Implantar Microsoft Defender para Ponto de Extremidade no Linux com Saltstack
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Este artigo descreve como implantar o Defender para Ponto de Extremidade no Linux usando Saltstack. Uma implantação bem-sucedida requer a conclusão de todas as seguintes tarefas:
Importante
Este artigo contém informações sobre ferramentas de terceiros. Isso é fornecido para ajudar a concluir cenários de integração, no entanto, a Microsoft não fornece suporte de solução de problemas para ferramentas de terceiros.
Entre em contato com o fornecedor de terceiros para obter suporte.
Pré-requisitos e requisitos do sistema
Antes de começar, consulte a página main Defender para Ponto de Extremidade no Linux para obter uma descrição dos pré-requisitos e dos requisitos do sistema para a versão de software atual.
Além disso, para a implantação do Saltstack, você precisa estar familiarizado com a administração saltstack, ter Saltstack instalado, configurar o Mestre e Minions e saber como aplicar estados. Saltstack tem muitas maneiras de concluir a mesma tarefa. Essas instruções assumem a disponibilidade de módulos Saltstack com suporte, como aptos e não abrangentes para ajudar a implantar o pacote. Sua organização pode usar um fluxo de trabalho diferente. Consulte a documentação do Saltstack para obter detalhes.
Saltstack é instalado em pelo menos um computador (Saltstack chama o computador como o master).
O Saltstack master aceitou as conexões de nós gerenciados (Saltstack chama os nós como minions).
Os minions Saltstack são capazes de resolve comunicação com o saltstack master (seja padrão, os minions tentam se comunicar com um computador chamado 'sal').
Degrau este teste de ping:
sudo salt '*' test.ping
O saltstack master tem um local de servidor de arquivo do qual os arquivos Microsoft Defender para Ponto de Extremidade podem ser distribuídos (por padrão Saltstack usa a pasta /srv/salt como o ponto de distribuição padrão)
Baixar o pacote de integração
Baixe o pacote de integração do portal Microsoft Defender.
Aviso
Reempacotar o pacote de instalação do Defender para Ponto de Extremidade não é um cenário com suporte. Isso pode afetar negativamente a integridade do produto e levar a resultados adversos, incluindo, mas não se limitando a disparar alertas de adulteração e atualizações que não se aplicam.
No portal Microsoft Defender, acesse Configurações Endpoints >> Gerenciamento > de dispositivo Integração.
No primeiro menu suspenso, selecione Linux Server como o sistema operacional. No segundo menu suspenso, selecione Sua ferramenta de gerenciamento de configuração do Linux preferida como o método de implantação.
Selecione Baixar pacote de integração. Salve o arquivo como WindowsDefenderATPOnboardingPackage.zip.
No SaltStack Master, extraia o conteúdo do arquivo para a pasta do SaltStack Server (normalmente
/srv/salt
):ls -l
total 8 -rw-r--r-- 1 test staff 4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
Archive: WindowsDefenderATPOnboardingPackage.zip inflating: /srv/salt/mde/mdatp_onboard.json
Create arquivos de estado saltstack
Create um arquivo de estado saltstate em seu repositório de configuração (normalmente /srv/salt
) que aplica os estados necessários para implantar e integrar o Defender para Ponto de Extremidade.
Adicione o repositório e a chave do Defender para Ponto de Extremidade:
install_mdatp.sls
O Defender para Ponto de Extremidade no Linux pode ser implantado em um dos seguintes canais (descrito como [canal]): insiders-fast, insiders-slow ou prod. Cada um desses canais corresponde a um repositório de software do Linux.
A escolha do canal determina o tipo e a frequência das atualizações oferecidas ao seu dispositivo. Os dispositivos em insiders rápidos são os primeiros a receber atualizações e novos recursos, seguidos posteriormente por insiders lentos e, por fim, por prod.
Para visualizar novos recursos e fornecer comentários antecipados, recomendamos que você configure alguns dispositivos em sua empresa para usar insiders rápido ou insiders-slow.
Aviso
Alternar o canal após a instalação inicial requer que o produto seja reinstalado. Para alternar o canal do produto: desinstale o pacote existente, configure novamente seu dispositivo para usar o novo canal e siga as etapas neste documento para instalar o pacote a partir do novo local.
Observe sua distribuição e versão e identifique a entrada mais próxima para ela em
https://packages.microsoft.com/config/[distro]/
.Nos comandos a seguir, substitua [distro] e [versão] por suas informações.
Observação
No caso do Oracle Linux e do Amazon Linux 2, substitua [distro] por "rhel". Para o Amazon Linux 2, substitua [versão] por "7". Para uso oracle, substitua [versão] pela versão do Oracle Linux.
cat /srv/salt/install_mdatp.sls
add_ms_repo: pkgrepo.managed: - humanname: Microsoft Defender Repository {% if grains['os_family'] == 'Debian' %} - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main - dist: [codename] - file: /etc/apt/sources.list.d/microsoft-[channel].list - key_url: https://packages.microsoft.com/keys/microsoft.asc - refresh: true {% elif grains['os_family'] == 'RedHat' %} - name: packages-microsoft-[channel] - file: microsoft-[channel] - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ - gpgkey: https://packages.microsoft.com/keys/microsoft.asc - gpgcheck: true {% endif %}
Adicione o estado instalado do pacote ao
install_mdatp.sls
após oadd_ms_repo
estado, conforme definido anteriormente.install_mdatp_package: pkg.installed: - name: matp - required: add_ms_repo
Adicione a implantação de arquivo de integração ao
install_mdatp.sls
após oinstall_mdatp_package
conforme definido anteriormente.copy_mde_onboarding_file: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json - source: salt://mde/mdatp_onboard.json - required: install_mdatp_package
O arquivo de estado de instalação concluído deve ser semelhante a esta saída:
add_ms_repo: pkgrepo.managed: - humanname: Microsoft Defender Repository {% if grains['os_family'] == 'Debian' %} - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main - dist: [codename] - file: /etc/apt/sources.list.d/microsoft-[channel].list - key_url: https://packages.microsoft.com/keys/microsoft.asc - refresh: true {% elif grains['os_family'] == 'RedHat' %} - name: packages-microsoft-[channel] - file: microsoft-[channel] - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ - gpgkey: https://packages.microsoft.com/keys/microsoft.asc - gpgcheck: true {% endif %} install_mdatp_package: pkg.installed: - name: matp - required: add_ms_repo copy_mde_onboarding_file: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json - source: salt://mde/mdatp_onboard.json - required: install_mdatp_package
Create um arquivo de estado saltstate em seu repositório de configuração (normalmente /srv/salt
) que aplica os estados necessários para desativar e remover o Defender para Ponto de Extremidade. Antes de usar o arquivo de estado de offboarding, você precisa baixar o pacote de offboarding do portal de segurança e extraí-lo da mesma forma que você fez o pacote de integração. O pacote de offboarding baixado só é válido por um período limitado de tempo.
Create um arquivo
uninstall_mdapt.sls
de estado Desinstalar e adicionar o estado para remover omdatp_onboard.json
arquivocat /srv/salt/uninstall_mdatp.sls
remove_mde_onboarding_file: file.absent: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
Adicione a implantação de arquivo de offboarding ao
uninstall_mdatp.sls
arquivo após oremove_mde_onboarding_file
estado definido na seção anterior.offboard_mde: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json - source: salt://mde/mdatp_offboard.json
Adicione a remoção do pacote MDATP ao
uninstall_mdatp.sls
arquivo após ooffboard_mde
estado definido na seção anterior.remove_mde_packages: pkg.removed: - name: mdatp
O arquivo de estado de desinstalação completo deve ser semelhante à seguinte saída:
remove_mde_onboarding_file: file.absent: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json offboard_mde: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json - source: salt://mde/offboard/mdatp_offboard.json remove_mde_packages: pkg.removed: - name: mdatp
Implantação
Agora aplique o estado aos minions. O comando abaixo aplica o estado a computadores com o nome que começa com mdetest
.
Instalação:
salt 'mdetest*' state.apply install_mdatp
Importante
Quando o produto é iniciado pela primeira vez, ele baixa as definições antimalware mais recentes. Dependendo da conexão com a Internet, isso pode levar até alguns minutos.
Validação/configuração:
salt 'mdetest*' cmd.run 'mdatp connectivity test'
salt 'mdetest*' cmd.run 'mdatp health'
Desinstalação:
salt 'mdetest*' state.apply uninstall_mdatp
Problemas de instalação de log
Para obter mais informações sobre como encontrar o log gerado automaticamente criado pelo instalador quando ocorrer um erro, confira Problemas de instalação de log.
Atualizações do sistema operacional
Ao atualizar seu sistema operacional para uma nova versão principal, primeiro você deve desinstalar o Defender para Ponto de Extremidade no Linux, instalar a atualização e, finalmente, reconfigurar o Defender para Ponto de Extremidade no Linux em seu dispositivo.
Referências
Confira também
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de