Microsoft Defender for Endpoint käyttöönotto Linuxissa sätkynukkella

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tässä artikkelissa kerrotaan, miten Voit ottaa Defender for Endpointin käyttöön Linuxissa puppetin avulla. Onnistunut käyttöönotto edellyttää, että kaikki seuraavat tehtävät on suoritettu loppuun:

• Perehdytyspaketin lataaminen
• Nukkeluettelon luominen
• Käyttöönotto
• Tarkista perehdytystila

Tärkeää

Tässä artikkelissa on tietoja kolmannen osapuolen työkaluista. Tämä auttaa integrointitilanteissa, mutta Microsoft ei tarjoa vianmääritystukea kolmannen osapuolen työkaluille.
Pyydä tukea kolmannen osapuolen toimittajalta.

Edellytykset ja järjestelmävaatimukset

Kuvaus nykyisen ohjelmistoversion edellytyksistä ja järjestelmävaatimuksista on Linux-sivun Defender for Endpointissa.

Lisäksi nukkekäyttöönottoa varten sinun on tunnettava sätkynukkehallintatehtävät, määritettävä nukke ja tiedettävä, miten paketteja otetaan käyttöön. Sätkynukke voi suorittaa saman tehtävän monella eri tavalla. Näissä ohjeissa oletetaan, että tuetut nukkemoduulit, kuten apt , auttavat paketin käyttöönotossa. Organisaatiosi saattaa käyttää eri työnkulkua. Lisätietoja on Nukke-dokumentaatiossa .

Perehdytyspaketin lataaminen

Lataa perehdytyspaketti Microsoft Defender portaalista.

Varoitus

Defender for Endpoint -asennuspaketin uudelleenpakkaamista ei tueta. Tämä voi vaikuttaa kielteisesti tuotteen eheyteen ja johtaa haitallisiin tuloksiin, mukaan lukien muun muassa peukalointiilmoitusten ja päivitysten epäonnistumiseen.

1. Siirry Microsoft Defender portaalissa kohtaan Asetukset>PäätepisteetLaitteiden hallinnan>perehdytys>.

2. Valitse ensimmäisestä avattavasta valikosta käyttöjärjestelmäksi Linux Server . Valitse toisesta avattavasta valikosta Haluamasi Linux-määritysten hallintatyökalu käyttöönottomenetelmäksi.

3. Valitse Lataa perehdytyspaketti. Tallenna tiedosto nimellä WindowsDefenderATPOnboardingPackage.zip.

   

4. Tarkista komentokehotteesta, että sinulla on tiedosto.

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

5. Poimi arkiston sisältö.

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: mdatp_onboard.json
   

Nukkeluettelon luominen

Sinun on luotava nukkeluettelo Defender for Endpointin käyttöönottoa varten Linuxissa nukkepalvelimen hallitsemiin laitteisiin. Tässä esimerkissä käytetään aptyumrepo nukkelaattojen ja -moduulien moduuleja ja oletetaan, että moduulit on asennettu Nukke-palvelimeen.

1. Luo kansiot install_mdatp/files ja install_mdatp/manifests nukkeasennuksen Moduulit-kansioon. Tämä kansio sijaitsee yleensä nukkepalvelimessa /etc/puppetlabs/code/environments/production/modules .

2. mdatp_onboard.json Kopioi aiemmin luotu tiedosto kansiooninstall_mdatp/files.

3. init.pp Luo tiedosto, joka sisältää käyttöönotto-ohjeet:

   pwd
   

   /etc/puppetlabs/code/environments/production/modules
   

   tree install_mdatp
   

   install_mdatp
   ├── files
   │   └── mdatp_onboard.json
   └── manifests
       └── init.pp
   

Kohteen sisältö install_mdatp/manifests/init.pp

Defender for Endpoint Linuxissa voidaan ottaa käyttöön jostakin seuraavista kanavista:

• insider-suodattimia nopeasti, merkitään seuraavasti: [channel]
• insider-hitaita, merkitään seuraavasti: [channel]
• prod, merkitty [channel] käyttäen version nimeä (katso Linux-ohjelmistosäilö Microsoft Productsille)

Jokainen kanava vastaa Linux-ohjelmistosäilöä.

Kanavan valinta määrittää laitteellesi tarjottavien päivitysten tyypin ja esiintymistiheyden. Insider-laitteiden laitteet ovat ensimmäisiä, jotka saavat päivityksiä ja uusia ominaisuuksia, joita seuraavat myöhemmin insider-käyttäjät hitaasti ja viimeiseksi prod.

Jotta voit esikatsella uusia ominaisuuksia ja antaa varhaista palautetta, on suositeltavaa, että määrität jotkin yrityksesi laitteet käyttämään joko insider-laitteita nopeasti tai insider-hitaita.

Varoitus

Kanavan vaihtaminen ensimmäisen asennuksen jälkeen edellyttää tuotteen uudelleenasentamista. Tuotekanavan vaihtaminen: poista aiemmin luodun paketin asennus, määritä laite uudelleen käyttämään uutta kanavaa ja asenna paketti uudesta sijainnista tämän asiakirjan ohjeiden mukaisesti.

Huomaa jakelu ja versio ja määritä sen lähin merkintä kohdassa https://packages.microsoft.com/config/[distro]/.

Korvaa seuraavissa komennoissa [distro] ja [version] tunnistamillasi tiedoilla:

Huomautus

RedHatin, Oracle Linuxin, Amazon Linux 2:n ja CentOS 8:n kohdalla korvaa [distro] arvolla 'rhel'.

# Puppet manifest to install Microsoft Defender for Endpoint on Linux.
# @param channel The release channel based on your environment, insider-fast or prod.
# @param distro The Linux distribution in lowercase. In case of RedHat, Oracle Linux, Amazon Linux 2, and CentOS 8, the distro variable should be 'rhel'.
# @param version The Linux distribution release number, e.g. 7.4.

class install_mdatp (
  $channel = 'insiders-fast',
  $distro = undef,
  $version = undef
) {
  case $facts['os']['family'] {
    'Debian' : {
      $release = $channel ? {
        'prod'  => $facts['os']['distro']['codename'],
        default => $channel
      }
      apt::source { 'microsoftpackages' :
        location => "https://packages.microsoft.com/${distro}/${version}/prod",
        release  => $release,
        repos    => 'main',
        key      => {
          'id'     => 'BC528686B50D79E339D3721CEB3E94ADBE1229CF',
          'server' => 'keyserver.ubuntu.com',
        },
      }
    }
    'RedHat' : {
      yumrepo { 'microsoftpackages' :
        baseurl  => "https://packages.microsoft.com/${distro}/${version}/${channel}",
        descr    => "packages-microsoft-com-prod-${channel}",
        enabled  => 1,
        gpgcheck => 1,
        gpgkey   => 'https://packages.microsoft.com/keys/microsoft.asc',
      }
    }
    default : { fail("${facts['os']['family']} is currently not supported.") }
  }

  case $facts['os']['family'] {
    /(Debian|RedHat)/: {
      file { ['/etc/opt', '/etc/opt/microsoft', '/etc/opt/microsoft/mdatp']:
        ensure => directory,
        owner  => root,
        group  => root,
        mode   => '0755',
      }

      file { '/etc/opt/microsoft/mdatp/mdatp_onboard.json':
        source  => 'puppet:///modules/install_mdatp/mdatp_onboard.json',
        owner   => root,
        group   => root,
        mode    => '0600',
        require => File['/etc/opt/microsoft/mdatp'],
      }

      package { 'mdatp':
        ensure  => 'installed',
        require => File['/etc/opt/microsoft/mdatp/mdatp_onboard.json'],
      }
    }
    default : { fail("${facts['os']['family']} is currently not supported.") }
  }
}

Käyttöönotto

Sisällytä yllä oleva luettelotiedostoon site.pp :

cat /etc/puppetlabs/code/environments/production/manifests/site.pp

node "default" {
    include install_mdatp
}

Rekisteröityjen agenttien laitteet tekevät säännöllisesti kyselyn puppet-palvelimelle ja asentavat uusia määritysprofiileja ja käytäntöjä heti, kun ne havaitaan.

Sätkynukkekäyttöönoton valvonta

Agenttilaitteessa voit myös tarkistaa perehdytystilan suorittamalla:

mdatp health

...
licensed                                : true
org_id                                  : "[your organization identifier]"
...

• licensed: Tämä vahvistaa, että laite on sidottu organisaatioosi.

• orgId: Tämä on Defender for Endpoint -organisaation tunniste.

Tarkista perehdytystila

Voit tarkistaa, että laitteet on otettu oikein käyttöön, luomalla komentosarjan. Esimerkiksi seuraavat komentosarjat tarkistavat rekisteröityjen laitteiden perehdytystilan:

mdatp health --field healthy

Yllä oleva komento tulostaa 1 , jos tuote on otettu käyttöön ja toimii odotetulla tavalla.

Tärkeää

Kun tuote käynnistyy ensimmäistä kertaa, se lataa uusimmat haittaohjelmien torjuntamääritykset. Internet-yhteydestä riippuen tämä voi kestää muutaman minuutin. Tänä aikana yllä oleva komento palauttaa arvon 0.

Jos tuote ei ole kunnossa, lopetuskoodi (joka voidaan tarkistaa echo $?) ilmaisee ongelman:

• 1 jos laitetta ei ole vielä otettu käyttöön.
• 3 jos yhteyttä daemoniin ei voi muodostaa.

Kirjaa asennusongelmat

Lisätietoja siitä, miten voit löytää automaattisesti luodun lokin, jonka asennusohjelma luo virheen ilmetessä, on artikkelissa Kirjaa asennusongelmat lokiin.

Käyttöjärjestelmän päivitykset

Kun päivität käyttöjärjestelmäsi uuteen pääversioon, sinun on ensin poistettava Defender for Endpoint Linuxissa, asennettava päivitys ja lopuksi määritettävä Defender for Endpoint Linuxiin laitteessasi.

Asennuksen poistaminen

Luo moduuli remove_mdatp , joka on samanlainen kuin install_mdatp seuraava tiedoston sisältö init.pp :

class remove_mdatp {
    package { 'mdatp':
        ensure => 'purged',
    }
}

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.