Ansible を使用して Linux にMicrosoft Defender for Endpointをデプロイする

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

この記事では、Ansible を使用して Defender for Endpoint on Linux をデプロイする方法について説明します。 展開を成功させるには、次のすべてのタスクを完了する必要があります。

• オンボーディング パッケージをダウンロードする
• Ansible YAMLファイルをCreateする
• 展開
• 関連情報

重要

この記事には、サード パーティ製ツールに関する情報が含まれています。 これは統合シナリオの完了に役立ちますが、Microsoft ではサード パーティ製ツールのトラブルシューティング サポートを提供していません。
サポートについては、サード パーティベンダーにお問い合わせください。

前提条件とシステム要件

作業を開始する前に、現在のソフトウェア バージョンの前提条件とシステム要件の説明については、「Linux 上の Defender for Endpoint のメイン」ページを参照してください。

さらに、Ansible デプロイの場合は、Ansible 管理タスクに精通し、Ansible を構成し、プレイブックとタスクをデプロイする方法を理解する必要があります。 Ansible には、同じタスクを完了するための多くの方法があります。 これらの手順では、パッケージのデプロイに役立つ apt や unarchive など、サポートされている Ansible モジュールの可用性を前提としています。 organizationは別のワークフローを使用する場合があります。 詳細については、 Ansible のドキュメント を参照してください。

• Ansible は、少なくとも 1 台のコンピューターにインストールする必要があります (Ansible はこれをコントロール ノードと呼びます)。

• 制御ノードとすべての管理対象ノード (Defender for Endpoint がインストールされているデバイス) の間の管理者アカウントに対して SSH を構成する必要があり、公開キー認証を使用して構成することをお勧めします。

• すべてのマネージド ノードに次のソフトウェアをインストールする必要があります。

  • カール
  • python-apt (パッケージ マネージャーとして apt を使用してディストリビューションにデプロイする場合)

• すべてのマネージド ノードは、 または 関連ファイルに次の形式で /etc/ansible/hosts 一覧表示する必要があります。

  [servers]
  host1 ansible_ssh_host=10.171.134.39
  host2 ansible_ssh_host=51.143.50.51
  

• Ping テスト:

  ansible -m ping all
  

オンボーディング パッケージをダウンロードする

Microsoft Defender ポータルからオンボード パッケージをダウンロードします。

警告

Defender for Endpoint インストール パッケージの再パッケージ化は、サポートされているシナリオではありません。 これにより、製品の整合性に悪影響を及ぼし、改ざんアラートや更新プログラムの適用に失敗したトリガーなど、悪影響を及ぼす可能性があります。

1. Microsoft Defender ポータルで、[設定] [エンドポイント>] [デバイス管理>] [オンボード] >の順に移動します。

2. 最初のドロップダウン メニューで、オペレーティング システムとして [Linux サーバー] を選択します。 2 番目のドロップダウン メニューで、デプロイ方法として [お好みの Linux 構成管理ツール ] を選択します。

3. [オンボーディング パッケージをダウンロードする] を選択します。 ファイルを WindowsDefenderATPOnboardingPackage.zip として保存します。

   

4. コマンド プロンプトから、ファイルがあることを確認します。 アーカイブの内容を抽出します。

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: mdatp_onboard.json
   

Ansible YAMLファイルをCreateする

プレイブックまたはタスクに貢献するサブタスクまたはロール ファイルをCreateします。

• オンボード タスクをCreateしますonboarding_setup.yml。

  - name: Create MDATP directories
    file:
      path: /etc/opt/microsoft/mdatp/
      recurse: true
      state: directory
      mode: 0755
      owner: root
      group: root
  
  - name: Register mdatp_onboard.json
    stat:
      path: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    register: mdatp_onboard
  
  - name: Extract WindowsDefenderATPOnboardingPackage.zip into /etc/opt/microsoft/mdatp
    unarchive:
      src: WindowsDefenderATPOnboardingPackage.zip
      dest: /etc/opt/microsoft/mdatp
      mode: 0600
      owner: root
      group: root
    when: not mdatp_onboard.stat.exists
  

• Defender for Endpoint リポジトリとキーを add_apt_repo.yml追加します。

  Linux 用 Defender for Endpoint は、次のチャネル (以下、[チャネル] と表記) のいずれかから展開できます: insiders-fast、insiders-slow、または prod。これらの各チャネルは、Linux ソフトウェア リポジトリに対応しています。

  チャネルの選択により、デバイスに提供される更新プログラムの種類と頻度が決まります。 insiders-fast のデバイスが最初に更新プログラムと新機能を受け取り、その後に insiders-slow、最後に prod が続きます。

  新機能をプレビューし、早期のフィードバックを提供するために、企業内の一部のデバイスを insiders-fast または insiders-slow のいずれかを使用するように構成することをお勧めします。

  警告

  初期インストール後にチャネルを切り替えるには、製品を再インストールする必要があります。 製品チャネルを切り替えるには: 既存のパッケージをアンインストールし、新しいチャネルを使用するようにデバイスを再構成し、このドキュメントの手順に従って新しい場所からパッケージをインストールします。

  ディストリビューションとバージョンをメモし、 で最も近いエントリを https://packages.microsoft.com/config/[distro]/特定します。

  次のコマンドでは、[ distro] と [version] を 特定した情報に置き換えます。

  注:

  Oracle Linux と Amazon Linux 2 の場合は、[ distro] を "rhel" に置き換えます。 Amazon Linux 2 の場合、[ version] を "7" に置き換えます。 Oracle Linux の場合、[ version] を Oracle Linux のバージョンに置き換えます。

  - name: Add Microsoft APT key
    apt_key:
      url: https://packages.microsoft.com/keys/microsoft.asc
      state: present
    when: ansible_os_family == "Debian"
  
  - name: Add Microsoft apt repository for MDATP
    apt_repository:
      repo: deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
      update_cache: yes
      state: present
      filename: microsoft-[channel]
    when: ansible_os_family == "Debian"
  
  - name: Add Microsoft DNF/YUM key
    rpm_key:
      state: present
      key: https://packages.microsoft.com/keys/microsoft.asc
    when: ansible_os_family == "RedHat"
  
  - name: Add  Microsoft yum repository for MDATP
    yum_repository:
      name: packages-microsoft-[channel]
      description: Microsoft Defender for Endpoint
      file: microsoft-[channel]
      baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ 
      gpgcheck: yes
      enabled: Yes
    when: ansible_os_family == "RedHat"
  

• Ansible で YAML ファイルをインストールしてアンインストールCreate。

  • apt ベースのディストリビューションでは、次の YAML ファイルを使用します。

    cat install_mdatp.yml
    

    - hosts: servers
      tasks:
        - include: ../roles/onboarding_setup.yml
        - include: ../roles/add_apt_repo.yml
        - name: Install MDATP
          apt:
            name: mdatp
            state: latest
            update_cache: yes
    

    cat uninstall_mdatp.yml
    

    - hosts: servers
      tasks:
        - name: Uninstall MDATP
          apt:
            name: mdatp
            state: absent
    

  • dnf ベースのディストリビューションでは、次の YAML ファイルを使用します。

    cat install_mdatp_dnf.yml
    

    - hosts: servers
      tasks:
        - include: ../roles/onboarding_setup.yml
        - include: ../roles/add_yum_repo.yml
        - name: Install MDATP
          dnf:
            name: mdatp
            state: latest
            enablerepo: packages-microsoft-[channel]
    

    cat uninstall_mdatp_dnf.yml
    

    - hosts: servers
      tasks:
        - name: Uninstall MDATP
          dnf:
            name: mdatp
            state: absent
    

展開

次に、または関連するディレクトリの下にある /etc/ansible/playbooks/ タスク ファイルを実行します。

• インストール：

  ansible-playbook /etc/ansible/playbooks/install_mdatp.yml -i /etc/ansible/hosts
  

重要

製品が初めて起動すると、最新のウイルス対策定義がダウンロードされます。 インターネット接続によっては、これには数分かかる場合があります。

• 検証/構成:

  ansible -m shell -a 'mdatp connectivity test' all
  

  ansible -m shell -a 'mdatp health' all
  

• アンインストール：

  ansible-playbook /etc/ansible/playbooks/uninstall_mdatp.yml -i /etc/ansible/hosts
  

インストールの問題をログする

エラーが発生したときにインストーラーによって作成される自動生成されたログを見つける方法の詳細については、「インストールの問題をログする」を参照してください。

オペレーティング システムのアップグレード

オペレーティング システムを新しいメジャー バージョンにアップグレードするときは、最初に Linux 用 Defender for Endpoint をアンインストールし、アップグレードをインストールしてから、最後にデバイスの Linux 用 Defender for Endpoint を再構成する必要があります。

関連情報

• YUM リポジトリを追加または削除する

• dnf パッケージ マネージャーを使用してパッケージを管理する

• APT リポジトリの追加と削除

• apt-packages を管理する

関連項目

• エージェントの正常性に関する問題の調査

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。