Al giorno d'oggi è fondamentale proteggere i propri endpoint, in ottica Zero Trust, oltre che Windows anche tutte le macchine Linux all'interno delle vostre organizzazioni.
Proprio per questo ho deciso di mostrarvi come eseguire l'onboarding di Microsoft Defender for Endpoint in Ubuntu Desktop Edition.
Licensing
Come sempre mi piace innanzitutto darvi evidenza del modello di Licensing necessario per avere a disposizione questa funzionalità:
Ne approfitto per ringraziare Aaron Dinnage per il prezioso lavoro con il sito M365Maps.
Riporto anche tutti i prerequisiti a livello di sistema operativo che devono essere rispettati per poter procedere con l'implementazione:
- Supported Linux server distributions and x64 (AMD64/EM64T) and x86_64 versions:
- Red Hat Enterprise Linux 6.7 or higher (Preview)
- Red Hat Enterprise Linux 7.2 or higher
- Red Hat Enterprise Linux 8.x
- Red Hat Enterprise Linux 9.x
- CentOS 6.7 or higher (Preview)
- CentOS 7.2 or higher
- Ubuntu 16.04 LTS or higher LTS
- Debian 9 or higher
- SUSE Linux Enterprise Server 12 or higher
- Oracle Linux 7.2 or higher
- Oracle Linux 8.x
- Amazon Linux 2
- Fedora 33 or higher
Per eventuali approfondimenti vi invito a consultare il link Microsoft ufficiale nel quale vengono definiti tutti i requirements necessari Microsoft Defender for Endpoint on Linux | Microsoft Learn
Scenario
Per darvi evidenza della funzionalità, eseguirò l'onboarding di una macchina virtuale in Hyper-V, con sistema operatvo Ubunto 22.04 dandovi evidenza dell'"aggancio" di Microsoft Defender for Endpoint su questa macchina e di esso vi aiuterà a proteggervi da eventuali attacchi informatici che potrebdbero presentarsi.
Aprire il Terminal della macchina linux e installare CURL se non già presente con il seguente comando:
Ora siete pronti per installare/distribuire Microsoft Defender sulla vostra macchina il comando da utilizzare è il seguente:
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
Attenzione, perchè dovrete sostituire [distro],[version],[channel] con i valori corretti della vostra distribuzione Linux, nel mio caso avendo UBUNTU versione 20.04 e volendo installare il canale corrente di Defender il comando che eseguirò sarà il seguente:
curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/20.04/prod.list
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
Sostituendo [channel] con il canale che avete utilizzato prima, nel mio caso [prod] e quindi il comando risulterà il seguente:
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
Ora procedere ad installare gpg se non già installato:
sudo apt-get install gpg
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
sudo apt-get install apt-transport-https
Una volta eseguiti questi due comandi eseguite un update dei metadata
sudo apt-get update
Ora dopo una miriade di comandi 😏 siete pronti all'installazione vera e propria di Microsoft defender for Endpoint.
sudo apt-get install mdatp
Ora procedete a scaricare il pacchetto di On-Boarding dalla console di Microsoft 365 Defender:
Scompattate il file appena scaricate e tramite terminale posizionatevi nella cartella di estrazione del file:
sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
Ora entro pochi secondi all'interno del portale di Microsoft 365 Defender vedrete il vostro dispositivo Linux:
Enjoy MDE 😛