Microsoft Defender voor Eindpunt implementeren in Linux met Puppet

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender XDR

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

In dit artikel wordt beschreven hoe u Defender voor Eindpunt in Linux implementeert met behulp van Puppet. Voor een geslaagde implementatie moeten alle volgende taken worden voltooid:

• Het onboarding-pakket downloaden
• manifest Creatie Puppet
• Implementatie
• Onboardingstatus controleren

Belangrijk

Dit artikel bevat informatie over hulpprogramma's van derden. Dit wordt verstrekt om integratiescenario's te voltooien, maar Microsoft biedt geen ondersteuning voor probleemoplossing voor hulpprogramma's van derden.
Neem contact op met de externe leverancier voor ondersteuning.

Vereisten en systeemvereisten

Zie de hoofdpagina van Defender voor Eindpunt op Linux voor een beschrijving van de vereisten en systeemvereisten voor de huidige softwareversie.

Daarnaast moet u voor Puppet-implementatie bekend zijn met Puppet-beheertaken, Puppet hebben geconfigureerd en weten hoe u pakketten moet implementeren. Puppet heeft veel manieren om dezelfde taak uit te voeren. In deze instructies wordt ervan uitgegaan dat ondersteunde Puppet-modules beschikbaar zijn, zoals geschikt om het pakket te implementeren. Uw organisatie kan een andere werkstroom gebruiken. Raadpleeg de Puppet-documentatie voor meer informatie.

Het onboarding-pakket downloaden

Download het onboardingpakket vanuit Microsoft Defender portal.

Waarschuwing

Het opnieuw verpakken van het Defender voor Eindpunt-installatiepakket is geen ondersteund scenario. Dit kan een negatieve invloed hebben op de integriteit van het product en leiden tot negatieve resultaten, met inbegrip van maar niet beperkt tot het activeren van manipulatiewaarschuwingen en updates die niet van toepassing zijn.

1. Ga in Microsoft Defender portal naar Instellingen > Eindpunten > Apparaatbeheer > Onboarding.

2. Selecteer in de eerste vervolgkeuzelijst Linux-server als besturingssysteem. Selecteer in de tweede vervolgkeuzelijst Het hulpprogramma voor linux-configuratiebeheer van uw voorkeur als implementatiemethode.

3. Selecteer Onboardingpakket downloaden. Sla het bestand op als WindowsDefenderATPOnboardingPackage.zip.

   

4. Controleer vanaf een opdrachtprompt of u het bestand hebt.

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

5. Pak de inhoud van het archief uit.

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: mdatp_onboard.json
   

een Puppet-manifest Creatie

U moet een Puppet-manifest maken voor het implementeren van Defender voor Eindpunt op Linux op apparaten die worden beheerd door een Puppet-server. In dit voorbeeld wordt gebruikgemaakt van de apt - en yumrepo-modules die beschikbaar zijn in puppetlabs en wordt ervan uitgegaan dat de modules zijn geïnstalleerd op uw Puppet-server.

Creatie de mappen install_mdatp/bestanden en install_mdatp/manifesten onder de map modules van uw Puppet-installatie. Deze map bevindt zich meestal in /etc/puppetlabs/code/environments/production/modules op uw Puppet-server. Kopieer het mdatp_onboard.json bestand dat u hierboven hebt gemaakt naar de map install_mdatp/files . Creatie een init.pp-bestand met de implementatie-instructies:

pwd

/etc/puppetlabs/code/environments/production/modules

tree install_mdatp

install_mdatp
├── files
│   └── mdatp_onboard.json
└── manifests
    └── init.pp

Inhoud van install_mdatp/manifests/init.pp

Defender voor Eindpunt op Linux kan worden geïmplementeerd via een van de volgende kanalen (hieronder aangeduid als [kanaal]): insiders-fast, insiders-slow of prod. Elk van deze kanalen komt overeen met een Linux-softwareopslagplaats.

De keuze van het kanaal bepaalt het type en de frequentie van updates die aan uw apparaat worden aangeboden. Apparaten in insiders-fast zijn de eerste die updates en nieuwe functies ontvangen, later gevolgd door insiders-slow en ten slotte door prod.

Als u een voorbeeld van nieuwe functies wilt bekijken en vroege feedback wilt geven, is het raadzaam dat u sommige apparaten in uw bedrijf configureert om insiders-fast of insiders-slow te gebruiken.

Waarschuwing

Als u het kanaal na de eerste installatie overschakelt, moet het product opnieuw worden geïnstalleerd. Als u wilt schakelen tussen het productkanaal, verwijdert u het bestaande pakket, configureert u het apparaat opnieuw om het nieuwe kanaal te gebruiken en volgt u de stappen in dit document om het pakket vanaf de nieuwe locatie te installeren.

Noteer uw distributie en versie en identificeer de dichtstbijzijnde vermelding hiervoor onder https://packages.microsoft.com/config/[distro]/.

Vervang [distributie] en [versie] in de onderstaande opdrachten door de informatie die u hebt geïdentificeerd:

Opmerking

In het geval van RedHat, Oracle Linux, Amazon Linux 2 en CentOS 8 vervangt u [distributie] door 'rhel'.

# Puppet manifest to install Microsoft Defender for Endpoint on Linux.
# @param channel The release channel based on your environment, insider-fast or prod.
# @param distro The Linux distribution in lowercase. In case of RedHat, Oracle Linux, Amazon Linux 2, and CentOS 8, the distro variable should be 'rhel'.
# @param version The Linux distribution release number, e.g. 7.4.

class install_mdatp (
  $channel = 'insiders-fast',
  $distro = undef,
  $version = undef
) {
  case $facts['os']['family'] {
    'Debian' : {
      $release = $channel ? {
        'prod'  => $facts['os']['distro']['codename'],
        default => $channel
      }
      apt::source { 'microsoftpackages' :
        location => "https://packages.microsoft.com/${distro}/${version}/prod",
        release  => $release,
        repos    => 'main',
        key      => {
          'id'     => 'BC528686B50D79E339D3721CEB3E94ADBE1229CF',
          'server' => 'keyserver.ubuntu.com',
        },
      }
    }
    'RedHat' : {
      yumrepo { 'microsoftpackages' :
        baseurl  => "https://packages.microsoft.com/${distro}/${version}/${channel}",
        descr    => "packages-microsoft-com-prod-${channel}",
        enabled  => 1,
        gpgcheck => 1,
        gpgkey   => 'https://packages.microsoft.com/keys/microsoft.asc',
      }
    }
    default : { fail("${facts['os']['family']} is currently not supported.") }
  }

  case $facts['os']['family'] {
    /(Debian|RedHat)/: {
      file { ['/etc/opt', '/etc/opt/microsoft', '/etc/opt/microsoft/mdatp']:
        ensure => directory,
        owner  => root,
        group  => root,
        mode   => '0755',
      }

      file { '/etc/opt/microsoft/mdatp/mdatp_onboard.json':
        source  => 'puppet:///modules/install_mdatp/mdatp_onboard.json',
        owner   => root,
        group   => root,
        mode    => '0600',
        require => File['/etc/opt/microsoft/mdatp'],
      }

      package { 'mdatp':
        ensure  => 'installed',
        require => File['/etc/opt/microsoft/mdatp/mdatp_onboard.json'],
      }
    }
    default : { fail("${facts['os']['family']} is currently not supported.") }
  }
}

Implementatie

Neem het bovenstaande manifest op in het bestand site.pp:

cat /etc/puppetlabs/code/environments/production/manifests/site.pp

node "default" {
    include install_mdatp
}

Geregistreerde agentapparaten peilen regelmatig de Puppet Server en installeren nieuwe configuratieprofielen en beleidsregels zodra ze worden gedetecteerd.

Puppet-implementatie bewaken

Op het agentapparaat kunt u ook de onboardingstatus controleren door het volgende uit te voeren:

mdatp health

...
licensed                                : true
org_id                                  : "[your organization identifier]"
...

• gelicentieerd: hiermee wordt bevestigd dat het apparaat is gekoppeld aan uw organisatie.

• orgId: dit is de organisatie-id van Defender voor Eindpunt.

Onboardingstatus controleren

U kunt controleren of apparaten correct zijn onboarding door een script te maken. Het volgende script controleert bijvoorbeeld ingeschreven apparaten op de onboardingstatus:

mdatp health --field healthy

Met de bovenstaande opdracht wordt afgedrukt 1 of het product is onboarded en werkt zoals verwacht.

Belangrijk

Wanneer het product voor de eerste keer wordt gestart, worden de nieuwste antimalwaredefinities gedownload. Afhankelijk van uw internetverbinding kan dit enkele minuten duren. Gedurende deze tijd retourneert de bovenstaande opdracht een waarde van 0.

Als het product niet in orde is, geeft de afsluitcode (die kan worden gecontroleerd) echo $?het probleem aan:

• 1 als het apparaat nog niet is onboarded.
• 3 als de verbinding met de daemon niet tot stand kan worden gebracht.

Problemen met logboekinstallatie

Zie Problemen met logboekinstallatie voor meer informatie over het vinden van het automatisch gegenereerde logboek dat door het installatieprogramma wordt gemaakt wanneer er een fout optreedt.

Upgrades van het besturingssysteem

Wanneer u uw besturingssysteem upgradet naar een nieuwe primaire versie, moet u defender voor eindpunt eerst verwijderen in Linux, de upgrade installeren en defender voor eindpunt op Linux op uw apparaat opnieuw configureren.

Uninstallation

Creatie een module remove_mdatp vergelijkbaar met install_mdatp met de volgende inhoud in het bestand init.pp:

class remove_mdatp {
    package { 'mdatp':
        ensure => 'purged',
    }
}

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.