Implantar Microsoft Defender para Ponto de Extremidade no Linux com Saltstack

Artigo
05/01/2024

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Este artigo descreve como implantar o Defender para Ponto de Extremidade no Linux usando Saltstack. Uma implantação bem-sucedida requer a conclusão de todas as seguintes tarefas:

Baixar o pacote de integração
Create arquivos de estado saltstack
Implantação
Reference

Importante

Este artigo contém informações sobre ferramentas de terceiros. Isso é fornecido para ajudar a concluir cenários de integração, no entanto, a Microsoft não fornece suporte de solução de problemas para ferramentas de terceiros.
Entre em contato com o fornecedor de terceiros para obter suporte.

Pré-requisitos e requisitos do sistema

Antes de começar, consulte a página main Defender para Ponto de Extremidade no Linux para obter uma descrição dos pré-requisitos e dos requisitos do sistema para a versão de software atual.

Além disso, para a implantação do Saltstack, você precisa estar familiarizado com a administração saltstack, ter Saltstack instalado, configurar o Mestre e Minions e saber como aplicar estados. Saltstack tem muitas maneiras de concluir a mesma tarefa. Essas instruções assumem a disponibilidade de módulos Saltstack com suporte, como aptos e não abrangentes para ajudar a implantar o pacote. Sua organização pode usar um fluxo de trabalho diferente. Consulte a documentação do Saltstack para obter detalhes.

Saltstack é instalado em pelo menos um computador (Saltstack chama o computador como o master).
O Saltstack master aceitou as conexões de nós gerenciados (Saltstack chama os nós como minions).
Os minions Saltstack são capazes de resolve comunicação com o saltstack master (seja padrão, os minions tentam se comunicar com um computador chamado 'sal').
Degrau este teste de ping:
```
sudo salt '*' test.ping
```
O saltstack master tem um local de servidor de arquivo do qual os arquivos Microsoft Defender para Ponto de Extremidade podem ser distribuídos (por padrão Saltstack usa a pasta /srv/salt como o ponto de distribuição padrão)

Baixar o pacote de integração

Baixe o pacote de integração do portal Microsoft Defender.

Aviso

Reempacotar o pacote de instalação do Defender para Ponto de Extremidade não é um cenário com suporte. Isso pode afetar negativamente a integridade do produto e levar a resultados adversos, incluindo, mas não se limitando a disparar alertas de adulteração e atualizações que não se aplicam.

No portal Microsoft Defender, acesse Configurações Endpoints >> Gerenciamento > de dispositivo Integração.
No primeiro menu suspenso, selecione Linux Server como o sistema operacional. No segundo menu suspenso, selecione Sua ferramenta de gerenciamento de configuração do Linux preferida como o método de implantação.
Selecione Baixar pacote de integração. Salve o arquivo como WindowsDefenderATPOnboardingPackage.zip.

No SaltStack Master, extraia o conteúdo do arquivo para a pasta do SaltStack Server (normalmente /srv/salt):

ls -l

total 8
-rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde

Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: /srv/salt/mde/mdatp_onboard.json

Create arquivos de estado saltstack

Create um arquivo de estado saltstate em seu repositório de configuração (normalmente /srv/salt) que aplica os estados necessários para implantar e integrar o Defender para Ponto de Extremidade.

Adicione o repositório e a chave do Defender para Ponto de Extremidade: install_mdatp.sls

O Defender para Ponto de Extremidade no Linux pode ser implantado em um dos seguintes canais (descrito como [canal]): insiders-fast, insiders-slow ou prod. Cada um desses canais corresponde a um repositório de software do Linux.

A escolha do canal determina o tipo e a frequência das atualizações oferecidas ao seu dispositivo. Os dispositivos em insiders rápidos são os primeiros a receber atualizações e novos recursos, seguidos posteriormente por insiders lentos e, por fim, por prod.

Para visualizar novos recursos e fornecer comentários antecipados, recomendamos que você configure alguns dispositivos em sua empresa para usar insiders rápido ou insiders-slow.

Aviso

Alternar o canal após a instalação inicial requer que o produto seja reinstalado. Para alternar o canal do produto: desinstale o pacote existente, configure novamente seu dispositivo para usar o novo canal e siga as etapas neste documento para instalar o pacote a partir do novo local.

Observe sua distribuição e versão e identifique a entrada mais próxima para ela em https://packages.microsoft.com/config/[distro]/.

Nos comandos a seguir, substitua [distro] e [versão] por suas informações.

Observação

No caso do Oracle Linux e do Amazon Linux 2, substitua [distro] por "rhel". Para o Amazon Linux 2, substitua [versão] por "7". Para uso oracle, substitua [versão] pela versão do Oracle Linux.
```
cat /srv/salt/install_mdatp.sls
```
```
add_ms_repo:
  pkgrepo.managed:
    - humanname: Microsoft Defender Repository
    {% if grains['os_family'] == 'Debian' %}
    - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
    - dist: [codename]
    - file: /etc/apt/sources.list.d/microsoft-[channel].list
    - key_url: https://packages.microsoft.com/keys/microsoft.asc
    - refresh: true
    {% elif grains['os_family'] == 'RedHat' %}
    - name: packages-microsoft-[channel]
    - file: microsoft-[channel]
    - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
    - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
    - gpgcheck: true
    {% endif %}
```
Adicione o estado instalado do pacote ao install_mdatp.sls após o add_ms_repo estado, conforme definido anteriormente.
```
install_mdatp_package:
  pkg.installed:
    - name: matp
    - required: add_ms_repo
```

Adicione a implantação de arquivo de integração ao install_mdatp.sls após o install_mdatp_package conforme definido anteriormente.

copy_mde_onboarding_file:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    - source: salt://mde/mdatp_onboard.json
    - required: install_mdatp_package

O arquivo de estado de instalação concluído deve ser semelhante a esta saída:

add_ms_repo:
pkgrepo.managed:
- humanname: Microsoft Defender Repository
{% if grains['os_family'] == 'Debian' %}
- name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
- dist: [codename]
- file: /etc/apt/sources.list.d/microsoft-[channel].list
- key_url: https://packages.microsoft.com/keys/microsoft.asc
- refresh: true
{% elif grains['os_family'] == 'RedHat' %}
- name: packages-microsoft-[channel]
- file: microsoft-[channel]
- baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
- gpgkey: https://packages.microsoft.com/keys/microsoft.asc
- gpgcheck: true
{% endif %}

install_mdatp_package:
pkg.installed:
- name: matp
- required: add_ms_repo

copy_mde_onboarding_file:
file.managed:
- name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
- source: salt://mde/mdatp_onboard.json
- required: install_mdatp_package

Create um arquivo de estado saltstate em seu repositório de configuração (normalmente /srv/salt) que aplica os estados necessários para desativar e remover o Defender para Ponto de Extremidade. Antes de usar o arquivo de estado de offboarding, você precisa baixar o pacote de offboarding do portal de segurança e extraí-lo da mesma forma que você fez o pacote de integração. O pacote de offboarding baixado só é válido por um período limitado de tempo.

Create um arquivo uninstall_mdapt.sls de estado Desinstalar e adicionar o estado para remover o mdatp_onboard.json arquivo

cat /srv/salt/uninstall_mdatp.sls

remove_mde_onboarding_file:
  file.absent:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json

Adicione a implantação de arquivo de offboarding ao uninstall_mdatp.sls arquivo após o remove_mde_onboarding_file estado definido na seção anterior.
```
offboard_mde:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
    - source: salt://mde/mdatp_offboard.json
```

Adicione a remoção do pacote MDATP ao uninstall_mdatp.sls arquivo após o offboard_mde estado definido na seção anterior.

remove_mde_packages:
  pkg.removed:
    - name: mdatp

O arquivo de estado de desinstalação completo deve ser semelhante à seguinte saída:

remove_mde_onboarding_file:
  file.absent:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json

offboard_mde:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
    - source: salt://mde/offboard/mdatp_offboard.json

remove_mde_packages:
  pkg.removed:
    - name: mdatp

Implantação

Agora aplique o estado aos minions. O comando abaixo aplica o estado a computadores com o nome que começa com mdetest.

Instalação:
```
salt 'mdetest*' state.apply install_mdatp
```
Importante

Quando o produto é iniciado pela primeira vez, ele baixa as definições antimalware mais recentes. Dependendo da conexão com a Internet, isso pode levar até alguns minutos.

Validação/configuração:

salt 'mdetest*' cmd.run 'mdatp connectivity test'

salt 'mdetest*' cmd.run 'mdatp health'

Desinstalação:

salt 'mdetest*' state.apply uninstall_mdatp

Problemas de instalação de log

Para obter mais informações sobre como encontrar o log gerado automaticamente criado pelo instalador quando ocorrer um erro, confira Problemas de instalação de log.

Atualizações do sistema operacional

Ao atualizar seu sistema operacional para uma nova versão principal, primeiro você deve desinstalar o Defender para Ponto de Extremidade no Linux, instalar a atualização e, finalmente, reconfigurar o Defender para Ponto de Extremidade no Linux em seu dispositivo.

Referências

Documentação do Projeto SALT

Confira também

Investigar problemas de integridade do agente

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.