随着对 ARM64 服务器的需求增加,Microsoft 近日发布了适用于基于 ARM64 的 Linux 服务器的 Microsoft Defender for Endpoint 的公共预览版。这次更新表明 Microsoft 正在努力为各类设备和平台提供端点安全性。
ARM64 处理器因效率和性能优异而备受关注,尤其是在数据中心和云环境中。Defender for Endpoint 针对ARM64 Linux 设备量身定制保护方案,满足其特定需求。
公共预览版中包含哪些内容?
现阶段适用于基于 ARM 的 Linux 服务器的 Microsoft Defender for Endpoint 将支持以下功能:
- 防病毒 (AV) 保护
- 端点检测和响应 (EDR)
- 漏洞管理
- 响应操作
- 设备隔离
- 实时响应
- AV 扫描
- 通过 Security Settings Management 配置策略
- 高级搜寻
最初,预览版支持以下 Linux 分发版:
- Ubuntu 20.04 ARM64
- Ubuntu 22.04 ARM64
- Amazon Linux 2 ARM64
- Amazon Linux 2023 ARM64
展望未来,Microsoft将发布更多发行版,包括 RHEL、SLES、Azure Linux 等。
今天就开始
若要开始在 Linux ARM64 设备上使用 Defender for Endpoint,请从 insiders-slow 频道下载 MDE 代理版本“101.24102.0002”。有关更多信息,请阅读指南文档。
您可以根据环境需求选择以下方法之一在 ARM64 服务器上部署Microsoft Defender for Endpoint:
- 使用安装程序脚本自动部署
- 或三方自动化工具 – Ansible、Puppet。以Ansible为例
| · name: Install and Onboard MDE
· hosts: servers · tasks: · – name: Create a directory if it does not exist · ansible.builtin.file: · path: /tmp/mde_install · state: directory · mode: ‘0755’ · · – name: Copy Onboarding script · ansible.builtin.copy: · src: “{{ onboarding_script }}” · dest: /tmp/mde_install/mdatp_onboard.json · – name: Install MDE on host · ansible.builtin.script: “{{ mde_installer_script }} –install –channel {{ channel | default(‘insiders-slow’) }} –onboard /tmp/mde_install/mdatp_onboard.json” · register: script_output · args: · executable: sudo · · – name: Display the installation output · debug: · msg: “Return code [{{ script_output.rc }}] {{ script_output.stdout }}” · · – name: Display any installation errors · debug: · msg: “{{ script_output.stderr }}” |
使用以下命令在 Linux 上部署 Defender for Endpoint。 根据需要编辑相应的路径和通道
| ansible-playbook -i /etc/ansible/hosts /etc/ansible/playbooks/install_mdatp.yml –extra-vars “onboarding_script=<path to mdatp_onboard.json > mde_installer_script=<path to mde_installer.sh> channel=<channel to deploy for: insiders-slow > “ |
在设备上运行以下命令,检查设备运行状况、连接性、防病毒和 EDR 检测
| – name: Run post-installation basic MDE test
hosts: myhosts tasks:
– name: Check health ansible.builtin.command: mdatp health –field healthy register: health_status
– name: MDE health test failed fail: msg=”MDE is not healthy. health status => \n{{ health_status.stdout }}\nMDE deployment not complete” when: health_status.stdout != “true”
– name: Run connectivity test ansible.builtin.command: mdatp connectivity test register: connectivity_status
– name: Connectivity failed fail: msg=”Connectivity failed. Connectivity result => \n{{ connectivity_status.stdout }}\n MDE deployment not complete” when: connectivity_status.rc != 0
– name: Check RTP status ansible.builtin.command: mdatp health –field real_time_protection_enabled register: rtp_status
– name: Enable RTP ansible.builtin.command: mdatp config real-time-protection –value enabled become: yes become_user: root when: rtp_status.stdout != “true”
– name: Pause for 5 second to enable RTP ansible.builtin.pause: seconds: 5
– name: Download EICAR ansible.builtin.get_url: url: https://secure.eicar.org/eicar.com.txt dest: /tmp/eicar.com.txt
– name: Pause for 5 second to detect eicar ansible.builtin.pause: seconds: 5
– name: Check for EICAR file stat: path=/tmp/eicar.com.txt register: eicar_test
– name: EICAR test failed fail: msg=”EICAR file not deleted. MDE deployment not complete” when: eicar_test.stat.exists
– name: MDE Deployed debug: msg: “MDE succesfully deployed” |
- 使用 Azure Arc 通过 Microsoft Defender for Cloud for Azure、AWS、GCP VM 和本地 VM 自动部署
如果你的组织正在使用 Defender for Cloud,则可以使用它在 Linux 上部署 Defender for Endpoint
- 建议在基于 ARM64 的 Linux 设备上启用自动部署。 预配 VM 后,在设备上的 文件 /etc/mde.arm.d/mde.conf 下定义变量,如下所示:
OPT_FOR_MDE_ARM_PREVIEW=1
- 等待 1-6 小时以完成载入。
另外,Microsoft也承诺,当该功能正式发布 (GA) 时,计划将支持扩展到 MDE 当前在 x86_64 架构上支持的所有 Linux 发行版和功能。目标是确保所有 Linux 服务器的无缝集成和强大的安全性。待到该功能正式发布 (GA) 时再另行撰写更详细的操作指南。
了解 365vCloud's Journey to the Cloud 的更多信息
订阅后即可通过电子邮件收到最新文章。
