Microsoft Defender for Endpoint käyttöönotto Linuxissa sätkynukkella

  • Artikkeli

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tässä artikkelissa kerrotaan, miten Voit ottaa Defender for Endpointin käyttöön Linuxissa puppetin avulla. Onnistunut käyttöönotto edellyttää, että kaikki seuraavat tehtävät on suoritettu loppuun:

Tärkeää

Tässä artikkelissa on tietoja kolmannen osapuolen työkaluista. Tämä auttaa integrointitilanteissa, mutta Microsoft ei tarjoa vianmääritystukea kolmannen osapuolen työkaluille.
Pyydä tukea kolmannen osapuolen toimittajalta.

Edellytykset ja järjestelmävaatimukset

Kuvaus nykyisen ohjelmistoversion edellytyksistä ja järjestelmävaatimuksista on Linux-sivun Defender for Endpointissa.

Lisäksi nukkekäyttöönottoa varten sinun on tunnettava sätkynukkehallintatehtävät, määritettävä nukke ja tiedettävä, miten paketteja otetaan käyttöön. Sätkynukke voi suorittaa saman tehtävän monella eri tavalla. Näissä ohjeissa oletetaan, että tuetut nukkemoduulit, kuten apt , auttavat paketin käyttöönotossa. Organisaatiosi saattaa käyttää eri työnkulkua. Lisätietoja on Nukke-dokumentaatiossa .

Perehdytyspaketin lataaminen

Lataa perehdytyspaketti Microsoft Defender portaalista.

Varoitus

Defender for Endpoint -asennuspaketin uudelleenpakkaamista ei tueta. Tämä voi vaikuttaa kielteisesti tuotteen eheyteen ja johtaa haitallisiin tuloksiin, mukaan lukien muun muassa peukalointiilmoitusten ja päivitysten epäonnistumiseen.

  1. Siirry Microsoft Defender portaalissa kohtaan Asetukset > Päätepisteet Laitteiden hallinnan > perehdytys>.

  2. Valitse ensimmäisestä avattavasta valikosta käyttöjärjestelmäksi Linux Server . Valitse toisesta avattavasta valikosta Haluamasi Linux-määritysten hallintatyökalu käyttöönottomenetelmäksi.

  3. Valitse Lataa perehdytyspaketti. Tallenna tiedosto WindowsDefenderATPOnboardingPackage.zip.

    Mahdollisuus ladata perehdyttämä paketti

  4. Tarkista komentokehotteesta, että sinulla on tiedosto.

    ls -l

    total 8
-rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

  5. Poimi arkiston sisältö.

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: mdatp_onboard.json

Nukkeluettelon luominen

Sinun on luotava nukkeluettelo Defender for Endpointin käyttöönottoa varten Linuxissa nukkepalvelimen hallitsemiin laitteisiin. Tässä esimerkissä hyödynnä nukkelaattojen tarjoamia apt - ja yumrepo-moduuleita ja oletetaan, että moduulit on asennettu nukkepalvelimeen.

Luo kansiot install_mdatp/tiedostot ja install_mdatp/luettelotiedostot Puppet-asennuksen Moduulit-kansioon. Tämä kansio sijaitsee yleensä nukkepalvelimen /etc/puppetlabs/code/environments/production/modules-sijainnissa . Kopioi yllä luotu mdatp_onboard.json tiedosto install_mdatp/tiedostot-kansioon . Luo käyttöönotto-ohjeet sisältävä init.pp-tiedosto :

pwd

/etc/puppetlabs/code/environments/production/modules

tree install_mdatp

install_mdatp
├── files
│   └── mdatp_onboard.json
└── manifests
    └── init.pp

Kohteen sisältö install_mdatp/manifests/init.pp

Defender for Endpoint linuxissa voidaan ottaa käyttöön jostakin seuraavista kanavista (kuva alla muodossa [kanava]): insider-käyttäjät nopeasti, insider-hitaita tai prod-kanavia. Jokainen näistä kanavista vastaa Linux-ohjelmistosäilöä.

Kanavan valinta määrittää laitteellesi tarjottavien päivitysten tyypin ja esiintymistiheyden. Insider-laitteiden laitteet ovat ensimmäisiä, jotka saavat päivityksiä ja uusia ominaisuuksia, ja niitä seuraavat myöhemmin insider-käyttäjät, jotka ovat hitaita ja viimeiseksi prod.

Jotta voit esikatsella uusia ominaisuuksia ja antaa varhaista palautetta, on suositeltavaa määrittää jotkin yrityksesi laitteet käyttämään joko insider-laitteita nopeasti tai insider-hitaita.

Varoitus

Kanavan vaihtaminen ensimmäisen asennuksen jälkeen edellyttää tuotteen uudelleenasentamista. Tuotekanavan vaihtaminen: poista aiemmin luodun paketin asennus, määritä laite uudelleen käyttämään uutta kanavaa ja asenna paketti uudesta sijainnista tämän asiakirjan ohjeiden mukaisesti.

Huomaa jakelu ja versio ja määritä sen lähin merkintä kohdassa https://packages.microsoft.com/config/[distro]/.

Korvaa seuraavissa komennoissa [distro] ja [version] tunnistamillasi tiedoilla:

Huomautus

RedHatin, Oracle Linuxin, Amazon Linux 2:n ja CentOS 8:n kohdalla korvaa [distro] arvolla 'rhel'.

# Puppet manifest to install Microsoft Defender for Endpoint on Linux.
# @param channel The release channel based on your environment, insider-fast or prod.
# @param distro The Linux distribution in lowercase. In case of RedHat, Oracle Linux, Amazon Linux 2, and CentOS 8, the distro variable should be 'rhel'.
# @param version The Linux distribution release number, e.g. 7.4.

class install_mdatp (
  $channel = 'insiders-fast',
  $distro = undef,
  $version = undef
) {
  case $facts['os']['family'] {
    'Debian' : {
      $release = $channel ? {
        'prod'  => $facts['os']['distro']['codename'],
        default => $channel
      }
      apt::source { 'microsoftpackages' :
        location => "https://packages.microsoft.com/${distro}/${version}/prod",
        release  => $release,
        repos    => 'main',
        key      => {
          'id'     => 'BC528686B50D79E339D3721CEB3E94ADBE1229CF',
          'server' => 'keyserver.ubuntu.com',
        },
      }
    }
    'RedHat' : {
      yumrepo { 'microsoftpackages' :
        baseurl  => "https://packages.microsoft.com/${distro}/${version}/${channel}",
        descr    => "packages-microsoft-com-prod-${channel}",
        enabled  => 1,
        gpgcheck => 1,
        gpgkey   => 'https://packages.microsoft.com/keys/microsoft.asc',
      }
    }
    default : { fail("${facts['os']['family']} is currently not supported.") }
  }

  case $facts['os']['family'] {
    /(Debian|RedHat)/: {
      file { ['/etc/opt', '/etc/opt/microsoft', '/etc/opt/microsoft/mdatp']:
        ensure => directory,
        owner  => root,
        group  => root,
        mode   => '0755',
      }

      file { '/etc/opt/microsoft/mdatp/mdatp_onboard.json':
        source  => 'puppet:///modules/install_mdatp/mdatp_onboard.json',
        owner   => root,
        group   => root,
        mode    => '0600',
        require => File['/etc/opt/microsoft/mdatp'],
      }

      package { 'mdatp':
        ensure  => 'installed',
        require => File['/etc/opt/microsoft/mdatp/mdatp_onboard.json'],
      }
    }
    default : { fail("${facts['os']['family']} is currently not supported.") }
  }
}

Käyttöönotto

Sisällytä yllä oleva luettelotiedosto site.pp-tiedostoon:

cat /etc/puppetlabs/code/environments/production/manifests/site.pp

node "default" {
    include install_mdatp
}

Rekisteröityjen agenttien laitteet tekevät säännöllisesti kyselyn puppet-palvelimelle ja asentavat uusia määritysprofiileja ja käytäntöjä heti, kun ne havaitaan.

Sätkynukkekäyttöönoton valvonta

Agenttilaitteessa voit myös tarkistaa perehdytystilan suorittamalla:

mdatp health

...
licensed                                : true
org_id                                  : "[your organization identifier]"
...

  • licensed: Tämä vahvistaa, että laite on sidottu organisaatioosi.

  • orgId: Tämä on Defender for Endpoint -organisaation tunniste.

Tarkista perehdytystila

Voit tarkistaa, että laitteet on otettu oikein käyttöön, luomalla komentosarjan. Esimerkiksi seuraavat komentosarjat tarkistavat rekisteröityjen laitteiden perehdytystilan:

mdatp health --field healthy

Yllä oleva komento tulostaa 1 , jos tuote on otettu käyttöön ja toimii odotetulla tavalla.

Tärkeää

Kun tuote käynnistyy ensimmäistä kertaa, se lataa uusimmat haittaohjelmien torjuntamääritykset. Internet-yhteydestä riippuen tämä voi kestää muutaman minuutin. Tänä aikana yllä oleva komento palauttaa arvon 0.

Jos tuote ei ole kunnossa, lopetuskoodi (joka voidaan tarkistaa echo $?) ilmaisee ongelman:

  • 1, jos laitetta ei ole vielä otettu käyttöön.
  • 3, jos yhteyttä daemonin kanssa ei voida muodostaa.

Kirjaa asennusongelmat

Lisätietoja siitä, miten voit löytää automaattisesti luodun lokin, jonka asennusohjelma luo virheen ilmetessä, on artikkelissa Kirjaa asennusongelmat lokiin.

Käyttöjärjestelmän päivitykset

Kun päivität käyttöjärjestelmäsi uuteen pääversioon, sinun on ensin poistettava Defender for Endpoint Linuxissa, asennettava päivitys ja lopuksi määritettävä Defender for Endpoint Linuxiin laitteessasi.

Uninstallation

Luo moduulin remove_mdatp , joka on samanlainen kuin install_mdatp käyttäen init.pp-tiedoston sisältöä:

class remove_mdatp {
    package { 'mdatp':
        ensure => 'purged',
    }
}

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.