Sdílet prostřednictvím

Nasazení aplikace Defender for Endpoint v Linuxu pomocí Chef

  • Článek

Důležité

Tento článek obsahuje informace o nástrojích třetích stran. To je poskytováno jako pomoc při dokončení scénářů integrace, ale Microsoft neposkytuje podporu pro řešení potíží s nástroji třetích stran.
Požádejte o podporu externího dodavatele.

Než začnete: Nainstalujte rozbalení, pokud ještě není nainstalované.

Komponenty Chefu jsou už nainstalované a existuje úložiště Chef (název> úložiště <vygenerovaného chefem) pro uložení kuchařky, která se používá k nasazení do Defenderu for Endpoint na linuxových serverech spravovaných chefem.

Ve stávajícím úložišti můžete vytvořit novou kuchařku spuštěním následujícího příkazu ve složce cookbooks, která je ve vašem úložišti Chef:

chef generate cookbook mdatp

Tento příkaz vytvoří novou strukturu složek pro novou kuchařku s názvem mdatp. Pokud už máte existující kuchařku, kterou chcete použít k přidání nasazení Defenderu for Endpoint, můžete použít i existující kuchařku. Po vytvoření kuchařky vytvořte složku se soubory ve složce cookbook, která se právě vytvořila:

mkdir mdatp/files

Přeneste soubor ZIP onboardingu linuxového serveru, který je možné stáhnout z portálu Microsoft Defender, do této nové složky souborů.

Upozornění

Opětovné zabalení instalačního balíčku Defenderu for Endpoint není podporovaným scénářem. To může negativně ovlivnit integritu produktu a vést k nepříznivým výsledkům, mimo jiné včetně aktivace upozornění na manipulaci a selhání aktualizace.

Na pracovní stanici Chef přejděte do složky mdatp/recipes. Tato složka se vytvoří při vygenerování kuchařky. Pomocí preferovaného textového editoru (například vi nebo nano) přidejte na konec souboru default.rb následující pokyny:

  • include_recipe '::onboard_mdatp'
  • include_recipe '::install_mdatp'

Potom soubor default.rb uložte a zavřete.

Dále ve složce recepty vytvořte nový soubor receptu s názvem install_mdatp.rb a přidejte do souboru tento text:

#Add Microsoft Defender
Repo
case node['platform_family']
when 'debian'
 apt_repository 'MDAPRepo' do
   arch               'amd64'
   cache_rebuild      true
   cookbook           false
   deb_src            false
   key                'BC528686B50D79E339D3721CEB3E94ADBE1229CF'
   keyserver          "keyserver.ubuntu.com"
   distribution       'focal'
   repo_name          'microsoft-prod'
   components         ['main']
   trusted            true
   uri                "https://packages.microsoft.com/config/ubuntu/20.04/prod"
 end
 apt_package "mdatp"
when 'rhel'
 yum_repository 'microsoft-prod' do
   baseurl            "https://packages.microsoft.com/config/rhel/7/prod/"
   description        "Microsoft Defender for Endpoint"
   enabled            true
   gpgcheck           true
   gpgkey             "https://packages.microsoft.com/keys/microsoft.asc"
 end
 if node['platform_version'] <= 8 then
    yum_package "mdatp"
 else
    dnf_package "mdatp"
 end
end

Musíte upravit číslo verze, distribuci a název úložiště tak, aby odpovídaly verzi, do které nasazujete, a kanálu, který chcete nasadit. Dále byste měli vytvořit soubor onboard_mdatp.rb ve složce mdatp/recipies. Do tohoto souboru přidejte následující text:

#Create MDATP Directory
mdatp = "/etc/opt/microsoft/mdatp"
zip_path = "/path/to/chef-repo/cookbooks/mdatp/files/WindowsDefenderATPOnboardingPackage.zip"

directory "#{mdatp}" do
  owner 'root'
  group 'root'
  mode 0755
  recursive true
end

#Extract WindowsDefenderATPOnbaordingPackage.zip into /etc/opt/microsoft/mdatp

bash 'Extract Onboarding Json MDATP' do
  code <<-EOS
  unzip #{zip_path} -d #{mdatp}
  EOS
  not_if { ::File.exist?('/etc/opt/microsoft/mdatp/mdatp_onboard.json') }
end

Nezapomeňte aktualizovat název cesty na umístění souboru onboardingu. Pokud chcete otestovat nasazení na pracovní stanici Chef, spusťte příkaz sudo chef-client -z -o mdatp. Po nasazení byste měli zvážit vytvoření a nasazení konfiguračního souboru na servery na základě nastavení předvoleb pro Microsoft Defender for Endpoint v Linuxu. Po vytvoření a otestování konfiguračního souboru ho můžete vložit do cookbook/mdatp/files složky, kam jste také umístili balíček pro onboarding. Pak můžete vytvořit soubor settings_mdatp.rb ve složce mdatp/recipies a přidat tento text:

#Copy the configuration file
cookbook_file '/etc/opt/microsoft/mdatp/managed/mdatp_managed.json' do
  source 'mdatp_managed.json'
  owner 'root'
  group 'root'
  mode '0755'
  action :create
end

Pokud chcete tento krok zahrnout jako součást receptu, stačí přidat include_recipe ':: settings_mdatp do souboru default.rb ve složce s recepty.

Můžete také použít crontab k naplánování automatických aktualizací Naplánování aktualizace Microsoft Defender for Endpoint (Linux).

Odinstalujte kuchařku MDATP:

#Uninstall the Defender package
case node['platform_family']
when 'debian'
 apt_package "mdatp" do
   action :remove
 end
when 'rhel'
 if node['platform_version'] <= 8
then
    yum_package "mdatp" do
      action :remove
    end
 else
    dnf_package "mdatp" do
      action :remove
    end
 end
end

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.