Nasazení Microsoft Defender for Endpoint v Linuxu pomocí Saltstacku

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tento článek popisuje, jak nasadit Defender for Endpoint v Linuxu pomocí Saltstacku. Úspěšné nasazení vyžaduje dokončení všech následujících úloh:

• Stažení balíčku pro onboarding
• Vytvoření stavových souborů Saltstack
• Nasazení
• Odkazy

Důležité

Tento článek obsahuje informace o nástrojích třetích stran. To je poskytováno jako pomoc při dokončení scénářů integrace, ale Microsoft neposkytuje podporu pro řešení potíží s nástroji třetích stran.
Požádejte o podporu externího dodavatele.

Požadavky a požadavky na systém

Než začnete, podívejte se na hlavní stránku Defenderu for Endpoint v Linuxu , kde najdete popis požadavků a požadavků na systém pro aktuální verzi softwaru.

Kromě toho pro nasazení Saltstacku musíte znát správu Saltstacku, mít nainstalovaný Saltstack, nakonfigurovat hlavní a mimosluní a vědět, jak používat stavy. Saltstack má mnoho způsobů, jak provést stejný úkol. Tyto pokyny předpokládají dostupnost podporovaných modulů Saltstack, jako je apt a unarchive , které vám pomůžou nasadit balíček. Vaše organizace může použít jiný pracovní postup. Podrobnosti najdete v dokumentaci k Saltstacku .

Tady je několik důležitých bodů:

• Saltstack je nainstalovaný alespoň na jednom počítači (Saltstack tento počítač nazývá master).
• Hlavní server Saltstack přijal připojení spravovaných uzlů (Saltstack uzly nazývá přisluhovači).
• Přisluhovači Saltstacku dokážou vyřešit komunikaci s hlavním saltstackem (ve výchozím nastavení se přisluhovači snaží komunikovat s počítačem s názvem "salt").
• Spusťte následující test ping: sudo salt '*' test.ping
• Hlavní server Saltstack má umístění souborového serveru, ze kterého se dají distribuovat Microsoft Defender for Endpoint soubory (ve výchozím nastavení používá /srv/salt Saltstack složku jako výchozí distribuční bod).

Stažení balíčku pro onboarding

Upozornění

Opětovné zabalení instalačního balíčku Defenderu for Endpoint není podporovaným scénářem. To může negativně ovlivnit integritu produktu a vést k nepříznivým výsledkům, mimo jiné včetně aktivace upozornění na manipulaci a selhání aktualizace.

1. Na portálu Microsoft Defender přejděte na Nastavení>Koncové body>Onboardingsprávy> zařízení.

2. V první rozevírací nabídce vyberte jako operační systém Linux Server . V druhé rozevírací nabídce vyberte jako metodu nasazení Váš preferovaný nástroj pro správu konfigurace Linuxu .

3. Vyberte Stáhnout onboardingový balíček. Uložte soubor jako WindowsDefenderATPOnboardingPackage.zip.

   

4. Na hlavním serveru SaltStack extrahujte obsah archivu do složky serveru SaltStack (obvykle /srv/salt):

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: /srv/salt/mde/mdatp_onboard.json
   

Vytvoření stavových souborů Saltstack

V tomto kroku vytvoříte v úložišti konfigurace (obvykle /srv/salt) stavový soubor SaltState, který použije potřebné stavy k nasazení a onboardingu Defenderu for Endpoint. Pak přidáte úložiště a klíč Defenderu for Endpoint: install_mdatp.sls.

Poznámka

Defender for Endpoint v Linuxu je možné nasadit z jednoho z následujících kanálů:

• insiders-fast, označeno jako [channel]
• účastníci programu insider-slow, označeno jako [channel]
• prod, označeno jako [channel] používající název verze (viz Linux Software Repository for Microsoft Products).

Každý kanál odpovídá úložišti softwaru v Linuxu.

Volba kanálu určuje typ a frekvenci aktualizací nabízených vašemu zařízení. Zařízení v rychlém okruhu insiderů jsou první, která obdrží aktualizace a nové funkce, za nimiž budou později následovat pomalí účastníci programu Insider a nakonec prod.

Pokud chcete získat náhled nových funkcí a poskytnout včasnou zpětnou vazbu, doporučujeme nakonfigurovat některá zařízení ve vašem podniku tak, aby používala buď rychlé účastníkyprogramu Insider, nebo pomalé účastníky programu Insider.

Upozornění

Přepnutí kanálu po počáteční instalaci vyžaduje přeinstalaci produktu. Přepnutí kanálu produktu: Odinstalujte existující balíček, znovu nakonfigurujte zařízení tak, aby používalo nový kanál, a podle pokynů v tomto dokumentu nainstalujte balíček z nového umístění.

1. Poznamenejte si svoji distribuci a verzi a v části https://packages.microsoft.com/config/[distro]/identifikujte nejbližší položku.

   V následujících příkazech nahraďte [distribuce] a [version] vašimi informacemi.

   Poznámka

   V případě Oracle Linuxu a Amazon Linuxu 2 nahraďte [distro] názvem "rhel". V případě Amazon Linuxu 2 nahraďte [version] textem "7". V případě použití Oracle nahraďte [version] verzí Oracle Linuxu.

   cat /srv/salt/install_mdatp.sls
   

   add_ms_repo:
     pkgrepo.managed:
       - humanname: Microsoft Defender Repository
       {% if grains['os_family'] == 'Debian' %}
       - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
       - dist: [codename]
       - file: /etc/apt/sources.list.d/microsoft-[channel].list
       - key_url: https://packages.microsoft.com/keys/microsoft.asc
       - refresh: true
       {% elif grains['os_family'] == 'RedHat' %}
       - name: packages-microsoft-[channel]
       - file: microsoft-[channel]
       - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
       - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
       - gpgcheck: true
       {% endif %}
   

2. Přidejte stav nainstalovaného balíčku do install_mdatp.sls za add_ms_repo stav, jak je definováno dříve.

   install_mdatp_package:
     pkg.installed:
       - name: matp
       - required: add_ms_repo
   

3. Přidejte nasazení souboru onboardingu do za install_mdatp.slsinstall_mdatp_package , jak je definováno dříve.

   copy_mde_onboarding_file:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
       - source: salt://mde/mdatp_onboard.json
       - required: install_mdatp_package
   

   Dokončený soubor stavu instalace by měl vypadat podobně jako tento výstup:

   add_ms_repo:
   pkgrepo.managed:
   - humanname: Microsoft Defender Repository
   {% if grains['os_family'] == 'Debian' %}
   - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
   - dist: [codename]
   - file: /etc/apt/sources.list.d/microsoft-[channel].list
   - key_url: https://packages.microsoft.com/keys/microsoft.asc
   - refresh: true
   {% elif grains['os_family'] == 'RedHat' %}
   - name: packages-microsoft-[channel]
   - file: microsoft-[channel]
   - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
   - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
   - gpgcheck: true
   {% endif %}
   
   install_mdatp_package:
   pkg.installed:
   - name: mdatp
   - required: add_ms_repo
   
   copy_mde_onboarding_file:
   file.managed:
   - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   - source: salt://mde/mdatp_onboard.json
   - required: install_mdatp_package
   

4. Vytvořte v úložišti konfigurace (obvykle /srv/salt) stavový soubor SaltState, který použije potřebné stavy k offboardingu a odebrání Defenderu for Endpoint. Než použijete soubor stavu offboardingu, musíte stáhnout balíček pro offboarding z portálu Zabezpečení a extrahovat ho stejným způsobem, jakým jste použili balíček pro onboarding. Stažený balíček pro offboarding je platný pouze po omezenou dobu.

5. Vytvořte soubor uninstall_mdapt.sls stavu odinstalace a přidejte stav pro odebrání mdatp_onboard.json souboru.

   cat /srv/salt/uninstall_mdatp.sls
   

   remove_mde_onboarding_file:
     file.absent:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   

6. Přidejte nasazení souboru pro offboarding do uninstall_mdatp.sls souboru za remove_mde_onboarding_file stav definovaný v předchozí části.

    offboard_mde:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
       - source: salt://mde/mdatp_offboard.json
   

7. Přidejte odebrání balíčku MDATP do uninstall_mdatp.sls souboru za offboard_mde stav definovaný v předchozí části.

   remove_mde_packages:
     pkg.removed:
       - name: mdatp
   

   Soubor stavu úplné odinstalace by měl vypadat podobně jako následující výstup:

   remove_mde_onboarding_file:
     file.absent:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   
   offboard_mde:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
       - source: salt://mde/offboard/mdatp_offboard.json
   
   remove_mde_packages:
      pkg.removed:
        - name: mdatp
   

Nasazení

V tomto kroku použijete stav na přisluhovačů. Následující příkaz použije stav na počítače s názvem, který začíná mdetestna .

1. Instalace:

   salt 'mdetest*' state.apply install_mdatp
   

   Důležité

   Když se produkt poprvé spustí, stáhne nejnovější antimalwarové definice. V závislosti na připojení k internetu to může trvat až několik minut.

2. Ověření/konfigurace:

   salt 'mdetest*' cmd.run 'mdatp connectivity test'
   

   salt 'mdetest*' cmd.run 'mdatp health'
   

3. Odinstalace:

   salt 'mdetest*' state.apply uninstall_mdatp
   

Problémy s instalací protokolu

Další informace o tom, jak najít automaticky vygenerovaný protokol vytvořený instalačním programem, když dojde k chybě, najdete v tématu Problémy s instalací protokolu.

Upgrady operačního systému

Při upgradu operačního systému na novou hlavní verzi musíte nejprve odinstalovat Defender for Endpoint v Linuxu, nainstalovat upgrade a nakonec překonfigurovat Defender for Endpoint v Linuxu na vašem zařízení.

Odkazy

• Dokumentace k projektu SALT

Viz také

• Prozkoumání problémů se stavem agenta

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.