Microsoft Defender for Endpoint käyttöönotto Linuxissa Saltstackin avulla

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tässä artikkelissa kuvataan Defender for Endpointin käyttöönotto Linuxissa Saltstackin avulla. Onnistunut käyttöönotto edellyttää, että kaikki seuraavat tehtävät on suoritettu loppuun:

• Perehdytyspaketin lataaminen
• Luo Saltstackin tilatiedostoja
• Käyttöönotto
• Viittaus

Tärkeää

Tässä artikkelissa on tietoja kolmannen osapuolen työkaluista. Tämä auttaa integrointitilanteissa, mutta Microsoft ei tarjoa vianmääritystukea kolmannen osapuolen työkaluille.
Pyydä tukea kolmannen osapuolen toimittajalta.

Edellytykset ja järjestelmävaatimukset

Ennen kuin aloitat, katso Defender for Endpoint on Linux -pääsivulta kuvaus nykyisen ohjelmistoversion edellytyksistä ja järjestelmävaatimuksista.

Lisäksi Saltstackin käyttöönottoa varten sinun on tunnettava Saltstackin hallinta, asennettava Saltstack, määritettävä Master ja Minions sekä tiedettävä, miten osavaltioita sovelletaan. Saltstackilla on monia tapoja suorittaa sama tehtävä. Näissä ohjeissa oletetaan, että tuetut Saltstack-moduulit, kuten apt ja unchive , ovat käytettävissä paketin käyttöönoton helpottamiseksi. Organisaatiosi saattaa käyttää eri työnkulkua. Katso lisätietoja Saltstack-dokumentaatiosta .

• Saltstack on asennettu vähintään yhteen tietokoneeseen (Saltstack kutsuu tietokonetta päätietokoneeksi).

• Saltstack-isäntä hyväksyi hallitut solmut (Saltstack kutsuu solmuja kätyriyhteyksiksi).

• Saltstack-kätyrit pystyvät ratkaisemaan yhteyden Saltstack-mestariin (oletuksena kätyrit yrittävät kommunikoida "salt"-nimisen koneen kanssa).

• Suorita tämä ping-testi:

  sudo salt '*' test.ping
  

• Saltstack-perusmuodossa on tiedostopalvelinsijainti, josta Microsoft Defender for Endpoint tiedostot voidaan jakaa (oletusarvoisesti Saltstack käyttää oletusjakelupisteenä /srv/salt-kansiota)

Perehdytyspaketin lataaminen

Lataa perehdytyspaketti Microsoft Defender portaalista.

Varoitus

Defender for Endpoint -asennuspaketin uudelleenpakkaamista ei tueta. Tämä voi vaikuttaa kielteisesti tuotteen eheyteen ja johtaa haitallisiin tuloksiin, mukaan lukien muun muassa peukalointiilmoitusten ja päivitysten epäonnistumiseen.

1. Siirry Microsoft Defender portaalissa kohtaan Asetukset > Päätepisteet Laitteiden hallinnan > perehdytys>.

2. Valitse ensimmäisestä avattavasta valikosta käyttöjärjestelmäksi Linux Server . Valitse toisesta avattavasta valikosta Haluamasi Linux-määritysten hallintatyökalu käyttöönottomenetelmäksi.

3. Valitse Lataa perehdytyspaketti. Tallenna tiedosto WindowsDefenderATPOnboardingPackage.zip.

   

4. Poimi SaltStack Masterissa arkiston sisältö SaltStack Serverin kansioon (yleensä /srv/salt):

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: /srv/salt/mde/mdatp_onboard.json
   

Luo Saltstackin tilatiedostoja

Luo SaltState-tilatiedosto määrityssäilöösi (yleensä /srv/salt), joka ottaa käyttöön Defender for Endpointin ja ottaa sen käyttöön tarvittavissa tiloissa.

• Lisää Defender for Endpoint -säilö ja avain, install_mdatp.sls:

  Defender for Endpoint on Linux voidaan ottaa käyttöön jostakin seuraavista kanavista (kuvataan nimellä [kanava]): insider-käyttäjät nopeasti, insider-hitaita tai prod. Jokainen näistä kanavista vastaa Linux-ohjelmistosäilöä.

  Kanavan valinta määrittää laitteellesi tarjottavien päivitysten tyypin ja esiintymistiheyden. Insider-laitteiden laitteet ovat ensimmäisiä, jotka saavat päivityksiä ja uusia ominaisuuksia, ja niitä seuraavat myöhemmin insider-käyttäjät, jotka ovat hitaita ja viimeiseksi prod.

  Jotta voit esikatsella uusia ominaisuuksia ja antaa varhaista palautetta, suosittelemme, että määrität jotkin yrityksesi laitteet käyttämään joko insider-laitteita nopeasti tai insider-hitaita.

  Varoitus

  Kanavan vaihtaminen ensimmäisen asennuksen jälkeen edellyttää tuotteen uudelleenasentamista. Tuotekanavan vaihtaminen: poista aiemmin luodun paketin asennus, määritä laite uudelleen käyttämään uutta kanavaa ja asenna paketti uudesta sijainnista tämän asiakirjan ohjeiden mukaisesti.

  Huomaa jakelu ja versio ja määritä sen lähin merkintä kohdassa https://packages.microsoft.com/config/[distro]/.

  Korvaa seuraavissa komennoissa [distro] ja [version] tiedoillasi.

  Huomautus

  Oracle Linuxin ja Amazon Linux 2:n tapauksessa korvaa [distro] arvolla "rhel". Korvaa Amazon Linux 2:ssa [versio] arvolla "7". Korvaa Oracle utilize -kohteelle [versio] Oracle Linux -versiolla.

  cat /srv/salt/install_mdatp.sls
  

  add_ms_repo:
    pkgrepo.managed:
      - humanname: Microsoft Defender Repository
      {% if grains['os_family'] == 'Debian' %}
      - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
      - dist: [codename]
      - file: /etc/apt/sources.list.d/microsoft-[channel].list
      - key_url: https://packages.microsoft.com/keys/microsoft.asc
      - refresh: true
      {% elif grains['os_family'] == 'RedHat' %}
      - name: packages-microsoft-[channel]
      - file: microsoft-[channel]
      - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
      - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
      - gpgcheck: true
      {% endif %}
  

• Lisää paketin asennettu tila install_mdatp.sls tilan jälkeen aiemmin määritetyllä add_ms_repo tavalla.

  install_mdatp_package:
    pkg.installed:
      - name: matp
      - required: add_ms_repo
  

• Lisää käyttöönottotiedoston käyttöönotto kohteeseen install_mdatp.sls aiemmin määritetyn install_mdatp_package mukaisesti.

  copy_mde_onboarding_file:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
      - source: salt://mde/mdatp_onboard.json
      - required: install_mdatp_package
  

  Valmiin asennuksen tilatiedoston pitäisi näyttää samalta kuin tässä tulosteessa:

  add_ms_repo:
  pkgrepo.managed:
  - humanname: Microsoft Defender Repository
  {% if grains['os_family'] == 'Debian' %}
  - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
  - dist: [codename]
  - file: /etc/apt/sources.list.d/microsoft-[channel].list
  - key_url: https://packages.microsoft.com/keys/microsoft.asc
  - refresh: true
  {% elif grains['os_family'] == 'RedHat' %}
  - name: packages-microsoft-[channel]
  - file: microsoft-[channel]
  - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
  - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
  - gpgcheck: true
  {% endif %}
  
  install_mdatp_package:
  pkg.installed:
  - name: matp
  - required: add_ms_repo
  
  copy_mde_onboarding_file:
  file.managed:
  - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  - source: salt://mde/mdatp_onboard.json
  - required: install_mdatp_package
  

Luo SaltState-tilatiedosto määrityssäilöön (yleensä /srv/salt), joka ottaa käyttöön tarvittavat tilat ja poistaa Defender for Endpointin. Ennen kuin käytät perehdytystilatiedostoa, sinun on ladattava käyttöönottopaketti suojausportaalista ja purettava se samalla tavalla kuin perehdytyspaketti. Ladattu perehdytyspaketti on voimassa vain rajoitetun ajan.

• Luo asennuksen poistamisen tilatiedosto uninstall_mdapt.sls ja lisää tila tiedoston poistamiseksi mdatp_onboard.json

  cat /srv/salt/uninstall_mdatp.sls
  

  remove_mde_onboarding_file:
    file.absent:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  

• Lisää käytöstä poistotiedoston uninstall_mdatp.sls käyttöönotto tiedostoon edellisessä osiossa määritetyn remove_mde_onboarding_file tilan jälkeen.

  offboard_mde:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
      - source: salt://mde/mdatp_offboard.json
  

• Lisää MDATP-paketin uninstall_mdatp.sls poistaminen tiedostoon edellisessä osiossa määritetyn offboard_mde tilan jälkeen.

  remove_mde_packages:
    pkg.removed:
      - name: mdatp
  

  Asennuksen poistamisen koko tilatiedoston pitäisi näyttää samalta kuin seuraavassa:

  remove_mde_onboarding_file:
    file.absent:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  
  offboard_mde:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
      - source: salt://mde/offboard/mdatp_offboard.json
  
  remove_mde_packages:
    pkg.removed:
      - name: mdatp
  

Käyttöönotto

Sovella nyt tilaa kätyihin. Alla oleva komento käyttää tilaa koneisiin, joiden nimi alkaa merkkijonolla mdetest.

• Asennus:

  salt 'mdetest*' state.apply install_mdatp
  

  Tärkeää

  Kun tuote käynnistyy ensimmäistä kertaa, se lataa uusimmat haittaohjelmien torjuntamääritykset. Internet-yhteydestä riippuen tämä voi kestää muutaman minuutin.

• Vahvistus/määritys:

  salt 'mdetest*' cmd.run 'mdatp connectivity test'
  

  salt 'mdetest*' cmd.run 'mdatp health'
  

• Uninstallation:

  salt 'mdetest*' state.apply uninstall_mdatp
  

Kirjaa asennusongelmat

Lisätietoja asennusohjelman virheen tapahtuessa luoman automaattisesti luodun lokin löytämisestä on kohdassa Kirjaa asennusongelmat.

Käyttöjärjestelmän päivitykset

Kun päivität käyttöjärjestelmäsi uuteen pääversioon, sinun on ensin poistettava Defender for Endpoint Linuxissa, asennettava päivitys ja lopuksi määritettävä Defender for Endpoint Linuxiin laitteessasi.

Viittaus

• SALT Project -dokumentaatio

Tutustu myös seuraaviin ohjeartikkeleihin:

• Tutki agentin kunto-ongelmia

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.