Implantar Microsoft Defender para Ponto de Extremidade no Linux com o Puppet

  • Artigo

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Este artigo descreve como implantar o Defender para Ponto de Extremidade no Linux usando o Puppet. Uma implantação bem-sucedida requer a conclusão de todas as seguintes tarefas:

Importante

Este artigo contém informações sobre ferramentas de terceiros. Isso é fornecido para ajudar a concluir cenários de integração, no entanto, a Microsoft não fornece suporte de solução de problemas para ferramentas de terceiros.
Entre em contato com o fornecedor de terceiros para obter suporte.

Pré-requisitos e requisitos do sistema

Para obter uma descrição dos pré-requisitos e dos requisitos do sistema para a versão atual do software, consulte a página main Defender para Ponto de Extremidade no Linux.

Além disso, para implantação do Puppet, você precisa estar familiarizado com tarefas de administração de fantoches, ter o Puppet configurado e saber como implantar pacotes. Puppet tem muitas maneiras de concluir a mesma tarefa. Essas instruções pressupõem a disponibilidade de módulos puppet com suporte, como o apt para ajudar a implantar o pacote. Sua organização pode usar um fluxo de trabalho diferente. Consulte a documentação do Puppet para obter detalhes.

Baixar o pacote de integração

Baixe o pacote de integração do portal Microsoft Defender.

Aviso

Reempacotar o pacote de instalação do Defender para Ponto de Extremidade não é um cenário com suporte. Isso pode afetar negativamente a integridade do produto e levar a resultados adversos, incluindo, mas não se limitando a disparar alertas de adulteração e atualizações que não se aplicam.

  1. No portal Microsoft Defender, acesse Configurações Endpoints >> Gerenciamento > de dispositivo Integração.

  2. No primeiro menu suspenso, selecione Linux Server como o sistema operacional. No segundo menu suspenso, selecione Sua ferramenta de gerenciamento de configuração do Linux preferida como o método de implantação.

  3. Selecione Baixar pacote de integração. Salve o arquivo como WindowsDefenderATPOnboardingPackage.zip.

    A opção de baixar o pacote integrado

  4. Em um prompt de comando, verifique se você tem o arquivo.

    ls -l

    total 8
-rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

  5. Extraia o conteúdo do arquivo.

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: mdatp_onboard.json

Create um manifesto do Puppet

Você precisa criar um manifesto do Puppet para implantar o Defender para Ponto de Extremidade no Linux em dispositivos gerenciados por um servidor Puppet. Este exemplo usa os módulos apt e yumrepo disponíveis em puppetlabs e pressupõe que os módulos foram instalados em seu servidor Puppet.

Create as pastas install_mdatp/arquivos e install_mdatp/manifestos na pasta módulos da instalação do Puppet. Essa pasta normalmente está localizada em /etc/puppetlabs/code/environments/production/modules em seu servidor Puppet. Copie o arquivo mdatp_onboard.json criado acima para a pasta install_mdatp/files . Create um arquivo init.pp que contém as instruções de implantação:

pwd

/etc/puppetlabs/code/environments/production/modules

tree install_mdatp

install_mdatp
├── files
│   └── mdatp_onboard.json
└── manifests
    └── init.pp

Conteúdo de install_mdatp/manifests/init.pp

O Defender para Ponto de Extremidade no Linux pode ser implantado em um dos seguintes canais (denotado abaixo como [canal]): insiders-fast, insiders-slow ou prod. Cada um desses canais corresponde a um repositório de software do Linux.

A escolha do canal determina o tipo e a frequência das atualizações oferecidas ao seu dispositivo. Os dispositivos em insiders rápidos são os primeiros a receber atualizações e novos recursos, seguidos posteriormente por insiders lentos e, por fim, por prod.

Para visualizar novos recursos e fornecer comentários antecipados, é recomendável que você configure alguns dispositivos em sua empresa para usar insiders rápido ou insiders-slow.

Aviso

Alternar o canal após a instalação inicial requer que o produto seja reinstalado. Para alternar o canal do produto: desinstale o pacote existente, configure novamente seu dispositivo para usar o novo canal e siga as etapas neste documento para instalar o pacote a partir do novo local.

Observe sua distribuição e versão e identifique a entrada mais próxima para ela em https://packages.microsoft.com/config/[distro]/.

Nos comandos abaixo, substitua [distro] e [versão] pelas informações que você identificou:

Observação

No caso de RedHat, Oracle Linux, Amazon Linux 2 e CentOS 8, substitua [distro] por 'rhel'.

# Puppet manifest to install Microsoft Defender for Endpoint on Linux.
# @param channel The release channel based on your environment, insider-fast or prod.
# @param distro The Linux distribution in lowercase. In case of RedHat, Oracle Linux, Amazon Linux 2, and CentOS 8, the distro variable should be 'rhel'.
# @param version The Linux distribution release number, e.g. 7.4.

class install_mdatp (
  $channel = 'insiders-fast',
  $distro = undef,
  $version = undef
) {
  case $facts['os']['family'] {
    'Debian' : {
      $release = $channel ? {
        'prod'  => $facts['os']['distro']['codename'],
        default => $channel
      }
      apt::source { 'microsoftpackages' :
        location => "https://packages.microsoft.com/${distro}/${version}/prod",
        release  => $release,
        repos    => 'main',
        key      => {
          'id'     => 'BC528686B50D79E339D3721CEB3E94ADBE1229CF',
          'server' => 'keyserver.ubuntu.com',
        },
      }
    }
    'RedHat' : {
      yumrepo { 'microsoftpackages' :
        baseurl  => "https://packages.microsoft.com/${distro}/${version}/${channel}",
        descr    => "packages-microsoft-com-prod-${channel}",
        enabled  => 1,
        gpgcheck => 1,
        gpgkey   => 'https://packages.microsoft.com/keys/microsoft.asc',
      }
    }
    default : { fail("${facts['os']['family']} is currently not supported.") }
  }

  case $facts['os']['family'] {
    /(Debian|RedHat)/: {
      file { ['/etc/opt', '/etc/opt/microsoft', '/etc/opt/microsoft/mdatp']:
        ensure => directory,
        owner  => root,
        group  => root,
        mode   => '0755',
      }

      file { '/etc/opt/microsoft/mdatp/mdatp_onboard.json':
        source  => 'puppet:///modules/install_mdatp/mdatp_onboard.json',
        owner   => root,
        group   => root,
        mode    => '0600',
        require => File['/etc/opt/microsoft/mdatp'],
      }

      package { 'mdatp':
        ensure  => 'installed',
        require => File['/etc/opt/microsoft/mdatp/mdatp_onboard.json'],
      }
    }
    default : { fail("${facts['os']['family']} is currently not supported.") }
  }
}

Implantação

Inclua o manifesto acima no arquivo site.pp:

cat /etc/puppetlabs/code/environments/production/manifests/site.pp

node "default" {
    include install_mdatp
}

Os dispositivos de agente registrados pesquisam periodicamente o Servidor fantoche e instalam novos perfis de configuração e políticas assim que são detectados.

Monitorar a implantação do Puppet

No dispositivo do agente, você também pode marcar o status de integração executando:

mdatp health

...
licensed                                : true
org_id                                  : "[your organization identifier]"
...

  • licenciado: isso confirma que o dispositivo está vinculado à sua organização.

  • orgId: este é o identificador de organização do Defender para Ponto de Extremidade.

Verificar status de integração

Você pode marcar que os dispositivos foram integrados corretamente criando um script. Por exemplo, o script a seguir verifica dispositivos registrados para integração status:

mdatp health --field healthy

O comando acima imprimirá 1 se o produto estiver integrado e funcionando conforme o esperado.

Importante

Quando o produto é iniciado pela primeira vez, ele baixa as definições antimalware mais recentes. Dependendo da conexão com a Internet, isso pode levar até alguns minutos. Durante esse tempo, o comando acima retorna um valor de 0.

Se o produto não estiver íntegro, o código de saída (que pode ser verificado echo $?) indica o problema:

  • 1 se o dispositivo ainda não estiver integrado.
  • 3 se a conexão com o daemon não puder ser estabelecida.

Problemas de instalação de log

Para obter mais informações sobre como encontrar o log gerado automaticamente que é criado pelo instalador quando ocorrer um erro, confira Problemas de instalação do Log.

Atualizações do sistema operacional

Ao atualizar seu sistema operacional para uma nova versão principal, primeiro você deve desinstalar o Defender para Ponto de Extremidade no Linux, instalar a atualização e, finalmente, reconfigurar o Defender para Ponto de Extremidade no Linux em seu dispositivo.

Desinstalação

Create um módulo remove_mdatp semelhante ao install_mdatp com o seguinte conteúdo no arquivo init.pp:

class remove_mdatp {
    package { 'mdatp':
        ensure => 'purged',
    }
}

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.