Развертывание Microsoft Defender для конечной точки в Linux с помощью Ansible

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

В этой статье описывается развертывание Defender для конечной точки в Linux с помощью Ansible. Для успешного развертывания требуется выполнить все следующие задачи:

• Скачивание пакета подключения
• Создание файлов YAML Ansible
• Развертывание
• Ссылки

Важно!

Эта статья содержит сведения о сторонних средствах. Это предоставляется для выполнения сценариев интеграции, однако корпорация Майкрософт не предоставляет поддержку по устранению неполадок для сторонних средств.
Обратитесь за поддержкой к стороннему поставщику.

Предварительные требования и требования к системе

Прежде чем приступить к работе, ознакомьтесь со страницей main Defender для конечной точки в Linux, чтобы узнать о предварительных требованиях и требованиях к системе для текущей версии программного обеспечения.

Кроме того, для развертывания Ansible необходимо быть знакомым с задачами администрирования Ansible, настроить Ansible и уметь развертывать сборники схем и задачи. Ansible имеет множество способов выполнения одной и той же задачи. Эти инструкции предполагают наличие поддерживаемых модулей Ansible, таких как apt и unarchive , для развертывания пакета. Ваша организация может использовать другой рабочий процесс. Дополнительные сведения см. в документации по Ansible .

• Ansible необходимо установить по крайней мере на одном компьютере (Ansible вызывает этот узел управления).

• SSH необходимо настроить для учетной записи администратора между узлом управления и всеми управляемыми узлами (на устройствах, на которых будет установлен Defender для конечной точки), и рекомендуется настроить проверку подлинности с открытым ключом.

• На всех управляемых узлах необходимо установить следующее программное обеспечение:

  • Curl
  • python-apt (при развертывании в дистрибутивах с помощью apt в качестве диспетчера пакетов)

• Все управляемые узлы должны быть перечислены в следующем формате в /etc/ansible/hosts соответствующем или соответствующем файле:

  [servers]
  host1 ansible_ssh_host=10.171.134.39
  host2 ansible_ssh_host=51.143.50.51
  

• Проверка проверки ping:

  ansible -m ping all
  

Скачивание пакета подключения

Скачайте пакет подключения с Microsoft Defender портала.

Предупреждение

Переупаковка пакета установки Defender для конечной точки не поддерживается. Это может негативно повлиять на целостность продукта и привести к неблагоприятным результатам, включая, помимо прочего, активацию оповещений и обновлений о незаконном изменении.

1. На портале Microsoft Defender перейдите в раздел Параметры > Конечные > точки Подключение управления устройствами>.

2. В первом раскрывающемся меню выберите Сервер Linux в качестве операционной системы. Во втором раскрывающемся меню выберите предпочитаемое средство управления конфигурацией Linux в качестве метода развертывания.

3. Выберите Скачать пакет подключения. Сохраните файл как WindowsDefenderATPOnboardingPackage.zip.

   

4. В командной строке убедитесь, что у вас есть файл. Извлеките содержимое архива:

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: mdatp_onboard.json
   

Создание файлов YAML Ansible

Создайте файлы подзадачей или ролей, которые вносят вклад в сборник схем или задачу.

• Создайте задачу подключения: onboarding_setup.yml

  - name: Create MDATP directories
    file:
      path: /etc/opt/microsoft/mdatp/
      recurse: true
      state: directory
      mode: 0755
      owner: root
      group: root
  
  - name: Register mdatp_onboard.json
    stat:
      path: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    register: mdatp_onboard
  
  - name: Extract WindowsDefenderATPOnboardingPackage.zip into /etc/opt/microsoft/mdatp
    unarchive:
      src: WindowsDefenderATPOnboardingPackage.zip
      dest: /etc/opt/microsoft/mdatp
      mode: 0600
      owner: root
      group: root
    when: not mdatp_onboard.stat.exists
  

• Добавьте репозиторий Defender для конечной точки и ключ : add_apt_repo.yml

  Defender для конечной точки в Linux можно развернуть из одного из следующих каналов (который ниже обозначается как [канал]): участники программы предварительной оценки — fast, insiders-slow или prod. Каждый из этих каналов соответствует репозиторию программного обеспечения Linux.

  Выбор канала определяет тип и частоту обновлений, предлагаемых вашему устройству. Устройства в инсайдерской программе являются первыми, кто получает обновления и новые функции, а затем инсайдеры медленно и, наконец , prod.

  Для предварительного просмотра новых функций и предоставления ранних отзывов рекомендуется настроить некоторые устройства в организации для использования программы предварительной оценки быстрой или медленной для участников программы предварительной оценки.

  Предупреждение

  Переключение канала после начальной установки требует переустановки продукта. Чтобы переключить канал продукта, удалите существующий пакет, повторно настройте устройство для использования нового канала и выполните действия, описанные в этом документе, чтобы установить пакет из нового расположения.

  Запишите дистрибутив и версию и определите ближайшие для него записи в разделе https://packages.microsoft.com/config/[distro]/.

  В следующих командах замените [дистрибутив] и [версию] указанными сведениями.

  Примечание.

  В случае с Oracle Linux и Amazon Linux 2 замените [дистрибутив] на "rhel". Для Amazon Linux 2 замените [версию] на "7". Для Oracle Linux замените [версию] версией Oracle Linux.

  - name: Add Microsoft APT key
    apt_key:
      url: https://packages.microsoft.com/keys/microsoft.asc
      state: present
    when: ansible_os_family == "Debian"
  
  - name: Add Microsoft apt repository for MDATP
    apt_repository:
      repo: deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
      update_cache: yes
      state: present
      filename: microsoft-[channel]
    when: ansible_os_family == "Debian"
  
  - name: Add Microsoft DNF/YUM key
    rpm_key:
      state: present
      key: https://packages.microsoft.com/keys/microsoft.asc
    when: ansible_os_family == "RedHat"
  
  - name: Add  Microsoft yum repository for MDATP
    yum_repository:
      name: packages-microsoft-[channel]
      description: Microsoft Defender for Endpoint
      file: microsoft-[channel]
      baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ 
      gpgcheck: yes
      enabled: Yes
    when: ansible_os_family == "RedHat"
  

• Создайте файлы YAML для установки и удаления Ansible.

  • Для дистрибутивов на основе apt используйте следующий файл YAML:

    cat install_mdatp.yml
    

    - hosts: servers
      tasks:
        - include: ../roles/onboarding_setup.yml
        - include: ../roles/add_apt_repo.yml
        - name: Install MDATP
          apt:
            name: mdatp
            state: latest
            update_cache: yes
    

    cat uninstall_mdatp.yml
    

    - hosts: servers
      tasks:
        - name: Uninstall MDATP
          apt:
            name: mdatp
            state: absent
    

  • Для дистрибутивов на основе dnf используйте следующий файл YAML:

    cat install_mdatp_dnf.yml
    

    - hosts: servers
      tasks:
        - include: ../roles/onboarding_setup.yml
        - include: ../roles/add_yum_repo.yml
        - name: Install MDATP
          dnf:
            name: mdatp
            state: latest
            enablerepo: packages-microsoft-[channel]
    

    cat uninstall_mdatp_dnf.yml
    

    - hosts: servers
      tasks:
        - name: Uninstall MDATP
          dnf:
            name: mdatp
            state: absent
    

Развертывание

Теперь запустите файлы задач в /etc/ansible/playbooks/ соответствующем каталоге или в соответствующем каталоге.

• Установки:

  ansible-playbook /etc/ansible/playbooks/install_mdatp.yml -i /etc/ansible/hosts
  

Важно!

Когда продукт запускается в первый раз, он загружает последние определения антивредоносных программ. В зависимости от подключения к Интернету это может занять до нескольких минут.

• Проверка и настройка.

  ansible -m shell -a 'mdatp connectivity test' all
  

  ansible -m shell -a 'mdatp health' all
  

• Удаления:

  ansible-playbook /etc/ansible/playbooks/uninstall_mdatp.yml -i /etc/ansible/hosts
  

Журнал проблем с установкой

Дополнительные сведения о том, как найти автоматически созданный журнал, который создается установщиком при возникновении ошибки, см. в разделе Проблемы с установкой журнала .

Обновления операционной системы

При обновлении операционной системы до новой основной версии необходимо сначала удалить Defender для конечной точки в Linux, установить обновление и, наконец, перенастроить Defender для конечной точки на linux на своем устройстве.

Ссылки

• Добавление или удаление репозиториев YUM

• Управление пакетами с помощью диспетчера пакетов dnf

• Добавление и удаление репозиториев APT

• Управление пакетами apt-packages

См. также

• Исследование проблем работоспособности агента

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.