Freigeben über


Bereitstellen von Microsoft Defender for Endpoint unter Linux mit Saltstack

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

In diesem Artikel wird beschrieben, wie Sie Defender für Endpunkt unter Linux mithilfe von Saltstack bereitstellen. Eine erfolgreiche Bereitstellung erfordert den Abschluss aller folgenden Aufgaben:

Wichtig

Dieser Artikel enthält Informationen zu Drittanbietertools. Dies wird bereitgestellt, um Integrationsszenarien abzuschließen. Microsoft bietet jedoch keine Unterstützung bei der Problembehandlung für Drittanbietertools.
Wenden Sie sich an den Drittanbieter, um Support zu erhalten.

Voraussetzungen und Systemanforderungen

Bevor Sie beginnen, finden Sie auf der Seite Standard Defender für Endpunkt unter Linux eine Beschreibung der Voraussetzungen und Systemanforderungen für die aktuelle Softwareversion.

Darüber hinaus müssen Sie für die Saltstack-Bereitstellung mit der Saltstack-Verwaltung vertraut sein, Saltstack installiert haben, master und minions konfigurieren und wissen, wie Zustände angewendet werden. Saltstack hat viele Möglichkeiten, die gleiche Aufgabe auszuführen. Diese Anweisungen setzen die Verfügbarkeit unterstützter Saltstack-Module wie apt und unarchive voraus, um das Paket bereitzustellen. Ihr organization verwendet möglicherweise einen anderen Workflow. Weitere Informationen finden Sie in der Saltstack-Dokumentation .

Hier sind einige wichtige Punkte:

  • Saltstack ist auf mindestens einem Computer installiert (Saltstack nennt den Computer als master).
  • Die Saltstack-master die verwalteten Knoten (Saltstack ruft die Knoten als Minions auf) akzeptiert.
  • Die Saltstack-Minions können die Kommunikation mit dem Saltstack-master auflösen (standardmäßig versuchen die Minions, mit einem Computer namens "salt" zu kommunizieren).
  • Führen Sie den folgenden Pingtest aus: sudo salt '*' test.ping
  • Die Saltstack-master verfügt über einen Dateiserverspeicherort, von dem die Microsoft Defender for Endpoint Dateien verteilt werden können (standardmäßig verwendet Saltstack den /srv/salt Ordner als Standardverteilungspunkt).

Herunterladen des Onboardingpakets

Warnung

Das Erneute Packen des Defender für Endpunkt-Installationspakets wird nicht unterstützt. Dies kann sich negativ auf die Integrität des Produkts auswirken und zu negativen Ergebnissen führen, einschließlich, aber nicht beschränkt auf das Auslösen von Manipulationswarnungen und nicht angewendeten Updates.

  1. Wechseln Sie Microsoft Defender Portal zu Einstellungen>Endpunkte>Geräteverwaltung>Onboarding.

  2. Wählen Sie im ersten Dropdownmenü Linux Server als Betriebssystem aus. Wählen Sie im zweiten Dropdownmenü Ihr bevorzugtes Linux-Konfigurationsverwaltungstool als Bereitstellungsmethode aus.

  3. Wählen Sie "Onboardingpaket herunterladen" aus. Speichern Sie die Datei als WindowsDefenderATPOnboardingPackage.zip.

    Die Option

  4. Extrahieren Sie auf dem SaltStack-Master den Inhalt des Archivs in den Ordner des SaltStack-Servers (in der Regel /srv/salt):

    ls -l
    
    total 8
    -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
    
    unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: /srv/salt/mde/mdatp_onboard.json
    

Erstellen von Saltstack-Zustandsdateien

In diesem Schritt erstellen Sie eine SaltState-Zustandsdatei in Ihrem Konfigurationsrepository (in der Regel /srv/salt), die die erforderlichen Zustände für die Bereitstellung und das Onboarding von Defender für Endpunkt anwendet. Anschließend fügen Sie das Defender für Endpunkt-Repository und den Schlüssel hinzu: install_mdatp.sls.

Hinweis

Defender für Endpunkt unter Linux kann über einen der folgenden Kanäle bereitgestellt werden:

Jeder Kanal entspricht einem Linux-Softwarerepository.

Die Wahl des Kanals bestimmt den Typ und die Häufigkeit der Updates, die Ihrem Gerät angeboten werden. Geräte in Insider-fast sind die ersten, die Updates und neue Features erhalten, später von Insidern langsam und schließlich von Prod.

Um eine Vorschau neuer Features anzuzeigen und frühzeitig Feedback zu geben, wird empfohlen, einige Geräte in Ihrem Unternehmen so zu konfigurieren, dass sie entweder insiders-fast oder insiders-slow verwenden.

Warnung

Wenn Sie den Kanal nach der Erstinstallation wechseln, muss das Produkt neu installiert werden. Um den Produktkanal zu wechseln: Deinstallieren Sie das vorhandene Paket, konfigurieren Sie Ihr Gerät neu, um den neuen Kanal zu verwenden, und führen Sie die Schritte in diesem Dokument aus, um das Paket vom neuen Speicherort aus zu installieren.

  1. Notieren Sie sich Ihre Distribution und Version, und identifizieren Sie den nächstgelegenen Eintrag unter https://packages.microsoft.com/config/[distro]/.

    Ersetzen Sie in den folgenden Befehlen [distribution] und [version] durch Ihre Informationen.

    Hinweis

    Ersetzen Sie im Fall von Oracle Linux und Amazon Linux 2 [Distribution] durch "rhel". Ersetzen Sie für Amazon Linux 2 [Version] durch "7". Ersetzen Sie [Version] durch die Version von Oracle Linux, um Oracle zu verwenden.

    cat /srv/salt/install_mdatp.sls
    
    add_ms_repo:
      pkgrepo.managed:
        - humanname: Microsoft Defender Repository
        {% if grains['os_family'] == 'Debian' %}
        - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
        - dist: [codename]
        - file: /etc/apt/sources.list.d/microsoft-[channel].list
        - key_url: https://packages.microsoft.com/keys/microsoft.asc
        - refresh: true
        {% elif grains['os_family'] == 'RedHat' %}
        - name: packages-microsoft-[channel]
        - file: microsoft-[channel]
        - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
        - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
        - gpgcheck: true
        {% endif %}
    
  2. Fügen Sie den Installationsstatus des Pakets nach dem add_ms_repo zuvor definierten Zustand hinzuinstall_mdatp.sls.

    install_mdatp_package:
      pkg.installed:
        - name: matp
        - required: add_ms_repo
    
  3. Fügen Sie die Bereitstellung der Onboardingdatei nach install_mdatp.sls dem install_mdatp_package hinzu, wie zuvor definiert.

    copy_mde_onboarding_file:
      file.managed:
        - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
        - source: salt://mde/mdatp_onboard.json
        - required: install_mdatp_package
    

    Die abgeschlossene Installationsstatusdatei sollte in etwa wie die folgende Ausgabe aussehen:

    add_ms_repo:
    pkgrepo.managed:
    - humanname: Microsoft Defender Repository
    {% if grains['os_family'] == 'Debian' %}
    - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
    - dist: [codename]
    - file: /etc/apt/sources.list.d/microsoft-[channel].list
    - key_url: https://packages.microsoft.com/keys/microsoft.asc
    - refresh: true
    {% elif grains['os_family'] == 'RedHat' %}
    - name: packages-microsoft-[channel]
    - file: microsoft-[channel]
    - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
    - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
    - gpgcheck: true
    {% endif %}
    
    install_mdatp_package:
    pkg.installed:
    - name: mdatp
    - required: add_ms_repo
    
    copy_mde_onboarding_file:
    file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    - source: salt://mde/mdatp_onboard.json
    - required: install_mdatp_package
    
  4. Erstellen Sie in Ihrem Konfigurationsrepository (in der Regel /srv/salt) eine SaltState-Zustandsdatei, die die erforderlichen Zustände anwendet, um Defender für Endpunkt zu offboarden und zu entfernen. Bevor Sie die Offboardingzustandsdatei verwenden, müssen Sie das Offboarding-Paket aus dem Sicherheitsportal herunterladen und auf die gleiche Weise extrahieren wie das Onboardingpaket. Das heruntergeladene Offboardingpaket ist nur für einen begrenzten Zeitraum gültig.

  5. Erstellen Sie eine Deinstallationsstatusdatei uninstall_mdapt.sls , und fügen Sie den Zustand hinzu, um die mdatp_onboard.json Datei zu entfernen.

    cat /srv/salt/uninstall_mdatp.sls
    
    remove_mde_onboarding_file:
      file.absent:
        - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    
  6. Fügen Sie der Datei die Offboardingdateibereitstellung nach dem uninstall_mdatp.slsremove_mde_onboarding_file im vorherigen Abschnitt definierten Zustand hinzu.

     offboard_mde:
      file.managed:
        - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
        - source: salt://mde/mdatp_offboard.json
    
  7. Fügen Sie der Datei das Entfernen des MDATP-Pakets uninstall_mdatp.sls nach dem offboard_mde im vorherigen Abschnitt definierten Zustand hinzu.

    remove_mde_packages:
      pkg.removed:
        - name: mdatp
    

    Die vollständige Deinstallationszustandsdatei sollte in etwa wie die folgende Ausgabe aussehen:

    remove_mde_onboarding_file:
      file.absent:
        - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    
    offboard_mde:
      file.managed:
        - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
        - source: salt://mde/offboard/mdatp_offboard.json
    
    remove_mde_packages:
       pkg.removed:
         - name: mdatp
    

Bereitstellung)

In diesem Schritt wenden Sie den Zustand auf die Minions an. Der folgende Befehl wendet den Zustand auf Computer mit dem Namen an, der mit mdetestbeginnt.

  1. Installation:

    salt 'mdetest*' state.apply install_mdatp
    

    Wichtig

    Wenn das Produkt zum ersten Mal gestartet wird, lädt es die neuesten Antischadsoftwaredefinitionen herunter. Je nach Internetverbindung kann dies einige Minuten dauern.

  2. Überprüfung/Konfiguration:

    salt 'mdetest*' cmd.run 'mdatp connectivity test'
    
    salt 'mdetest*' cmd.run 'mdatp health'
    
  3. Deinstallation:

    salt 'mdetest*' state.apply uninstall_mdatp
    

Protokollieren von Installationsproblemen

Weitere Informationen zum Suchen des automatisch generierten Protokolls, das beim Auftreten eines Fehlers vom Installationsprogramm erstellt wird, finden Sie unter Protokollinstallationsprobleme.

Betriebssystemupgrades

Wenn Sie Ihr Betriebssystem auf eine neue Hauptversion aktualisieren, müssen Sie zunächst Defender für Endpunkt unter Linux deinstallieren, das Upgrade installieren und schließlich Defender für Endpunkt unter Linux auf Ihrem Gerät neu konfigurieren.

Referenz

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.