Dela via

Distribuera Microsoft Defender för Endpoint på Linux med Saltstack

  • Artikel

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Den här artikeln beskriver hur du distribuerar Defender för Endpoint i Linux med hjälp av Saltstack. En lyckad distribution kräver att alla följande uppgifter slutförs:

Viktigt

Den här artikeln innehåller information om verktyg från tredje part. Detta tillhandahålls för att hjälpa till att slutföra integreringsscenarier, men Microsoft tillhandahåller inte felsökningsstöd för verktyg från tredje part.
Kontakta tredjepartsleverantören för support.

Krav och systemkrav

Innan du börjar kan du se huvudsidan för Defender för Endpoint på Linux för en beskrivning av krav och systemkrav för den aktuella programvaruversionen.

För Saltstack-distribution behöver du dessutom vara bekant med Saltstack-administration, ha Saltstack installerat, konfigurera Master och Minions och veta hur tillstånd ska tillämpas. Saltstack har många sätt att slutföra samma uppgift. De här anvisningarna förutsätter tillgänglighet för Saltstack-moduler som stöds, till exempel apt och unarchive för att distribuera paketet. Din organisation kan använda ett annat arbetsflöde. Mer information finns i Saltstack-dokumentationen .

Här är några viktiga punkter:

  • Saltstack är installerat på minst en dator (Saltstack kallar datorn för huvuddator).
  • Saltstack-huvudservern accepterade de hanterade noderna (Saltstack anropar noderna som minions)-anslutningar.
  • Saltstack-underhuggarna kan lösa kommunikationen med Saltstack-huvudservern (som standard försöker underhuggarna kommunicera med en dator med namnet "salt").
  • Kör följande pingtest: sudo salt '*' test.ping
  • Saltstack-huvudservern har en filserverplats där Microsoft Defender för Endpoint filer kan distribueras från (som standard använder /srv/salt Saltstack mappen som standarddistributionsplats)

Ladda ned onboarding-paketet

Varning

Det går inte att paketera om installationspaketet för Defender för Endpoint. Detta kan påverka produktens integritet negativt och leda till negativa resultat, inklusive men inte begränsat till att utlösa manipuleringsaviseringar och uppdateringar som inte kan tillämpas.

  1. I Microsoft Defender portalen går du till Inställningar>Slutpunkter>Enhetshantering>Registrering.

  2. I den första nedrullningsbara menyn väljer du Linux Server som operativsystem. I den andra nedrullningsbara menyn väljer du Önskat Linux-konfigurationshanteringsverktyg som distributionsmetod.

  3. Välj Ladda ned registreringspaket. Spara filen som WindowsDefenderATPOnboardingPackage.zip.

    Alternativet Ladda ned onboarding-paket

  4. På SaltStack Master extraherar du innehållet i arkivet till Mappen för SaltStack-servern (vanligtvis /srv/salt):

    ls -l

    total 8
-rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: /srv/salt/mde/mdatp_onboard.json

Skapa Saltstack-tillståndsfiler

I det här steget skapar du en SaltState-tillståndsfil i konfigurationslagringsplatsen (vanligtvis /srv/salt) som tillämpar de tillstånd som krävs för att distribuera och publicera Defender för Endpoint. Sedan lägger du till defender för Endpoint-lagringsplatsen och nyckeln: install_mdatp.sls.

Obs!

Defender för Endpoint i Linux kan distribueras från någon av följande kanaler:

Varje kanal motsvarar en Linux-programvarulagringsplats.

Valet av kanal avgör typ och frekvens för uppdateringar som erbjuds till din enhet. Enheter i insiders-snabb är de första som tar emot uppdateringar och nya funktioner, följt senare av insiders-långsam, och slutligen av prod.

För att kunna förhandsgranska nya funktioner och ge tidig feedback rekommenderar vi att du konfigurerar vissa enheter i företaget för att använda insiders-fast eller insiders-slow.

Varning

Om du byter kanal efter den första installationen måste produkten installeras om. Så här växlar du produktkanalen: avinstallera det befintliga paketet, konfigurera om enheten så att den använder den nya kanalen och följ stegen i det här dokumentet för att installera paketet från den nya platsen.

  1. Observera distributionen och versionen och identifiera den närmaste posten för den under https://packages.microsoft.com/config/[distro]/.

    Ersätt [distro] och [version] med din information i följande kommandon.

    Obs!

    När det gäller Oracle Linux och Amazon Linux 2 ersätter du [distro] med "rhel". För Amazon Linux 2 ersätter du [version] med "7". För Oracle-användning ersätter du [version] med versionen av Oracle Linux.

    cat /srv/salt/install_mdatp.sls

    add_ms_repo:
  pkgrepo.managed:
    - humanname: Microsoft Defender Repository
    {% if grains['os_family'] == 'Debian' %}
    - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
    - dist: [codename]
    - file: /etc/apt/sources.list.d/microsoft-[channel].list
    - key_url: https://packages.microsoft.com/keys/microsoft.asc
    - refresh: true
    {% elif grains['os_family'] == 'RedHat' %}
    - name: packages-microsoft-[channel]
    - file: microsoft-[channel]
    - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
    - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
    - gpgcheck: true
    {% endif %}

  2. Lägg till paketets installerade tillstånd till install_mdatp.sls efter det add_ms_repo tillstånd som tidigare definierats.

    install_mdatp_package:
  pkg.installed:
    - name: matp
    - required: add_ms_repo

  3. Lägg till onboarding-fildistributionen i install_mdatp.sls efter som install_mdatp_package tidigare definierats.

    copy_mde_onboarding_file:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    - source: salt://mde/mdatp_onboard.json
    - required: install_mdatp_package

    Den färdiga installationstillståndsfilen bör se ut ungefär så här:

    add_ms_repo:
pkgrepo.managed:
- humanname: Microsoft Defender Repository
{% if grains['os_family'] == 'Debian' %}
- name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
- dist: [codename]
- file: /etc/apt/sources.list.d/microsoft-[channel].list
- key_url: https://packages.microsoft.com/keys/microsoft.asc
- refresh: true
{% elif grains['os_family'] == 'RedHat' %}
- name: packages-microsoft-[channel]
- file: microsoft-[channel]
- baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
- gpgkey: https://packages.microsoft.com/keys/microsoft.asc
- gpgcheck: true
{% endif %}

install_mdatp_package:
pkg.installed:
- name: mdatp
- required: add_ms_repo

copy_mde_onboarding_file:
file.managed:
- name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
- source: salt://mde/mdatp_onboard.json
- required: install_mdatp_package

  4. Skapa en SaltState-tillståndsfil i konfigurationslagringsplatsen (vanligtvis /srv/salt) som tillämpar nödvändiga tillstånd för att avregistrera och ta bort Defender för Endpoint. Innan du använder offboarding-tillståndsfilen måste du ladda ned offboarding-paketet från säkerhetsportalen och extrahera det på samma sätt som du gjorde onboarding-paketet. Det nedladdade offboarding-paketet är endast giltigt under en begränsad tidsperiod.

  5. Skapa en avinstallationstillståndsfil uninstall_mdapt.sls och lägg till tillståndet för att ta bort mdatp_onboard.json filen.

    cat /srv/salt/uninstall_mdatp.sls

    remove_mde_onboarding_file:
  file.absent:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json

  6. Lägg till distributionen av avregistreringsfilen till uninstall_mdatp.sls filen efter det remove_mde_onboarding_file tillstånd som definierades i föregående avsnitt.

     offboard_mde:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
    - source: salt://mde/mdatp_offboard.json

  7. Lägg till borttagningen av MDATP-paketet i uninstall_mdatp.sls filen efter det offboard_mde tillstånd som definierades i föregående avsnitt.

    remove_mde_packages:
  pkg.removed:
    - name: mdatp

    Den fullständiga avinstallationstillståndsfilen bör se ut ungefär så här:

    remove_mde_onboarding_file:
  file.absent:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json

offboard_mde:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
    - source: salt://mde/offboard/mdatp_offboard.json

remove_mde_packages:
   pkg.removed:
     - name: mdatp

Distribution

I det här steget tillämpar du tillståndet på underhuggarna. Följande kommando tillämpar tillståndet på datorer med namnet som börjar med mdetest.

  1. Installation:

    salt 'mdetest*' state.apply install_mdatp

    Viktigt

    När produkten startar för första gången hämtar den de senaste definitionerna för program mot skadlig kod. Beroende på din Internetanslutning kan det ta upp till några minuter.

  2. Validering/konfiguration:

    salt 'mdetest*' cmd.run 'mdatp connectivity test'

    salt 'mdetest*' cmd.run 'mdatp health'

  3. Avinstallation:

    salt 'mdetest*' state.apply uninstall_mdatp

Problem med logginstallation

Mer information om hur du hittar den automatiskt genererade loggen som skapas av installationsprogrammet när ett fel uppstår finns i Problem med logginstallation.

Uppgraderingar av operativsystem

När du uppgraderar operativsystemet till en ny huvudversion måste du först avinstallera Defender för Endpoint på Linux, installera uppgraderingen och slutligen konfigurera om Defender för Endpoint på Linux på enheten.

Referens

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.