Distribuer Microsoft Defender for endepunkt på Linux med Ansible
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Denne artikkelen beskriver hvordan du distribuerer Defender for Endpoint på Linux ved hjelp av Ansible. En vellykket distribusjon krever fullføring av alle følgende oppgaver:
Viktig
Denne artikkelen inneholder informasjon om tredjepartsverktøy. Dette tilbys for å fullføre integreringsscenarioer, men Microsoft tilbyr ikke feilsøkingsstøtte for tredjepartsverktøy.
Kontakt tredjepartsleverandøren for å få støtte.
Forutsetninger og systemkrav
Før du begynner, kan du se hovedsiden for Defender for Endpoint på Linux for en beskrivelse av forutsetninger og systemkrav for gjeldende programvareversjon.
I tillegg, for Ansible-distribusjon, må du være kjent med ansible administrasjonsoppgaver, ha Ansible konfigurert og vite hvordan du distribuerer strategibøker og oppgaver. Ansible har mange måter å fullføre den samme oppgaven på. Disse instruksjonene forutsetter tilgjengelighet av støttede Ansible-moduler, for eksempel apt og unarchive for å hjelpe til med å distribuere pakken. Organisasjonen kan bruke en annen arbeidsflyt. Se dokumentasjonen for Ansible for mer informasjon.
Ansible må installeres på minst én datamaskin (Ansible kaller dette kontrollnoden).
SSH må konfigureres for en administratorkonto mellom kontrollnoden og alle administrerte noder (enheter som har Defender for endepunkt installert), og det anbefales å konfigureres med offentlig nøkkelgodkjenning.
Følgende programvare må være installert på alle administrerte noder:
- Curl
- python-apt (hvis du distribuerer på distribusjoner ved hjelp av apt som pakkebehandling)
Alle administrerte noder må være oppført i følgende format i den eller relevante
/etc/ansible/hosts
filen:[servers] host1 ansible_ssh_host=10.171.134.39 host2 ansible_ssh_host=51.143.50.51
Ping-test:
ansible -m ping all
Last ned pålastingspakken
Last ned pålastingspakken fra Microsoft Defender portal.
Advarsel
Ompakking av installasjonspakken defender for endepunkt er ikke et støttet scenario. Dette kan påvirke integriteten til produktet negativt og føre til uønskede resultater, inkludert, men ikke begrenset til å utløse manipuleringsvarsler og oppdateringer som ikke gjelder.
Gå til Pålasting for enhetsbehandling >> for innstillinger > for endepunkter i Microsoft Defender-portalen.
Velg Linux Server som operativsystem i den første rullegardinmenyen. I den andre rullegardinmenyen velger du ditt foretrukne administrasjonsverktøy for Linux-konfigurasjon som distribusjonsmetode.
Velg Last ned pålastingspakke. Lagre filen som WindowsDefenderATPOnboardingPackage.zip.
Kontroller at du har filen fra en ledetekst. Trekk ut innholdet i arkivet:
ls -l
total 8 -rw-r--r-- 1 test staff 4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
unzip WindowsDefenderATPOnboardingPackage.zip
Archive: WindowsDefenderATPOnboardingPackage.zip inflating: mdatp_onboard.json
Opprett Ansible YAML-filer
Opprett en deloppgave eller rollefiler som bidrar til en strategiplan eller oppgave.
Opprett pålastingsoppgaven:
onboarding_setup.yml
- name: Create MDATP directories file: path: /etc/opt/microsoft/mdatp/ recurse: true state: directory mode: 0755 owner: root group: root - name: Register mdatp_onboard.json stat: path: /etc/opt/microsoft/mdatp/mdatp_onboard.json register: mdatp_onboard - name: Extract WindowsDefenderATPOnboardingPackage.zip into /etc/opt/microsoft/mdatp unarchive: src: WindowsDefenderATPOnboardingPackage.zip dest: /etc/opt/microsoft/mdatp mode: 0600 owner: root group: root when: not mdatp_onboard.stat.exists
Legg til Defender for endepunkt-repositoriet og nøkkelen:
add_apt_repo.yml
Defender for Endpoint på Linux kan distribueres fra en av følgende kanaler (merket nedenfor som [kanal]): insiders-fast, insiders-slow eller prod. Hver av disse kanalene tilsvarer et Linux-programvarerepositorium.
Valget av kanalen bestemmer hvilken type og hyppighet oppdateringer som tilbys til enheten. Enheter i insiders-fast er de første til å motta oppdateringer og nye funksjoner, etterfulgt senere av insiders-slow og til slutt av prod.
For å forhåndsvise nye funksjoner og gi tidlig tilbakemelding, anbefales det at du konfigurerer noen enheter i bedriften til å bruke enten insiders-fast eller insiders-slow.
Advarsel
Hvis du bytter kanal etter den første installasjonen, må produktet installeres på nytt. Slik bytter du produktkanal: avinstaller den eksisterende pakken, konfigurer enheten på nytt til å bruke den nye kanalen, og følg fremgangsmåten i dette dokumentet for å installere pakken fra den nye plasseringen.
Legg merke til distribusjonen og versjonen, og identifiser den nærmeste oppføringen for den under
https://packages.microsoft.com/config/[distro]/
.I følgende kommandoer erstatter du [distro] og [version] med informasjonen du har identifisert.
Obs!
Hvis oracle Linux og Amazon Linux 2 erstatt [distro] med "rhel". For Amazon Linux 2 erstatter du [versjon] med «7». For Oracle Linux erstatter du [version] med versjonen av Oracle Linux.
- name: Add Microsoft APT key apt_key: url: https://packages.microsoft.com/keys/microsoft.asc state: present when: ansible_os_family == "Debian" - name: Add Microsoft apt repository for MDATP apt_repository: repo: deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main update_cache: yes state: present filename: microsoft-[channel] when: ansible_os_family == "Debian" - name: Add Microsoft DNF/YUM key rpm_key: state: present key: https://packages.microsoft.com/keys/microsoft.asc when: ansible_os_family == "RedHat" - name: Add Microsoft yum repository for MDATP yum_repository: name: packages-microsoft-[channel] description: Microsoft Defender for Endpoint file: microsoft-[channel] baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ gpgcheck: yes enabled: Yes when: ansible_os_family == "RedHat"
Opprett ansible installere og avinstallere YAML-filer.
For apt-baserte distribusjoner bruker du følgende YAML-fil:
cat install_mdatp.yml
- hosts: servers tasks: - include: ../roles/onboarding_setup.yml - include: ../roles/add_apt_repo.yml - name: Install MDATP apt: name: mdatp state: latest update_cache: yes
cat uninstall_mdatp.yml
- hosts: servers tasks: - name: Uninstall MDATP apt: name: mdatp state: absent
For dnf-baserte distribusjoner bruker du følgende YAML-fil:
cat install_mdatp_dnf.yml
- hosts: servers tasks: - include: ../roles/onboarding_setup.yml - include: ../roles/add_yum_repo.yml - name: Install MDATP dnf: name: mdatp state: latest enablerepo: packages-microsoft-[channel]
cat uninstall_mdatp_dnf.yml
- hosts: servers tasks: - name: Uninstall MDATP dnf: name: mdatp state: absent
Distribusjon
Kjør nå oppgavefilene under /etc/ansible/playbooks/
eller relevant katalog.
Installasjon:
ansible-playbook /etc/ansible/playbooks/install_mdatp.yml -i /etc/ansible/hosts
Viktig
Når produktet starter for første gang, laster det ned de nyeste definisjonene for beskyttelse mot skadelig programvare. Dette kan ta opptil noen minutter, avhengig av Internett-tilkoblingen.
Validering/konfigurasjon:
ansible -m shell -a 'mdatp connectivity test' all
ansible -m shell -a 'mdatp health' all
Avinstallasjon:
ansible-playbook /etc/ansible/playbooks/uninstall_mdatp.yml -i /etc/ansible/hosts
Logginstallasjonsproblemer
Se logginstallasjonsproblemer hvis du vil ha mer informasjon om hvordan du finner den automatisk genererte loggen som opprettes av installasjonsprogrammet når det oppstår en feil.
Operativsystemoppgraderinger
Når du oppgraderer operativsystemet til en ny hovedversjon, må du først avinstallere Defender for Endpoint på Linux, installere oppgraderingen og til slutt konfigurere Defender for Endpoint på Linux på enheten.
Referanser
Se også
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for