Onboarding Microsoft Defender for Endpoint no Red Hat Linux

Posted onAutor: Jádson AlvesDeixe um comentário

Microsoft Defender para Ponto de Extremidade para Linux inclui recursos de EDR (detecção e resposta) de ponto de extremidade e antimalware.

Sistemas operacionais suportados

Distribuições de servidor Linux com suporte e versões x64 (AMD64/EM64T) e x86_64:

  • Red Hat Enterprise Linux 6.7 ou superior (versão prévia)
  • Red Hat Enterprise Linux 7.2 ou superior
  • Red Hat Enterprise Linux 8.x
  • Red Hat Enterprise Linux 9.x
  • CentOS 6.7 ou superior (versão prévia)
  • CentOS 7.2 ou superior
  • Ubuntu 16.04 LTS ou LTS superior
  • Debian 9 ou superior
  • SUSE Linux Enterprise Server 12 ou superior
  • Oracle Linux 7.2 ou superior
  • Oracle Linux 8.x
  • Amazon Linux 2
  • Fedora 33 ou superior

Requisitos do sistema : 

  • Distribuições e versões de servidores Linux: Red Hat Enterprise Linux 7.2 ou superior. 
  • A  opção fanotify  do kernel deve estar habilitada. 

Passo a passo

Nesse tutorial vamos instalar o Microsoft Defender for Endpoint em uma máquina Red Hat 9.2.

01 – Instale o pacote yum-utils, caso ainda não esteja instalado.

yum install yum-utils 

02 – Instale o RedHat MDATP Channel.

No navegador acesse o site  https://packages.microsoft.com/config/ selecione o sistema o peracional, versão e  canal.

Selecione rhel.

Após  selecione a versão 9.0.

Cópie o link do repositorio e adicione o prod.repo

https://packages.microsoft.com/config/rhel/9.0/prod.repo

03 – Adicione o repositorio no servidor Red Hat.

sudo yum-config-manager –add-repo=https://packages.microsoft.com/config/rhel/9.0/prod.repo

04 – Instalar o Microsoft GPG public key: 

rpm –import http://packages.microsoft.com/keys/microsoft.asc 

05 – Torne todos os metadados utilizáveis ​​para os repositórios yum atualmente habilitados:  

yum makecache 

https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/microsoft-defender-for-endpoint-red-hat-linux-manual-deployment/ba-p/2196207

06 – Instale o aplicativo MDE/MDATP.

yum install mdatp

07 – Verfique se os repositorios packages-microsoft-com-prod foi adicionado ao repositorio do sistema operacional.

yum repolist 

08 –  Instale o pacote a partir do repositório de produção.

yum –enablerepo=packages-microsoft-com-prod install mdatp

Download do MicrosoftDefenderATPOnboarding

No portal do Microsoft 365 Defender precisamos baixar o arquivo MicrosoftDefenderATPOnboarding e enviar para máquina Linux.

08 – Faça login no portal Microsoft 365 Defender.

https://security.microsoft.com/

09 – No portal do Microsoft 365 Defender clique em Settings.

10 – Na tela Settings clique em Endpoints.

11 – Na tela Endpoints em Device management clique em Onboarding.

12 – Na tela Onboarding em Select operating system to start onboarding process selecione Linux Server, para a opção Install the agent and onboarding a device em Deployment method selecione Local Script (Python), em seguida clique em Download onboarding package.

13 – Como podemos observar o arquivo de onboarding foi baixado.

Instalar o Microsoft Defender for Endpoint Linux Agent

Podemos utilizar o software WinSCP para transferir o arquivo de onboarding “WindowsDefenderATPOnboardingPackage.zip” da máquina host para o servidor Linux.

14 – Podemos baixar o WinSCP no link abaixo.

https://winscp.net/eng/download.php

15 – Após intalar o WinSCP, execute o programa, na tela de Login adicione o IP do servidor que deseja conectar, em seguida adicione o usuário e senha, em seguida clique em Login.

16 – Na tela Continuar a conexão a um servidor deconhecido e adicioanar sua chave de host aso cache clique em Sim.

17 – Na tela do WinSCP selecione o diretorio onde está o arquivo de onboarding, mova o arquivo para a tela do canto direito no diretorio do servidor Linux /home/suporte.

18 – No servidor Linux execute o comando ls -l para visualizar o conteúdo do diretorio.

19 – Execure o seguinte comando para descompatar o arquivo WindowsDefenderATPOnboardingPackage.zip

unzip WindowsDefenderATPOnboardingPackage.zip

20 – Verifique a integridade do MDATP que deve dizer nenhuma licença encontrada:  

mdatp health –field org_id

21 – Execute o arquivo MicrosoftDefenderATPOnboardingLinuxServer.py

python MicrosoftDefenderATPOnboardingLinuxServer.py

22 – Verifique a integridade do MDATP.

mdatp health –field org_id

Teste o Microsoft Defender for Endpoint Linux Agent

25 – Execute o teste de conectividade com o seguinte comando.

mdatp connectivity test

26 – Execute o teste de definição de atualizações com o seguinte comando.

mdatp definitions update

27 – Execute o teste de saúde do agente com o seguinte comando.

mdatp health

Execute um teste de detecção

Vamos simular um incidente de segurança com script disponibilizado pela Microsoft, a proteção de EDR vai impedir a execução do script no servidor, já que o script simula uma ameça.

28 – No portal do Microsoft 365 Defender em Onboarding na etapa 2. Run a detection test copie o script e execute no servidor Linux.

curl -o ~/Downloads/eicar.com.txt https://www.eicar.org/download/eicar.com.txt

29 – Como podemos observar o script foi executado a tentativa de criação do arquivo eicar.txt não foi bem sucedida.

30 – No portal do Microssoft 365 Defender em Devices observe que temos o dispositivo “VM-Linux-HMG” com o sensor ativo.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Me siga nas redes sociais:
https://lnkd.in/enx4eSV

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *