Развертывание Defender для конечной точки в Linux с помощью Chef

Область применения:

Важно!

Эта статья содержит сведения о сторонних средствах. Это предоставляется для выполнения сценариев интеграции, однако корпорация Майкрософт не предоставляет поддержку по устранению неполадок для сторонних средств.
Обратитесь за поддержкой к стороннему поставщику.

Прежде чем приступить к работе, выполните установку распакуку, если она еще не установлена.

Компоненты Chef уже установлены, и существует репозиторий Chef (репозиторий> создания chef<) для хранения поваренной книги, используемой для развертывания в Defender для конечной точки на управляемых серверах Linux Chef.

Вы можете создать новую поваренную книгу в существующем репозитории, выполнив следующую команду из папки cookbooks, которая находится в репозитории chef:

chef generate cookbook mdatp

Эта команда создает новую структуру папок для новой книги поваренной книги с именем mdatp. Вы также можете использовать существующую поваренную книгу, если у вас уже есть книга, которую вы хотите использовать для добавления развертывания Defender для конечной точки. После создания книги поваренной книги создайте папку с файлами внутри папки , которая только что была создана:

mkdir mdatp/files

Перенесите ZIP-файл подключения сервера Linux, который можно скачать с портала Microsoft Defender, в эту папку новых файлов.

Предупреждение

Переупаковка пакета установки Defender для конечной точки не поддерживается. Это может негативно повлиять на целостность продукта и привести к неблагоприятным результатам, включая, помимо прочего, активацию оповещений и обновлений о незаконном изменении.

На рабочей станции Chef перейдите в папку mdatp/recipes. Эта папка создается при создании книги поваренной книги. Используйте предпочитаемый текстовый редактор (например, vi или nano), чтобы добавить следующие инструкции в конец файла default.rb:

  • include_recipe "::onboard_mdatp"
  • include_recipe "::install_mdatp"

Затем сохраните и закройте файл default.rb.

Затем создайте файл рецепта с именем install_mdatp.rb в папке recipes и добавьте в файл следующий текст:

#Add Microsoft Defender
Repo
case node['platform_family']
when 'debian'
 apt_repository 'MDAPRepo' do
   arch               'amd64'
   cache_rebuild      true
   cookbook           false
   deb_src            false
   key                'BC528686B50D79E339D3721CEB3E94ADBE1229CF'
   keyserver          "keyserver.ubuntu.com"
   distribution       'focal'
   repo_name          'microsoft-prod'
   components         ['main']
   trusted            true
   uri                "https://packages.microsoft.com/config/ubuntu/20.04/prod"
 end
 apt_package "mdatp"
when 'rhel'
 yum_repository 'microsoft-prod' do
   baseurl            "https://packages.microsoft.com/config/rhel/7/prod/"
   description        "Microsoft Defender for Endpoint"
   enabled            true
   gpgcheck           true
   gpgkey             "https://packages.microsoft.com/keys/microsoft.asc"
 end
 if node['platform_version'] <= 8 then
    yum_package "mdatp"
 else
    dnf_package "mdatp"
 end
end

Необходимо изменить номер версии, дистрибутив и имя репозитория в соответствии с версией, в которую вы развертываете, и каналом, который вы хотите развернуть. Затем необходимо создать файл onboard_mdatp.rb в папке mdatp/recipies. Добавьте в этот файл следующий текст:

#Create MDATP Directory
mdatp = "/etc/opt/microsoft/mdatp"
zip_path = "/path/to/chef-repo/cookbooks/mdatp/files/WindowsDefenderATPOnboardingPackage.zip"

directory "#{mdatp}" do
  owner 'root'
  group 'root'
  mode 0755
  recursive true
end

#Extract WindowsDefenderATPOnbaordingPackage.zip into /etc/opt/microsoft/mdatp

bash 'Extract Onbaording Json MDATP' do
  code <<-EOS
  unzip #{zip_path} -d #{mdatp}
  EOS
  not_if { ::File.exist?('/etc/opt/microsoft/mdatp/mdatp_onboard.json') }
end

Обязательно обновите имя пути до расположения файла подключения. Чтобы протестировать развертывание на рабочей станции Chef, выполните команду sudo chef-client -z -o mdatp. После развертывания следует рассмотреть возможность создания и развертывания файла конфигурации на серверах на основе настроек Set для Microsoft Defender для конечной точки в Linux. После создания и тестирования файла конфигурации его можно поместить в папку cookbook/mdatp/files , в которой вы также разместили пакет подключения. Затем можно создать файл settings_mdatp.rb в папке mdatp/recipies и добавить следующий текст:

#Copy the configuration file
cookbook_file '/etc/opt/microsoft/mdatp/managed/mdatp_managed.json' do
  source 'mdatp_managed.json'
  owner 'root'
  group 'root'
  mode '0755'
  action :create
end

Чтобы включить этот шаг в состав рецепта, просто добавьте include_recipe ':: settings_mdatp в файл default.rb в папке recipe.

Вы также можете использовать crontab для планирования автоматических обновлений Планирование обновления Microsoft Defender для конечной точки (Linux).

Удалить поваренную книгу MDATP:

#Uninstall the Defender package
case node['platform_family']
when 'debian'
 apt_package "mdatp" do
   action :remove
 end
when 'rhel'
 if node['platform_version'] <= 8
then
    yum_package "mdatp" do
      action :remove
    end
 else
    dnf_package "mdatp" do
      action :remove
    end
 end
end

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.