Distribuera Microsoft Defender för Endpoint på Linux med Ansible

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender XDR

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Den här artikeln beskriver hur du distribuerar Defender för Endpoint i Linux med Ansible. En lyckad distribution kräver att alla följande uppgifter slutförs:

• Ladda ned onboarding-paketet
• Skapa Ansible YAML-filer
• Distribution
• Referenser

Viktigt

Den här artikeln innehåller information om verktyg från tredje part. Detta tillhandahålls för att hjälpa till att slutföra integreringsscenarier, men Microsoft tillhandahåller inte felsökningsstöd för verktyg från tredje part.
Kontakta tredjepartsleverantören för support.

Krav och systemkrav

Innan du börjar kan du se huvudsidan för Defender för Endpoint på Linux för en beskrivning av krav och systemkrav för den aktuella programvaruversionen.

För Ansible-distribution behöver du dessutom vara bekant med Ansible-administrationsuppgifter, ha Ansible konfigurerat och veta hur du distribuerar spelböcker och uppgifter. Ansible har många sätt att slutföra samma uppgift. De här anvisningarna förutsätter tillgänglighet för Ansible-moduler som stöds, till exempel apt och unarchive för att distribuera paketet. Din organisation kan använda ett annat arbetsflöde. Mer information finns i Ansible-dokumentationen .

• Ansible måste installeras på minst en dator (Ansible anropar kontrollnoden).

• SSH måste konfigureras för ett administratörskonto mellan kontrollnoden och alla hanterade noder (enheter där Defender för Endpoint är installerat) och det rekommenderas att konfigureras med autentisering med offentlig nyckel.

• Följande programvara måste installeras på alla hanterade noder:

  • Curl
  • python-apt (om du distribuerar på distributioner med apt som pakethanterare)

• Alla hanterade noder måste anges i följande format i /etc/ansible/hosts eller relevant fil:

  [servers]
  host1 ansible_ssh_host=10.171.134.39
  host2 ansible_ssh_host=51.143.50.51
  

• Pingtest:

  ansible -m ping all
  

Ladda ned onboarding-paketet

Ladda ned registreringspaketet från Microsoft Defender-portalen.

Varning

Det går inte att paketera om installationspaketet för Defender för Endpoint. Detta kan påverka produktens integritet negativt och leda till negativa resultat, inklusive men inte begränsat till att utlösa manipuleringsaviseringar och uppdateringar som inte kan tillämpas.

1. I Microsoft Defender portalen går du till Inställningar > Slutpunkter > Enhetshantering > Registrering.

2. I den första nedrullningsbara menyn väljer du Linux Server som operativsystem. I den andra nedrullningsbara menyn väljer du Önskat Linux-konfigurationshanteringsverktyg som distributionsmetod.

3. Välj Ladda ned registreringspaket. Spara filen som WindowsDefenderATPOnboardingPackage.zip.

   

4. Kontrollera att du har filen från en kommandotolk. Extrahera innehållet i arkivet:

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: mdatp_onboard.json
   

Skapa Ansible YAML-filer

Skapa en underuppgift eller rollfiler som bidrar till en spelbok eller uppgift.

• Skapa onboarding-uppgiften: onboarding_setup.yml

  - name: Create MDATP directories
    file:
      path: /etc/opt/microsoft/mdatp/
      recurse: true
      state: directory
      mode: 0755
      owner: root
      group: root
  
  - name: Register mdatp_onboard.json
    stat:
      path: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    register: mdatp_onboard
  
  - name: Extract WindowsDefenderATPOnboardingPackage.zip into /etc/opt/microsoft/mdatp
    unarchive:
      src: WindowsDefenderATPOnboardingPackage.zip
      dest: /etc/opt/microsoft/mdatp
      mode: 0600
      owner: root
      group: root
    when: not mdatp_onboard.stat.exists
  

• Lägg till lagringsplatsen och nyckeln för Defender för Endpoint, add_apt_repo.yml:

  Defender för Endpoint i Linux kan distribueras från någon av följande kanaler (anges nedan som [kanal]): insiders-fast, insiders-slow eller prod. Var och en av dessa kanaler motsvarar en Linux-programvarulagringsplats.

  Valet av kanal avgör typ och frekvens för uppdateringar som erbjuds till din enhet. Enheter i insiders-snabb är de första som tar emot uppdateringar och nya funktioner, följt senare av insiders-långsam och slutligen av prod.

  För att kunna förhandsgranska nya funktioner och ge tidig feedback rekommenderar vi att du konfigurerar vissa enheter i företaget så att de använder insiders-fast eller insiders-slow.

  Varning

  Om du byter kanal efter den första installationen måste produkten installeras om. Så här växlar du produktkanalen: avinstallera det befintliga paketet, konfigurera om enheten så att den använder den nya kanalen och följ stegen i det här dokumentet för att installera paketet från den nya platsen.

  Observera distributionen och versionen och identifiera den närmaste posten för den under https://packages.microsoft.com/config/[distro]/.

  Ersätt [distro] och [version] med den information som du har identifierat i följande kommandon.

  Obs!

  När det gäller Oracle Linux och Amazon Linux 2 ersätter du [distro] med "rhel". För Amazon Linux 2 ersätter du [version] med "7". För Oracle Linux ersätter du [version] med versionen av Oracle Linux.

  - name: Add Microsoft APT key
    apt_key:
      url: https://packages.microsoft.com/keys/microsoft.asc
      state: present
    when: ansible_os_family == "Debian"
  
  - name: Add Microsoft apt repository for MDATP
    apt_repository:
      repo: deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
      update_cache: yes
      state: present
      filename: microsoft-[channel]
    when: ansible_os_family == "Debian"
  
  - name: Add Microsoft DNF/YUM key
    rpm_key:
      state: present
      key: https://packages.microsoft.com/keys/microsoft.asc
    when: ansible_os_family == "RedHat"
  
  - name: Add  Microsoft yum repository for MDATP
    yum_repository:
      name: packages-microsoft-[channel]
      description: Microsoft Defender for Endpoint
      file: microsoft-[channel]
      baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ 
      gpgcheck: yes
      enabled: Yes
    when: ansible_os_family == "RedHat"
  

• Skapa Ansible-installationen och avinstallera YAML-filerna.

  • För apt-baserade distributioner använder du följande YAML-fil:

    cat install_mdatp.yml
    

    - hosts: servers
      tasks:
        - include: ../roles/onboarding_setup.yml
        - include: ../roles/add_apt_repo.yml
        - name: Install MDATP
          apt:
            name: mdatp
            state: latest
            update_cache: yes
    

    cat uninstall_mdatp.yml
    

    - hosts: servers
      tasks:
        - name: Uninstall MDATP
          apt:
            name: mdatp
            state: absent
    

  • För dnf-baserade distributioner använder du följande YAML-fil:

    cat install_mdatp_dnf.yml
    

    - hosts: servers
      tasks:
        - include: ../roles/onboarding_setup.yml
        - include: ../roles/add_yum_repo.yml
        - name: Install MDATP
          dnf:
            name: mdatp
            state: latest
            enablerepo: packages-microsoft-[channel]
    

    cat uninstall_mdatp_dnf.yml
    

    - hosts: servers
      tasks:
        - name: Uninstall MDATP
          dnf:
            name: mdatp
            state: absent
    

Distribution

Kör nu aktivitetsfilerna under /etc/ansible/playbooks/ eller relevant katalog.

• Installation:

  ansible-playbook /etc/ansible/playbooks/install_mdatp.yml -i /etc/ansible/hosts
  

Viktigt

När produkten startar för första gången hämtar den de senaste definitionerna för program mot skadlig kod. Beroende på din Internetanslutning kan det ta upp till några minuter.

• Validering/konfiguration:

  ansible -m shell -a 'mdatp connectivity test' all
  

  ansible -m shell -a 'mdatp health' all
  

• Avinstallation:

  ansible-playbook /etc/ansible/playbooks/uninstall_mdatp.yml -i /etc/ansible/hosts
  

Problem med logginstallation

Mer information om hur du hittar den automatiskt genererade loggen som skapas av installationsprogrammet när ett fel inträffar finns i Logginstallationsproblem .

Uppgraderingar av operativsystem

När du uppgraderar operativsystemet till en ny huvudversion måste du först avinstallera Defender för Endpoint på Linux, installera uppgraderingen och slutligen konfigurera om Defender för Endpoint på Linux på enheten.

Referenser

• Lägga till eller ta bort YUM-lagringsplatser

• Hantera paket med dnf-pakethanteraren

• Lägga till och ta bort APT-lagringsplatser

• Hantera apt-packages

Se även

• Undersöka hälsoproblem i agenten

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.