随着对 ARM64 服务器的需求增加,Microsoft 近日发布了适用于基于 ARM64 的 Linux 服务器的 Microsoft Defender for Endpoint 的公共预览版。这次更新表明 Microsoft 正在努力为各类设备和平台提供端点安全性。
ARM64 处理器因效率和性能优异而备受关注,尤其是在数据中心和云环境中。Defender for Endpoint 针对ARM64 Linux 设备量身定制保护方案,满足其特定需求。
公共预览版中包含哪些内容?
现阶段适用于基于 ARM 的 Linux 服务器的 Microsoft Defender for Endpoint 将支持以下功能:
- 防病毒 (AV) 保护
- 端点检测和响应 (EDR)
- 漏洞管理
-
响应操作
- 设备隔离
- 实时响应
- AV 扫描
- 通过 Security Settings Management 配置策略
- 高级搜寻
最初,预览版支持以下 Linux 分发版:
- Ubuntu 20.04 ARM64
- Ubuntu 22.04 ARM64
- Amazon Linux 2 ARM64
- Amazon Linux 2023 ARM64
展望未来,Microsoft将发布更多发行版,包括 RHEL、SLES、Azure Linux 等。
今天就开始
若要开始在 Linux ARM64 设备上使用 Defender for Endpoint,请从 insiders-slow 频道下载 MDE 代理版本“101.24102.0002”。有关更多信息,请阅读指南文档。
您可以根据环境需求选择以下方法之一在 ARM64 服务器上部署Microsoft Defender for Endpoint:
- 使用安装程序脚本自动部署
- 或三方自动化工具 – Ansible、Puppet。以Ansible为例
• name: Install and Onboard MDE
• hosts: servers
• tasks:
• - name: Create a directory if it does not exist
• ansible.builtin.file:
• path: /tmp/mde_install
• state: directory
• mode: '0755'
•
• - name: Copy Onboarding script
• ansible.builtin.copy:
• src: "{{ onboarding_script }}"
• dest: /tmp/mde_install/mdatp_onboard.json
• - name: Install MDE on host
• ansible.builtin.script: "{{ mde_installer_script }} --install --channel {{ channel | default('insiders-slow') }} --onboard /tmp/mde_install/mdatp_onboard.json"
• register: script_output
• args:
• executable: sudo
•
• - name: Display the installation output
• debug:
• msg: "Return code [{{ script_output.rc }}] {{ script_output.stdout }}"
•
• - name: Display any installation errors
• debug:
• msg: "{{ script_output.stderr }}"使用以下命令在 Linux 上部署 Defender for Endpoint。 根据需要编辑相应的路径和通道
ansible-playbook -i /etc/ansible/hosts /etc/ansible/playbooks/install_mdatp.yml --extra-vars "onboarding_script=<path to mdatp_onboard.json > mde_installer_script=<path to mde_installer.sh> channel=<channel to deploy for: insiders-slow > "
在设备上运行以下命令,检查设备运行状况、连接性、防病毒和 EDR 检测
- name: Run post-installation basic MDE test
hosts: myhosts
tasks:
- name: Check health
ansible.builtin.command: mdatp health --field healthy
register: health_status
- name: MDE health test failed
fail: msg="MDE is not healthy. health status => \n{{ health_status.stdout }}\nMDE deployment not complete"
when: health_status.stdout != "true"
- name: Run connectivity test
ansible.builtin.command: mdatp connectivity test
register: connectivity_status
- name: Connectivity failed
fail: msg="Connectivity failed. Connectivity result => \n{{ connectivity_status.stdout }}\n MDE deployment not complete"
when: connectivity_status.rc != 0
- name: Check RTP status
ansible.builtin.command: mdatp health --field real_time_protection_enabled
register: rtp_status
- name: Enable RTP
ansible.builtin.command: mdatp config real-time-protection --value enabled
become: yes
become_user: root
when: rtp_status.stdout != "true"
- name: Pause for 5 second to enable RTP
ansible.builtin.pause:
seconds: 5
- name: Download EICAR
ansible.builtin.get_url:
url: https://secure.eicar.org/eicar.com.txt
dest: /tmp/eicar.com.txt
- name: Pause for 5 second to detect eicar
ansible.builtin.pause:
seconds: 5
- name: Check for EICAR file
stat: path=/tmp/eicar.com.txt
register: eicar_test
- name: EICAR test failed
fail: msg="EICAR file not deleted. MDE deployment not complete"
when: eicar_test.stat.exists
- name: MDE Deployed
debug:
msg: "MDE succesfully deployed"
- 使用 Azure Arc 通过 Microsoft Defender for Cloud for Azure、AWS、GCP VM 和本地 VM 自动部署
如果你的组织正在使用 Defender for Cloud,则可以使用它在 Linux 上部署 Defender for Endpoint
- 建议在基于 ARM64 的 Linux 设备上启用自动部署。 预配 VM 后,在设备上的 文件 /etc/mde.arm.d/mde.conf 下定义变量,如下所示:
OPT_FOR_MDE_ARM_PREVIEW=1
- 等待 1-6 小时以完成载入。
另外,Microsoft也承诺,当该功能正式发布 (GA) 时,计划将支持扩展到 MDE 当前在 x86_64 架构上支持的所有 Linux 发行版和功能。目标是确保所有 Linux 服务器的无缝集成和强大的安全性。待到该功能正式发布 (GA) 时再另行撰写更详细的操作指南。
了解 365vCloud's Journey to the Cloud 的更多信息
订阅后即可通过电子邮件收到最新文章。
