Distribuer Microsoft Defender for endepunkt på Linux med Ansible

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Denne artikkelen beskriver hvordan du distribuerer Defender for Endpoint på Linux ved hjelp av Ansible. En vellykket distribusjon krever fullføring av alle følgende oppgaver:

• Last ned pålastingspakken
• Opprett Ansible YAML-filer
• Distribusjon
• Referanser

Viktig

Denne artikkelen inneholder informasjon om tredjepartsverktøy. Dette tilbys for å fullføre integreringsscenarioer, men Microsoft tilbyr ikke feilsøkingsstøtte for tredjepartsverktøy.
Kontakt tredjepartsleverandøren for å få støtte.

Forutsetninger og systemkrav

Før du begynner, kan du se hovedsiden for Defender for Endpoint på Linux for en beskrivelse av forutsetninger og systemkrav for gjeldende programvareversjon.

I tillegg, for Ansible-distribusjon, må du være kjent med ansible administrasjonsoppgaver, ha Ansible konfigurert og vite hvordan du distribuerer strategibøker og oppgaver. Ansible har mange måter å fullføre den samme oppgaven på. Disse instruksjonene forutsetter tilgjengelighet av støttede Ansible-moduler, for eksempel apt og unarchive for å hjelpe til med å distribuere pakken. Organisasjonen kan bruke en annen arbeidsflyt. Se dokumentasjonen for Ansible for mer informasjon.

• Ansible må installeres på minst én datamaskin (Ansible kaller dette kontrollnoden).

• SSH må konfigureres for en administratorkonto mellom kontrollnoden og alle administrerte noder (enheter som har Defender for endepunkt installert), og det anbefales å konfigureres med offentlig nøkkelgodkjenning.

• Følgende programvare må være installert på alle administrerte noder:

  • Curl
  • python-apt (hvis du distribuerer på distribusjoner ved hjelp av apt som pakkebehandling)

• Alle administrerte noder må være oppført i følgende format i den eller relevante /etc/ansible/hosts filen:

  [servers]
  host1 ansible_ssh_host=10.171.134.39
  host2 ansible_ssh_host=51.143.50.51
  

• Ping-test:

  ansible -m ping all
  

Last ned pålastingspakken

Last ned pålastingspakken fra Microsoft Defender portal.

Advarsel

Ompakking av installasjonspakken defender for endepunkt er ikke et støttet scenario. Dette kan påvirke integriteten til produktet negativt og føre til uønskede resultater, inkludert, men ikke begrenset til å utløse manipuleringsvarsler og oppdateringer som ikke gjelder.

1. Gå til Pålasting for enhetsbehandling >> for innstillinger > for endepunkter i Microsoft Defender-portalen.

2. Velg Linux Server som operativsystem i den første rullegardinmenyen. I den andre rullegardinmenyen velger du ditt foretrukne administrasjonsverktøy for Linux-konfigurasjon som distribusjonsmetode.

3. Velg Last ned pålastingspakke. Lagre filen som WindowsDefenderATPOnboardingPackage.zip.

   

4. Kontroller at du har filen fra en ledetekst. Trekk ut innholdet i arkivet:

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: mdatp_onboard.json
   

Opprett Ansible YAML-filer

Opprett en deloppgave eller rollefiler som bidrar til en strategiplan eller oppgave.

• Opprett pålastingsoppgaven: onboarding_setup.yml

  - name: Create MDATP directories
    file:
      path: /etc/opt/microsoft/mdatp/
      recurse: true
      state: directory
      mode: 0755
      owner: root
      group: root
  
  - name: Register mdatp_onboard.json
    stat:
      path: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    register: mdatp_onboard
  
  - name: Extract WindowsDefenderATPOnboardingPackage.zip into /etc/opt/microsoft/mdatp
    unarchive:
      src: WindowsDefenderATPOnboardingPackage.zip
      dest: /etc/opt/microsoft/mdatp
      mode: 0600
      owner: root
      group: root
    when: not mdatp_onboard.stat.exists
  

• Legg til Defender for endepunkt-repositoriet og nøkkelen: add_apt_repo.yml

  Defender for Endpoint på Linux kan distribueres fra en av følgende kanaler (merket nedenfor som [kanal]): insiders-fast, insiders-slow eller prod. Hver av disse kanalene tilsvarer et Linux-programvarerepositorium.

  Valget av kanalen bestemmer hvilken type og hyppighet oppdateringer som tilbys til enheten. Enheter i insiders-fast er de første til å motta oppdateringer og nye funksjoner, etterfulgt senere av insiders-slow og til slutt av prod.

  For å forhåndsvise nye funksjoner og gi tidlig tilbakemelding, anbefales det at du konfigurerer noen enheter i bedriften til å bruke enten insiders-fast eller insiders-slow.

  Advarsel

  Hvis du bytter kanal etter den første installasjonen, må produktet installeres på nytt. Slik bytter du produktkanal: avinstaller den eksisterende pakken, konfigurer enheten på nytt til å bruke den nye kanalen, og følg fremgangsmåten i dette dokumentet for å installere pakken fra den nye plasseringen.

  Legg merke til distribusjonen og versjonen, og identifiser den nærmeste oppføringen for den under https://packages.microsoft.com/config/[distro]/.

  I følgende kommandoer erstatter du [distro] og [version] med informasjonen du har identifisert.

  Obs!

  Hvis oracle Linux og Amazon Linux 2 erstatt [distro] med "rhel". For Amazon Linux 2 erstatter du [versjon] med «7». For Oracle Linux erstatter du [version] med versjonen av Oracle Linux.

  - name: Add Microsoft APT key
    apt_key:
      url: https://packages.microsoft.com/keys/microsoft.asc
      state: present
    when: ansible_os_family == "Debian"
  
  - name: Add Microsoft apt repository for MDATP
    apt_repository:
      repo: deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
      update_cache: yes
      state: present
      filename: microsoft-[channel]
    when: ansible_os_family == "Debian"
  
  - name: Add Microsoft DNF/YUM key
    rpm_key:
      state: present
      key: https://packages.microsoft.com/keys/microsoft.asc
    when: ansible_os_family == "RedHat"
  
  - name: Add  Microsoft yum repository for MDATP
    yum_repository:
      name: packages-microsoft-[channel]
      description: Microsoft Defender for Endpoint
      file: microsoft-[channel]
      baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ 
      gpgcheck: yes
      enabled: Yes
    when: ansible_os_family == "RedHat"
  

• Opprett ansible installere og avinstallere YAML-filer.

  • For apt-baserte distribusjoner bruker du følgende YAML-fil:

    cat install_mdatp.yml
    

    - hosts: servers
      tasks:
        - include: ../roles/onboarding_setup.yml
        - include: ../roles/add_apt_repo.yml
        - name: Install MDATP
          apt:
            name: mdatp
            state: latest
            update_cache: yes
    

    cat uninstall_mdatp.yml
    

    - hosts: servers
      tasks:
        - name: Uninstall MDATP
          apt:
            name: mdatp
            state: absent
    

  • For dnf-baserte distribusjoner bruker du følgende YAML-fil:

    cat install_mdatp_dnf.yml
    

    - hosts: servers
      tasks:
        - include: ../roles/onboarding_setup.yml
        - include: ../roles/add_yum_repo.yml
        - name: Install MDATP
          dnf:
            name: mdatp
            state: latest
            enablerepo: packages-microsoft-[channel]
    

    cat uninstall_mdatp_dnf.yml
    

    - hosts: servers
      tasks:
        - name: Uninstall MDATP
          dnf:
            name: mdatp
            state: absent
    

Distribusjon

Kjør nå oppgavefilene under /etc/ansible/playbooks/ eller relevant katalog.

• Installasjon:

  ansible-playbook /etc/ansible/playbooks/install_mdatp.yml -i /etc/ansible/hosts
  

Viktig

Når produktet starter for første gang, laster det ned de nyeste definisjonene for beskyttelse mot skadelig programvare. Dette kan ta opptil noen minutter, avhengig av Internett-tilkoblingen.

• Validering/konfigurasjon:

  ansible -m shell -a 'mdatp connectivity test' all
  

  ansible -m shell -a 'mdatp health' all
  

• Avinstallasjon:

  ansible-playbook /etc/ansible/playbooks/uninstall_mdatp.yml -i /etc/ansible/hosts
  

Logginstallasjonsproblemer

Se logginstallasjonsproblemer hvis du vil ha mer informasjon om hvordan du finner den automatisk genererte loggen som opprettes av installasjonsprogrammet når det oppstår en feil.

Operativsystemoppgraderinger

Når du oppgraderer operativsystemet til en ny hovedversjon, må du først avinstallere Defender for Endpoint på Linux, installere oppgraderingen og til slutt konfigurere Defender for Endpoint på Linux på enheten.

Referanser

• Legge til eller fjerne YUM-repositorier

• Administrer pakker med DNF-pakkebehandling

• Legge til og fjerne APT-repositorier

• Administrer apt-pakker

Se også

• Undersøk problemer med agenttilstand

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.