Saltstack を使用して Linux にMicrosoft Defender for Endpointをデプロイする

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

この記事では、Saltstack を使用して Defender for Endpoint on Linux をデプロイする方法について説明します。 展開を成功させるには、次のすべてのタスクを完了する必要があります。

• オンボーディング パッケージをダウンロードする
• Saltstack 状態ファイルのCreate
• 展開
• Reference

重要

この記事には、サード パーティ製ツールに関する情報が含まれています。 これは統合シナリオの完了に役立ちますが、Microsoft ではサード パーティ製ツールのトラブルシューティング サポートを提供していません。
サポートについては、サード パーティベンダーにお問い合わせください。

前提条件とシステム要件

作業を開始する前に、現在のソフトウェア バージョンの前提条件とシステム要件の説明については、「Linux 上の Defender for Endpoint のメイン」ページを参照してください。

さらに、Saltstack デプロイの場合は、Saltstack 管理に精通し、Saltstack をインストールし、マスターとミニオンを構成し、状態を適用する方法を理解する必要があります。 Saltstack には、同じタスクを完了するための多くの方法があります。 これらの手順では、パッケージのデプロイに役立つ apt や unarchive など、サポートされている Saltstack モジュールの可用性を前提としています。 organizationは別のワークフローを使用する場合があります。 詳細については、 Saltstack のドキュメントを参照 してください。

• Saltstack は少なくとも 1 台のコンピューターにインストールされます (Saltstack はコンピューターをマスターとして呼び出します)。

• Saltstack マスターは、マネージド ノード (Saltstack はノードをミニオンとして呼び出します) 接続を受け入れた。

• Saltstack ミニオンは Saltstack マスターとの通信を解決できます (既定では、ミニオンは 'salt' という名前のマシンと通信しようとします)。

• この ping テストを実行します。

  sudo salt '*' test.ping
  

• Saltstack マスターには、Microsoft Defender for Endpoint ファイルを配布できるファイル サーバーの場所があります (既定では、Saltstack は既定の配布ポイントとして /srv/salt フォルダーを使用します)

オンボーディング パッケージをダウンロードする

Microsoft Defender ポータルからオンボード パッケージをダウンロードします。

警告

Defender for Endpoint インストール パッケージの再パッケージ化は、サポートされているシナリオではありません。 これにより、製品の整合性に悪影響を及ぼし、改ざんアラートや更新プログラムの適用に失敗したトリガーなど、悪影響を及ぼす可能性があります。

1. Microsoft Defender ポータルで、[設定] [エンドポイント>] [デバイス管理>] [オンボード] >の順に移動します。

2. 最初のドロップダウン メニューで、オペレーティング システムとして [Linux サーバー] を選択します。 2 番目のドロップダウン メニューで、デプロイ方法として [お好みの Linux 構成管理ツール ] を選択します。

3. [オンボーディング パッケージをダウンロードする] を選択します。 ファイルを WindowsDefenderATPOnboardingPackage.zip として保存します。

   

4. SaltStack マスターで、アーカイブの内容を SaltStack サーバーのフォルダー (通常は ) に /srv/salt抽出します。

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: /srv/salt/mde/mdatp_onboard.json
   

Saltstack 状態ファイルのCreate

構成リポジトリ (通常/srv/salt) に SaltState 状態ファイルをCreateします。これは、Defender for Endpoint のデプロイとオンボードに必要な状態を適用します。

• Defender for Endpoint リポジトリとキーを install_mdatp.sls追加します。

  Defender for Endpoint on Linux は、次のいずれかのチャネル ( [チャネル] と記述): insiders-fast、 insiders-slow、または prod からデプロイできます。これらの各チャネルは、Linux ソフトウェア リポジトリに対応しています。

  チャネルの選択により、デバイスに提供される更新プログラムの種類と頻度が決まります。 insiders-fast のデバイスが最初に更新プログラムと新機能を受け取り、その後に insiders-slow、最後に prod が続きます。

  新機能をプレビューし、早期フィードバックを提供するために、社内の一部のデバイスを 、Insider-fast または insiders-slow を使用するように構成することをお勧めします。

  警告

  初期インストール後にチャネルを切り替えるには、製品を再インストールする必要があります。 製品チャネルを切り替えるには: 既存のパッケージをアンインストールし、新しいチャネルを使用するようにデバイスを再構成し、このドキュメントの手順に従って新しい場所からパッケージをインストールします。

  ディストリビューションとバージョンをメモし、 で最も近いエントリを https://packages.microsoft.com/config/[distro]/特定します。

  次のコマンドでは、[ distro] と [version] を 自分の情報に置き換えます。

  注:

  Oracle Linux と Amazon Linux 2 の場合は、[ distro] を "rhel" に置き換えます。 Amazon Linux 2 の場合、[ version] を "7" に置き換えます。 Oracle が利用する場合は、[ version] を Oracle Linux のバージョンに置き換えます。

  cat /srv/salt/install_mdatp.sls
  

  add_ms_repo:
    pkgrepo.managed:
      - humanname: Microsoft Defender Repository
      {% if grains['os_family'] == 'Debian' %}
      - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
      - dist: [codename]
      - file: /etc/apt/sources.list.d/microsoft-[channel].list
      - key_url: https://packages.microsoft.com/keys/microsoft.asc
      - refresh: true
      {% elif grains['os_family'] == 'RedHat' %}
      - name: packages-microsoft-[channel]
      - file: microsoft-[channel]
      - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
      - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
      - gpgcheck: true
      {% endif %}
  

• 以前に定義した状態の後に、 install_mdatp.sls パッケージの add_ms_repo インストール済み状態を に追加します。

  install_mdatp_package:
    pkg.installed:
      - name: matp
      - required: add_ms_repo
  

• 前に定義したように、 の後に install_mdatp.sls オンボード ファイルのデプロイを install_mdatp_package に追加します。

  copy_mde_onboarding_file:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
      - source: salt://mde/mdatp_onboard.json
      - required: install_mdatp_package
  

  完了したインストール状態ファイルは、次の出力のようになります。

  add_ms_repo:
  pkgrepo.managed:
  - humanname: Microsoft Defender Repository
  {% if grains['os_family'] == 'Debian' %}
  - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
  - dist: [codename]
  - file: /etc/apt/sources.list.d/microsoft-[channel].list
  - key_url: https://packages.microsoft.com/keys/microsoft.asc
  - refresh: true
  {% elif grains['os_family'] == 'RedHat' %}
  - name: packages-microsoft-[channel]
  - file: microsoft-[channel]
  - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
  - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
  - gpgcheck: true
  {% endif %}
  
  install_mdatp_package:
  pkg.installed:
  - name: matp
  - required: add_ms_repo
  
  copy_mde_onboarding_file:
  file.managed:
  - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  - source: salt://mde/mdatp_onboard.json
  - required: install_mdatp_package
  

構成リポジトリ (通常/srv/saltは) に SaltState 状態ファイルをCreateし、必要な状態をオフボードに適用し、Defender for Endpoint を削除します。 オフボード状態ファイルを使用する前に、オフボード パッケージをセキュリティ ポータルからダウンロードし、オンボード パッケージと同じ方法で抽出する必要があります。 ダウンロードしたオフボード パッケージは、一定期間のみ有効です。

• アンインストール状態ファイルuninstall_mdapt.slsをCreateし、状態を追加してファイルを削除しますmdatp_onboard.json

  cat /srv/salt/uninstall_mdatp.sls
  

  remove_mde_onboarding_file:
    file.absent:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  

• 前のセクションで定義した状態の後に、 uninstall_mdatp.sls オフボード ファイルの remove_mde_onboarding_file 展開をファイルに追加します。

  offboard_mde:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
      - source: salt://mde/mdatp_offboard.json
  

• 前のセクションで定義した状態の後に uninstall_mdatp.sls 、MDATP パッケージの offboard_mde 削除をファイルに追加します。

  remove_mde_packages:
    pkg.removed:
      - name: mdatp
  

  完全なアンインストール状態ファイルは、次の出力のようになります。

  remove_mde_onboarding_file:
    file.absent:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  
  offboard_mde:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
      - source: salt://mde/offboard/mdatp_offboard.json
  
  remove_mde_packages:
    pkg.removed:
      - name: mdatp
  

展開

次に、ミニオンに状態を適用します。 次のコマンドは、 で始まる名前のマシンに状態を適用します mdetest。

• インストール：

  salt 'mdetest*' state.apply install_mdatp
  

  重要

  製品が初めて起動すると、最新のウイルス対策定義がダウンロードされます。 インターネット接続によっては、これには数分かかる場合があります。

• 検証/構成:

  salt 'mdetest*' cmd.run 'mdatp connectivity test'
  

  salt 'mdetest*' cmd.run 'mdatp health'
  

• アンインストール：

  salt 'mdetest*' state.apply uninstall_mdatp
  

インストールの問題をログする

エラーが発生したときにインストーラーによって作成される自動的に生成されたログを検索する方法の詳細については、「 ログのインストールの問題」を参照してください。

オペレーティング システムのアップグレード

オペレーティング システムを新しいメジャー バージョンにアップグレードするときは、最初に Linux 用 Defender for Endpoint をアンインストールし、アップグレードをインストールしてから、最後にデバイスの Linux 用 Defender for Endpoint を再構成する必要があります。

参照

• SALT プロジェクトのドキュメント

関連項目

• エージェントの正常性に関する問題の調査

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。