Saltstack を使用して Linux に Microsoft Defender for Endpoint をデプロイする

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

この記事では、Saltstack を使用して Defender for Endpoint on Linux をデプロイする方法について説明します。 展開を成功させるには、次のすべてのタスクを完了する必要があります。

• オンボーディング パッケージをダウンロードする
• Saltstack 状態ファイルを作成する
• 展開
• Reference

重要

この記事には、サード パーティ製ツールに関する情報が含まれています。 これは統合シナリオの完了に役立ちますが、Microsoft ではサード パーティ製ツールのトラブルシューティング サポートを提供していません。
サポートについては、サード パーティベンダーにお問い合わせください。

前提条件とシステム要件

作業を開始する前に、現在のソフトウェア バージョンの前提条件とシステム要件の説明については、 Linux 上の Defender for Endpoint のメイン ページ を参照してください。

さらに、Saltstack デプロイの場合は、Saltstack 管理に精通し、Saltstack をインストールし、マスターとミニオンを構成し、状態を適用する方法を理解する必要があります。 Saltstack には、同じタスクを完了するための多くの方法があります。 これらの手順では、パッケージのデプロイに役立つ apt や unarchive など、サポートされている Saltstack モジュールの可用性を前提としています。 組織が別のワークフローを使用する場合があります。 詳細については、 Saltstack のドキュメントを参照 してください。

いくつかの重要なポイントを次に示します。

• Saltstack は少なくとも 1 台のコンピューターにインストールされます (Saltstack はコンピューターをマスターとして呼び出します)。
• Saltstack マスターは、マネージド ノード (Saltstack はノードをミニオンとして呼び出します) 接続を受け入れた。
• Saltstack ミニオンは Saltstack マスターとの通信を解決できます (既定では、ミニオンは 'salt' という名前のマシンと通信しようとします)。
• 次の ping テストを実行します。 sudo salt '*' test.ping
• Saltstack マスターには、Microsoft Defender for Endpoint ファイルを配布できるファイル サーバーの場所があります (既定では、Saltstack は既定の配布ポイントとして /srv/salt フォルダーを使用します)

オンボーディング パッケージをダウンロードする

警告

Defender for Endpoint インストール パッケージの再パッケージ化は、サポートされているシナリオではありません。 これにより、製品の整合性に悪影響を及ぼし、改ざんアラートや更新プログラムの適用に失敗したトリガーなど、悪影響を及ぼす可能性があります。

1. Microsoft Defender ポータルで、 設定>Endpoints>Device management>Onboarding に移動します。

2. 最初のドロップダウン メニューで、オペレーティング システムとして [Linux サーバー] を選択します。 2 番目のドロップダウン メニューで、デプロイ方法として [お好みの Linux 構成管理ツール ] を選択します。

3. [オンボーディング パッケージをダウンロードする] を選択します。 ファイルを WindowsDefenderATPOnboardingPackage.zipとして保存します。

   

4. SaltStack マスターで、アーカイブの内容を SaltStack Server のフォルダー (通常は /srv/salt) に抽出します。

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: /srv/salt/mde/mdatp_onboard.json
   

Saltstack 状態ファイルを作成する

この手順では、構成リポジトリ (通常は /srv/salt) に SaltState 状態ファイルを作成し、Defender for Endpoint のデプロイとオンボードに必要な状態を適用します。 次に、Defender for Endpoint リポジトリとキー: install_mdatp.slsを追加します。

注:

Defender for Endpoint on Linux は、次のいずれかのチャネルからデプロイできます。

• insiders-fast[channel]
• insiders-slow[channel]
• prod、バージョン名を使用して [channel] として示されます ( 「Microsoft 製品の Linux ソフトウェア リポジトリ」を参照してください)

各チャネルは、Linux ソフトウェア リポジトリに対応します。

チャネルの選択により、デバイスに提供される更新プログラムの種類と頻度が決まります。 insiders-fast のデバイスは、更新プログラムと新機能を受け取る最初のデバイスであり、その後、インサイダーが遅く、最後に prod が続きます。

新機能をプレビューし、早期フィードバックを提供するには、社内の一部のデバイスを 、Insider-fast または insider-slow を使用するように構成することをお勧めします。

警告

初期インストール後にチャネルを切り替えるには、製品を再インストールする必要があります。 製品チャネルを切り替えるには: 既存のパッケージをアンインストールし、新しいチャネルを使用するようにデバイスを再構成し、このドキュメントの手順に従って新しい場所からパッケージをインストールします。

1. ディストリビューションとバージョンをメモし、 https://packages.microsoft.com/config/[distro]/で最も近いエントリを特定します。

   次のコマンドでは、[ distro] と [version] を 自分の情報に置き換えます。

   注:

   Oracle Linux と Amazon Linux 2 の場合は、[ distro] を "rhel" に置き換えます。 Amazon Linux 2 の場合、[ version] を "7" に置き換えます。 Oracle が利用する場合は、[ version] を Oracle Linux のバージョンに置き換えます。

   cat /srv/salt/install_mdatp.sls
   

   add_ms_repo:
     pkgrepo.managed:
       - humanname: Microsoft Defender Repository
       {% if grains['os_family'] == 'Debian' %}
       - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
       - dist: [codename]
       - file: /etc/apt/sources.list.d/microsoft-[channel].list
       - key_url: https://packages.microsoft.com/keys/microsoft.asc
       - refresh: true
       {% elif grains['os_family'] == 'RedHat' %}
       - name: packages-microsoft-[channel]
       - file: microsoft-[channel]
       - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
       - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
       - gpgcheck: true
       {% endif %}
   

2. 以前に定義したadd_ms_repo状態の後に、パッケージのインストール済み状態をinstall_mdatp.slsに追加します。

   install_mdatp_package:
     pkg.installed:
       - name: matp
       - required: add_ms_repo
   

3. 前に定義したinstall_mdatp_packageの後に、オンボード ファイルのデプロイをinstall_mdatp.slsに追加します。

   copy_mde_onboarding_file:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
       - source: salt://mde/mdatp_onboard.json
       - required: install_mdatp_package
   

   完了したインストール状態ファイルは、次の出力のようになります。

   add_ms_repo:
   pkgrepo.managed:
   - humanname: Microsoft Defender Repository
   {% if grains['os_family'] == 'Debian' %}
   - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
   - dist: [codename]
   - file: /etc/apt/sources.list.d/microsoft-[channel].list
   - key_url: https://packages.microsoft.com/keys/microsoft.asc
   - refresh: true
   {% elif grains['os_family'] == 'RedHat' %}
   - name: packages-microsoft-[channel]
   - file: microsoft-[channel]
   - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
   - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
   - gpgcheck: true
   {% endif %}
   
   install_mdatp_package:
   pkg.installed:
   - name: mdatp
   - required: add_ms_repo
   
   copy_mde_onboarding_file:
   file.managed:
   - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   - source: salt://mde/mdatp_onboard.json
   - required: install_mdatp_package
   

4. 必要な状態をオフボードに適用し、Defender for Endpoint を削除する SaltState 状態ファイルを構成リポジトリ (通常は /srv/salt) に作成します。 オフボード状態ファイルを使用する前に、オフボード パッケージをセキュリティ ポータルからダウンロードし、オンボード パッケージと同じ方法で抽出する必要があります。 ダウンロードしたオフボード パッケージは、一定期間のみ有効です。

5. [アンインストール状態ファイル] uninstall_mdapt.sls を作成し、状態を追加して mdatp_onboard.json ファイルを削除します。

   cat /srv/salt/uninstall_mdatp.sls
   

   remove_mde_onboarding_file:
     file.absent:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   

6. 前のセクションで定義したremove_mde_onboarding_file状態の後に、オフボード ファイルの展開を uninstall_mdatp.sls ファイルに追加します。

    offboard_mde:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
       - source: salt://mde/mdatp_offboard.json
   

7. 前のセクションで定義したoffboard_mde状態の後に、MDATP パッケージの削除を uninstall_mdatp.sls ファイルに追加します。

   remove_mde_packages:
     pkg.removed:
       - name: mdatp
   

   完全なアンインストール状態ファイルは、次の出力のようになります。

   remove_mde_onboarding_file:
     file.absent:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   
   offboard_mde:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
       - source: salt://mde/offboard/mdatp_offboard.json
   
   remove_mde_packages:
      pkg.removed:
        - name: mdatp
   

展開

この手順では、ミニオンに状態を適用します。 次のコマンドは、 mdetestで始まる名前のマシンに状態を適用します。

1. 取り付け：

   salt 'mdetest*' state.apply install_mdatp
   

   重要

   製品が初めて起動すると、最新のウイルス対策定義がダウンロードされます。 インターネット接続によっては、これには数分かかる場合があります。

2. 検証/構成:

   salt 'mdetest*' cmd.run 'mdatp connectivity test'
   

   salt 'mdetest*' cmd.run 'mdatp health'
   

3. アンインストール:

   salt 'mdetest*' state.apply uninstall_mdatp
   

インストールの問題をログする

エラーが発生したときにインストーラーによって作成される自動的に生成されたログを検索する方法の詳細については、「 ログのインストールの問題」を参照してください。

オペレーティング システムのアップグレード

オペレーティング システムを新しいメジャー バージョンにアップグレードするときは、最初に Linux 用 Defender for Endpoint をアンインストールし、アップグレードをインストールしてから、最後にデバイスの Linux 用 Defender for Endpoint を再構成する必要があります。

リファレンス

• SALT プロジェクトのドキュメント

関連項目

• エージェントの正常性に関する問題の調査

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。