Déployer Microsoft Defender pour point de terminaison sur Linux avec Ansible

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Cet article explique comment déployer Defender pour point de terminaison sur Linux à l’aide d’Ansible. Un déploiement réussi nécessite l’exécution de toutes les tâches suivantes :

• Télécharger le package d’intégration
• Créer des fichiers YAML Ansible
• Déploiement
• Références

Importante

Cet article contient des informations sur les outils tiers. Cela est fourni pour faciliter la réalisation des scénarios d’intégration. Toutefois, Microsoft ne fournit pas de support de résolution des problèmes pour les outils tiers.
Contactez le fournisseur tiers pour obtenir de l’aide.

Conditions préalables et configuration système requise

Avant de commencer, consultez la page main Defender pour point de terminaison sur Linux pour obtenir une description des prérequis et de la configuration système requise pour la version actuelle du logiciel.

En outre, pour le déploiement d’Ansible, vous devez être familiarisé avec les tâches d’administration Ansible, disposer d’Ansible configuré et savoir déployer des playbooks et des tâches. Ansible propose de nombreuses façons d’effectuer la même tâche. Ces instructions supposent la disponibilité des modules Ansible pris en charge, tels que apt et unarchive pour faciliter le déploiement du package. Votre organization peut utiliser un autre workflow. Pour plus d’informations, reportez-vous à la documentation Ansible .

• Ansible doit être installé sur au moins un ordinateur (Ansible appelle cela le nœud de contrôle).

• SSH doit être configuré pour un compte d’administrateur entre le nœud de contrôle et tous les nœuds managés (appareils sur lesquels Defender pour point de terminaison sera installé), et il est recommandé de configurer l’authentification par clé publique.

• Les logiciels suivants doivent être installés sur tous les nœuds gérés :

  • friser
  • python-apt (si vous effectuez un déploiement sur des distributions à l’aide d’apt comme gestionnaire de package)

• Tous les nœuds managés doivent être répertoriés au format suivant dans le /etc/ansible/hosts fichier ou approprié :

  [servers]
  host1 ansible_ssh_host=10.171.134.39
  host2 ansible_ssh_host=51.143.50.51
  

• Test ping :

  ansible -m ping all
  

Télécharger le package d’intégration

Téléchargez le package d’intégration à partir de Microsoft Defender portail.

Avertissement

Le repackaging du package d’installation de Defender pour point de terminaison n’est pas un scénario pris en charge. Cela peut avoir un impact négatif sur l’intégrité du produit et entraîner des résultats négatifs, y compris, mais sans s’y limiter, le déclenchement d’alertes de falsification et l’échec de l’application des mises à jour.

1. Dans Microsoft Defender portail, accédez à Paramètres Points > de terminaison > Intégration de la gestion des appareils>.

2. Dans le premier menu déroulant, sélectionnez Serveur Linux comme système d’exploitation. Dans le deuxième menu déroulant, sélectionnez Votre outil de gestion de configuration Linux préféré comme méthode de déploiement.

3. Sélectionnez Télécharger le package d’intégration. Enregistrez le fichier en tant que WindowsDefenderATPOnboardingPackage.zip.

   

4. À partir d’une invite de commandes, vérifiez que vous disposez du fichier . Extrayez le contenu de l’archive :

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: mdatp_onboard.json
   

Créer des fichiers YAML Ansible

Créez une tâche subordonnée ou des fichiers de rôle qui contribuent à un playbook ou à une tâche.

• Créez la tâche d’intégration : onboarding_setup.yml

  - name: Create MDATP directories
    file:
      path: /etc/opt/microsoft/mdatp/
      recurse: true
      state: directory
      mode: 0755
      owner: root
      group: root
  
  - name: Register mdatp_onboard.json
    stat:
      path: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    register: mdatp_onboard
  
  - name: Extract WindowsDefenderATPOnboardingPackage.zip into /etc/opt/microsoft/mdatp
    unarchive:
      src: WindowsDefenderATPOnboardingPackage.zip
      dest: /etc/opt/microsoft/mdatp
      mode: 0600
      owner: root
      group: root
    when: not mdatp_onboard.stat.exists
  

• Ajoutez le référentiel et la clé Defender pour point de terminaison, add_apt_repo.yml:

  Defender pour point de terminaison sur Linux peut être déployé à partir de l’un des canaux suivants :

  • insiders-rapide, désigné comme [channel]
  • insiders-lents, désigné comme [channel]
  • prod, indiqué comme [channel] utilisant le nom de version (voir Référentiel de logiciels Linux pour les produits Microsoft)

  Chaque canal correspond à un référentiel de logiciels Linux.

  Le choix du canal détermine le type et la fréquence des mises à jour proposées à votre appareil. Les appareils dans insiders-fast sont les premiers à recevoir des mises à jour et de nouvelles fonctionnalités, suivis ultérieurement par les insiders-slow, et enfin par prod.

  Pour afficher un aperçu des nouvelles fonctionnalités et fournir des commentaires précoces, il est recommandé de configurer certains appareils de votre entreprise pour qu’ils utilisent des insiders rapides ou des insiders lents.

  Avertissement

  Le basculement du canal après l’installation initiale nécessite la réinstallation du produit. Pour changer de canal de produit : désinstallez le package existant, reconfigurez votre appareil pour utiliser le nouveau canal et suivez les étapes décrites dans ce document pour installer le package à partir du nouvel emplacement.

  Notez votre distribution et votre version et identifiez l’entrée la plus proche sous https://packages.microsoft.com/config/[distro]/.

  Dans les commandes suivantes, remplacez [distribution] et [version] par les informations que vous avez identifiées.

  Remarque

  Dans le cas d’Oracle Linux et Amazon Linux 2, remplacez [distribution] par « rhel ». Pour Amazon Linux 2, remplacez [version] par « 7 ». Pour Oracle Linux, remplacez [version] par la version d’Oracle Linux.

  - name: Add Microsoft APT key
    apt_key:
      url: https://packages.microsoft.com/keys/microsoft.asc
      state: present
    when: ansible_os_family == "Debian"
  
  - name: Add Microsoft apt repository for MDATP
    apt_repository:
      repo: deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
      update_cache: yes
      state: present
      filename: microsoft-[channel]
    when: ansible_os_family == "Debian"
  
  - name: Add Microsoft DNF/YUM key
    rpm_key:
      state: present
      key: https://packages.microsoft.com/keys/microsoft.asc
    when: ansible_os_family == "RedHat"
  
  - name: Add  Microsoft yum repository for MDATP
    yum_repository:
      name: packages-microsoft-[channel]
      description: Microsoft Defender for Endpoint
      file: microsoft-[channel]
      baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ 
      gpgcheck: yes
      enabled: Yes
    when: ansible_os_family == "RedHat"
  

• Créez les fichiers YAML d’installation et de désinstallation d’Ansible.

  • Pour les distributions basées sur apt, utilisez le fichier YAML suivant :

    cat install_mdatp.yml
    

    - hosts: servers
      tasks:
        - name: include onboarding tasks
          import_tasks:
            file: ../roles/onboarding_setup.yml
        - name: add apt repository
          import_tasks:
            file: ../roles/add_apt_repo.yml
        - name: Install MDATP
          apt:
            name: mdatp
            state: latest
            update_cache: yes
    

    cat uninstall_mdatp.yml
    

    - hosts: servers
      tasks:
        - name: Uninstall MDATP
          apt:
            name: mdatp
            state: absent
    

  • Pour les distributions basées sur dnf, utilisez le fichier YAML suivant :

    cat install_mdatp_dnf.yml
    

    - hosts: servers
      tasks:
        - name: include onboarding tasks
          import_tasks:
            file: ../roles/onboarding_setup.yml
        - name: add apt repository
          import_tasks:
            file: ../roles/add_yum_repo.yml
        - name: Install MDATP
          dnf:
            name: mdatp
            state: latest
            enablerepo: packages-microsoft-[channel]
    

    cat uninstall_mdatp_dnf.yml
    

    - hosts: servers
      tasks:
        - name: Uninstall MDATP
          dnf:
            name: mdatp
            state: absent
    

Déploiement

À présent, exécutez les fichiers de tâches sous /etc/ansible/playbooks/ ou le répertoire approprié.

• Installation:

  ansible-playbook /etc/ansible/playbooks/install_mdatp.yml -i /etc/ansible/hosts
  

Importante

Lorsque le produit démarre pour la première fois, il télécharge les dernières définitions de logiciel anti-programme malveillant. Selon votre connexion Internet, cela peut prendre jusqu’à quelques minutes.

• Validation/configuration :

  ansible -m shell -a 'mdatp connectivity test' all
  

  ansible -m shell -a 'mdatp health' all
  

• Désinstallation :

  ansible-playbook /etc/ansible/playbooks/uninstall_mdatp.yml -i /etc/ansible/hosts
  

Problèmes d’installation des journaux

Consultez Problèmes d’installation des journaux pour plus d’informations sur la recherche du journal généré automatiquement par le programme d’installation lorsqu’une erreur se produit.

Mises à niveau du système d’exploitation

Lors de la mise à niveau de votre système d’exploitation vers une nouvelle version majeure, vous devez d’abord désinstaller Defender pour point de terminaison sur Linux, installer la mise à niveau et enfin reconfigurer Defender pour point de terminaison sur Linux sur votre appareil.

Références

• Ajouter ou supprimer des référentiels YUM

• Gérer les packages avec le gestionnaire de package dnf

• Ajouter et supprimer des référentiels APT

• Gérer apt-packages

Voir aussi

• Rechercher les problèmes d’état d’intégrité de l’agent

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.