Microsoft Defender para Ponto de Extremidade para Linux inclui recursos de EDR (detecção e resposta) de ponto de extremidade e antimalware.
Distribuições de servidor Linux com suporte e versões x64 (AMD64/EM64T) e x86_64:
- Red Hat Enterprise Linux 6.7 ou superior (versão prévia)
- Red Hat Enterprise Linux 7.2 ou superior
- Red Hat Enterprise Linux 8.x
- Red Hat Enterprise Linux 9.x
- CentOS 6.7 ou superior (versão prévia)
- CentOS 7.2 ou superior
- Ubuntu 16.04 LTS ou LTS superior
- Debian 9 ou superior
- SUSE Linux Enterprise Server 12 ou superior
- Oracle Linux 7.2 ou superior
- Oracle Linux 8.x
- Amazon Linux 2
- Fedora 33 ou superior
Requisitos do sistema :
- Distribuições e versões de servidores Linux: Red Hat Enterprise Linux 7.2 ou superior.
- A opção fanotify do kernel deve estar habilitada.
Passo a passo
Nesse tutorial vamos instalar o Microsoft Defender for Endpoint em uma máquina Red Hat 9.2.
01 – Instale o pacote yum-utils, caso ainda não esteja instalado.
yum install yum-utils
02 – Instale o RedHat MDATP Channel.
No navegador acesse o site https://packages.microsoft.com/config/ selecione o sistema o peracional, versão e canal.
Selecione rhel.
Após selecione a versão 9.0.
Cópie o link do repositorio e adicione o prod.repo
https://packages.microsoft.com/config/rhel/9.0/prod.repo
03 – Adicione o repositorio no servidor Red Hat.
sudo yum-config-manager –add-repo=https://packages.microsoft.com/config/rhel/9.0/prod.repo
04 – Instalar o Microsoft GPG public key:
rpm –import http://packages.microsoft.com/keys/microsoft.asc
05 – Torne todos os metadados utilizáveis para os repositórios yum atualmente habilitados:
yum makecache
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/microsoft-defender-for-endpoint-red-hat-linux-manual-deployment/ba-p/2196207
06 – Instale o aplicativo MDE/MDATP.
yum install mdatp
07 – Verfique se os repositorios packages-microsoft-com-prod foi adicionado ao repositorio do sistema operacional.
yum repolist
08 – Instale o pacote a partir do repositório de produção.
yum –enablerepo=packages-microsoft-com-prod install mdatp
Download do MicrosoftDefenderATPOnboarding
No portal do Microsoft 365 Defender precisamos baixar o arquivo MicrosoftDefenderATPOnboarding e enviar para máquina Linux.
08 – Faça login no portal Microsoft 365 Defender.
https://security.microsoft.com/
09 – No portal do Microsoft 365 Defender clique em Settings.
10 – Na tela Settings clique em Endpoints.
11 – Na tela Endpoints em Device management clique em Onboarding.
12 – Na tela Onboarding em Select operating system to start onboarding process selecione Linux Server, para a opção Install the agent and onboarding a device em Deployment method selecione Local Script (Python), em seguida clique em Download onboarding package.
13 – Como podemos observar o arquivo de onboarding foi baixado.
Instalar o Microsoft Defender for Endpoint Linux Agent
Podemos utilizar o software WinSCP para transferir o arquivo de onboarding “WindowsDefenderATPOnboardingPackage.zip” da máquina host para o servidor Linux.
14 – Podemos baixar o WinSCP no link abaixo.
https://winscp.net/eng/download.php
15 – Após intalar o WinSCP, execute o programa, na tela de Login adicione o IP do servidor que deseja conectar, em seguida adicione o usuário e senha, em seguida clique em Login.
16 – Na tela Continuar a conexão a um servidor deconhecido e adicioanar sua chave de host aso cache clique em Sim.
17 – Na tela do WinSCP selecione o diretorio onde está o arquivo de onboarding, mova o arquivo para a tela do canto direito no diretorio do servidor Linux /home/suporte.
18 – No servidor Linux execute o comando ls -l para visualizar o conteúdo do diretorio.
19 – Execure o seguinte comando para descompatar o arquivo WindowsDefenderATPOnboardingPackage.zip
unzip WindowsDefenderATPOnboardingPackage.zip
20 – Verifique a integridade do MDATP que deve dizer nenhuma licença encontrada:
mdatp health –field org_id
21 – Execute o arquivo MicrosoftDefenderATPOnboardingLinuxServer.py
python MicrosoftDefenderATPOnboardingLinuxServer.py
22 – Verifique a integridade do MDATP.
mdatp health –field org_id
Teste o Microsoft Defender for Endpoint Linux Agent
25 – Execute o teste de conectividade com o seguinte comando.
mdatp connectivity test
26 – Execute o teste de definição de atualizações com o seguinte comando.
mdatp definitions update
27 – Execute o teste de saúde do agente com o seguinte comando.
mdatp health
Execute um teste de detecção
Vamos simular um incidente de segurança com script disponibilizado pela Microsoft, a proteção de EDR vai impedir a execução do script no servidor, já que o script simula uma ameça.
28 – No portal do Microsoft 365 Defender em Onboarding na etapa 2. Run a detection test copie o script e execute no servidor Linux.
curl -o ~/Downloads/eicar.com.txt https://www.eicar.org/download/eicar.com.txt
29 – Como podemos observar o script foi executado a tentativa de criação do arquivo eicar.txt não foi bem sucedida.
30 – No portal do Microssoft 365 Defender em Devices observe que temos o dispositivo “VM-Linux-HMG” com o sensor ativo.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Me siga nas redes sociais:
https://lnkd.in/enx4eSV
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.