Distribuire Microsoft Defender per endpoint in Linux con Saltstack

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Questo articolo descrive come distribuire Defender per endpoint in Linux usando Saltstack. Una distribuzione riuscita richiede il completamento di tutte le attività seguenti:

• Scaricare il pacchetto di onboarding
• Create file di stato Saltstack
• Distribuzione
• Riferimenti

Importante

Questo articolo contiene informazioni sugli strumenti di terze parti. Questo viene fornito per semplificare il completamento degli scenari di integrazione, tuttavia, Microsoft non fornisce supporto per la risoluzione dei problemi per gli strumenti di terze parti.
Per assistenza, contattare il fornitore di terze parti.

Prerequisiti e requisiti di sistema

Prima di iniziare, vedere la pagina principale di Defender per endpoint in Linux per una descrizione dei prerequisiti e dei requisiti di sistema per la versione software corrente.

Inoltre, per la distribuzione di Saltstack, è necessario avere familiarità con l'amministrazione di Saltstack, avere installato Saltstack, configurare master e minion e sapere come applicare gli stati. Saltstack ha molti modi per completare la stessa attività. Queste istruzioni presuppongono la disponibilità di moduli Saltstack supportati, ad esempio apt e unarchive per semplificare la distribuzione del pacchetto. L'organizzazione potrebbe usare un flusso di lavoro diverso. Per informazioni dettagliate, vedere la documentazione di Saltstack .

• Saltstack viene installato in almeno un computer (Saltstack chiama il computer come master).

• Il master Saltstack ha accettato i nodi gestiti (Saltstack chiama i nodi come servitori) connessioni.

• I servitori saltstack sono in grado di risolvere la comunicazione con il master Saltstack (per impostazione predefinita, i servitori cercano di comunicare con una macchina denominata 'salt').

• Eseguire questo test ping:

  sudo salt '*' test.ping
  

• Il master Saltstack ha un percorso file server da cui è possibile distribuire i file Microsoft Defender per endpoint (per impostazione predefinita Saltstack usa la cartella /srv/salt come punto di distribuzione predefinito)

Scaricare il pacchetto di onboarding

Scaricare il pacchetto di onboarding dal portale di Microsoft Defender.

Avviso

Il riconfezionamento del pacchetto di installazione di Defender per endpoint non è uno scenario supportato. Ciò può influire negativamente sull'integrità del prodotto e portare a risultati negativi, tra cui, a titolo esemplificabile, l'attivazione di avvisi di manomissione e l'impossibilità di applicare gli aggiornamenti.

1. Nel portale di Microsoft Defender passare a Impostazioni > Endpoint Gestione > dispositivi > Onboarding.

2. Nel primo menu a discesa selezionare Server Linux come sistema operativo. Nel secondo menu a discesa selezionare Lo strumento di gestione della configurazione Linux preferito come metodo di distribuzione.

3. Selezionare Scarica pacchetto di onboarding. Salvare il file come WindowsDefenderATPOnboardingPackage.zip.

   

4. In SaltStack Master estrarre il contenuto dell'archivio nella cartella del server SaltStack (in genere /srv/salt):

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: /srv/salt/mde/mdatp_onboard.json
   

Create file di stato Saltstack

Create un file di stato SaltState nel repository di configurazione (in genere /srv/salt) che applica gli stati necessari per distribuire ed eseguire l'onboarding di Defender per endpoint.

• Aggiungere il repository e la chiave di Defender per endpoint, install_mdatp.sls:

  Defender per endpoint in Linux può essere distribuito da uno dei canali seguenti (descritto come [canale]): insiders-fast, insiders-slow o prod. Ognuno di questi canali corrisponde a un repository software Linux.

  La scelta del canale determina il tipo e la frequenza degli aggiornamenti offerti al dispositivo. I dispositivi in insider-fast sono i primi a ricevere aggiornamenti e nuove funzionalità, seguiti in seguito da insider-slow e infine da prod.

  Per visualizzare in anteprima le nuove funzionalità e fornire feedback anticipato, è consigliabile configurare alcuni dispositivi nell'organizzazione per l'uso di insider veloci o insider lenti.

  Avviso

  Il cambio di canale dopo l'installazione iniziale richiede la reinstallazione del prodotto. Per cambiare il canale del prodotto: disinstallare il pacchetto esistente, riconfigurare il dispositivo per usare il nuovo canale e seguire la procedura descritta in questo documento per installare il pacchetto dal nuovo percorso.

  Prendere nota della distribuzione e della versione e identificare la voce più vicina in https://packages.microsoft.com/config/[distro]/.

  Nei comandi seguenti sostituire [distro] e [version] con le informazioni.

  Nota

  Nel caso di Oracle Linux e Amazon Linux 2, sostituire [distro] con "rhel". Per Amazon Linux 2, sostituire [versione] con "7". Per l'utilizzo di Oracle, sostituire [versione] con la versione di Oracle Linux.

  cat /srv/salt/install_mdatp.sls
  

  add_ms_repo:
    pkgrepo.managed:
      - humanname: Microsoft Defender Repository
      {% if grains['os_family'] == 'Debian' %}
      - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
      - dist: [codename]
      - file: /etc/apt/sources.list.d/microsoft-[channel].list
      - key_url: https://packages.microsoft.com/keys/microsoft.asc
      - refresh: true
      {% elif grains['os_family'] == 'RedHat' %}
      - name: packages-microsoft-[channel]
      - file: microsoft-[channel]
      - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
      - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
      - gpgcheck: true
      {% endif %}
  

• Aggiungere lo stato del pacchetto installato a install_mdatp.sls dopo lo add_ms_repo stato come definito in precedenza.

  install_mdatp_package:
    pkg.installed:
      - name: matp
      - required: add_ms_repo
  

• Aggiungere la distribuzione del file di onboarding a install_mdatp.sls dopo come install_mdatp_package definito in precedenza.

  copy_mde_onboarding_file:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
      - source: salt://mde/mdatp_onboard.json
      - required: install_mdatp_package
  

  Il file dello stato di installazione completato dovrebbe essere simile all'output seguente:

  add_ms_repo:
  pkgrepo.managed:
  - humanname: Microsoft Defender Repository
  {% if grains['os_family'] == 'Debian' %}
  - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
  - dist: [codename]
  - file: /etc/apt/sources.list.d/microsoft-[channel].list
  - key_url: https://packages.microsoft.com/keys/microsoft.asc
  - refresh: true
  {% elif grains['os_family'] == 'RedHat' %}
  - name: packages-microsoft-[channel]
  - file: microsoft-[channel]
  - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
  - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
  - gpgcheck: true
  {% endif %}
  
  install_mdatp_package:
  pkg.installed:
  - name: matp
  - required: add_ms_repo
  
  copy_mde_onboarding_file:
  file.managed:
  - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  - source: salt://mde/mdatp_onboard.json
  - required: install_mdatp_package
  

Create un file di stato SaltState nel repository di configurazione (in genere /srv/salt) che applica gli stati necessari all'offboarding e alla rimozione di Defender per endpoint. Prima di usare il file di stato di offboarding, è necessario scaricare il pacchetto di offboarding dal portale di sicurezza ed estrarlo nello stesso modo in cui è stato eseguito il pacchetto di onboarding. Il pacchetto offboarding scaricato è valido solo per un periodo di tempo limitato.

• Create un file uninstall_mdapt.sls di stato di disinstallazione e aggiungere lo stato per rimuovere il mdatp_onboard.json file

  cat /srv/salt/uninstall_mdatp.sls
  

  remove_mde_onboarding_file:
    file.absent:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  

• Aggiungere la distribuzione del file di offboarding al uninstall_mdatp.sls file dopo lo remove_mde_onboarding_file stato definito nella sezione precedente.

  offboard_mde:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
      - source: salt://mde/mdatp_offboard.json
  

• Aggiungere la rimozione del pacchetto MDATP al uninstall_mdatp.sls file dopo lo offboard_mde stato definito nella sezione precedente.

  remove_mde_packages:
    pkg.removed:
      - name: mdatp
  

  Il file di stato di disinstallazione completo dovrebbe essere simile all'output seguente:

  remove_mde_onboarding_file:
    file.absent:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  
  offboard_mde:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
      - source: salt://mde/offboard/mdatp_offboard.json
  
  remove_mde_packages:
    pkg.removed:
      - name: mdatp
  

Distribuzione

Applicare ora lo stato ai servitori. Il comando seguente applica lo stato ai computer con il nome che inizia con mdetest.

• Installazione:

  salt 'mdetest*' state.apply install_mdatp
  

  Importante

  Quando il prodotto viene avviato per la prima volta, scarica le definizioni antimalware più recenti. A seconda della connessione Internet, possono essere necessari alcuni minuti.

• Convalida/configurazione:

  salt 'mdetest*' cmd.run 'mdatp connectivity test'
  

  salt 'mdetest*' cmd.run 'mdatp health'
  

• Disinstallazione:

  salt 'mdetest*' state.apply uninstall_mdatp
  

Problemi di installazione del log

Per altre informazioni su come trovare il log generato automaticamente creato dal programma di installazione quando si verifica un errore, vedere Problemi di installazione del log.

Aggiornamenti del sistema operativo

Quando si aggiorna il sistema operativo a una nuova versione principale, è innanzitutto necessario disinstallare Defender per endpoint in Linux, installare l'aggiornamento e infine riconfigurare Defender per endpoint in Linux nel dispositivo.

Riferimento

• Documentazione del progetto SALT

Vedere anche

• Esaminare i problemi di integrità dell'agente

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.