Развертывание Microsoft Defender для конечной точки в Linux с помощью Saltstack

  • Статья

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

В этой статье описывается развертывание Defender для конечной точки в Linux с помощью Saltstack. Для успешного развертывания требуется выполнить все следующие задачи:

Важно!

Эта статья содержит сведения о сторонних средствах. Это предоставляется для выполнения сценариев интеграции, однако корпорация Майкрософт не предоставляет поддержку по устранению неполадок для сторонних средств.
Обратитесь за поддержкой к стороннему поставщику.

Предварительные требования и требования к системе

Прежде чем приступить к работе, ознакомьтесь со страницей main Defender для конечной точки в Linux, чтобы узнать о предварительных требованиях и требованиях к системе для текущей версии программного обеспечения.

Кроме того, для развертывания Saltstack необходимо быть знакомым с администрированием Saltstack, установить Saltstack, настроить master и minions и знать, как применять состояния. Saltstack имеет множество способов выполнения одной и той же задачи. В этих инструкциях предполагается наличие поддерживаемых модулей Saltstack, таких как apt и unarchive для развертывания пакета. Ваша организация может использовать другой рабочий процесс. Дополнительные сведения см. в документации по Saltstack .

  • Saltstack устанавливается по крайней мере на одном компьютере (Saltstack вызывает компьютер в качестве master).

  • Saltstack master принял управляемые узлы (Saltstack вызывает узлы в качестве миньонов) подключений.

  • Миньоны Saltstack могут разрешать связь с master Saltstack (по умолчанию миньоны пытаются связаться с компьютером с именем salt).

  • Выполните этот тест проверки связи:

    sudo salt '*' test.ping

  • Master Saltstack имеет расположение файлового сервера, из которого можно распространять файлы Microsoft Defender для конечной точки (по умолчанию Saltstack использует папку /srv/salt в качестве точки распространения по умолчанию).

Скачивание пакета подключения

Скачайте пакет подключения с Microsoft Defender портала.

Предупреждение

Переупаковка пакета установки Defender для конечной точки не поддерживается. Это может негативно повлиять на целостность продукта и привести к неблагоприятным результатам, включая, помимо прочего, активацию оповещений и обновлений о незаконном изменении.

  1. На портале Microsoft Defender перейдите в раздел Параметры > Конечные > точки Подключение управления устройствами>.

  2. В первом раскрывающемся меню выберите Сервер Linux в качестве операционной системы. Во втором раскрывающемся меню выберите предпочитаемое средство управления конфигурацией Linux в качестве метода развертывания.

  3. Выберите Скачать пакет подключения. Сохраните файл как WindowsDefenderATPOnboardingPackage.zip.

    Параметр Download onboarding package (Скачать пакет подключения)

  4. На главном элементе SaltStack извлеките содержимое архива в папку SaltStack Server (как правило, /srv/salt):

    ls -l

    total 8
-rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: /srv/salt/mde/mdatp_onboard.json

Create файлы состояний Saltstack

Create файл состояния SaltState в репозитории конфигурации (как правило, /srv/salt), который применяет необходимые состояния для развертывания и подключения Defender для конечной точки.

  • Добавьте репозиторий Defender для конечной точки и ключ : install_mdatp.sls

    Defender для конечной точки в Linux можно развернуть из одного из следующих каналов (описанных как [канал]): участники программы предварительной оценки — fast, insiders-slow или prod. Каждый из этих каналов соответствует репозиторию программного обеспечения Linux.

    Выбор канала определяет тип и частоту обновлений, предлагаемых вашему устройству. Устройства в инсайдерской программе являются первыми, кто получает обновления и новые функции, а затем инсайдеры медленно и, наконец , prod.

    Для предварительного просмотра новых функций и предоставления ранних отзывов рекомендуется настроить некоторые устройства в организации для использования программы предварительной оценки быстрой или медленной для участников программы предварительной оценки.

    Предупреждение

    Переключение канала после начальной установки требует переустановки продукта. Чтобы переключить канал продукта, удалите существующий пакет, повторно настройте устройство для использования нового канала и выполните действия, описанные в этом документе, чтобы установить пакет из нового расположения.

    Запишите дистрибутив и версию и определите ближайшие для него записи в разделе https://packages.microsoft.com/config/[distro]/.

    В следующих командах замените [дистрибутив] и [версию] своими сведениями.

    Примечание.

    В случае с Oracle Linux и Amazon Linux 2 замените [дистрибутив] на "rhel". Для Amazon Linux 2 замените [версию] на "7". Для использования Oracle замените [версию] версией Oracle Linux.

    cat /srv/salt/install_mdatp.sls

    add_ms_repo:
  pkgrepo.managed:
    - humanname: Microsoft Defender Repository
    {% if grains['os_family'] == 'Debian' %}
    - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
    - dist: [codename]
    - file: /etc/apt/sources.list.d/microsoft-[channel].list
    - key_url: https://packages.microsoft.com/keys/microsoft.asc
    - refresh: true
    {% elif grains['os_family'] == 'RedHat' %}
    - name: packages-microsoft-[channel]
    - file: microsoft-[channel]
    - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
    - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
    - gpgcheck: true
    {% endif %}

  • Добавьте установленное состояние install_mdatp.sls пакета в после состояния, определенного add_ms_repo ранее.

    install_mdatp_package:
  pkg.installed:
    - name: matp
    - required: add_ms_repo

  • Добавьте развертывание файла подключения в после install_mdatp.slsinstall_mdatp_package , как определено ранее.

    copy_mde_onboarding_file:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    - source: salt://mde/mdatp_onboard.json
    - required: install_mdatp_package

    Файл состояния завершенной установки должен выглядеть примерно так:

    add_ms_repo:
pkgrepo.managed:
- humanname: Microsoft Defender Repository
{% if grains['os_family'] == 'Debian' %}
- name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
- dist: [codename]
- file: /etc/apt/sources.list.d/microsoft-[channel].list
- key_url: https://packages.microsoft.com/keys/microsoft.asc
- refresh: true
{% elif grains['os_family'] == 'RedHat' %}
- name: packages-microsoft-[channel]
- file: microsoft-[channel]
- baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
- gpgkey: https://packages.microsoft.com/keys/microsoft.asc
- gpgcheck: true
{% endif %}

install_mdatp_package:
pkg.installed:
- name: matp
- required: add_ms_repo

copy_mde_onboarding_file:
file.managed:
- name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
- source: salt://mde/mdatp_onboard.json
- required: install_mdatp_package

Create файл состояния SaltState в репозитории конфигурации (как правило, /srv/salt), который применяет необходимые состояния для отключения и удаления Defender для конечной точки. Перед использованием файла состояния отключения необходимо скачать пакет отключения на портале безопасности и извлечь его так же, как и пакет подключения. Скачанный пакет отключения действителен только в течение ограниченного периода времени.

  • Create файл uninstall_mdapt.sls состояния удаления и добавьте состояние для удаления файла.mdatp_onboard.json

    cat /srv/salt/uninstall_mdatp.sls

    remove_mde_onboarding_file:
  file.absent:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json

  • Добавьте развертывание файла offboarding в uninstall_mdatp.sls файл после состояния, remove_mde_onboarding_file определенного в предыдущем разделе.

    offboard_mde:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
    - source: salt://mde/mdatp_offboard.json

  • Добавьте удаление пакета MDATP в uninstall_mdatp.sls файл после состояния, offboard_mde определенного в предыдущем разделе.

    remove_mde_packages:
  pkg.removed:
    - name: mdatp

    Файл состояния полного удаления должен выглядеть примерно так:

    remove_mde_onboarding_file:
  file.absent:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json

offboard_mde:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
    - source: salt://mde/offboard/mdatp_offboard.json

remove_mde_packages:
  pkg.removed:
    - name: mdatp

Развертывание

Теперь примените состояние к миньонам. Приведенная ниже команда применяет состояние к компьютерам с именем, начинающимся с mdetest.

  • Установки:

    salt 'mdetest*' state.apply install_mdatp

    Важно!

    Когда продукт запускается в первый раз, он загружает последние определения антивредоносных программ. В зависимости от подключения к Интернету это может занять до нескольких минут.

  • Проверка и настройка.

    salt 'mdetest*' cmd.run 'mdatp connectivity test'

    salt 'mdetest*' cmd.run 'mdatp health'

  • Удаления:

    salt 'mdetest*' state.apply uninstall_mdatp

Журнал проблем с установкой

Дополнительные сведения о том, как найти автоматически созданный журнал, созданный установщиком при возникновении ошибки, см. в разделе Проблемы с установкой журнала.

Обновления операционной системы

При обновлении операционной системы до новой основной версии необходимо сначала удалить Defender для конечной точки в Linux, установить обновление и, наконец, перенастроить Defender для конечной точки на linux на своем устройстве.

Справочные материалы

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.