Distribuera Microsoft Defender för Endpoint på Linux manuellt

Du kan distribuera Defender för Endpoint på Linux med hjälp av olika verktyg och metoder. Den här artikeln beskriver hur du distribuerar Defender för Endpoint på Linux manuellt. Om du vill använda en annan metod läser du avsnittet Relaterat innehåll.

Obs!

Vi rekommenderar starkt att du använder distributionsmetoden Defender Deployment Tool eftersom den förenklar registreringsprocessen, minskar manuella uppgifter och stöder en mängd olika distributionsscenarier, inklusive nya installationer, uppgraderingar och avinstallationer. Mer information finns i dokumentationen.

Viktigt

Om du vill köra flera säkerhetslösningar sida vid sida kan du läsa Överväganden för prestanda, konfiguration och support.

Du kanske redan har konfigurerat ömsesidiga säkerhetsundantag för enheter som registrerats för Microsoft Defender för Endpoint. Om du fortfarande behöver ange ömsesidiga undantag för att undvika konflikter kan du läsa Lägga till Microsoft Defender för Endpoint i undantagslistan för din befintliga lösning.

Steg för manuell driftsättning

En lyckad distribution kräver att alla följande uppgifter slutförs:

Krav och systemkrav

Innan du börjar kan du läsa Krav för Defender för Endpoint på Linux för en beskrivning av krav och systemkrav för den aktuella programvaruversionen.

Varning

Om du uppgraderar operativsystemet till en ny huvudversion efter produktinstallationen måste produkten installeras om. Du måste avinstallera den befintliga Defender för Endpoint i Linux program, uppgradera operativsystemet och sedan konfigurera om Defender för Endpoint på Linux följa stegen i den här artikeln.

Konfigurera Linux-programvarulagringsplatsen

Defender för Endpoint på Linux kan distribueras från någon av följande kanaler (betecknas som [kanal]): insiders-fast, insiders-slow eller prod. Var och en av dessa kanaler motsvarar en Linux programvarulagringsplats. Anvisningarna i den här artikeln beskriver hur du konfigurerar enheten så att den använder någon av dessa lagringsplatser.

Valet av kanal avgör typ och frekvens för uppdateringar som erbjuds till din enhet. Enheter i insiders-fast är de första som får uppdateringar och nya funktioner, därefter kommer insiders-slow och slutligen prod.

För att kunna förhandsgranska nya funktioner och ge tidig feedback rekommenderar vi att du konfigurerar vissa enheter i företaget för att använda insiders-fast eller insiders-slow.

Varning

Om du byter kanal efter den första installationen måste produkten installeras om. Så här växlar du produktkanalen: avinstallera det befintliga paketet, konfigurera om enheten så att den använder den nya kanalen och följ stegen i det här dokumentet för att installera paketet från den nya platsen.

RHEL och varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky och Alma)

Du kan använda antingen dnf pakethanteraren eller yum för att distribuera Defender för Endpoint på Linux på RHEL och dess varianter. Anvisningarna i följande avsnitt innehåller kommandon för båda pakethanterarna; använd bara den relevanta.

  1. Installera antingen dnf-plugins-core eller yum-utils om den du vill använda inte är installerad än:

    sudo dnf install dnf-plugins-core
    

    eller

    sudo yum install yum-utils
    
  2. Leta rätt paket för distributionen och versionen. Använd följande tabell för att hjälpa dig att hitta paketet:

    Distro & version Paket
    Alma 8.4 och senare https://packages.microsoft.com/config/alma/8/prod.repo
    Alma 9.2 och senare https://packages.microsoft.com/config/alma/9/prod.repo
    RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo
    RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo
    RHEL/Centos/Oracle 7.2-7.9 https://packages.microsoft.com/config/rhel/7.2/prod.repo
    Amazon Linux 2 https://packages.microsoft.com/config/amazonlinux/2/prod.repo
    Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
    Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo
    Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo
    Rocky 8,7 och högre https://packages.microsoft.com/config/rocky/8/prod.repo
    Rocky 9,2 och högre https://packages.microsoft.com/config/rocky/9/prod.repo

    Obs!

    För distributionen och versionen identifierar du den närmaste posten för den (efter huvudnamn och sedan del) under https://packages.microsoft.com/config/rhel/.

    Tips

    Online-kernelkorrigeringsverktyg, till exempel Ksplice eller liknande, kan leda till oförutsägbar OS-stabilitet om Defender för Endpoint körs. Vi rekommenderar att du tillfälligt stoppar Daemon för Defender för Endpoint innan du utför kernelkorrigering online. När kerneln har uppdaterats kan Defender för Endpoint på Linux startas om på ett säkert sätt. Den här åtgärden är särskilt viktig för system som kör Oracle Linux.

  3. Ersätt [version] och [kanal] med den information som du har identifierat i följande kommandon:

    sudo dnf config-manager --add-repo https://packages.microsoft.com/config/rhel/[version]/[channel].repo
    

    eller

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
    

    Tips

    Använd hostnamectl-kommandot för att identifiera systemrelaterad information, inklusive versionen [version].

    Om du till exempel kör CentOS 8 och vill distribuera Defender för Endpoint på Linux från prod kanalen:

    sudo dnf config-manager --add-repo https://packages.microsoft.com/config/rhel/8/prod.repo
    

    eller

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/prod.repo
    

    Eller, om du vill utforska nya funktioner på utvalda enheter, kanske du vill distribuera Defender för Endpoint på Linux till kanalen insiders-fast:

    sudo dnf config-manager --add-repo https://packages.microsoft.com/config/rhel/8/insiders-fast.repo
    

    eller

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/insiders-fast.repo
    
  4. Installera den offentliga Microsoft GPG-nyckeln:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
    

SLES och varianter

Obs!

För din distribution och version identifierar du den post som ligger närmast för den under https://packages.microsoft.com/config/sles/ (utifrån huvudversion och sedan delversion).

  1. Ersätt [distro] och [version] med den information som du har identifierat i följande kommandon:

    sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
    

    Tips

    Använd SPident-kommandot för att identifiera systemrelaterad information, inklusive version [version].

    Om du till exempel kör SLES 12 och vill distribuera Defender för Endpoint på Linux från prod kanalen:

    sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
    
  2. Installera den offentliga Microsoft GPG-nyckeln:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
    

Ubuntu- och Debiansystem

  1. Installera curl om den inte är installerad än:

    sudo apt install curl
    
  2. Installera libplist-utils om den inte är installerad än:

    sudo apt install libplist-utils
    

    Obs!

    För din distribution och version identifierar du den post som ligger närmast (efter huvudversion och sedan delversion) under https://packages.microsoft.com/config/[distro]/.

  3. I följande kommando ersätter du [distro] och [version] med den information som du har identifierat:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
    

    Tips

    Använd hostnamectl-kommandot för att identifiera systemrelaterad information, inklusive versionen [version].

    Om du till exempel kör Ubuntu 18.04 och vill distribuera Defender för Endpoint på Linux från prod kanalen:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
    
  4. Installera lagringsplatsens konfiguration:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
    

    Om du till exempel väljer prod kanal:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
    
  5. Installera paketet om det gpg inte redan är installerat:

    sudo apt install gpg
    

    Om gpg inte är tillgängligt, installera gnupg.

    sudo apt install gnupg
    
  6. Installera den offentliga Microsoft GPG-nyckeln:

    • Kör följande kommandon för Debian 11/Ubuntu 22.04 och tidigare.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
      sudo chmod o+r /etc/apt/trusted.gpg.d/microsoft.gpg
      
    • Kör följande kommandon för Debian 12, Ubuntu 24.04 och senare.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
      sudo chmod o+r /usr/share/keyrings/microsoft-prod.gpg
      
    • Kör följande kommandon för Debian 13 och senare.

      curl -sSL https://packages.microsoft.com/keys/microsoft-2025.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
      sudo chmod o+r /usr/share/keyrings/microsoft-prod.gpg
      
  7. Installera HTTPS-drivrutinen om den inte redan är installerad:

    sudo apt install apt-transport-https
    
  8. Uppdatera lagringsplatsens metadata:

    sudo apt update
    

Mariner

  1. Installera dnf-plugins-core om den inte är installerad än:

    sudo dnf install dnf-plugins-core
    
  2. Konfigurera och aktivera de lagringsplatser som krävs.

    Obs!

    Insider Fast Channel är inte tillgängligt på Mariner.

    Om du vill distribuera Defender för Endpoint på Linux från prod kanalen. Använd följande kommandon

    sudo dnf install mariner-repos-extras
    sudo dnf config-manager --enable mariner-official-extras
    

    Eller om du vill utforska nya funktioner på valda enheter kanske du vill distribuera Defender för Endpoint på Linux till kanalen insiders-slow. Använd följande kommandon:

    sudo dnf install mariner-repos-extras-preview
    sudo dnf config-manager --enable mariner-official-extras-preview
    

Konfiguration före installation för installation på anpassad plats

De här stegen gäller endast om Defender ska installeras på en anpassad plats. Detaljerade anvisningar om hur du installerar Microsoft Defender för Endpoint på en anpassad plats finns i Manuell installation: förinstallationskonfiguration.

Mer information om hur du installerar på en anpassad plats finns i Aktivera distribution av Defender för Endpoint på Linux till en anpassad plats.

Installation av applikation

Använd kommandona i följande avsnitt för att installera Defender för Endpoint på din Linux-distribution.

RHEL och varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky och Alma)

sudo dnf install mdatp

eller

sudo yum install mdatp

Obs!

Om du har flera Microsoft-lagringsplatser konfigurerade på din enhet kan du vara specifik om vilken lagringsplats du vill installera paketet från. I följande exempel visas hur du installerar paketet från production kanalen om du också har insiders-fast konfigurerat lagringsplatskanalen på den här enheten. Den här situationen kan inträffa om du använder flera Microsoft-produkter på din enhet. Beroende på distributionen och versionen av servern kan lagringsplatsens alias skilja sig från det i följande exempel.

# list all repositories
sudo dnf repolist

eller

# list all repositories
sudo yum repolist
...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

Du kan till exempel installera paketet från produktionslagringsplatsen:

sudo dnf --enablerepo=packages-microsoft-com-prod install mdatp

eller

sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES och varianter

sudo zypper install mdatp

Obs!

Om du har flera Microsoft-lagringsplatser konfigurerade på din enhet kan du vara specifik om vilken lagringsplats du vill installera paketet från. I följande exempel visas hur du installerar paketet från production kanalen om du också har insiders-fast konfigurerat lagringsplatskanalen på den här enheten. Den här situationen kan inträffa om du använder flera Microsoft-produkter på din enhet.

zypper repos
...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu- och Debiansystem

sudo apt install mdatp

Obs!

Om du har flera Microsoft-lagringsplatser konfigurerade på din enhet kan du vara specifik om vilken lagringsplats du vill installera paketet från. I följande exempel visas hur du installerar paketet från production kanalen om du också har insiders-fast konfigurerat lagringsplatskanalen på den här enheten. Den här situationen kan inträffa om du använder flera Microsoft-produkter på din enhet.

Versionsnummer och versionskodnamn i följande kodfragment är exempel. Använd det faktiska versionskodnamnet som bash-kommandot returnerar.

cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp

Obs!

Omstarter krävs INTE efter installation eller uppdatering av Microsoft Defender för Endpoint på Linux förutom när du kör auditD i oföränderligt läge.

Mariner

sudo dnf install mdatp

Obs!

Om du har flera Microsoft-lagringsplatser konfigurerade på din enhet kan du vara specifik om vilken lagringsplats du vill installera paketet från. I följande exempel visas hur du installerar paketet från production kanalen om du också har insiders-slow konfigurerat lagringsplatskanalen på den här enheten. Den här situationen kan inträffa om du använder flera Microsoft-produkter på din enhet.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Ladda ned onboarding-paketet

Ladda ned registreringspaketet från Microsoft Defender-portalen.

Varning

Att paketera om installationspaketet för Defender för Endpoint är inte ett scenario som stöds. Detta kan påverka produktens integritet negativt och leda till negativa resultat, inklusive men inte begränsat till att utlösa manipuleringsaviseringar och uppdateringar som inte kan tillämpas.

Viktigt

Om du missar det här steget visar alla kommandon som körs ett varningsmeddelande som anger att produkten är olicensierad. mdatp health Kommandot returnerar också värdet false.

  1. I Microsoft Defender-portalen går du till Systeminställningar>>Slutpunkter>Enhetshantering>Registrering.

  2. I den första nedrullningsbara menyn väljer du Linux Server som operativsystem. I den andra nedrullningsbara menyn väljer du Lokalt skript som distributionsmetod.

  3. Välj Ladda ned registreringspaket. Spara filen som WindowsDefenderATPOnboardingPackage.zip.

  4. I kommandotolken kontrollerar du att filen finns och extraherar arkivets innehåll:

    ls -l
    
    total 8
    -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
    
    unzip WindowsDefenderATPOnboardingPackage.zip
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
    

Klientkonfiguration

  1. Kopiera MicrosoftDefenderATPOnboardingLinuxServer.py till målenheten.

    Obs!

    Inledningsvis är klientenheten inte associerad med en organisation och orgId-attributet är tomt.

    mdatp health --field org_id
    
  2. Kör något av följande kommandon, beroende på ditt scenario:

    Obs!

    Om du vill köra det här kommandot måste du ha python eller python3 installerat på enheten beroende på distribution och version. Om det behövs kan du läsa Stegvisa instruktioner för att installera Python på Linux.

    Om du kör RHEL 8.x eller Ubuntu 20.04 eller senare måste du använda python3. Kör följande kommando:

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
    

    För andra distributioner och versioner måste du använda python. Kör följande kommando:

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
    
  3. Kontrollera att enheten nu är associerad med din organisation och rapporterar en giltig organisationsidentifierare:

    mdatp health --field org_id
    
  4. Kontrollera produktens hälsostatus genom att köra följande kommando. Ett returvärde true för anger att produkten fungerar som förväntat:

    mdatp health --field healthy
    

    Viktigt

    När produkten startas för första gången hämtar den de senaste definitionerna för skydd mot skadlig kod. Den här processen kan ta upp till några minuter beroende på nätverksanslutningen. Under den här tiden returnerar kommandot som nämndes tidigare värdet false. Du kan kontrollera statusen för definitionsuppdateringen med hjälp av följande kommando:

    mdatp health --field definitions_status
    

    Du kan också behöva konfigurera en proxy när du har slutfört den första installationen. Se Konfigurera Defender för Endpoint på Linux för identifiering av statisk proxy: Konfiguration efter installation.

  5. Kör ett antivirusidentifieringstest för att kontrollera att enheten är korrekt registrerad och rapportera till tjänsten. Utför följande steg på den nyligen registrerade enheten:

    1. Kontrollera att realtidsskyddet är aktiverat (vilket indikeras av resultatet true när du kör följande kommando):

      mdatp health --field real_time_protection_enabled
      

      Om den inte är aktiverad kör du följande kommando:

      mdatp config real-time-protection --value enabled
      
    2. Om du vill köra ett identifieringstest öppnar du ett terminalfönster och kör sedan följande kommando:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      
    3. Du kan köra fler identifieringstester på zip-filer med något av följande kommandon:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

      Filerna ska placeras i karantän av Defender för Endpoint på Linux.

    4. Använd följande kommando för att lista alla identifierade hot:

      mdatp threat list
      
  6. Kör ett EDR-identifieringstest och simulera en identifiering för att verifiera att enheten är korrekt registrerad och rapporterar till tjänsten. Utför följande steg på den nyligen registrerade enheten:

    1. Kontrollera att den registrerade Linux-servern visas i Defender-portalen. Om det här är första gången datorn ansluts kan det ta upp till 20 minuter innan den visas.

    2. Ladda ned och extrahera skriptfilen till en registrerad Linux server och kör sedan följande kommando:./mde_linux_edr_diy.sh

      Efter några minuter bör en upptäckt genereras i Microsoft Defender XDR.

    3. Titta på aviseringsinformationen, datorns tidslinje och utför vanliga undersökningssteg.

Programvarukrav

Mer information finns i Programvarukrav.

Felsöka installationsproblem

Om du får problem med installationen följer du dessa steg för självfelsökning:

  1. Information om hur du hittar loggen som genereras automatiskt när ett installationsfel inträffar finns i Problem med logginstallation.

  2. Information om vanliga installationsproblem finns i Installationsproblem.

  3. Om enhetens hälsostatus är false, se Hälsoproblem för Defender för Endpoint-agenten.

  4. Information om problem med produktprestanda finns i Felsöka prestandaproblem.

  5. Information om proxy- och anslutningsproblem finns i Felsöka problem med molnanslutning.

Om du vill få support från Microsoft öppnar du ett supportärende och anger loggfilerna som skapats med hjälp av klientanalyseraren.

Växla mellan kanaler

Om du till exempel vill ändra kanal från Insiders-Fast till Produktion gör du följande:

  1. Avinstallera versionen Insiders-Fast channel av Defender för Endpoint på Linux.

    sudo dnf remove mdatp
    

    eller

    sudo yum remove mdatp
    
  2. Inaktivera Defender för Endpoint på Linux Insiders-Fast kanal

    sudo dnf config-manager --disable packages-microsoft-com-fast-prod
    

    eller

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod
    
  3. Installera om Microsoft Defender för Endpoint på Linux med Production channel, och anslut enheten i Microsoft Defender-portalen.

Konfigurera principer för Defender för Endpoint på Linux

Information om hur du konfigurerar inställningar för antivirus och EDR finns i följande artiklar:

Avinstallera Defender för Endpoint på Linux

Kör följande kommando för din Linux-distribution för manuell avinstallation.

  • sudo dnf remove mdatpeller sudo yum remove mdatp (beroende på din pakethanterare) för RHEL och varianter (CentOS och Oracle Linux).
  • sudo zypper remove mdatp för SLES och varianter.
  • sudo apt purge mdatp för Ubuntu- och Debiansystem.
  • sudo dnf remove mdatp för Mariner

Tips

Vill du veta mer? Delta i Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.