Microsoft Defender voor Eindpunt implementeren in Linux met Saltstack

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender XDR

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

In dit artikel wordt beschreven hoe u Defender voor Eindpunt in Linux implementeert met behulp van Saltstack. Voor een geslaagde implementatie moeten alle volgende taken worden voltooid:

• Het onboarding-pakket downloaden
• Saltstack-statusbestanden Creatie
• Implementatie
• Verwijzing

Belangrijk

Dit artikel bevat informatie over hulpprogramma's van derden. Dit wordt verstrekt om integratiescenario's te voltooien, maar Microsoft biedt geen ondersteuning voor probleemoplossing voor hulpprogramma's van derden.
Neem contact op met de externe leverancier voor ondersteuning.

Vereisten en systeemvereisten

Voordat u aan de slag gaat, raadpleegt u de hoofdpagina van Defender voor Eindpunt op Linux voor een beschrijving van de vereisten en systeemvereisten voor de huidige softwareversie.

Bovendien moet u voor de implementatie van Saltstack bekend zijn met Saltstack-beheer, Saltstack hebben geïnstalleerd, de Master en Minions configureren en weten hoe u statussen kunt toepassen. Saltstack heeft veel manieren om dezelfde taak te voltooien. In deze instructies wordt ervan uitgegaan dat ondersteunde Saltstack-modules beschikbaar zijn, zoals apt en unarchive om het pakket te helpen implementeren. Uw organisatie kan een andere werkstroom gebruiken. Raadpleeg de Saltstack-documentatie voor meer informatie.

• Saltstack is geïnstalleerd op ten minste één computer (Saltstack roept de computer aan als de master).

• De Saltstack-master heeft de beheerde knooppunten geaccepteerd (Saltstack roept de knooppunten aan als minions) verbindingen.

• De Saltstack minions kunnen communicatie met de Saltstack-master oplossen (standaard proberen de minions te communiceren met een machine met de naam 'salt').

• Voer deze pingtest uit:

  sudo salt '*' test.ping
  

• De Saltstack-master heeft een bestandsserverlocatie waar de Microsoft Defender voor Eindpunt bestanden kunnen worden gedistribueerd (standaard gebruikt Saltstack de map /srv/salt als het standaarddistributiepunt)

Het onboarding-pakket downloaden

Download het onboardingpakket vanuit Microsoft Defender portal.

Waarschuwing

Het opnieuw verpakken van het Defender voor Eindpunt-installatiepakket is geen ondersteund scenario. Dit kan een negatieve invloed hebben op de integriteit van het product en leiden tot negatieve resultaten, met inbegrip van maar niet beperkt tot het activeren van manipulatiewaarschuwingen en updates die niet van toepassing zijn.

1. Ga in Microsoft Defender portal naar Instellingen > Eindpunten > Apparaatbeheer > Onboarding.

2. Selecteer in de eerste vervolgkeuzelijst Linux-server als besturingssysteem. Selecteer in de tweede vervolgkeuzelijst Het hulpprogramma voor linux-configuratiebeheer van uw voorkeur als implementatiemethode.

3. Selecteer Onboardingpakket downloaden. Sla het bestand op als WindowsDefenderATPOnboardingPackage.zip.

   

4. Pak op de SaltStack Master de inhoud van het archief uit naar de map van de SaltStack Server (meestal /srv/salt):

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: /srv/salt/mde/mdatp_onboard.json
   

Saltstack-statusbestanden Creatie

Creatie een SaltState-statusbestand in uw configuratieopslagplaats (meestal /srv/salt) dat de benodigde statussen toepast om Defender voor Eindpunt te implementeren en onboarden.

• Voeg de Defender voor Eindpunt-opslagplaats en -sleutel toe, install_mdatp.sls:

  Defender voor Eindpunt op Linux kan worden geïmplementeerd via een van de volgende kanalen (beschreven als [kanaal]): insiders-fast, insiders-slow of prod. Elk van deze kanalen komt overeen met een Linux-softwareopslagplaats.

  De keuze van het kanaal bepaalt het type en de frequentie van updates die aan uw apparaat worden aangeboden. Apparaten in insiders-fast zijn de eerste die updates en nieuwe functies ontvangen, later gevolgd door insiders-slow en ten slotte door prod.

  Als u een voorbeeld van nieuwe functies wilt bekijken en vroegtijdig feedback wilt geven, raden we u aan om sommige apparaten in uw onderneming te configureren voor het gebruik van insiders-fast of insiders-slow.

  Waarschuwing

  Als u het kanaal na de eerste installatie overschakelt, moet het product opnieuw worden geïnstalleerd. Als u wilt schakelen tussen het productkanaal, verwijdert u het bestaande pakket, configureert u het apparaat opnieuw om het nieuwe kanaal te gebruiken en volgt u de stappen in dit document om het pakket vanaf de nieuwe locatie te installeren.

  Noteer uw distributie en versie en identificeer de dichtstbijzijnde vermelding hiervoor onder https://packages.microsoft.com/config/[distro]/.

  Vervang [distributie] en [versie] in de volgende opdrachten door uw gegevens.

  Opmerking

  In het geval van Oracle Linux en Amazon Linux 2 vervangt u [distributie] door "rhel". Voor Amazon Linux 2 vervangt u [versie] door "7". Vervang [versie] voor Oracle-gebruik door de versie van Oracle Linux.

  cat /srv/salt/install_mdatp.sls
  

  add_ms_repo:
    pkgrepo.managed:
      - humanname: Microsoft Defender Repository
      {% if grains['os_family'] == 'Debian' %}
      - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
      - dist: [codename]
      - file: /etc/apt/sources.list.d/microsoft-[channel].list
      - key_url: https://packages.microsoft.com/keys/microsoft.asc
      - refresh: true
      {% elif grains['os_family'] == 'RedHat' %}
      - name: packages-microsoft-[channel]
      - file: microsoft-[channel]
      - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
      - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
      - gpgcheck: true
      {% endif %}
  

• Voeg de geïnstalleerde status van het pakket toe aan install_mdatp.sls na de add_ms_repo status zoals eerder gedefinieerd.

  install_mdatp_package:
    pkg.installed:
      - name: matp
      - required: add_ms_repo
  

• Voeg de implementatie van het onboarding-bestand toe aan install_mdatp.sls na de install_mdatp_package zoals eerder gedefinieerd.

  copy_mde_onboarding_file:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
      - source: salt://mde/mdatp_onboard.json
      - required: install_mdatp_package
  

  Het voltooide installatiestatusbestand moet er ongeveer als volgt uitzien:

  add_ms_repo:
  pkgrepo.managed:
  - humanname: Microsoft Defender Repository
  {% if grains['os_family'] == 'Debian' %}
  - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
  - dist: [codename]
  - file: /etc/apt/sources.list.d/microsoft-[channel].list
  - key_url: https://packages.microsoft.com/keys/microsoft.asc
  - refresh: true
  {% elif grains['os_family'] == 'RedHat' %}
  - name: packages-microsoft-[channel]
  - file: microsoft-[channel]
  - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
  - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
  - gpgcheck: true
  {% endif %}
  
  install_mdatp_package:
  pkg.installed:
  - name: matp
  - required: add_ms_repo
  
  copy_mde_onboarding_file:
  file.managed:
  - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  - source: salt://mde/mdatp_onboard.json
  - required: install_mdatp_package
  

Creatie een SaltState-statusbestand in uw configuratieopslagplaats (meestal /srv/salt) dat de benodigde statussen toepast om Defender voor Eindpunt te offboarden en te verwijderen. Voordat u het offboardingstatusbestand gebruikt, moet u het offboarding-pakket downloaden vanuit de beveiligingsportal en het op dezelfde manier extraheren als bij het onboardingpakket. Het gedownloade offboardingpakket is slechts een beperkte periode geldig.

• Creatie een statusbestand uninstall_mdapt.sls verwijderen en voeg de status toe om het mdatp_onboard.json bestand te verwijderen

  cat /srv/salt/uninstall_mdatp.sls
  

  remove_mde_onboarding_file:
    file.absent:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  

• Voeg de offboarding-bestandsimplementatie toe aan het uninstall_mdatp.sls bestand na de remove_mde_onboarding_file status die in de vorige sectie is gedefinieerd.

  offboard_mde:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
      - source: salt://mde/mdatp_offboard.json
  

• Voeg het verwijderen van het MDATP-pakket toe aan het uninstall_mdatp.sls bestand na de offboard_mde status die in de vorige sectie is gedefinieerd.

  remove_mde_packages:
    pkg.removed:
      - name: mdatp
  

  Het bestand met de volledige verwijderingsstatus moet er ongeveer uitzien als in de volgende uitvoer:

  remove_mde_onboarding_file:
    file.absent:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  
  offboard_mde:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
      - source: salt://mde/offboard/mdatp_offboard.json
  
  remove_mde_packages:
    pkg.removed:
      - name: mdatp
  

Implementatie

Pas nu de status toe op de minions. Met de onderstaande opdracht wordt de status toegepast op machines met de naam die begint met mdetest.

• Installatie:

  salt 'mdetest*' state.apply install_mdatp
  

  Belangrijk

  Wanneer het product voor de eerste keer wordt gestart, worden de nieuwste antimalwaredefinities gedownload. Afhankelijk van uw internetverbinding kan dit enkele minuten duren.

• Validatie/configuratie:

  salt 'mdetest*' cmd.run 'mdatp connectivity test'
  

  salt 'mdetest*' cmd.run 'mdatp health'
  

• Uninstallation:

  salt 'mdetest*' state.apply uninstall_mdatp
  

Problemen met logboekinstallatie

Zie Problemen met logboekinstallatie voor meer informatie over het vinden van het automatisch gegenereerde logboek dat door het installatieprogramma wordt gemaakt wanneer er een fout optreedt.

Upgrades van het besturingssysteem

Wanneer u uw besturingssysteem upgradet naar een nieuwe primaire versie, moet u defender voor eindpunt eerst verwijderen in Linux, de upgrade installeren en defender voor eindpunt op Linux op uw apparaat opnieuw configureren.

Verwijzing

• SALT Project-documentatie

Zie ook

• Statusproblemen van agent onderzoeken

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.