Cách cài đặt và sử dụng Microsoft Defender trong Linux

Mặc dù nhiều người dùng Linux bên ngoài doanh nghiệp có thể không hiểu hết được tầm quan trọng của các công cụ Microsoft trên Linux, nhưng những người ở bên trong chắc chắn sẽ hiểu rằng chúng có thể là vô giá.

Khả năng tích hợp với Active Directory và phần lớn hệ sinh thái của Microsoft là rất lớn đối với Linux dành cho desktop và nó có thể làm cho bản phân phối yêu thích của bạn trở thành một hệ điều hành khả thi hơn ở nơi làm việc. Một trong những phần quan trọng nhất của doanh nghiệp là bảo mật. Hướng dẫn này sẽ chỉ cho bạn cách cài đặt và sử dụng Microsoft Defender trên Linux để đảm bảo bộ phận CNTT có thể quét máy của bạn và tìm các mối đe dọa.

Cách cài đặt Microsoft Defender trong Linux

Để cài đặt Microsoft Defender trên Linux, các hướng dẫn sẽ khác nhau tùy thuộc vào bản phân phối. Microsoft chưa đưa các gói của hãng này vào kho lưu trữ, vì vậy bạn sẽ phải đảm bảo cài đặt các dependency phù hợp và thêm các repo.

Bản phân phối dựa trên RPM

Bạn sẽ cần yum-utils hoặc dnf-utils:

sudo dnf instll yum-utils

Để cấu hình Microsoft repos, cú pháp cơ bản của Microsoft repos như sau:

https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

Bài viết sẽ sử dụng prod.repo, vì tất cả các bản phân phối đều có sẵn prod.repo hoặc prod.list. Vì vậy, đối với hệ thống Fedora, lệnh đó sẽ như sau:

sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/fedora/33/prod.repo

Đối với hệ thống CentOS, lệnh sẽ như sau:

sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/centos/8/prod.repo

Ví dụ đang sử dụng lệnh yum vì nó được nhắm mục tiêu vào RHEL, CentOS và Oracle Linux, nhưng bạn cũng có thể sử dụng dnf. Bạn cũng sẽ cần nhập key GPG của Microsoft bằng lệnh sau:

sudo rpm --import http://packages.microsoft.com/keys/microsoft.asc

Chạy cập nhật nhanh:

sudo yum update

Sau đó, bạn sẽ chỉ cần cài đặt gói tên là mdatp hoặc Microsoft Defender Advanced Threat Protection.

sudo yum install mdatp

Hệ thống Debian/Ubuntu

Bạn sẽ cần một số dependency bổ sung:

sudo apt install curl libplist-utils

Sau đó, về cơ bản bạn có thể làm theo cùng một quy trình:

curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/20.04/prod.list
 sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
 sudo apt install gpg
 curl https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -
 sudo apt install apt-transport-https
 sudo apt update
 sudo apt install mdatp

Cài đặt repo, key GPG, mọi dependency và mdatp.

Sử dụng Microsoft Defender trên Linux

Chạy quét các mối đe dọa

Một trong những điều chính mà bạn có thể muốn làm là quét hệ thống để tìm các mối đe dọa. Để làm điều đó, hãy mở Terminal và gõ lệnh sau:

mdatp scan full

Thao tác này sẽ quét tất cả file mà nó có quyền truy cập (trong trường hợp ví dụ là 329.812) và báo cáo về bất kỳ mối đe dọa nào mà nó biết. Bạn cũng có thể chạy quét nhanh hoặc quét tùy chỉnh. Tùy chọn tùy chỉnh cho phép bạn chỉ định một thư mục hoặc file, hay bỏ qua bất kỳ trường hợp được loại trừ nào mà bạn đã đặt trước đó. Bạn có thể chạy quét như sau:

mdatp scan custom --path /PATH/TO/DIRECTORY --ignore-exclusions

Nếu đã đặt một trường hợp loại trừ như được đề cập bên dưới, bạn có thể chạy quá trình quét ở trên.

Cập nhật virus signature

Để cập nhật virus signature trên Microsoft Defender trên Linux, hãy cập nhật nó giống như bất kỳ gói nào khác.

sudo yum update mdatp
 sudo apt-get upgrade mdatp

Đặt trường hợp loại trừ

Để tạo loại trừ các file được cho là tốt không bị báo cáo, bạn có thể thực hiện theo một số cách. Để loại trừ một loại file, bạn có thể sử dụng lệnh như sau:

mdatp exclusion extension add --name .png

Thao tác này sẽ chọn tất cả các file .png và đưa chúng vào danh sách loại trừ. Nếu bạn có một loại file cụ thể do bạn tạo và biết chắc rằng sẽ không bao giờ cần quét, bạn có thể sử dụng lệnh này để thực hiện điều đó.

Để loại trừ một thư mục, bạn có thể sử dụng một lệnh tương tự:

mdatp exclusion folder add --path /PATH/TO/DIRECTORY/

Bây giờ, bất kỳ thư mục nào bạn vừa yêu cầu mdatp loại trừ sẽ không được quét. Điều này rất hữu ích nếu bạn có một số công cụ kiểm tra bảo mật trên hệ thống.