פריסת Microsoft Defender עבור נקודת קצה ב- Linux עם Ansible

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender XDR

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

מאמר זה מתאר כיצד לפרוס את Defender עבור נקודת קצה ב- Linux באמצעות Ansible. פריסה מוצלחת מחייבת השלמת כל המשימות הבאות:

• הורד את חבילת הצירוף
• Create קבצי YAML אכילים
• פריסה
• הפניות

חשוב

מאמר זה מכיל מידע אודות כלים של ספקים חיצוניים. דבר זה מסופק כדי להשלים תרחישי שילוב, עם זאת, Microsoft אינה מספקת תמיכה בפתרון בעיות עבור כלים של ספקים חיצוניים.
פנה לספק החיצוני לקבלת תמיכה.

דרישות מוקדמות ודרישות מערכת

לפני שתתחיל, עיין בדף הראשי של Defender for Endpoint ב- Linux לקבלת תיאור של דרישות מוקדמות ודרישות מערכת עבור גירסת התוכנה הנוכחית.

בנוסף, עבור פריסה שאינה הפיכה, עליך להכיר משימות ניהול של Ansible, להגדיר את Ansible ולידע כיצד לפרוס ספרי משחקים ומשימות. לא ניתן להשלים את אותה משימה בדרכים רבות. הוראות אלה מבוססות על זמינות המודולים הנתמכים מסוג Ansible, כגון aptו- unarchive כדי לעזור לפרוס את החבילה. הארגון שלך עשוי להשתמש בזרימת עבודה אחרת. עיין בתיעוד של Ansible לקבלת פרטים.

• יש להתקין את Ansible במחשב אחד לפחות (Ansible קורא לזה צומת הבקרה).

• יש לקבוע את התצורה של SSH עבור חשבון מנהל מערכת בין צומת הבקרה לבין כל הצמתים המנוהליים (מכשירים שעבורם יותקן Defender for Endpoint), ומומלץ להגדיר אותו באמצעות אימות מפתח ציבורי.

• יש להתקין את התוכנה הבאה בכל הצמתים המנוהלות:

  • קורל
  • python-apt (אם אתה פורס בהתפלגויות באמצעות apt כמנהל חבילות)

• כל הצמתים המנוהלות חייבים להופיע בתבנית הבאה בקובץ /etc/ansible/hosts או בקובץ הרלוונטי:

  [servers]
  host1 ansible_ssh_host=10.171.134.39
  host2 ansible_ssh_host=51.143.50.51
  

• בדיקת איתות (Ping):

  ansible -m ping all
  

הורד את חבילת הצירוף

הורד את חבילת הצירוף מהפורטל Microsoft Defender שלך.

אזהרה

אריזה מחדש של חבילת ההתקנה של Defender for Endpoint אינה תרחיש נתמך. פעולה זו יכולה להשפיע לרעה על תקינות המוצר ולהוביל לתוצאות שליליות, כולל אך לא מוגבל להפעלת התראות שלא כדין ועדכונים שאינם חלים.

1. בפורטל Microsoft Defender, עבור אל הגדרות > נקודות קצה > ניהול מכשירים > צירוף.

2. בתפריט הנפתח הראשון, בחר שרת Linux כמערכת ההפעלה. בתפריט הנפתח השני, בחר את כלי ניהול התצורה המועדף עליך של Linux כשיעולת הפריסה.

3. בחר הורד חבילת צירוף. שמור את הקובץ WindowsDefenderATPOnboardingPackage.zip.

   

4. משורת פקודה, ודא שהקובץ נמצא ברשותך. חלץ את תוכן הארכיון:

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: mdatp_onboard.json
   

Create קבצי YAML אכילים

Create תת-פעילות או קבצי תפקיד שתורמים לספר הפעלות או למשימה.

• Create את משימת הצירוף, onboarding_setup.yml:

  - name: Create MDATP directories
    file:
      path: /etc/opt/microsoft/mdatp/
      recurse: true
      state: directory
      mode: 0755
      owner: root
      group: root
  
  - name: Register mdatp_onboard.json
    stat:
      path: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    register: mdatp_onboard
  
  - name: Extract WindowsDefenderATPOnboardingPackage.zip into /etc/opt/microsoft/mdatp
    unarchive:
      src: WindowsDefenderATPOnboardingPackage.zip
      dest: /etc/opt/microsoft/mdatp
      mode: 0600
      owner: root
      group: root
    when: not mdatp_onboard.stat.exists
  

• הוסף את המאגר והמפתח של Defender for Endpoint, add_apt_repo.yml:

  ניתן לפרוס את Defender for Endpoint ב- Linux באחד מהערוצים הבאים (המפורטים להלן כ- [channel]): insiders-fast, insiders-slow או prod. כל אחד מהערוצים האלה תואם למאגר תוכנות של Linux.

  בחירת הערוץ קובעת את הסוג והתדירות של עדכונים המוצעים למכשיר שלך. מכשירים ב- Insider-fast הם הראשונים שיקבלו עדכונים ותכונות חדשות, ואחר כך משתתפי Insider-slow ואחרונה על-ידיעדכון.

  כדי להציג תכונות חדשות בתצוגה מקדימה ולספק משוב מוקדם, מומלץ להגדיר מכשירים מסוימים בארגון לשימוש ב- Insiders-fast או Insider-slow.

  אזהרה

  החלפת הערוץ לאחר ההתקנה הראשונית מחייבת התקנה מחדש של המוצר. כדי להחליף את ערוץ המוצר: הסר את ההתקנה של החבילה הקיימת, קבע מחדש את תצורת המכשיר לשימוש בערוץ החדש ובצע את השלבים המפורטים במסמך זה כדי להתקין את החבילה מהמיקום החדש.

  שים לב להפצה ולגירסה שלך וזהה את הערך הקרוב ביותר עבורה תחת https://packages.microsoft.com/config/[distro]/.

  בפקודות הבאות, החלף את [distro] ואת [version] במידע שזיהית.

  הערה

  במקרה של Oracle Linux ו- Amazon Linux 2, החלף את [distro] ב- "rhel". עבור Amazon Linux 2, החלף את [version] ב- "7". עבור Oracle Linux, החלף את [version] בגירסה של Oracle Linux.

  - name: Add Microsoft APT key
    apt_key:
      url: https://packages.microsoft.com/keys/microsoft.asc
      state: present
    when: ansible_os_family == "Debian"
  
  - name: Add Microsoft apt repository for MDATP
    apt_repository:
      repo: deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
      update_cache: yes
      state: present
      filename: microsoft-[channel]
    when: ansible_os_family == "Debian"
  
  - name: Add Microsoft DNF/YUM key
    rpm_key:
      state: present
      key: https://packages.microsoft.com/keys/microsoft.asc
    when: ansible_os_family == "RedHat"
  
  - name: Add  Microsoft yum repository for MDATP
    yum_repository:
      name: packages-microsoft-[channel]
      description: Microsoft Defender for Endpoint
      file: microsoft-[channel]
      baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ 
      gpgcheck: yes
      enabled: Yes
    when: ansible_os_family == "RedHat"
  

• Create את קבצי ההתקנה והסרת ההתקנה של YAML.

  • עבור התפלגויות מבוססות-apt, השתמש בקובץ YAML הבא:

    cat install_mdatp.yml
    

    - hosts: servers
      tasks:
        - include: ../roles/onboarding_setup.yml
        - include: ../roles/add_apt_repo.yml
        - name: Install MDATP
          apt:
            name: mdatp
            state: latest
            update_cache: yes
    

    cat uninstall_mdatp.yml
    

    - hosts: servers
      tasks:
        - name: Uninstall MDATP
          apt:
            name: mdatp
            state: absent
    

  • עבור התפלגויות מבוססות-dnf, השתמש בקובץ YAML הבא:

    cat install_mdatp_dnf.yml
    

    - hosts: servers
      tasks:
        - include: ../roles/onboarding_setup.yml
        - include: ../roles/add_yum_repo.yml
        - name: Install MDATP
          dnf:
            name: mdatp
            state: latest
            enablerepo: packages-microsoft-[channel]
    

    cat uninstall_mdatp_dnf.yml
    

    - hosts: servers
      tasks:
        - name: Uninstall MDATP
          dnf:
            name: mdatp
            state: absent
    

פריסה

כעת הפעל את קבצי המשימות תחת מדריך /etc/ansible/playbooks/ הכתובות הרלוונטי או שלהם.

• ההתקנה:

  ansible-playbook /etc/ansible/playbooks/install_mdatp.yml -i /etc/ansible/hosts
  

חשוב

כאשר המוצר מתחיל בפעם הראשונה, הוא מוריד את ההגדרות העדכניות ביותר למניעת תוכנות זדוניות. בהתאם לחיבור שלך לאינטרנט, פעולה זו עשויה להימשך עד כמה דקות.

• אימות/תצורה:

  ansible -m shell -a 'mdatp connectivity test' all
  

  ansible -m shell -a 'mdatp health' all
  

• הסרת ההתקנה:

  ansible-playbook /etc/ansible/playbooks/uninstall_mdatp.yml -i /etc/ansible/hosts
  

בעיות בהתקנת יומן רישום

ראה בעיות בהתקנת יומן רישום לקבלת מידע נוסף על האופן שבו ניתן למצוא את יומן הרישום שנוצר באופן אוטומטי שנוצר על-ידי המתקין כאשר מתרחשת שגיאה.

שדרוגים למערכת ההפעלה

בעת שדרוג מערכת ההפעלה לגירסה ראשית חדשה, עליך להסיר תחילה את ההתקנה של Defender for Endpoint ב- Linux, להתקין את השדרוג ולבסוף להגדיר מחדש את Defender for Endpoint ב- Linux במכשיר שלך.

הפניות

• הוספה או הסרה של מאגרי YUM

• ניהול חבילות באמצעות מנהל החבילות של dnf

• הוספה והסרה של מאגרי APT

• ניהול חבילות apt-packages

למידע נוסף

• חקור בעיות בתקינות סוכן

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.