Share via

Végponthoz készült Microsoft Defender üzembe helyezése Linux rendszeren Chef használatával

  • Cikk

Érintett szolgáltatás:

Fontos

Ez a cikk harmadik féltől származó eszközökkel kapcsolatos információkat tartalmaz. Ez segít az integrációs forgatókönyvek teljesítésében, a Microsoft azonban nem nyújt hibaelhárítási támogatást külső eszközökhöz.
Támogatásért forduljon a külső gyártóhoz.

Mielőtt hozzákezdene: Ha még nincs telepítve, telepítse a kicsomagolást.

A Chef összetevői már telepítve vannak, és létezik egy Chef-adattár (a chef adattárnevet> hoz létre<) a Végponthoz készült Defenderben a Chef által felügyelt Linux-kiszolgálókon való üzembe helyezéshez használt szakácskönyv tárolásához.

Létrehozhat egy új szakácskönyvet a meglévő adattárban a chef-adattárban található cookbooks mappából a következő parancs futtatásával:

chef generate cookbook mdatp

Ez a parancs létrehoz egy új mappastruktúrát az új, mdatp nevű szakácskönyvhöz. Meglévő szakácskönyvet is használhat, ha már van egy olyanja, amelybe hozzá szeretné adni a Végponthoz készült Defender üzembe helyezését. A szakácskönyv létrehozása után hozzon létre egy fájlmappát az imént létrehozott cookbook mappában:

mkdir mdatp/files

Vigye át a linuxos kiszolgáló előkészítési zip-fájlját, amely a Microsoft Defender portálról tölthető le ebbe az új fájlmappába.

Figyelmeztetés

A Végponthoz készült Defender telepítőcsomag újracsomagolása nem támogatott forgatókönyv. Ez negatív hatással lehet a termék integritására, és kedvezőtlen eredményekhez vezethet, beleértve, de nem kizárólagosan az illetéktelen módosítási riasztások aktiválását és a frissítések alkalmazásának sikertelenségét.

A Chef-munkaállomáson lépjen az mdatp/recipes mappába. Ez a mappa a szakácskönyv létrehozásakor jön létre. Az előnyben részesített szövegszerkesztő (például vi vagy nano) használatával adja hozzá a következő utasításokat a default.rb fájl végéhez:

  • include_recipe ::onboard_mdatp
  • include_recipe ::install_mdatp

Ezután mentse és zárja be a default.rb fájlt.

Ezután hozzon létre egy új receptfájlt install_mdatp.rb néven a receptek mappában, és adja hozzá ezt a szöveget a fájlhoz:

#Add Microsoft Defender
Repo
case node['platform_family']
when 'debian'
 apt_repository 'MDAPRepo' do
   arch               'amd64'
   cache_rebuild      true
   cookbook           false
   deb_src            false
   key                'BC528686B50D79E339D3721CEB3E94ADBE1229CF'
   keyserver          "keyserver.ubuntu.com"
   distribution       'focal'
   repo_name          'microsoft-prod'
   components         ['main']
   trusted            true
   uri                "https://packages.microsoft.com/config/ubuntu/20.04/prod"
 end
 apt_package "mdatp"
when 'rhel'
 yum_repository 'microsoft-prod' do
   baseurl            "https://packages.microsoft.com/config/rhel/7/prod/"
   description        "Microsoft Defender for Endpoint"
   enabled            true
   gpgcheck           true
   gpgkey             "https://packages.microsoft.com/keys/microsoft.asc"
 end
 if node['platform_version'] <= 8 then
    yum_package "mdatp"
 else
    dnf_package "mdatp"
 end
end

Módosítania kell a verziószámot, a terjesztést és az adattár nevét, hogy megfeleljen a telepített verziónak és a telepíteni kívánt csatornának. Ezután létre kell hoznia egy onboard_mdatp.rb fájlt az mdatp/recipies mappában. Adja hozzá a következő szöveget a fájlhoz:

#Create MDATP Directory
mdatp = "/etc/opt/microsoft/mdatp"
zip_path = "/path/to/chef-repo/cookbooks/mdatp/files/WindowsDefenderATPOnboardingPackage.zip"

directory "#{mdatp}" do
  owner 'root'
  group 'root'
  mode 0755
  recursive true
end

#Extract WindowsDefenderATPOnbaordingPackage.zip into /etc/opt/microsoft/mdatp

bash 'Extract Onboarding Json MDATP' do
  code <<-EOS
  unzip #{zip_path} -d #{mdatp}
  EOS
  not_if { ::File.exist?('/etc/opt/microsoft/mdatp/mdatp_onboard.json') }
end

Mindenképpen frissítse az elérési út nevét az előkészítési fájl helyére. A Chef munkaállomáson való üzembe helyezésének teszteléséhez futtassa a következőt sudo chef-client -z -o mdatp: . Az üzembe helyezést követően érdemes lehet létrehozni és üzembe helyezni egy konfigurációs fájlt a kiszolgálókon a Linux Végponthoz készült Microsoft Defender beállításainak megadása alapján. A konfigurációs fájl létrehozása és tesztelése után abba a cookbook/mdatp/files mappába helyezheti, ahová az előkészítési csomagot is elhelyezte. Ezután létrehozhat egy settings_mdatp.rb fájlt az mdatp/recipies mappában, és hozzáadhatja a következő szöveget:

#Copy the configuration file
cookbook_file '/etc/opt/microsoft/mdatp/managed/mdatp_managed.json' do
  source 'mdatp_managed.json'
  owner 'root'
  group 'root'
  mode '0755'
  action :create
end

Ha bele szeretné foglalni ezt a lépést a recept részeként, egyszerűen adja hozzá include_recipe ':: settings_mdatp a default.rb fájlt a recept mappájában.

A crontab használatával automatikus frissítéseket is ütemezhet a Végponthoz készült Microsoft Defender (Linux) frissítésének ütemezéséhez.

Távolítsa el az MDATP-szakácskönyvet:

#Uninstall the Defender package
case node['platform_family']
when 'debian'
 apt_package "mdatp" do
   action :remove
 end
when 'rhel'
 if node['platform_version'] <= 8
then
    yum_package "mdatp" do
      action :remove
    end
 else
    dnf_package "mdatp" do
      action :remove
    end
 end
end

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.