Distribuera Microsoft Defender för Endpoint i Linux med Puppet

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender XDR

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Den här artikeln beskriver hur du distribuerar Defender för Endpoint i Linux med Puppet. En lyckad distribution kräver att alla följande uppgifter slutförs:

• Ladda ned onboarding-paketet
• Skapa Puppet-manifest
• Distribution
• Kontrollera registreringsstatus

Viktigt

Den här artikeln innehåller information om verktyg från tredje part. Detta tillhandahålls för att hjälpa till att slutföra integreringsscenarier, men Microsoft tillhandahåller inte felsökningsstöd för verktyg från tredje part.
Kontakta tredjepartsleverantören för support.

Krav och systemkrav

En beskrivning av krav och systemkrav för den aktuella programvaruversionen finns på huvudsidan för Defender för Endpoint på Linux.

För Puppet-distribution behöver du dessutom vara bekant med Puppet-administrationsuppgifter, ha Puppet konfigurerat och veta hur du distribuerar paket. Puppet har många sätt att utföra samma uppgift. De här anvisningarna förutsätter tillgänglighet för Puppet-moduler som stöds, till exempel apt för att distribuera paketet. Din organisation kan använda ett annat arbetsflöde. Mer information finns i Puppet-dokumentationen .

Ladda ned onboarding-paketet

Ladda ned registreringspaketet från Microsoft Defender-portalen.

Varning

Det går inte att paketera om installationspaketet för Defender för Endpoint. Detta kan påverka produktens integritet negativt och leda till negativa resultat, inklusive men inte begränsat till att utlösa manipuleringsaviseringar och uppdateringar som inte kan tillämpas.

1. I Microsoft Defender portalen går du till Inställningar > Slutpunkter > Enhetshantering > Registrering.

2. I den första nedrullningsbara menyn väljer du Linux Server som operativsystem. I den andra nedrullningsbara menyn väljer du Önskat Linux-konfigurationshanteringsverktyg som distributionsmetod.

3. Välj Ladda ned registreringspaket. Spara filen som WindowsDefenderATPOnboardingPackage.zip.

   

4. Kontrollera att du har filen från en kommandotolk.

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

5. Extrahera innehållet i arkivet.

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: mdatp_onboard.json
   

Skapa ett Puppet-manifest

Du måste skapa ett Puppet-manifest för att distribuera Defender för Endpoint på Linux till enheter som hanteras av en Puppet-server. I det här exemplet används modulerna apt och yumrepo som är tillgängliga från puppetlabs och förutsätter att modulerna har installerats på Puppet-servern.

Skapa mapparna install_mdatp/filer och install_mdatp/manifest under modulmappen i Puppet-installationen. Den här mappen finns vanligtvis i /etc/puppetlabs/code/environments/production/modules på Puppet-servern. Kopiera mdatp_onboard.json-filen som skapades ovan till mappen install_mdatp/files . Skapa en init.pp-fil som innehåller distributionsanvisningarna:

pwd

/etc/puppetlabs/code/environments/production/modules

tree install_mdatp

install_mdatp
├── files
│   └── mdatp_onboard.json
└── manifests
    └── init.pp

Innehållet i install_mdatp/manifests/init.pp

Defender för Endpoint i Linux kan distribueras från någon av följande kanaler (anges nedan som [kanal]): insiders-fast, insiders-slow eller prod. Var och en av dessa kanaler motsvarar en Linux-programvarulagringsplats.

Valet av kanal avgör typ och frekvens för uppdateringar som erbjuds till din enhet. Enheter i insiders-snabb är de första som tar emot uppdateringar och nya funktioner, följt senare av insiders-långsam och slutligen av prod.

För att kunna förhandsgranska nya funktioner och ge tidig feedback rekommenderar vi att du konfigurerar vissa enheter i företaget så att de använder insiders-fast eller insiders-slow.

Varning

Om du byter kanal efter den första installationen måste produkten installeras om. Så här växlar du produktkanalen: avinstallera det befintliga paketet, konfigurera om enheten så att den använder den nya kanalen och följ stegen i det här dokumentet för att installera paketet från den nya platsen.

Observera distributionen och versionen och identifiera den närmaste posten för den under https://packages.microsoft.com/config/[distro]/.

Ersätt [distro] och [version] med den information som du har identifierat i kommandona nedan:

Obs!

När det gäller RedHat, Oracle Linux, Amazon Linux 2 och CentOS 8 ersätter du [distro] med "rhel".

# Puppet manifest to install Microsoft Defender for Endpoint on Linux.
# @param channel The release channel based on your environment, insider-fast or prod.
# @param distro The Linux distribution in lowercase. In case of RedHat, Oracle Linux, Amazon Linux 2, and CentOS 8, the distro variable should be 'rhel'.
# @param version The Linux distribution release number, e.g. 7.4.

class install_mdatp (
  $channel = 'insiders-fast',
  $distro = undef,
  $version = undef
) {
  case $facts['os']['family'] {
    'Debian' : {
      $release = $channel ? {
        'prod'  => $facts['os']['distro']['codename'],
        default => $channel
      }
      apt::source { 'microsoftpackages' :
        location => "https://packages.microsoft.com/${distro}/${version}/prod",
        release  => $release,
        repos    => 'main',
        key      => {
          'id'     => 'BC528686B50D79E339D3721CEB3E94ADBE1229CF',
          'server' => 'keyserver.ubuntu.com',
        },
      }
    }
    'RedHat' : {
      yumrepo { 'microsoftpackages' :
        baseurl  => "https://packages.microsoft.com/${distro}/${version}/${channel}",
        descr    => "packages-microsoft-com-prod-${channel}",
        enabled  => 1,
        gpgcheck => 1,
        gpgkey   => 'https://packages.microsoft.com/keys/microsoft.asc',
      }
    }
    default : { fail("${facts['os']['family']} is currently not supported.") }
  }

  case $facts['os']['family'] {
    /(Debian|RedHat)/: {
      file { ['/etc/opt', '/etc/opt/microsoft', '/etc/opt/microsoft/mdatp']:
        ensure => directory,
        owner  => root,
        group  => root,
        mode   => '0755',
      }

      file { '/etc/opt/microsoft/mdatp/mdatp_onboard.json':
        source  => 'puppet:///modules/install_mdatp/mdatp_onboard.json',
        owner   => root,
        group   => root,
        mode    => '0600',
        require => File['/etc/opt/microsoft/mdatp'],
      }

      package { 'mdatp':
        ensure  => 'installed',
        require => File['/etc/opt/microsoft/mdatp/mdatp_onboard.json'],
      }
    }
    default : { fail("${facts['os']['family']} is currently not supported.") }
  }
}

Distribution

Inkludera ovanstående manifest i filen site.pp:

cat /etc/puppetlabs/code/environments/production/manifests/site.pp

node "default" {
    include install_mdatp
}

Registrerade agentenheter söker regelbundet av Puppet Server och installerar nya konfigurationsprofiler och principer så snart de identifieras.

Övervaka Puppet-distribution

På agentenheten kan du också kontrollera registreringsstatusen genom att köra:

mdatp health

...
licensed                                : true
org_id                                  : "[your organization identifier]"
...

• licensierad: Detta bekräftar att enheten är knuten till din organisation.

• orgId: Det här är din Defender för Endpoint-organisationsidentifierare.

Kontrollera registreringsstatus

Du kan kontrollera att enheterna har registrerats korrekt genom att skapa ett skript. Följande skript kontrollerar till exempel registrerade enheter efter registreringsstatus:

mdatp health --field healthy

Kommandot ovan skriver ut 1 om produkten är registrerad och fungerar som förväntat.

Viktigt

När produkten startar för första gången hämtar den de senaste definitionerna för program mot skadlig kod. Beroende på din Internetanslutning kan det ta upp till några minuter. Under den här tiden returnerar kommandot ovan värdet 0.

Om produkten inte är felfri anger slutkoden (som kan kontrolleras) echo $?problemet:

• 1 om enheten inte har registrerats än.
• 3 om anslutningen till daemon inte kan upprättas.

Problem med logginstallation

Mer information om hur du hittar den automatiskt genererade loggen som skapas av installationsprogrammet när ett fel uppstår finns i Logginstallationsproblem.

Uppgraderingar av operativsystem

När du uppgraderar operativsystemet till en ny huvudversion måste du först avinstallera Defender för Endpoint på Linux, installera uppgraderingen och slutligen konfigurera om Defender för Endpoint på Linux på enheten.

Avinstallation

Skapa en modul som remove_mdatp liknarinstall_mdatp med följande innehåll i filen init.pp:

class remove_mdatp {
    package { 'mdatp':
        ensure => 'purged',
    }
}

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.