Microsoft Defender para Ponto de Extremidade para Linux inclui recursos de EDR (detecção e resposta) de ponto de extremidade e antimalware.
Distribuições de servidor Linux com suporte e versões x64 (AMD64/EM64T) e x86_64:
- Red Hat Enterprise Linux 6.7 ou superior (versão prévia)
- Red Hat Enterprise Linux 7.2 ou superior
- Red Hat Enterprise Linux 8.x
- Red Hat Enterprise Linux 9.x
- CentOS 6.7 ou superior (versão prévia)
- CentOS 7.2 ou superior
- Ubuntu 16.04 LTS ou LTS superior
- Debian 9 ou superior
- SUSE Linux Enterprise Server 12 ou superior
- Oracle Linux 7.2 ou superior
- Oracle Linux 8.x
- Amazon Linux 2
- Fedora 33 ou superior
Passo a passo
Nesse tutorial vamos instalar o Microsoft Defender for Endpoint em uma máquina Ubuntu 22.04.
01 – Instale os seguintes pacotes no servidor Ubuntu.
sudo apt-get update
sudo apt-get install curl
sudo apt-get install libplist-utils
sudo apt-get install apt-transport-https
sudo apt-get install gpg
sudo apt-get install ntp
caso deseje aprovar a instalação dos pacotes automaticamente utilize o -y com os comando acima.
02 – Configure o fuso horário no servidor com o seguinte comando.
sudo dpkg-reconfigure tzdata
03 – Na tela Configure tzdata selecione o seu fuso horário e clique em OK.
04 – Em seguida selecione a regição e clique em OK.
05 – Como podemo observar o fuso horário foi configurado.
06 – Configurar o Ubuntu para usar a fonte do repositório da Microsoft, nosso servidor Ubuntu está na versão 22.04, caso você esteja utilizando uma versão diferente é possível alterar.
https://packages.microsoft.com/config/ubuntu/22.04/prod.list
https://packages.microsoft.com/config/ubuntu/
Execute o seguinte comando:
curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/22.04/prod.list
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
07 – Instale a chave GPG de descriptografia da Microsoft.
curl https://packages.microsoft.com/keys/microsoft.asc | gpg –dearmor > microsoft.gpg
sudo mv microsoft.gpg /etc/apt/trusted.gpg.d/
Download do MicrosoftDefenderATPOnboarding
No portal do Microsoft 365 Defender precisamos baixar o arquivo MicrosoftDefenderATPOnboarding e enviar para máquina Ubuntu.
08 – Faça login no portal Microsoft 365 Defender.
https://security.microsoft.com/
09 – No portal do Microsoft 365 Defender clique em Settings.
10 – Na tela Settings clique em Endpoints.
11 – Na tela Endpoints em Device management clique em Onboarding.
12 – Na tela Onboarding em Select operating system to start onboarding process selecione Linux Server, para a opção Install the agent and onboarding a device em Deployment method selecione Local Script (Python), em seguida clique em Download onboarding package.
13 – Como podemos observar o arquivo de onboarding foi baixado.
Instalar o Microsoft Defender for Endpoint Linux Agent
Podemos utilizar o software WinSCP para transferir o arquivo de onboarding “WindowsDefenderATPOnboardingPackage.zip” da minha máquina para o servidor Linux.
14 – Podemos baixar o WinSCP no link abaixo.
https://winscp.net/eng/download.php
15 – Após intalar o WinSCP, execute o programa, na tela de Login adicione o IP do servidor que deseja conectar, em seguida adicione o usuário e senha e clique em Login.
16 – Na tela Continuar a conexão a um servidor deconhecido e adicioanar sua chave de host aso cache clique em Sim.
17 – Na tela do WinSCP selecione o diretorio onde está o arquivo de onboarding, mova o arquivo para a tela do canto direito no diretorio do servidor Linux /home/suporte.
18 – No servidor Linux execute o comando ls -l para visualizar o conteúdo do diretorio.
19 – Precisamos descompactar o arquivo “WindowsDefenderATPOnboardingPackage.zip”, para isso precisamos instalar o pacote unzip.
sudo apt-get install unzip
20 – Execute o comando abaixo para descompactar o arquivo WindowsDefenderATPOnboardingPackage.zip.
sudo unzip WindowsDefenderATPOnboardingPackage.zip
21 – Execute o comando ls -l para listar o conteudo do diretorio.
22 – Vamos precisar dar permissão ao arquivo “MicrosoftDefenderATPOnboardingLinuxServer.py” para que o scritp possa ser executado, execute o seguinte comando.
sudo chmod 777 MicrosoftDefenderATPOnboardingLinuxServer.py
23 – Execute o comando ls -l para listar o conteudo do diretorio, observe que o arquivo MicrosoftDefenderATPOnboardingLinuxServer.py agora pode ser executado.
24 – Execute o script “MicrosoftDefenderATPOnboardingLinuxServer.py” para ativar o Microsoft Defender for Endpoint Linux Agent.
sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
Teste o Microsoft Defender for Endpoint Linux Agent
25 – Execute o teste de conectividade com o seguinte comando.
mdatp connectivity test
26 – Execute o teste de definição de atualizações com o seguinte comando.
mdatp definitions update
27 – Execute o teste de saúde do agente com o seguinte comando.
mdatp health
Execute um teste de detecção
Vamos simular um incidente de segurança com script disponibilizado pela Microsoft, a proteção de EDR vai impedir a execução do script no servidor, já que o script simula uma ameça.
28 – No portal do Microsoft 365 Defender em Onboarding na etapa 2. Run a detection test copie o script e execute no servidor Linux.
curl -o ~/Downloads/eicar.com.txt https://www.eicar.org/download/eicar.com.txt
29 – Como podemos observar o script foi executado.
30 – No portal do Microssoft 365 Defender em Devices observe que temos a máquina Ubuntu “VM-Linux-HMG” com o sensor ativo.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Me siga nas redes sociais:
https://lnkd.in/enx4eSV
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.