简介
可以使用各种工具和方法在 Linux 上部署 Defender for Endpoint。 本文介绍如何使用安装程序脚本在 Linux 上自动部署 Defender for Endpoint。 此脚本标识分发和版本,选择正确的存储库,设置设备以拉取最新的代理版本,并使用载入包将设备载入到 Defender for Endpoint。 强烈建议使用此方法来简化部署过程。
若要使用其他方法,请参阅 相关内容部分。
重要
如果要并行运行多个安全解决方案,请参阅 性能、配置和支持注意事项。
你可能已为已加入 Microsoft Defender for Endpoint 的设备配置了相互安全性排除项。 如果仍需要设置相互排除以避免冲突,请参阅将Microsoft Defender for Endpoint添加到现有解决方案的排除列表。
先决条件和系统要求
在开始之前,请参阅 Linux 上的 Defender for Endpoint 先决条件,了解先决条件和系统要求。
提示
在运行安装程序脚本以在 Linux 服务器上部署 Defender 之前,建议在部署前使用选项运行脚本--pre-req,以检查最低系统要求 (内存、CPU、磁盘空间和支持的 OS) 。
部署过程
按照以下步骤从 Microsoft Defender 门户下载载入包:
在Microsoft Defender门户中,展开“系统”部分,然后选择“设置>终结点>设备管理>载入”。
在第一个下拉菜单中,选择“Linux服务器”作为操作系统。
在第二个下拉菜单中,选择“ 本地脚本 ”作为部署方法。
选择“下载载入包”。 将文件另存为
WindowsDefenderATPOnboardingPackage.zip。在命令提示符下,提取存档的内容:
unzip WindowsDefenderATPOnboardingPackage.zipArchive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py警告
重新打包 Defender for Endpoint 安装程序包是不受支持的方案。 这样做可能会对产品的完整性产生负面影响,并导致不良结果,包括但不限于触发篡改警报和无法应用的更新。
重要
如果错过此步骤,执行的任何命令都将显示一条警告消息,指示产品未授权。 此外,mdatp health 命令返回值为 false。
下载公共 GitHub 存储库中提供的安装程序 bash 脚本。
向安装程序脚本授予可执行权限:
chmod +x mde_installer.sh执行安装程序脚本并提供载入包作为参数,以安装代理并将设备加入 Defender 门户。
sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --pre-req此命令将最新的代理版本部署到生产通道,检查最低系统要求 (内存、CPU、磁盘空间、支持的 OS) ,并将设备载入 Defender 门户。
此外,可以根据要求传递更多参数来修改安装。 查看所有可用选项的帮助信息:
❯ ./mde_installer.sh --help mde_installer.sh v0.7.0 usage: basename ./mde_installer.sh [OPTIONS] Options: -c|--channel specify the channel (insiders-fast / insiders-slow / prod) from which to install. Default: prod -i|--install install the product -r|--remove uninstall the product -u|--upgrade upgrade the existing product to a newer version if available -l|--downgrade downgrade the existing product to an older version if available -o|--onboard <script> onboard MDE with the specified onboarding script -f|--offboard <script> offboard MDE with the specified offboarding script -p|--passive-mode set real-time protection to passive mode -a|--rtp-mode set real-time protection to active mode. Passive-mode and rtp-mode are mutually exclusive -t|--tag set a tag by declaring <name> and <value>, e.g.: -t GROUP Coders -q|--pre-req check minimum system requirements for MDE (memory, CPU, disk space, supported OS) without installing -x|--skip_conflict skip conflicting application verification -w|--clean remove MDE repository from the package manager for the specified channel -y|--yes assume yes for all mid-process prompts (default, deprecated) -n|--no disable the default assume-yes behavior for prompts -s|--verbose enable verbose output -v|--version print the script version -d|--debug enable debug mode --log-path <PATH> also log output to PATH --http-proxy <URL> set http proxy --https-proxy <URL> set https proxy --ftp-proxy <URL> set ftp proxy --mdatp <version> install a specific version of MDE; uses the latest if not provided --use-local-repo skip MDE repository setup and use the locally configured repository -b|--install-path <PATH> specify the installation and configuration path for MDE. Default: / -h|--help display help
| 应用场景 | 命令 |
|---|---|
| 安装到自定义路径 | sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --pre-req --install-path /custom/path/location |
| 安装特定代理版本 | sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --pre-req –-mdatp 101.24082.0004 |
| 升级到最新代理版本 | sudo ./mde_installer.sh --upgrade |
| 升级到特定代理版本 | sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004 |
| 降级到特定代理版本 | sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004 |
| 卸载代理 | sudo ./mde_installer.sh --remove |
| 仅运行预请求检查 (不安装) | sudo ./mde_installer.sh --pre-req |
有关安装到自定义路径的详细信息,请参阅:在 Linux自定义路径上安装 Defender for Endpoint。
注意
- 在安装产品后,将操作系统升级到新的主版本需要重新安装产品。 需要在 Linux 上卸载现有的 Defender for Endpoint,升级操作系统,然后在 Linux 上重新配置 Defender for Endpoint。
- 安装 Defender for Endpoint 后,无法更改安装路径。 若要使用其他路径,请在新位置卸载并重新安装产品。
验证部署状态
在Microsoft Defender门户中,打开设备清单。 设备可能需要 5-20 分钟才能显示在门户中。
运行防病毒检测测试,验证设备是否已正确载入并向服务报告。 在新接入的设备上执行以下步骤:
确保已启用实时保护(可通过运行以下命令后结果为
true来确认):mdatp health --field real_time_protection_enabled如果未启用,请执行以下命令:
mdatp config real-time-protection --value enabled打开终端窗口并执行以下命令来运行检测测试:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt可以使用以下命令之一对 zip 文件运行更多检测测试:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip文件应在 Linux 上由 Defender for Endpoint 隔离。 使用以下命令列出所有检测到的威胁:
mdatp threat list
运行 EDR 检测测试并模拟一次检测事件,以验证该设备是否已正确完成接入,并正在向该服务报告数据。 在新接入的设备上执行以下步骤:
将脚本文件下载并解压缩到已载入的 Linux 服务器。
向脚本授予可执行权限:
chmod +x mde_linux_edr_diy.sh运行以下命令:
./mde_linux_edr_diy.sh几分钟后,Defender 门户中应会触发检测。
检查警报详细信息、计算机时间线,并执行典型的调查步骤。
Microsoft Defender for Endpoint 的外部包依赖项
如果Microsoft Defender for Endpoint安装因缺少依赖项错误而失败,可以手动下载所需的依赖项。
对于 mdatp 包,存在以下外部包依赖项:
- 包
mdatp RPM需要 -glibc >= 2.17 - 对于 DEBIAN,
mdatp包需要libc6 >= 2.23 - 对于 Mariner,
mdatp包需要attr、diffutils、libacl、libattr、libselinux-utils、selinux-policy、policycoreutils
注意
从版本101.24082.0004开始,Linux 上的 Defender for Endpoint 不再支持Auditd事件提供程序。 我们正在完全过渡到更高效的 eBPF 技术。
如果您的计算机不支持 eBPF,或者因特定要求需要继续使用 Auditd,并且您的计算机使用的是 Linux 版 Defender for Endpoint 101.24072.0001 或更早版本,则对于 mdatp,auditd 软件包还存在其他依赖关系。
对于早于 101.25032.0000的版本:
- RPM 软件包需要:
mde-netfilter、pcre - DEBIAN 软件包依赖项:
mde-netfilter、libpcre3 - 包
mde-netfilter还具有以下包依赖项: - 对于 DEBIAN,mde-netfilter 包需要libnetfilter-queue1和libglib2.0-0- 对于 RPM,mde-netfilter 包需要libmnl、libnfnetlink、libnetfilter_queue,并且glib2从版本101.25042.0003开始,不再需要 uuid-runtime 作为外部依赖项。
解决安装问题
如果遇到任何安装问题,请执行以下步骤进行自我故障排除:
有关如何查找发生安装错误时自动生成的日志的信息,请参阅 日志安装问题。
有关常见安装问题的信息,请参阅 安装问题。
如果设备的运行状况为
false,请参阅 Defender for Endpoint 代理运行状况问题。有关产品性能问题,请参阅 排查性能问题。
有关代理和连接问题,请参阅 排查云连接问题。
若要获取 Microsoft 支持,请创建支持请求,并提供使用 客户端分析器创建的日志文件。
如何在通道之间切换
例如,若要将通道从 Insiders-Fast 切换到 Production,请按以下步骤操作:
卸载 Linux
Insiders-Fast channel上的 Defender for Endpoint 版本。sudo yum remove mdatp在 Linux Insiders-Fast 存储库上禁用 Defender for Endpoint。
sudo yum repolist注意
输出应显示
packages-microsoft-com-fast-prod。sudo yum-config-manager --disable packages-microsoft-com-fast-prod使用生产通道在 Linux 上重新部署Microsoft Defender for Endpoint。
Linux 上的 Defender for Endpoint 可以从以下通道之一部署, (表示为 [channel]) :
insiders-fastinsiders-slowprod
其中每个通道对应于一个Linux软件存储库。 本文中的说明介绍如何将设备配置为使用这些存储库之一。
通道的选择决定了提供给设备的更新的类型和频率。 insiders-fast 中的设备最先接收更新和新功能,其次是 insiders-slow,最后是 prod。
为了预览新功能并提供早期反馈,建议将企业中的某些设备配置为使用 insiders-fast 或 insiders-slow。
警告
在初始安装后切换通道需要重新安装产品。 若要切换产品通道:卸载现有包,将设备重新配置为使用新通道,然后按照本文档中的步骤从新位置安装包。
如何为Linux上的Microsoft Defender配置策略
若要配置防病毒和 EDR 设置,请参阅以下文章:
- Microsoft Defender for Endpoint 安全设置管理介绍如何在 Microsoft Defender 门户中配置相关设置。 (建议使用此方法。)
- 在 Linux 上设置 Defender for Endpoint 的首选项介绍了可以配置的设置。
相关内容
- Linux上Microsoft Defender for Endpoint的先决条件
- 使用 Ansible 在 Linux 上部署 Defender for Endpoint
- 通过 Chef 在 Linux 上部署 Defender for Endpoint
- 使用 Puppet 在 Linux 上部署 Defender for Endpoint
- 使用 Saltstack 在 Linux 上部署 Defender for Endpoint
- 在 Linux 上手动部署 Defender for Endpoint
- 使用 Defender for Endpoint 将非 Azure 计算机连接到 Microsoft Defender for Cloud(使用 Defender for Cloud 直接载入)
- 适用于 SAP 的 Linux 上的 Defender for Endpoint 部署指南
- 在自定义路径Linux上安装 Defender for Endpoint