização.
Verificar status de implementação
No portal Microsoft Defender, abra o inventário de dispositivos. O dispositivo pode demorar entre 5 a 20 minutos a aparecer no portal.
Execute um teste de detecção do antivírus para verificar se o dispositivo está corretamente integrado e reportando ao serviço. Execute os seguintes passos no dispositivo recentemente integrado:
Certifique-se de que a proteção em tempo real esteja ativada (conforme indicado por um resultado de
trueao executar o seguinte comando):mdatp health --field real_time_protection_enabledSe não estiver ativado, execute o seguinte comando:
mdatp config real-time-protection --value enabledAbra uma janela do Terminal e execute o seguinte comando para executar um teste de deteção:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txtPode executar mais testes de deteção em ficheiros zip com um dos seguintes comandos:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zipOs ficheiros devem ser colocados em quarentena pelo Defender para Endpoint no Linux. Utilize o seguinte comando para listar todas as ameaças detetadas:
mdatp threat list
Execute um teste de detecção de EDR e simule uma detecção para verificar se o dispositivo está integrado corretamente e reportando ao serviço. Execute os seguintes passos no dispositivo recentemente integrado:
Transfira e extraia o ficheiro de script para um servidor Linux integrado.
Conceda permissões executáveis ao script:
chmod +x mde_linux_edr_diy.shExecute o seguinte comando:
./mde_linux_edr_diy.shApós alguns minutos, uma detecção deve ser gerada no portal Defender.
Verifique os detalhes do alerta, a linha do tempo do computador e siga as etapas típicas da sua investigação.
Dependências externas do pacote do Microsoft Defender para Endpoint
Se a instalação do Microsoft Defender para Endpoint falhar devido a erros de dependências ausentes, você pode baixar manualmente as dependências necessárias.
Existem as seguintes dependências de pacotes externos para o mdatp pacote:
- O
mdatp RPMpacote requer -glibc >= 2.17 - Para DEBIAN, o
mdatppacote requerlibc6 >= 2.23 - Para o Mariner, o
mdatppacote requerattr,diffutils,libacl,libattr,libselinux-utils,selinux-policy,policycoreutils
Observação
A partir da versão 101.24082.0004, o Defender para Endpoint no Linux já não suporta o Auditd fornecedor de eventos. Estamos a transitar completamente para a tecnologia eBPF mais eficiente.
Se eBPF não for suportado nos computadores ou se existirem requisitos específicos para permanecer no Auditde os computadores estiverem a utilizar o Defender para Endpoint na versão 101.24072.0001 Linux ou anterior, existem outras dependências no pacote auditado para mdatp.
Para a versão anterior a 101.25032.0000:
- O pacote RPM precisa:
mde-netfilter,pcre - O pacote DEBIAN precisa:
mde-netfilter,libpcre3 - O
mde-netfilterpacote também tem as seguintes dependências de pacote: – para o DEBIAN, o pacote mde-netfilter requerlibnetfilter-queue1elibglib2.0-0– para o RPM, o pacote mde-netfilter requerlibmnl,libnfnetlink,libnetfilter_queueeglib2A partir da versão101.25042.0003, o uuid-runtime já não é necessário como dependência externa.
Solucionar problemas de instalação
Se tiver problemas de instalação, para resolução automática de problemas, siga estes passos:
Para obter informações sobre como localizar o registo gerado automaticamente quando ocorre um erro de instalação, veja Problemas de instalação de registos.
Para obter informações sobre problemas comuns de instalação, veja Problemas de instalação.
Se a integridade do dispositivo for
false, consulte Problemas de integridade do agente do Defender for Endpoint.Para problemas de desempenho do produto, veja Resolver problemas de desempenho.
Para problemas de proxy e conectividade, veja Resolver problemas de conectividade da cloud.
Para obter suporte da Microsoft, abra um pedido de suporte e forneça os ficheiros de registo criados com o analisador de cliente.
Como alternar entre canais
Por exemplo, para alterar o canal de Insiders-Fast para Produção, faça o seguinte:
Desinstale a
Insiders-Fast channelversão do Defender para Endpoint no Linux.sudo yum remove mdatpDesative o Defender para Endpoint no repositório Linux Insiders-Fast.
sudo yum repolistObservação
O resultado deve mostrar
packages-microsoft-com-fast-prod.sudo yum-config-manager --disable packages-microsoft-com-fast-prodReimplante o Microsoft Defender para Endpoint no Linux usando o canal de Produção.
O Defender para Endpoint no Linux pode ser implementado a partir de um dos seguintes canais (indicado como [canal]):
insiders-fastinsiders-slowprod
Cada um destes canais corresponde a um Linux repositório de software. As instruções neste artigo descrevem a configuração do dispositivo para utilizar um destes repositórios.
A escolha do canal determina o tipo e a frequência das atualizações que são oferecidas ao seu dispositivo. Os dispositivos em insiders-fast são os primeiros a receber atualizações e novos recursos, seguidos posteriormente pelos dispositivos em insiders-slow e, por último, pelos dispositivos em prod.
Para visualizar previamente novos recursos e fornecer feedback inicial, recomenda-se que você configure alguns dispositivos em sua empresa para usar insiders-fast ou insiders-slow.
Aviso
Mudar o canal após a instalação inicial requer que o produto seja reinstalado. Para mudar o canal de produto: desinstale o pacote existente, reconfigure o seu dispositivo para utilizar o novo canal e siga os passos neste documento para instalar o pacote a partir da nova localização.
Como configurar políticas para Microsoft Defender no Linux
Para configurar as definições de antivírus e EDR, veja os seguintes artigos:
- Gerenciamento de configurações de segurança do Defender para Endpoint descreve como configurar as configurações no portal do Microsoft Defender. (Este método é recomendado.)
- Definir preferências para o Defender para Endpoint no Linux descreve as definições que pode configurar.
Conteúdo relacionado
- Pré-requisitos para o Microsoft Defender para Ponto de Extremidade no Linux
- Implementar o Defender para Endpoint no Linux com o Ansible
- Implante o Defender para Endpoint no Linux com o Chef
- Implementar o Defender para Endpoint no Linux com o Puppet
- Implementar o Defender para Endpoint no Linux com o Saltstack
- Implementar o Defender para Endpoint no Linux manualmente
- Conecte suas máquinas não Azure ao Microsoft Defender para Nuvem com o Defender para Endpoint (integração direta usando o Defender para Nuvem)
- Orientações de implementação do Defender para Endpoint no Linux para SAP
- Instalar o Defender for Endpoint no Linux em um caminho personalizado