Deploy Microsoft Defender עבור נקודת קצה on Linux with Puppet

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender XDR

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

מאמר זה מתאר כיצד לפרוס את Defender for Endpoint ב- Linux באמצעות Puppet. פריסה מוצלחת מחייבת השלמת כל המשימות הבאות:

• הורד את חבילת הצירוף
• Create במניפסט בובות
• פריסה
• בדוק את מצב הצירוף

חשוב

מאמר זה מכיל מידע אודות כלים של ספקים חיצוניים. דבר זה מסופק כדי להשלים תרחישי שילוב, עם זאת, Microsoft אינה מספקת תמיכה בפתרון בעיות עבור כלים של ספקים חיצוניים.
פנה לספק החיצוני לקבלת תמיכה.

דרישות מוקדמות ודרישות מערכת

לקבלת תיאור של דרישות מוקדמות ודרישות מערכת עבור גירסת התוכנה הנוכחית, עיין בדף הראשי של Defender for Endpoint ב- Linux.

בנוסף, עבור פריסת בובות, עליך להכיר את משימות הניהול של בובות, לקבוע את תצורת הבובה ולידע כיצד לפרוס חבילות. ל"בובה" יש דרכים רבות להשלים את אותה משימה. הוראות אלה מבוססות על הזמינות של מודולי בובות נתמכים, כגון apt כדי לעזור לפרוס את החבילה. הארגון שלך עשוי להשתמש בזרימת עבודה אחרת. עיין בתיעוד הבובה לקבלת פרטים.

הורד את חבילת הצירוף

הורד את חבילת הצירוף מהפורטל Microsoft Defender שלך.

אזהרה

אריזה מחדש של חבילת ההתקנה של Defender for Endpoint אינה תרחיש נתמך. פעולה זו יכולה להשפיע לרעה על תקינות המוצר ולהוביל לתוצאות שליליות, כולל אך לא מוגבל להפעלת התראות שלא כדין ועדכונים שאינם חלים.

1. בפורטל Microsoft Defender, עבור אל הגדרות > נקודות קצה > ניהול מכשירים > צירוף.

2. בתפריט הנפתח הראשון, בחר שרת Linux כמערכת ההפעלה. בתפריט הנפתח השני, בחר את כלי ניהול התצורה המועדף עליך של Linux כשיעולת הפריסה.

3. בחר הורד חבילת צירוף. שמור את הקובץ WindowsDefenderATPOnboardingPackage.zip.

   

4. משורת פקודה, ודא שהקובץ נמצא ברשותך.

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

5. חלץ את תוכן הארכיון.

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: mdatp_onboard.json
   

Create מניפסט בובות

עליך ליצור מניפסט של בובות לפריסת Defender for Endpoint ב- Linux למכשירים המנוהלות על-ידי שרת בובות. דוגמה זו משתמשת במודולים apt ו- yumrepo הזמינים מתוך לוחות בובות, ומניח כי המודולים הותקנו בשרת Puppet שלך.

Create התיקיות install_mdatp/קבציםinstall_mdatp/מניפסטים תחת תיקיית המודולים של התקנת הבובה שלך. תיקיה זו ממוקמת בדרך כלל /etc/puppetlabs/code/environments/production/modules בשרת Puppet שלך. העתק את mdatp_onboard.json שנוצר לעיל לתיקיה install_mdatp/קבצים . Create קובץ init.pp המכיל את הוראות הפריסה:

pwd

/etc/puppetlabs/code/environments/production/modules

tree install_mdatp

install_mdatp
├── files
│   └── mdatp_onboard.json
└── manifests
    └── init.pp

תוכן של install_mdatp/manifests/init.pp

ניתן לפרוס את Defender for Endpoint ב- Linux באחד מהערוצים הבאים (המפורטים להלן כ- [channel]): insiders-fast, insiders-slow או prod. כל אחד מהערוצים האלה תואם למאגר תוכנות של Linux.

בחירת הערוץ קובעת את הסוג והתדירות של עדכונים המוצעים למכשיר שלך. מכשירים ב- Insider-fast הם הראשונים שיקבלו עדכונים ותכונות חדשות, ואחר כך משתתפי Insider-slow ואחרונה על-ידיעדכון.

כדי להציג תכונות חדשות בתצוגה מקדימה ולספק משוב מוקדם, מומלץ להגדיר מכשירים מסוימים בארגון לשימוש ב- Insiders-fast או Insider-slow.

אזהרה

החלפת הערוץ לאחר ההתקנה הראשונית מחייבת התקנה מחדש של המוצר. כדי להחליף את ערוץ המוצר: הסר את ההתקנה של החבילה הקיימת, קבע מחדש את תצורת המכשיר לשימוש בערוץ החדש ובצע את השלבים המפורטים במסמך זה כדי להתקין את החבילה מהמיקום החדש.

שים לב להפצה ולגירסה שלך וזהה את הערך הקרוב ביותר עבורה תחת https://packages.microsoft.com/config/[distro]/.

בפקודות שלהלן, החלף את [distro] ואת [version] במידע שזיהית:

הערה

במקרה של RedHat, Oracle Linux, Amazon Linux 2 ו- CentOS 8, החלף את [distro] ב- 'rhel'.

# Puppet manifest to install Microsoft Defender for Endpoint on Linux.
# @param channel The release channel based on your environment, insider-fast or prod.
# @param distro The Linux distribution in lowercase. In case of RedHat, Oracle Linux, Amazon Linux 2, and CentOS 8, the distro variable should be 'rhel'.
# @param version The Linux distribution release number, e.g. 7.4.

class install_mdatp (
  $channel = 'insiders-fast',
  $distro = undef,
  $version = undef
) {
  case $facts['os']['family'] {
    'Debian' : {
      $release = $channel ? {
        'prod'  => $facts['os']['distro']['codename'],
        default => $channel
      }
      apt::source { 'microsoftpackages' :
        location => "https://packages.microsoft.com/${distro}/${version}/prod",
        release  => $release,
        repos    => 'main',
        key      => {
          'id'     => 'BC528686B50D79E339D3721CEB3E94ADBE1229CF',
          'server' => 'keyserver.ubuntu.com',
        },
      }
    }
    'RedHat' : {
      yumrepo { 'microsoftpackages' :
        baseurl  => "https://packages.microsoft.com/${distro}/${version}/${channel}",
        descr    => "packages-microsoft-com-prod-${channel}",
        enabled  => 1,
        gpgcheck => 1,
        gpgkey   => 'https://packages.microsoft.com/keys/microsoft.asc',
      }
    }
    default : { fail("${facts['os']['family']} is currently not supported.") }
  }

  case $facts['os']['family'] {
    /(Debian|RedHat)/: {
      file { ['/etc/opt', '/etc/opt/microsoft', '/etc/opt/microsoft/mdatp']:
        ensure => directory,
        owner  => root,
        group  => root,
        mode   => '0755',
      }

      file { '/etc/opt/microsoft/mdatp/mdatp_onboard.json':
        source  => 'puppet:///modules/install_mdatp/mdatp_onboard.json',
        owner   => root,
        group   => root,
        mode    => '0600',
        require => File['/etc/opt/microsoft/mdatp'],
      }

      package { 'mdatp':
        ensure  => 'installed',
        require => File['/etc/opt/microsoft/mdatp/mdatp_onboard.json'],
      }
    }
    default : { fail("${facts['os']['family']} is currently not supported.") }
  }
}

פריסה

כלול את המניפסט שלעיל בקובץ site.pp שלך:

cat /etc/puppetlabs/code/environments/production/manifests/site.pp

node "default" {
    include install_mdatp
}

מכשירים של סוכן רשומים משאלים מעת לעת את Puppet Server ומתקין פרופילי תצורה ומדיניות חדשים ברגע שהם מזוהים.

פריסת ניטור בובות

במכשיר הסוכן, באפשרותך גם לבדוק את מצב הצירוף על-ידי הפעלת:

mdatp health

...
licensed                                : true
org_id                                  : "[your organization identifier]"
...

• ברשיון: פעולה זו מאשרת שהמכשיר קשור לארגון שלך.

• orgId: זהו מזהה הארגון של Defender for Endpoint.

בדוק את מצב הצירוף

באפשרותך לבדוק שהמכשירים הוקלוט כראוי על-ידי יצירת קובץ Script. לדוגמה, קובץ ה- Script הבא בודק את מצב הצירוף במכשירים רשומים:

mdatp health --field healthy

הפקודה לעיל מודפסת 1 אם המוצר מחובר ותפקודו כצפוי.

חשוב

כאשר המוצר מתחיל בפעם הראשונה, הוא מוריד את ההגדרות העדכניות ביותר למניעת תוכנות זדוניות. בהתאם לחיבור שלך לאינטרנט, פעולה זו עשויה להימשך עד כמה דקות. במהלך פרק זמן זה, הפקודה לעיל מחזירה ערך של 0.

אם המוצר אינו תקין, קוד היציאה (שניתן לבדוק באמצעות echo $?) מציין את הבעיה:

• 1 אם המכשיר עדיין לא מחובר.
• 3 אם אין אפשרות ליצור את החיבור ל- Daemon.

בעיות בהתקנת יומן רישום

לקבלת מידע נוסף אודות האופן שבו ניתן למצוא את יומן הרישום שנוצר באופן אוטומטי שנוצר על-ידי המתקין כאשר מתרחשת שגיאה, ראה בעיות בהתקנת יומן רישום.

שדרוגים למערכת ההפעלה

בעת שדרוג מערכת ההפעלה לגירסה ראשית חדשה, עליך להסיר תחילה את ההתקנה של Defender for Endpoint ב- Linux, להתקין את השדרוג ולבסוף להגדיר מחדש את Defender for Endpoint ב- Linux במכשיר שלך.

הסרת ההתקנה

Create מודול remove_mdatpדומה install_mdatp התוכן הבא בקובץ init.pp:

class remove_mdatp {
    package { 'mdatp':
        ensure => 'purged',
    }
}

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.