Distribuer Microsoft Defender for endepunkt på Linux med Saltstack

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Denne artikkelen beskriver hvordan du distribuerer Defender for Endpoint på Linux ved hjelp av Saltstack. En vellykket distribusjon krever fullføring av alle følgende oppgaver:

• Last ned pålastingspakken
• tilstandsfiler for Opprett Saltstack
• Distribusjon
• Referanse

Viktig

Denne artikkelen inneholder informasjon om tredjepartsverktøy. Dette tilbys for å fullføre integreringsscenarioer, men Microsoft tilbyr ikke feilsøkingsstøtte for tredjepartsverktøy.
Kontakt tredjepartsleverandøren for å få støtte.

Forutsetninger og systemkrav

Før du begynner, kan du se hovedsiden for Defender for Endpoint på Linux for en beskrivelse av forutsetninger og systemkrav for gjeldende programvareversjon.

I tillegg, for Saltstack-distribusjon, må du være kjent med Saltstack-administrasjon, ha Saltstack installert, konfigurere Master og Minions og vite hvordan du bruker tilstander. Saltstack har mange måter å fullføre den samme oppgaven på. Disse instruksjonene forutsetter tilgjengelighet av støttede Saltstack-moduler, for eksempel apt og uarkivert for å hjelpe til med å distribuere pakken. Organisasjonen kan bruke en annen arbeidsflyt. Se dokumentasjonen for Saltstack for mer informasjon.

• Saltstack er installert på minst én datamaskin (Saltstack kaller datamaskinen som original).

• Saltstack-mesteren aksepterte de administrerte nodene (Saltstack kaller nodene som undersåtter) forbindelser.

• Saltstack undersåtter er i stand til å løse kommunikasjon til Saltstack master (være standard undersåtter prøve å kommunisere med en maskin som heter "salt").

• Kjør denne ping-testen:

  sudo salt '*' test.ping
  

• Saltstack-originalen har en filserverplassering der de Microsoft Defender for endepunkt filene kan distribueres fra (som standard bruker Saltstack mappen /srv/salt som standard distribusjonspunkt)

Last ned pålastingspakken

Last ned pålastingspakken fra Microsoft Defender portal.

Advarsel

Ompakking av installasjonspakken defender for endepunkt er ikke et støttet scenario. Dette kan påvirke integriteten til produktet negativt og føre til uønskede resultater, inkludert, men ikke begrenset til å utløse manipuleringsvarsler og oppdateringer som ikke gjelder.

1. Gå til Pålasting for enhetsbehandling >> for innstillinger > for endepunkter i Microsoft Defender-portalen.

2. Velg Linux Server som operativsystem i den første rullegardinmenyen. I den andre rullegardinmenyen velger du ditt foretrukne administrasjonsverktøy for Linux-konfigurasjon som distribusjonsmetode.

3. Velg Last ned pålastingspakke. Lagre filen som WindowsDefenderATPOnboardingPackage.zip.

   

4. På SaltStack Master trekker du ut innholdet i arkivet til SaltStack Server-mappen (vanligvis /srv/salt):

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: /srv/salt/mde/mdatp_onboard.json
   

tilstandsfiler for Opprett Saltstack

Opprett en tilstandsfil for SaltState i konfigurasjonsrepositoriet (vanligvis/srv/salt) som bruker de nødvendige tilstandene for å distribuere og om bord på Defender for endepunkt.

• Legg til Defender for endepunkt-repositoriet og nøkkelen: install_mdatp.sls

  Defender for Endpoint på Linux kan distribueres fra en av følgende kanaler (beskrevet som [kanal]): insiders-fast, insiders-slow eller prod. Hver av disse kanalene tilsvarer et Linux-programvarerepositorium.

  Valget av kanalen bestemmer hvilken type og hyppighet oppdateringer som tilbys til enheten. Enheter i insiders-fast er de første til å motta oppdateringer og nye funksjoner, etterfulgt senere av insiders-slow og til slutt av prod.

  For å forhåndsvise nye funksjoner og gi tidlig tilbakemelding, anbefalte vi at du konfigurerer noen enheter i bedriften til å bruke enten insiders-fast eller insiders-slow.

  Advarsel

  Hvis du bytter kanal etter den første installasjonen, må produktet installeres på nytt. Slik bytter du produktkanal: avinstaller den eksisterende pakken, konfigurer enheten på nytt til å bruke den nye kanalen, og følg fremgangsmåten i dette dokumentet for å installere pakken fra den nye plasseringen.

  Legg merke til distribusjonen og versjonen, og identifiser den nærmeste oppføringen for den under https://packages.microsoft.com/config/[distro]/.

  I følgende kommandoer erstatter du [distro] og [version] med informasjonen din.

  Obs!

  Hvis oracle Linux og Amazon Linux 2 erstatt [distro] med "rhel". For Amazon Linux 2 erstatter du [versjon] med «7». For Oracle-bruk erstatter du [version] med versjonen av Oracle Linux.

  cat /srv/salt/install_mdatp.sls
  

  add_ms_repo:
    pkgrepo.managed:
      - humanname: Microsoft Defender Repository
      {% if grains['os_family'] == 'Debian' %}
      - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
      - dist: [codename]
      - file: /etc/apt/sources.list.d/microsoft-[channel].list
      - key_url: https://packages.microsoft.com/keys/microsoft.asc
      - refresh: true
      {% elif grains['os_family'] == 'RedHat' %}
      - name: packages-microsoft-[channel]
      - file: microsoft-[channel]
      - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
      - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
      - gpgcheck: true
      {% endif %}
  

• Legg til den installerte tilstanden for install_mdatp.sls pakken etter add_ms_repo tilstanden som tidligere definert.

  install_mdatp_package:
    pkg.installed:
      - name: matp
      - required: add_ms_repo
  

• Legg til pålastingsfildistribusjonen install_mdatp.slsinstall_mdatp_package etter som tidligere definert.

  copy_mde_onboarding_file:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
      - source: salt://mde/mdatp_onboard.json
      - required: install_mdatp_package
  

  Den fullførte installasjonsstatusfilen skal se omtrent slik ut:

  add_ms_repo:
  pkgrepo.managed:
  - humanname: Microsoft Defender Repository
  {% if grains['os_family'] == 'Debian' %}
  - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
  - dist: [codename]
  - file: /etc/apt/sources.list.d/microsoft-[channel].list
  - key_url: https://packages.microsoft.com/keys/microsoft.asc
  - refresh: true
  {% elif grains['os_family'] == 'RedHat' %}
  - name: packages-microsoft-[channel]
  - file: microsoft-[channel]
  - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
  - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
  - gpgcheck: true
  {% endif %}
  
  install_mdatp_package:
  pkg.installed:
  - name: mdatp
  - required: add_ms_repo
  
  copy_mde_onboarding_file:
  file.managed:
  - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  - source: salt://mde/mdatp_onboard.json
  - required: install_mdatp_package
  

Opprett en tilstandsfil for SaltState i konfigurasjonsrepositoriet (vanligvis/srv/salt) som bruker de nødvendige tilstandene på tavlen og fjerner Defender for endepunkt. Før du bruker offboarding-tilstandsfilen, må du laste ned offboarding-pakken fra sikkerhetsportalen og trekke den ut på samme måte som du gjorde pålastingspakken. Den nedlastede offboarding-pakken er bare gyldig i en begrenset periode.

• Opprett en avinstalleringsstatusfil uninstall_mdapt.sls og legge til tilstanden for å fjerne mdatp_onboard.json filen

  cat /srv/salt/uninstall_mdatp.sls
  

  remove_mde_onboarding_file:
    file.absent:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  

• Legg til offboarding-fildistribusjonen uninstall_mdatp.sls i filen etter remove_mde_onboarding_file tilstanden som er definert i forrige del.

  offboard_mde:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
      - source: salt://mde/mdatp_offboard.json
  

• Legg til fjerningen av MDATP-pakken i uninstall_mdatp.sls filen etter offboard_mde tilstanden som er definert i forrige del.

  remove_mde_packages:
    pkg.removed:
      - name: mdatp
  

  Den fullstendige statusfilen for avinstallering skal se omtrent slik ut:

  remove_mde_onboarding_file:
    file.absent:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  
  offboard_mde:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
      - source: salt://mde/offboard/mdatp_offboard.json
  
  remove_mde_packages:
    pkg.removed:
      - name: mdatp
  

Distribusjon

Bruk nå staten på undersåttene. Kommandoen nedenfor bruker tilstanden på maskiner med navnet som begynner med mdetest.

• Installasjon:

  salt 'mdetest*' state.apply install_mdatp
  

  Viktig

  Når produktet starter for første gang, laster det ned de nyeste definisjonene for beskyttelse mot skadelig programvare. Dette kan ta opptil noen minutter, avhengig av Internett-tilkoblingen.

• Validering/konfigurasjon:

  salt 'mdetest*' cmd.run 'mdatp connectivity test'
  

  salt 'mdetest*' cmd.run 'mdatp health'
  

• Avinstallasjon:

  salt 'mdetest*' state.apply uninstall_mdatp
  

Logginstallasjonsproblemer

Hvis du vil ha mer informasjon om hvordan du finner den automatisk genererte loggen som opprettes av installasjonsprogrammet når det oppstår en feil, kan du se Logginstallasjonsproblemer.

Operativsystemoppgraderinger

Når du oppgraderer operativsystemet til en ny hovedversjon, må du først avinstallere Defender for Endpoint på Linux, installere oppgraderingen og til slutt konfigurere Defender for Endpoint på Linux på enheten.

Referanse

• SALT Project-dokumentasjon

Se også

• Undersøk problemer med agenttilstand

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.