Implantar o Microsoft Defender para Ponto de Extremidade no Linux manualmente

Pode implementar o Defender para Endpoint no Linux com várias ferramentas e métodos. Este artigo descreve como implementar o Defender para Endpoint no Linux manualmente. Para utilizar outro método, consulte a secção Conteúdo relacionado.

Observação

Recomendamos vivamente que utilize o método de implementação da Ferramenta de Implementação do Defender , uma vez que simplifica o processo de integração, reduz as tarefas manuais e suporta uma vasta gama de cenários de implementação, incluindo novas instalações, atualizações e desinstalações. Veja a documentação para obter mais detalhes.

Importante

Se quiser executar várias soluções de segurança lado a lado, veja Considerações sobre desempenho, configuração e suporte.

Talvez você já tenha configurado exclusões mútuas de segurança para dispositivos integrados ao Microsoft Defender para Ponto de Extremidade. Se ainda precisar definir exclusões mútuas para evitar conflitos, consulte Adicionar o Microsoft Defender para Ponto de Extremidade à lista de exclusões da sua solução existente.

Passos de implementação manual

Uma implementação bem-sucedida requer a conclusão de todas as seguintes tarefas:

Pré-requisitos e requisitos de sistema

Antes de começar, consulte Pré-requisitos do Defender para Endpoint no Linux para obter uma descrição dos pré-requisitos e requisitos de sistema para a versão atual do software.

Aviso

Atualizar o sistema operativo para uma nova versão principal após a instalação do produto requer a reinstalação do produto. Você precisa Desinstalar o aplicativo existente do Defender para Endpoint no Linux, atualizar o sistema operacional e, em seguida, reconfigurar o Defender para Endpoint no Linux seguindo as etapas deste artigo.

Configurar o repositório de software Linux

O Defender para Endpoint no Linux pode ser implementado a partir de um dos seguintes canais (indicado como [canal]): insiders-fast, insiders-slow ou prod. Cada um destes canais corresponde a um Linux repositório de software. As instruções neste artigo descrevem a configuração do dispositivo para utilizar um destes repositórios.

A escolha do canal determina o tipo e a frequência das atualizações que são oferecidas ao seu dispositivo. Os dispositivos no insider-fast são os primeiros a receber atualizações e novas funcionalidades, seguidos posteriormente por insiders-slow e por último por prod.

Para pré-visualizar as novas funcionalidades e fornecer feedback antecipado, recomenda-se que configure alguns dispositivos na sua empresa para utilizarem insiders fast ou insiders-slow.

Aviso

Mudar o canal após a instalação inicial requer que o produto seja reinstalado. Para mudar o canal de produto: desinstale o pacote existente, reconfigure o seu dispositivo para utilizar o novo canal e siga os passos neste documento para instalar o pacote a partir da nova localização.

RHEL e variantes (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky e Alma)

Você pode usar o gerenciador de pacotes dnf ou yum para implantar o Defender para Endpoint no Linux em RHEL e suas respectivas variantes. As instruções nas secções seguintes incluem comandos para ambos os gestores de pacotes; utilize apenas o relevante.

  1. Instale dnf-plugins-core ou yum-utils caso a opção que você quer usar ainda não esteja instalada:

    sudo dnf install dnf-plugins-core
    

    ou

    sudo yum install yum-utils
    
  2. Localize o pacote correto para a sua distribuição e versão. Utilize a tabela seguinte para ajudar a orientá-lo na localização do pacote:

    Distribuição & versão Pacote
    Alma 8.4 e superior https://packages.microsoft.com/config/alma/8/prod.repo
    Alma 9.2 e superior https://packages.microsoft.com/config/alma/9/prod.repo
    RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo
    RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo
    RHEL/Centos/Oracle 7.2-7.9 https://packages.microsoft.com/config/rhel/7.2/prod.repo
    Amazon Linux 2 https://packages.microsoft.com/config/amazonlinux/2/prod.repo
    Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
    Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo
    Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo
    Rocky 8.7 e superior https://packages.microsoft.com/config/rocky/8/prod.repo
    Rocky 9.2 ou superior https://packages.microsoft.com/config/rocky/9/prod.repo

    Observação

    Para a sua distribuição e versão, identifique a entrada mais próxima da mesma (por principal e, em seguida, menor) em https://packages.microsoft.com/config/rhel/.

    Dica

    Ferramentas de aplicação online de patches no kernel, como o Ksplice ou similares, podem levar a uma instabilidade imprevisível do sistema operacional se o Defender for Endpoint estiver em execução. Recomenda-se parar temporariamente o daemon do Defender para Endpoint antes de efetuar a aplicação de patches do Kernel online. Após a atualização do Kernel, o Defender para Endpoint no Linux pode ser reiniciado em segurança. Esta ação é especialmente importante para os sistemas que executam o Oracle Linux.

  3. Nos seguintes comandos, substitua [versão] e [canal] pelas informações que identificou:

    sudo dnf config-manager --add-repo https://packages.microsoft.com/config/rhel/[version]/[channel].repo
    

    ou

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
    

    Dica

    Use o comando hostnamectl para identificar informações relacionadas ao sistema, incluindo a versão [version].

    Por exemplo, se você estiver executando o CentOS 8 e quiser implantar o Defender for Endpoint no Linux a partir do canal prod:

    sudo dnf config-manager --add-repo https://packages.microsoft.com/config/rhel/8/prod.repo
    

    ou

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/prod.repo
    

    Em alternativa, se quiser explorar novas funcionalidades em dispositivos selecionados, poderá querer implementar o Defender para Endpoint no Linux no canal insider-fast:

    sudo dnf config-manager --add-repo https://packages.microsoft.com/config/rhel/8/insiders-fast.repo
    

    ou

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/insiders-fast.repo
    
  4. Instale a chave pública do Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
    

SLES e variantes

Observação

Para a sua distribuição e versão, identifique a entrada mais próxima da mesma (por principal e, em seguida, menor) em https://packages.microsoft.com/config/sles/.

  1. Nos seguintes comandos, substitua [distro] e [versão] pelas informações que identificou:

    sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
    

    Dica

    Use o comando SPident para identificar informações relacionadas ao sistema, incluindo a release [version].

    Por exemplo, se você estiver executando o SLES 12 e quiser implantar o Defender para Endpoint no Linux a partir do canal prod:

    sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
    
  2. Instale a chave pública do Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
    

Sistemas Ubuntu e Debian

  1. Instale curl se ainda não estiver instalado:

    sudo apt install curl
    
  2. Instale libplist-utils se ainda não estiver instalado:

    sudo apt install libplist-utils
    

    Observação

    Para a sua distribuição e versão, identifique a entrada mais próxima da mesma (por principal e, em seguida, menor) em https://packages.microsoft.com/config/[distro]/.

  3. No seguinte comando, substitua [distro] e [version] pelas informações que identificou:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
    

    Dica

    Use o comando hostnamectl para identificar informações do sistema, incluindo a versão [version].

    Por exemplo, se você estiver executando o Ubuntu 18.04 e quiser implantar o Defender para Endpoint no Linux do canal prod:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
    
  4. Instale a configuração do repositório:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
    

    Por exemplo, se tiver escolhido prod o canal:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
    
  5. Instale o gpg pacote se ainda não estiver instalado:

    sudo apt install gpg
    

    Se gpg não estiver disponível, instale gnupg.

    sudo apt install gnupg
    
  6. Instale a chave pública do Microsoft GPG:

    • Para Debian 11/Ubuntu 22.04 e anterior, execute os seguintes comandos.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
      sudo chmod o+r /etc/apt/trusted.gpg.d/microsoft.gpg
      
    • Para Debian 12, Ubuntu 24.04 e posterior, execute os seguintes comandos.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
      sudo chmod o+r /usr/share/keyrings/microsoft-prod.gpg
      
    • Para Debian 13 e posterior, execute os seguintes comandos.

      curl -sSL https://packages.microsoft.com/keys/microsoft-2025.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
      sudo chmod o+r /usr/share/keyrings/microsoft-prod.gpg
      
  7. Instale o controlador HTTPS se ainda não estiver instalado:

    sudo apt install apt-transport-https
    
  8. Atualize os metadados do repositório:

    sudo apt update
    

Mariner

  1. Instale dnf-plugins-core se ainda não estiver instalado:

    sudo dnf install dnf-plugins-core
    
  2. Configure e ative os repositórios necessários.

    Observação

    No Mariner, o Insider Fast Channel não está disponível.

    Se você quiser implantar o Defender para Endpoint em Linux a partir do canal prod. Utilize os seguintes comandos

    sudo dnf install mariner-repos-extras
    sudo dnf config-manager --enable mariner-official-extras
    

    Em alternativa, se quiser explorar novas funcionalidades em dispositivos selecionados, poderá querer implementar o Defender para Endpoint no Linux no canal insider-slow. Utilize os seguintes comandos:

    sudo dnf install mariner-repos-extras-preview
    sudo dnf config-manager --enable mariner-official-extras-preview
    

Configuração prévia para instalação em local personalizado

Estes passos só são aplicáveis se o Defender for instalado numa localização personalizada. Para obter instruções detalhadas sobre como instalar o Microsoft Defender para Ponto de Extremidade em um local personalizado, consulte Instalação manual: configuração antes da instalação.

Para obter detalhes sobre como instalar numa localização personalizada, veja: Ativar a implementação do Defender para Endpoint no Linux para uma localização personalizada.

Instalação do aplicativo

Utilize os comandos nas secções seguintes para instalar o Defender para Endpoint na distribuição de Linux.

RHEL e variantes (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky e Alma)

sudo dnf install mdatp

ou

sudo yum install mdatp

Observação

Se tiver vários repositórios da Microsoft configurados no seu dispositivo, pode ser específico sobre qual o repositório a partir do qual instalar o pacote. O exemplo a seguir mostra como instalar o pacote do canal production caso você também tenha o canal de repositório insiders-fast configurado neste dispositivo. Esta situação pode ocorrer se estiver a utilizar vários produtos Microsoft no seu dispositivo. Consoante a distribuição e a versão do servidor, o alias do repositório pode ser diferente do do exemplo seguinte.

# list all repositories
sudo dnf repolist

ou

# list all repositories
sudo yum repolist
...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

Por exemplo, para instalar o pacote a partir do repositório de produção:

sudo dnf --enablerepo=packages-microsoft-com-prod install mdatp

ou

sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES e variantes

sudo zypper install mdatp

Observação

Se tiver vários repositórios da Microsoft configurados no seu dispositivo, pode ser específico sobre qual o repositório a partir do qual instalar o pacote. O exemplo a seguir mostra como instalar o pacote do canal production se você também tiver o canal de repositório insiders-fast configurado neste dispositivo. Esta situação pode ocorrer se estiver a utilizar vários produtos Microsoft no seu dispositivo.

zypper repos
...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp

Sistemas Ubuntu e Debian

sudo apt install mdatp

Observação

Se tiver vários repositórios da Microsoft configurados no seu dispositivo, pode ser específico sobre qual o repositório a partir do qual instalar o pacote. O exemplo a seguir mostra como instalar o pacote a partir do canal production caso você também tenha o canal de repositório insiders-fast configurado neste dispositivo. Esta situação pode ocorrer se estiver a utilizar vários produtos Microsoft no seu dispositivo.

Os números de versão e os codinomes de versão nos snippets de código a seguir são exemplos. Use o codinome real da versão retornado pelo comando bash.

cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp

Observação

Não é necessário reiniciar após instalar ou atualizar o Microsoft Defender para Endpoint no Linux, exceto quando o auditd estiver sendo executado em modo imutável.

Mariner

sudo dnf install mdatp

Observação

Se tiver vários repositórios da Microsoft configurados no seu dispositivo, pode ser específico sobre qual o repositório a partir do qual instalar o pacote. O exemplo a seguir mostra como instalar o pacote do canal production se você também tiver o canal do repositório insiders-slow configurado neste dispositivo. Esta situação pode ocorrer se estiver a utilizar vários produtos Microsoft no seu dispositivo.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Baixar o pacote de integração

Transfira o pacote de inclusão a partir do portal do Microsoft Defender.

Aviso

Reembalar o pacote de instalação do Defender para Endpoint não é um cenário suportado. Fazê-lo pode afetar negativamente a integridade do produto e levar a resultados adversos, incluindo, mas não se limitando a acionar alertas de adulteração e atualizações que não se aplicam.

Importante

Se perder este passo, qualquer comando executado mostra uma mensagem de aviso a indicar que o produto não está licenciado. Além disso, o mdatp health comando devolve um valor de false.

  1. No portal do Microsoft Defender, acesse Sistema>Configurações>Pontos de extremidade>Gerenciamento de dispositivos>Integração.

  2. No primeiro menu suspenso, selecione Linux Server como o sistema operacional. No segundo menu pendente, selecione Script Local como método de implementação.

  3. Selecione Baixar pacote de integração. Guarde o ficheiro como WindowsDefenderATPOnboardingPackage.zip.

  4. Numa linha de comandos, verifique se tem o ficheiro e extraia o conteúdo do arquivo:

    ls -l
    
    total 8
    -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
    
    unzip WindowsDefenderATPOnboardingPackage.zip
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
    

Configuração do cliente

  1. Copie MicrosoftDefenderATPOnboardingLinuxServer.py para o dispositivo de destino.

    Observação

    Inicialmente, o dispositivo cliente não está associado a uma organização e o atributo orgId está em branco.

    mdatp health --field org_id
    
  2. Execute um dos seguintes comandos, consoante o seu cenário:

    Observação

    Para executar este comando, tem de ter python ou python3 instalado no dispositivo, consoante a distribuição e a versão. Se necessário, veja Instruções passo a passo para Instalar o Python no Linux.

    Se estiver a executar o RHEL 8.x ou Ubuntu 20.04 ou superior, tem de utilizar python3. Execute o seguinte comando:

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
    

    Para outras distribuições e versões, tem de utilizar python. Execute o seguinte comando:

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
    
  3. Verifique se o dispositivo está agora associado à sua organização e reporte um identificador de organização válido:

    mdatp health --field org_id
    
  4. Verifique o status de integridade do produto executando o seguinte comando. Um valor devolvido de true indica que o produto está a funcionar conforme esperado:

    mdatp health --field healthy
    

    Importante

    Quando o produto é iniciado pela primeira vez, transfere as definições antimalware mais recentes. Este processo pode demorar alguns minutos, consoante a conectividade de rede. Durante este período, o comando mencionado anteriormente devolve um valor de false. Você pode verificar o status da atualização de definições usando o seguinte comando:

    mdatp health --field definitions_status
    

    Também poderá ter de configurar um proxy depois de concluir a instalação inicial. Veja Configurar o Defender para Endpoint no Linux para deteção de proxy estático: Configuração pós-instalação.

  5. Execute um teste de detecção de antivírus para verificar se o dispositivo foi devidamente integrado e está reportando ao serviço. Execute os seguintes passos no dispositivo recentemente integrado:

    1. Certifique-se de que a proteção em tempo real esteja ativada (indicado por um resultado de true ao executar o seguinte comando):

      mdatp health --field real_time_protection_enabled
      

      Se não estiver ativado, execute o seguinte comando:

      mdatp config real-time-protection --value enabled
      
    2. Para executar um teste de deteção, abra uma janela do Terminal e, em seguida, execute o seguinte comando:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      
    3. Pode executar mais testes de deteção em ficheiros zip com um dos seguintes comandos:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

      Os ficheiros devem ser colocados em quarentena pelo Defender para Endpoint no Linux.

    4. Utilize o seguinte comando para listar todas as ameaças detetadas:

      mdatp threat list
      
  6. Execute um teste de detecção do EDR e simule uma detecção para verificar se o dispositivo está integrado corretamente e reportando ao serviço. Execute os seguintes passos no dispositivo recentemente integrado:

    1. Verifique se o servidor Linux integrado aparece no portal do Defender. Se esta for a primeira integração da máquina, pode demorar até 20 minutos até aparecer.

    2. Transfira e extraia o ficheiro de script para um servidor Linux integrado e, em seguida, execute o seguinte comando:./mde_linux_edr_diy.sh

      Após alguns minutos, uma detecção deve ser gerada no Microsoft Defender XDR.

    3. Observe os detalhes do alerta, a linha do tempo da máquina e execute suas etapas típicas de investigação.

Requisitos de software

Para obter informações, veja Requisitos de software.

Solucionar problemas de instalação

Se tiver problemas de instalação, para resolução automática de problemas, siga estes passos:

  1. Para obter informações sobre como localizar o registo gerado automaticamente quando ocorre um erro de instalação, veja Problemas de instalação de registos.

  2. Para obter informações sobre problemas comuns de instalação, veja Problemas de instalação.

  3. Se o estado de funcionamento do dispositivo for false, consulte Problemas de estado de funcionamento do agente do Defender para Endpoint.

  4. Para problemas de desempenho do produto, veja Resolver problemas de desempenho.

  5. Para problemas de proxy e conectividade, veja Resolver problemas de conectividade da cloud.

Para obter suporte da Microsoft, abra um pedido de suporte e forneça os ficheiros de registo criados com o analisador de cliente.

Como alternar entre canais

Por exemplo, para alterar o canal de Insiders-Fast para Produção, faça o seguinte:

  1. Desinstale a Insiders-Fast channel versão do Defender para Endpoint no Linux.

    sudo dnf remove mdatp
    

    ou

    sudo yum remove mdatp
    
  2. Desativar o Defender para Endpoint no canal Linux Insiders-Fast

    sudo dnf config-manager --disable packages-microsoft-com-fast-prod
    

    ou

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod
    
  3. Reinstale o Microsoft Defender para Ponto de Extremidade no Linux usando o Production channel e integre o dispositivo ao portal do Microsoft Defender.

Como configurar políticas para o Defender para Endpoint no Linux

Para configurar as definições de antivírus e EDR, veja os seguintes artigos:

Desinstalar o Defender para Endpoint no Linux

Para desinstalação manual, execute o seguinte comando para a distribuição Linux.

  • sudo dnf remove mdatpou sudo yum remove mdatp (dependendo do gestor de pacotes) para RHEL e variantes (CentOS e Oracle Linux).
  • sudo zypper remove mdatp para SLES e variantes.
  • sudo apt purge mdatp para sistemas Ubuntu e Debian.
  • sudo dnf remove mdatp para Mariner

Dica

Você deseja aprender mais? Interaja com a comunidade de segurança da Microsoft em nossa Comunidade Técnica: Microsoft Defender para Ponto de Extremidade Tech Community.