Distribuire Microsoft Defender per endpoint in Linux con Saltstack
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Questo articolo descrive come distribuire Defender per endpoint in Linux usando Saltstack. Una distribuzione riuscita richiede il completamento di tutte le attività seguenti:
Importante
Questo articolo contiene informazioni sugli strumenti di terze parti. Questo viene fornito per semplificare il completamento degli scenari di integrazione, tuttavia, Microsoft non fornisce supporto per la risoluzione dei problemi per gli strumenti di terze parti.
Per assistenza, contattare il fornitore di terze parti.
Prerequisiti e requisiti di sistema
Prima di iniziare, vedere la pagina principale di Defender per endpoint in Linux per una descrizione dei prerequisiti e dei requisiti di sistema per la versione software corrente.
Inoltre, per la distribuzione di Saltstack, è necessario avere familiarità con l'amministrazione di Saltstack, avere installato Saltstack, configurare master e minion e sapere come applicare gli stati. Saltstack ha molti modi per completare la stessa attività. Queste istruzioni presuppongono la disponibilità di moduli Saltstack supportati, ad esempio apt e unarchive per semplificare la distribuzione del pacchetto. L'organizzazione potrebbe usare un flusso di lavoro diverso. Per informazioni dettagliate, vedere la documentazione di Saltstack .
Ecco alcuni punti importanti:
- Saltstack viene installato in almeno un computer (Saltstack chiama il computer come master).
- Il master Saltstack ha accettato i nodi gestiti (Saltstack chiama i nodi come servitori) connessioni.
- I servitori saltstack sono in grado di risolvere la comunicazione con il master Saltstack (per impostazione predefinita, i servitori cercano di comunicare con una macchina denominata 'salt').
- Eseguire il test ping seguente:
sudo salt '*' test.ping - Il master Saltstack ha un percorso del file server da cui è possibile distribuire i file Microsoft Defender per endpoint (per impostazione predefinita Saltstack usa la
/srv/saltcartella come punto di distribuzione predefinito)
Scaricare il pacchetto di onboarding
Avviso
Il riconfezionamento del pacchetto di installazione di Defender per endpoint non è uno scenario supportato. Ciò può influire negativamente sull'integrità del prodotto e portare a risultati negativi, tra cui, a titolo esemplificabile, l'attivazione di avvisi di manomissione e l'impossibilità di applicare gli aggiornamenti.
In Microsoft Defender portale passare a Impostazioni>Endpoint>Gestione> dispositiviOnboarding.
Nel primo menu a discesa selezionare Server Linux come sistema operativo. Nel secondo menu a discesa selezionare Lo strumento di gestione della configurazione Linux preferito come metodo di distribuzione.
Selezionare Scarica pacchetto di onboarding. Salvare il file come
WindowsDefenderATPOnboardingPackage.zip.
In SaltStack Master estrarre il contenuto dell'archivio nella cartella del server SaltStack (in genere
/srv/salt):ls -ltotal 8 -rw-r--r-- 1 test staff 4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zipunzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mdeArchive: WindowsDefenderATPOnboardingPackage.zip inflating: /srv/salt/mde/mdatp_onboard.json
Creare file di stato Saltstack
In questo passaggio si crea un file di stato SaltState nel repository di configurazione (in genere /srv/salt) che applica gli stati necessari per distribuire ed eseguire l'onboarding di Defender per endpoint. Aggiungere quindi il repository e la chiave di Defender per endpoint: install_mdatp.sls.
Nota
Defender per endpoint in Linux può essere distribuito da uno dei canali seguenti:
-
insiders-fast, indicato come
[channel] -
insiders-slow, indicato come
[channel] -
prod, indicato come
[channel]utilizzando il nome della versione (vedere Linux Software Repository for Microsoft Products)
Ogni canale corrisponde a un repository software Linux.
La scelta del canale determina il tipo e la frequenza degli aggiornamenti offerti al dispositivo. I dispositivi in insider-fast sono i primi a ricevere aggiornamenti e nuove funzionalità, seguiti in seguito da insider-slow e infine da prod.
Per visualizzare in anteprima le nuove funzionalità e fornire feedback anticipato, è consigliabile configurare alcuni dispositivi nell'organizzazione per usare i partecipanti ai lavori in modo rapido o lento.
Avviso
Il cambio di canale dopo l'installazione iniziale richiede la reinstallazione del prodotto. Per cambiare il canale del prodotto: disinstallare il pacchetto esistente, riconfigurare il dispositivo per usare il nuovo canale e seguire la procedura descritta in questo documento per installare il pacchetto dal nuovo percorso.
Prendere nota della distribuzione e della versione e identificare la voce più vicina in
https://packages.microsoft.com/config/[distro]/.Nei comandi seguenti sostituire [distro] e [version] con le informazioni.
Nota
Nel caso di Oracle Linux e Amazon Linux 2, sostituire [distro] con "rhel". Per Amazon Linux 2, sostituire [versione] con "7". Per l'utilizzo di Oracle, sostituire [versione] con la versione di Oracle Linux.
cat /srv/salt/install_mdatp.slsadd_ms_repo: pkgrepo.managed: - humanname: Microsoft Defender Repository {% if grains['os_family'] == 'Debian' %} - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main - dist: [codename] - file: /etc/apt/sources.list.d/microsoft-[channel].list - key_url: https://packages.microsoft.com/keys/microsoft.asc - refresh: true {% elif grains['os_family'] == 'RedHat' %} - name: packages-microsoft-[channel] - file: microsoft-[channel] - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ - gpgkey: https://packages.microsoft.com/keys/microsoft.asc - gpgcheck: true {% endif %}Aggiungere lo stato del pacchetto installato a
install_mdatp.slsdopo loadd_ms_repostato come definito in precedenza.install_mdatp_package: pkg.installed: - name: matp - required: add_ms_repoAggiungere la distribuzione del file di onboarding a
install_mdatp.slsdopo comeinstall_mdatp_packagedefinito in precedenza.copy_mde_onboarding_file: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json - source: salt://mde/mdatp_onboard.json - required: install_mdatp_packageIl file dello stato di installazione completato dovrebbe essere simile all'output seguente:
add_ms_repo: pkgrepo.managed: - humanname: Microsoft Defender Repository {% if grains['os_family'] == 'Debian' %} - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main - dist: [codename] - file: /etc/apt/sources.list.d/microsoft-[channel].list - key_url: https://packages.microsoft.com/keys/microsoft.asc - refresh: true {% elif grains['os_family'] == 'RedHat' %} - name: packages-microsoft-[channel] - file: microsoft-[channel] - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ - gpgkey: https://packages.microsoft.com/keys/microsoft.asc - gpgcheck: true {% endif %} install_mdatp_package: pkg.installed: - name: mdatp - required: add_ms_repo copy_mde_onboarding_file: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json - source: salt://mde/mdatp_onboard.json - required: install_mdatp_packageCreare un file di stato SaltState nel repository di configurazione (in genere
/srv/salt) che applica gli stati necessari all'offboard e alla rimozione di Defender per endpoint. Prima di usare il file di stato di offboarding, è necessario scaricare il pacchetto di offboarding dal portale di sicurezza ed estrarlo nello stesso modo in cui è stato eseguito il pacchetto di onboarding. Il pacchetto offboarding scaricato è valido solo per un periodo di tempo limitato.Creare un file
uninstall_mdapt.slsdi stato Disinstalla e aggiungere lo stato per rimuovere ilmdatp_onboard.jsonfile.cat /srv/salt/uninstall_mdatp.slsremove_mde_onboarding_file: file.absent: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.jsonAggiungere la distribuzione del file di offboarding al
uninstall_mdatp.slsfile dopo loremove_mde_onboarding_filestato definito nella sezione precedente.offboard_mde: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json - source: salt://mde/mdatp_offboard.jsonAggiungere la rimozione del pacchetto MDATP al
uninstall_mdatp.slsfile dopo looffboard_mdestato definito nella sezione precedente.remove_mde_packages: pkg.removed: - name: mdatpIl file di stato di disinstallazione completo dovrebbe essere simile all'output seguente:
remove_mde_onboarding_file: file.absent: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json offboard_mde: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json - source: salt://mde/offboard/mdatp_offboard.json remove_mde_packages: pkg.removed: - name: mdatp
Distribuzione
In questo passaggio si applica lo stato ai servitori. Il comando seguente applica lo stato ai computer con il nome che inizia con mdetest.
Installazione:
salt 'mdetest*' state.apply install_mdatpImportante
Quando il prodotto viene avviato per la prima volta, scarica le definizioni antimalware più recenti. A seconda della connessione Internet, possono essere necessari alcuni minuti.
Convalida/configurazione:
salt 'mdetest*' cmd.run 'mdatp connectivity test'salt 'mdetest*' cmd.run 'mdatp health'Disinstallazione:
salt 'mdetest*' state.apply uninstall_mdatp
Problemi di installazione del log
Per altre informazioni su come trovare il log generato automaticamente creato dal programma di installazione quando si verifica un errore, vedere Problemi di installazione del log.
Aggiornamenti del sistema operativo
Quando si aggiorna il sistema operativo a una nuova versione principale, è innanzitutto necessario disinstallare Defender per endpoint in Linux, installare l'aggiornamento e infine riconfigurare Defender per endpoint in Linux nel dispositivo.
Riferimento
Vedere anche
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.