Utilizar a implementação baseada em scripts do instalador para implementar Microsoft Defender para Ponto de Extremidade no Linux

Introdução

Pode implementar o Defender para Endpoint no Linux com várias ferramentas e métodos. Este artigo descreve como automatizar a implementação do Defender para Endpoint no Linux com um script de instalador. Este script identifica a distribuição e a versão, seleciona o repositório correto, configura o dispositivo para solicitar a versão mais recente do agente e integra o dispositivo no Defender para Ponto Final com o pacote de integração. Este método é altamente recomendado para simplificar o processo de implementação.

Para utilizar outro método, consulte a secção Conteúdo relacionado.

Pré-requisitos e requisitos de sistema

Antes de começar, consulte Pré-requisitos do Defender para Endpoint no Linux para obter uma descrição dos pré-requisitos e requisitos de sistema.

Processo de implantação

1. Transfira o pacote de inclusão a partir do portal do Microsoft Defender ao seguir estes passos:

   1. No portal Microsoft Defender, aceda a Definições Pontos Finais>Gestão> dedispositivos>Integração.

   2. No primeiro menu pendente, selecione Servidor Linux como o sistema operativo.

   3. No segundo menu pendente, selecione Script Local como método de implementação.

   4. Selecione Baixar pacote de integração. Guarde o ficheiro como WindowsDefenderATPOnboardingPackage.zip.

      

   5. Numa linha de comandos, extraia os conteúdos do arquivo:

      unzip WindowsDefenderATPOnboardingPackage.zip
      

      Archive:  WindowsDefenderATPOnboardingPackage.zip
      inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
      

      Aviso

      Reembalar o pacote de instalação do Defender para Endpoint não é um cenário suportado. Fazê-lo pode afetar negativamente a integridade do produto e levar a resultados adversos, incluindo, mas não se limitando a acionar alertas de adulteração e atualizações que não se aplicam.

      Importante

      Se perder este passo, qualquer comando executado mostra uma mensagem de aviso a indicar que o produto não está licenciado. Além disso, o comando de estado de funcionamento mdatp devolve um valor falso.

2. Transfira o script bash do instalador fornecido no nosso repositório público do GitHub.

3. Conceda permissões executáveis ao script do instalador:

   chmod +x mde_installer.sh
   

4. Execute o script do instalador e forneça o pacote de inclusão como um parâmetro para instalar o agente e integrar o dispositivo no portal do Defender.

   sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --min_req
   

   Este comando implementa a versão mais recente do agente no canal de produção, marcar para os requisitos de sistema min e integre o dispositivo no Portal do Defender.

   Além disso, pode transmitir mais parâmetros com base nos seus requisitos para modificar a instalação. Verifique a ajuda de todas as opções disponíveis:

    ❯ ./mde_installer.sh --help
   mde_installer.sh v0.7.0
   usage: basename ./mde_installer.sh [OPTIONS]
   Options:
   -c|--channel         specify the channel(insiders-fast / insiders-slow / prod) from which you want to install. Default: prod
   -i|--install         install the product
   -r|--remove          uninstall the product
   -u|--upgrade         upgrade the existing product to a newer version if available
   -l|--downgrade       downgrade the existing product to a older version if available
   -o|--onboard         onboard the product with <onboarding_script>
   -f|--offboard        offboard the product with <offboarding_script>
   -p|--passive-mode    set real time protection to passive mode
   -a|--rtp-mode        set real time protection to active mode. passive-mode and rtp-mode are mutually exclusive
   -t|--tag             set a tag by declaring <name> and <value>, e.g: -t GROUP Coders
   -m|--min_req         enforce minimum requirements
   -x|--skip_conflict   skip conflicting application verification
   -w|--clean           remove repo from package manager for a specific channel
   -y|--yes             assume yes for all mid-process prompts (default, deprecated)
   -n|--no              remove assume yes sign
   -s|--verbose         verbose output
   -v|--version         print out script version
   -d|--debug           set debug mode
   --log-path <PATH>    also log output to PATH
   --http-proxy <URL>   set http proxy
   --https-proxy <URL>  set https proxy
   --ftp-proxy <URL>    set ftp proxy
   --mdatp              specific version of mde to be installed. will use the latest if not provided
   -b|--install-path    specify the installation and configuration path for MDE. Default: /
   -h|--help            display help
   

   Cenário	Comando
   Instalar numa localização de caminho personalizado	sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --min_req --install-path /custom/path/___location
   Instalar uma versão específica do agente	sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --min_req –-mdatp 101.24082.0004
   Atualizar para a versão mais recente do agente	sudo ./mde_installer.sh --upgrade
   Atualizar para uma versão específica do agente	sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004
   Mudar para uma versão anterior para uma versão específica do agente	sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004
   Desinstalar agente	sudo ./mde_installer.sh --remove

   Para obter detalhes sobre como instalar num caminho personalizado, veja Instalar o Defender para Endpoint no Linux para um caminho personalizado.

   Observação

   1. Atualizar o sistema operativo para uma nova versão principal após a instalação do produto requer que o produto seja reinstalado. Tem de desinstalar o Defender para Endpoint existente no Linux, atualizar o sistema operativo e, em seguida, reconfigurar o Defender para Endpoint no Linux.

   2. O caminho de instalação não pode ser alterado após a instalação do Defender para Endpoint. Para utilizar um caminho diferente, desinstale e reinstale o produto na nova localização.

Verificar status de implementação

1. No portal Microsoft Defender, abra o inventário de dispositivos. O dispositivo pode demorar entre 5 a 20 minutos a aparecer no portal.

2. Execute um teste de deteção de antivírus para verificar se o dispositivo está corretamente integrado e a reportar ao serviço. Execute os seguintes passos no dispositivo recentemente integrado:

   1. Certifique-se de que a proteção em tempo real está ativada (indicada por um resultado da true execução do seguinte comando):

      mdatp health --field real_time_protection_enabled
      

      Se não estiver ativado, execute o seguinte comando:

      mdatp config real-time-protection --value enabled
      

   2. Abra uma janela do Terminal e execute o seguinte comando para executar um teste de deteção:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. Pode executar mais testes de deteção em ficheiros zip com um dos seguintes comandos:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

   4. Os ficheiros devem ser colocados em quarentena pelo Defender para Endpoint no Linux. Utilize o seguinte comando para listar todas as ameaças detetadas:

      mdatp threat list
      

3. Execute um teste de deteção EDR e simule uma deteção para verificar se o dispositivo está corretamente integrado e a reportar ao serviço. Execute os seguintes passos no dispositivo recentemente integrado:

   1. Transfira e extraia o ficheiro de script para um servidor Linux integrado.

   2. Conceda permissões executáveis ao script:

      chmod +x mde_linux_edr_diy.sh
      

   3. Execute o seguinte comando:

      ./mde_linux_edr_diy.sh
      

   4. Após alguns minutos, deve ser criada uma deteção no Microsoft Defender XDR.

   5. Verifique os detalhes do alerta, o computador linha do tempo e execute os passos típicos de investigação.

Microsoft Defender para Ponto de Extremidade empacotar dependências de pacotes externos

Se a instalação do Microsoft Defender para Ponto de Extremidade falhar devido a erros de dependências em falta, pode transferir manualmente as dependências necessárias.

Existem as seguintes dependências de pacotes externos para o mdatp pacote:

• O mdatp RPM pacote requer - glibc >= 2.17
• Para DEBIAN, o mdatp pacote requer libc6 >= 2.23
• Para o Mariner, o mdatp pacote requer attr,diffutils, libacl, libattr,libselinux-utils, selinux-policy, policycoreutils

Solucionar problemas de instalação

Se tiver problemas de instalação, para resolução automática de problemas, siga estes passos:

1. Para obter informações sobre como localizar o registo gerado automaticamente quando ocorre um erro de instalação, veja Problemas de instalação de registos.

2. Para obter informações sobre problemas comuns de instalação, veja Problemas de instalação.

3. Se o estado de funcionamento do dispositivo for false, consulte Problemas de estado de funcionamento do agente do Defender para Endpoint.

4. Para problemas de desempenho do produto, veja Resolver problemas de desempenho.

5. Para problemas de proxy e conectividade, veja Resolver problemas de conectividade da cloud.

Para obter suporte da Microsoft, abra um pedido de suporte e forneça os ficheiros de registo criados com o analisador de cliente.

Como alternar entre canais

Por exemplo, para alterar o canal de Insiders-Fast para Produção, faça o seguinte:

1. Desinstale a Insiders-Fast channel versão do Defender para Endpoint no Linux.

   sudo yum remove mdatp
   

2. Desative o Defender para Endpoint no linux Insiders-Fast repositório.

   sudo yum repolist
   

   Observação

   O resultado deve mostrar packages-microsoft-com-fast-prod.

   sudo yum-config-manager --disable packages-microsoft-com-fast-prod
   

3. Reimplemente Microsoft Defender para Ponto de Extremidade no Linux com o canal de Produção.

O Defender para Endpoint no Linux pode ser implementado a partir de um dos seguintes canais (indicado como [canal]):

• insiders-fast
• insiders-slow
• prod

Cada um destes canais corresponde a um repositório de software Linux. As instruções neste artigo descrevem a configuração do dispositivo para utilizar um destes repositórios.

A escolha do canal determina o tipo e a frequência das atualizações que são oferecidas ao seu dispositivo. Os dispositivos em insiders-fast são os primeiros a receber atualizações e novas funcionalidades, seguidas posteriormente por utilizadores do insider-slow e, por último, pelo prod.

Para pré-visualizar novas funcionalidades e fornecer feedback antecipado, recomenda-se que configure alguns dispositivos na sua empresa para utilizar ou insiders-fastinsiders-slow.

Como configurar políticas para Microsoft Defender no Linux

Para configurar as definições de antivírus e EDR, veja os seguintes artigos:

• A gestão das definições de segurança do Defender para Endpoint descreve como configurar as definições no portal do Microsoft Defender. (Este método é recomendado.)
• Definir preferências do Defender para Endpoint no Linux descreve as definições que pode configurar.

Conteúdo relacionado

• Pré-requisitos para Microsoft Defender para Ponto de Extremidade no Linux
• Implementar o Defender para Endpoint no Linux com o Ansible
• Implantar o Defender para Ponto de Extremidade no Linux com Chef
• Implementar o Defender para Endpoint no Linux com o Puppet
• Implementar o Defender para Endpoint no Linux com o Saltstack
• Implementar manualmente o Defender para Endpoint no Linux
• Ligar as máquinas virtuais que não são do Azure ao Microsoft Defender para a Cloud com o Defender para Endpoint (integração direta com o Defender para Cloud)
• Orientações de implementação do Defender para Endpoint no Linux para SAP
• Instalar o Defender para Endpoint no Linux num caminho personalizado