Implementación de Microsoft Defender para punto de conexión en Linux con Saltstack

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender XDR

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

En este artículo se describe cómo implementar Defender para punto de conexión en Linux mediante Saltstack. Una implementación correcta requiere la finalización de todas las tareas siguientes:

• Descarga del paquete de incorporación
• Create archivos de estado de Saltstack
• Implementación
• Reference

Importante

Este artículo contiene información sobre herramientas de terceros. Esto se proporciona para ayudar a completar escenarios de integración; sin embargo, Microsoft no proporciona compatibilidad con la solución de problemas para herramientas de terceros.
Póngase en contacto con el proveedor de terceros para obtener soporte técnico.

Requisitos previos y requisitos del sistema

Antes de empezar, consulte la página principal de Defender para punto de conexión en Linux para obtener una descripción de los requisitos previos y los requisitos del sistema para la versión de software actual.

Además, para la implementación de Saltstack, debe estar familiarizado con la administración de Saltstack, tener Saltstack instalado, configurar los master y los súbditos y saber cómo aplicar estados. Saltstack tiene muchas maneras de completar la misma tarea. Estas instrucciones asumen la disponibilidad de los módulos saltstack admitidos, como apt y unarchive para ayudar a implementar el paquete. Su organización podría usar un flujo de trabajo diferente. Consulte la documentación de Saltstack para obtener más información.

• Saltstack está instalado en al menos un equipo (Saltstack llama al equipo como maestro).

• El maestro de Saltstack aceptó las conexiones de nodos administrados (Saltstack llama a los nodos como súbditos).

• Los súbditos de Saltstack pueden resolver la comunicación con el maestro de Saltstack (por defecto, los súbditos intentan comunicarse con una máquina denominada "salt").

• Retornó esta prueba de ping:

  sudo salt '*' test.ping
  

• El maestro de Saltstack tiene una ubicación del servidor de archivos desde la que se pueden distribuir los archivos de Microsoft Defender para punto de conexión (de forma predeterminada Saltstack usa la carpeta /srv/salt como punto de distribución predeterminado)

Descarga del paquete de incorporación

Descargue el paquete de incorporación desde Microsoft Defender portal.

Advertencia

Volver a empaquetar el paquete de instalación de Defender para punto de conexión no es un escenario compatible. Esto puede afectar negativamente a la integridad del producto y dar lugar a resultados adversos, incluidos, entre otros, el desencadenamiento de alertas de manipulación y la no aplicación de actualizaciones.

1. En Microsoft Defender portal, vaya a Configuración > Puntos de conexión > Administración de > dispositivos Incorporación.

2. En el primer menú desplegable, seleccione Servidor Linux como sistema operativo. En el segundo menú desplegable, seleccione La herramienta de administración de configuración de Linux preferida como método de implementación.

3. Seleccione Descargar el paquete de incorporación Guarde el archivo como WindowsDefenderATPOnboardingPackage.zip.

   

4. En SaltStack Master, extraiga el contenido del archivo en la carpeta del servidor SaltStack (normalmente /srv/salt):

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: /srv/salt/mde/mdatp_onboard.json
   

Create archivos de estado de Saltstack

Create un archivo de estado SaltState en el repositorio de configuración (normalmente /srv/salt) que aplica los estados necesarios para implementar e incorporar Defender para punto de conexión.

• Agregue el repositorio y la clave de Defender para punto de conexión, install_mdatp.sls:

  Defender para punto de conexión en Linux se puede implementar desde uno de los siguientes canales (descritos como [canal]): insiders-fast, insiders-slow o prod. Cada uno de estos canales corresponde a un repositorio de software linux.

  La elección del canal determina el tipo y la frecuencia de las actualizaciones que se ofrecen al dispositivo. Los dispositivos de insiders-fast son los primeros en recibir actualizaciones y nuevas características, seguidos más adelante por los usuarios internos lentos y, por último, por producción.

  Para obtener una vista previa de las nuevas características y proporcionar comentarios anticipados, se recomienda configurar algunos dispositivos en la empresa para usar insiders-fast o insiders-slow.

  Advertencia

  Cambiar el canal después de la instalación inicial requiere que se vuelva a instalar el producto. Para cambiar el canal del producto: desinstale el paquete existente, vuelva a configurar el dispositivo para que use el nuevo canal y siga los pasos de este documento para instalar el paquete desde la nueva ubicación.

  Anote la distribución y la versión e identifique la entrada más cercana en https://packages.microsoft.com/config/[distro]/.

  En los comandos siguientes, reemplace [distro] y [version] por la información.

  Nota:

  En el caso de Oracle Linux y Amazon Linux 2, reemplace [distro] por "rhel". Para Amazon Linux 2, reemplace [versión] por "7". Para el uso de Oracle, reemplace [versión] por la versión de Oracle Linux.

  cat /srv/salt/install_mdatp.sls
  

  add_ms_repo:
    pkgrepo.managed:
      - humanname: Microsoft Defender Repository
      {% if grains['os_family'] == 'Debian' %}
      - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
      - dist: [codename]
      - file: /etc/apt/sources.list.d/microsoft-[channel].list
      - key_url: https://packages.microsoft.com/keys/microsoft.asc
      - refresh: true
      {% elif grains['os_family'] == 'RedHat' %}
      - name: packages-microsoft-[channel]
      - file: microsoft-[channel]
      - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
      - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
      - gpgcheck: true
      {% endif %}
  

• Agregue el estado instalado del paquete a install_mdatp.sls después del add_ms_repo estado tal como se definió anteriormente.

  install_mdatp_package:
    pkg.installed:
      - name: matp
      - required: add_ms_repo
  

• Agregue la implementación del archivo de incorporación a install_mdatp.sls después de como install_mdatp_package se definió anteriormente.

  copy_mde_onboarding_file:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
      - source: salt://mde/mdatp_onboard.json
      - required: install_mdatp_package
  

  El archivo de estado de instalación completado debe tener un aspecto similar al de esta salida:

  add_ms_repo:
  pkgrepo.managed:
  - humanname: Microsoft Defender Repository
  {% if grains['os_family'] == 'Debian' %}
  - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
  - dist: [codename]
  - file: /etc/apt/sources.list.d/microsoft-[channel].list
  - key_url: https://packages.microsoft.com/keys/microsoft.asc
  - refresh: true
  {% elif grains['os_family'] == 'RedHat' %}
  - name: packages-microsoft-[channel]
  - file: microsoft-[channel]
  - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
  - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
  - gpgcheck: true
  {% endif %}
  
  install_mdatp_package:
  pkg.installed:
  - name: matp
  - required: add_ms_repo
  
  copy_mde_onboarding_file:
  file.managed:
  - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  - source: salt://mde/mdatp_onboard.json
  - required: install_mdatp_package
  

Create un archivo de estado SaltState en el repositorio de configuración (normalmente /srv/salt) que aplica los estados necesarios para desconectar y quitar Defender para punto de conexión. Antes de usar el archivo de estado de offboarding, debe descargar el paquete de offboarding desde el portal de seguridad y extraerlo de la misma manera que hizo el paquete de incorporación. El paquete de offboarding descargado solo es válido durante un período de tiempo limitado.

• Create un archivo uninstall_mdapt.sls de estado Desinstale y agregue el estado para quitar el mdatp_onboard.json archivo.

  cat /srv/salt/uninstall_mdatp.sls
  

  remove_mde_onboarding_file:
    file.absent:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  

• Agregue la implementación del archivo de offboarding al archivo después del uninstall_mdatp.slsremove_mde_onboarding_file estado definido en la sección anterior.

  offboard_mde:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
      - source: salt://mde/mdatp_offboard.json
  

• Agregue la eliminación del paquete MDATP al archivo después del uninstall_mdatp.slsoffboard_mde estado definido en la sección anterior.

  remove_mde_packages:
    pkg.removed:
      - name: mdatp
  

  El archivo de estado de desinstalación completo debe ser similar a la salida siguiente:

  remove_mde_onboarding_file:
    file.absent:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  
  offboard_mde:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
      - source: salt://mde/offboard/mdatp_offboard.json
  
  remove_mde_packages:
    pkg.removed:
      - name: mdatp
  

Implementación

Ahora aplique el estado a los súbditos. El siguiente comando aplica el estado a las máquinas con el nombre que comienza por mdetest.

• Instalación:

  salt 'mdetest*' state.apply install_mdatp
  

  Importante

  Cuando el producto se inicia por primera vez, descarga las definiciones de antimalware más recientes. Dependiendo de la conexión a Internet, esto puede tardar hasta unos minutos.

• Validación/configuración:

  salt 'mdetest*' cmd.run 'mdatp connectivity test'
  

  salt 'mdetest*' cmd.run 'mdatp health'
  

• Desinstalación:

  salt 'mdetest*' state.apply uninstall_mdatp
  

Problemas de instalación de registros

Para obtener más información sobre cómo buscar el registro generado automáticamente que crea el instalador cuando se produce un error, consulte Problemas de instalación de registros.

Actualizaciones del sistema operativo

Al actualizar el sistema operativo a una nueva versión principal, primero debe desinstalar Defender para punto de conexión en Linux, instalar la actualización y, por último, volver a configurar Defender para punto de conexión en Linux en el dispositivo.

Referencia

• Documentación del proyecto SALT

Consulte también

• Investigar problemas de estado del agente

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.