Distribuer Microsoft Defender for endepunkt på Linux med marionett

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Denne artikkelen beskriver hvordan du distribuerer Defender for Endpoint på Linux ved hjelp av Marionett. En vellykket distribusjon krever fullføring av alle følgende oppgaver:

• Last ned pålastingspakken
• manifest for Opprett marionett
• Distribusjon
• Kontrollere pålastingsstatus

Viktig

Denne artikkelen inneholder informasjon om tredjepartsverktøy. Dette tilbys for å fullføre integreringsscenarioer, men Microsoft tilbyr ikke feilsøkingsstøtte for tredjepartsverktøy.
Kontakt tredjepartsleverandøren for å få støtte.

Forutsetninger og systemkrav

Hvis du vil ha en beskrivelse av forutsetninger og systemkrav for gjeldende programvareversjon, kan du se hovedsiden for Defender for Endpoint på Linux.

I tillegg, for dukkenettdistribusjon, må du være kjent med dukkens administrasjonsoppgaver, ha marionett konfigurert og vet hvordan du distribuerer pakker. Dukken har mange måter å fullføre den samme oppgaven på. Disse instruksjonene forutsetter tilgjengelighet av støttede marionettmoduler, for eksempel til å hjelpe til med å distribuere pakken. Organisasjonen kan bruke en annen arbeidsflyt. Se marionettdokumentasjonen for mer informasjon.

Last ned pålastingspakken

Last ned pålastingspakken fra Microsoft Defender portal.

Advarsel

Ompakking av installasjonspakken defender for endepunkt er ikke et støttet scenario. Dette kan påvirke integriteten til produktet negativt og føre til uønskede resultater, inkludert, men ikke begrenset til å utløse manipuleringsvarsler og oppdateringer som ikke gjelder.

1. Gå til Pålasting for enhetsbehandling >> for innstillinger > for endepunkter i Microsoft Defender-portalen.

2. Velg Linux Server som operativsystem i den første rullegardinmenyen. I den andre rullegardinmenyen velger du ditt foretrukne administrasjonsverktøy for Linux-konfigurasjon som distribusjonsmetode.

3. Velg Last ned pålastingspakke. Lagre filen som WindowsDefenderATPOnboardingPackage.zip.

   

4. Kontroller at du har filen fra en ledetekst.

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

5. Trekk ut innholdet i arkivet.

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: mdatp_onboard.json
   

Opprett et marionettmanifest

Du må opprette et marionettmanifest for distribusjon av Defender for Endpoint på Linux til enheter som administreres av en marionettserver. Dette eksemplet bruker apt - og yumrepo-modulene som er tilgjengelige fra dukkeplater, og forutsetter at modulene er installert på marionettserveren.

Opprett mappene install_mdatp/filer og install_mdatp/manifester under moduler-mappen for dukkeinstallasjonen. Denne mappen er vanligvis plassert i /etc/puppetlabs/code/environments/production/modules på marionettserveren. Kopier mdatp_onboard.json filen som ble opprettet ovenfor, til mappen install_mdatp/filer . Opprett en init.pp-fil som inneholder distribusjonsinstruksjonene:

pwd

/etc/puppetlabs/code/environments/production/modules

tree install_mdatp

install_mdatp
├── files
│   └── mdatp_onboard.json
└── manifests
    └── init.pp

Innhold i install_mdatp/manifests/init.pp

Defender for Endpoint på Linux kan distribueres fra en av følgende kanaler (merket nedenfor som [kanal]): insiders-fast, insiders-slow eller prod. Hver av disse kanalene tilsvarer et Linux-programvarerepositorium.

Valget av kanalen bestemmer hvilken type og hyppighet oppdateringer som tilbys til enheten. Enheter i insiders-fast er de første til å motta oppdateringer og nye funksjoner, etterfulgt senere av insiders-slow og til slutt av prod.

For å forhåndsvise nye funksjoner og gi tidlig tilbakemelding, anbefales det at du konfigurerer noen enheter i bedriften til å bruke enten insiders-fast eller insiders-slow.

Advarsel

Hvis du bytter kanal etter den første installasjonen, må produktet installeres på nytt. Slik bytter du produktkanal: avinstaller den eksisterende pakken, konfigurer enheten på nytt til å bruke den nye kanalen, og følg fremgangsmåten i dette dokumentet for å installere pakken fra den nye plasseringen.

Legg merke til distribusjonen og versjonen, og identifiser den nærmeste oppføringen for den under https://packages.microsoft.com/config/[distro]/.

I kommandoene nedenfor erstatter du [distro] og [version] med informasjonen du har identifisert:

Obs!

Hvis det gjelder RedHat, Oracle Linux, Amazon Linux 2 og CentOS 8, erstatter du [distro] med "rhel".

# Puppet manifest to install Microsoft Defender for Endpoint on Linux.
# @param channel The release channel based on your environment, insider-fast or prod.
# @param distro The Linux distribution in lowercase. In case of RedHat, Oracle Linux, Amazon Linux 2, and CentOS 8, the distro variable should be 'rhel'.
# @param version The Linux distribution release number, e.g. 7.4.

class install_mdatp (
  $channel = 'insiders-fast',
  $distro = undef,
  $version = undef
) {
  case $facts['os']['family'] {
    'Debian' : {
      $release = $channel ? {
        'prod'  => $facts['os']['distro']['codename'],
        default => $channel
      }
      apt::source { 'microsoftpackages' :
        location => "https://packages.microsoft.com/${distro}/${version}/prod",
        release  => $release,
        repos    => 'main',
        key      => {
          'id'     => 'BC528686B50D79E339D3721CEB3E94ADBE1229CF',
          'server' => 'keyserver.ubuntu.com',
        },
      }
    }
    'RedHat' : {
      yumrepo { 'microsoftpackages' :
        baseurl  => "https://packages.microsoft.com/${distro}/${version}/${channel}",
        descr    => "packages-microsoft-com-prod-${channel}",
        enabled  => 1,
        gpgcheck => 1,
        gpgkey   => 'https://packages.microsoft.com/keys/microsoft.asc',
      }
    }
    default : { fail("${facts['os']['family']} is currently not supported.") }
  }

  case $facts['os']['family'] {
    /(Debian|RedHat)/: {
      file { ['/etc/opt', '/etc/opt/microsoft', '/etc/opt/microsoft/mdatp']:
        ensure => directory,
        owner  => root,
        group  => root,
        mode   => '0755',
      }

      file { '/etc/opt/microsoft/mdatp/mdatp_onboard.json':
        source  => 'puppet:///modules/install_mdatp/mdatp_onboard.json',
        owner   => root,
        group   => root,
        mode    => '0600',
        require => File['/etc/opt/microsoft/mdatp'],
      }

      package { 'mdatp':
        ensure  => 'installed',
        require => File['/etc/opt/microsoft/mdatp/mdatp_onboard.json'],
      }
    }
    default : { fail("${facts['os']['family']} is currently not supported.") }
  }
}

Distribusjon

Inkluder manifestet ovenfor i site.pp-filen:

cat /etc/puppetlabs/code/environments/production/manifests/site.pp

node "default" {
    include install_mdatp
}

Registrerte agentenheter undersøker dukkeserveren regelmessig og installerer nye konfigurasjonsprofiler og -policyer så snart de oppdages.

Overvåk marionettdistribusjon

På agentenheten kan du også kontrollere pålastingsstatusen ved å kjøre:

mdatp health

...
licensed                                : true
org_id                                  : "[your organization identifier]"
...

• lisensiert: Dette bekrefter at enheten er knyttet til organisasjonen.

• orgId: Dette er organisasjonsidentifikatoren din for Defender for Endpoint.

Kontrollere pålastingsstatus

Du kan kontrollere at enhetene er riktig pålastet ved å opprette et skript. Følgende skript kontrollerer for eksempel registrerte enheter for pålastingsstatus:

mdatp health --field healthy

Kommandoen ovenfor skrives 1 ut hvis produktet er pålastet og fungerer som forventet.

Viktig

Når produktet starter for første gang, laster det ned de nyeste definisjonene for beskyttelse mot skadelig programvare. Dette kan ta opptil noen minutter, avhengig av Internett-tilkoblingen. I løpet av denne tiden returnerer kommandoen ovenfor en verdi for 0.

Hvis produktet ikke er sunt, indikerer avslutningskoden (som kan sjekkes gjennom echo $?) problemet:

• 1 hvis enheten ikke er pålastet ennå.
• 3 hvis tilkoblingen til daemonen ikke kan opprettes.

Logginstallasjonsproblemer

Hvis du vil ha mer informasjon om hvordan du finner den automatisk genererte loggen som opprettes av installasjonsprogrammet når det oppstår en feil, kan du se Logginstallasjonsproblemer.

Operativsystemoppgraderinger

Når du oppgraderer operativsystemet til en ny hovedversjon, må du først avinstallere Defender for Endpoint på Linux, installere oppgraderingen og til slutt konfigurere Defender for Endpoint på Linux på enheten.

Avinstallasjon

Opprett en modul remove_mdatp lik install_mdatp med følgende innhold i init.pp-fil:

class remove_mdatp {
    package { 'mdatp':
        ensure => 'purged',
    }
}

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.