Distribuera Microsoft Defender för Endpoint på Linux med Saltstack
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Den här artikeln beskriver hur du distribuerar Defender för Endpoint i Linux med hjälp av Saltstack. En lyckad distribution kräver att alla följande uppgifter slutförs:
Viktigt
Den här artikeln innehåller information om verktyg från tredje part. Detta tillhandahålls för att hjälpa till att slutföra integreringsscenarier, men Microsoft tillhandahåller inte felsökningsstöd för verktyg från tredje part.
Kontakta tredjepartsleverantören för support.
Krav och systemkrav
Innan du börjar kan du se huvudsidan för Defender för Endpoint på Linux för en beskrivning av krav och systemkrav för den aktuella programvaruversionen.
För Saltstack-distribution behöver du dessutom vara bekant med Saltstack-administration, ha Saltstack installerat, konfigurera Master och Minions och veta hur tillstånd ska tillämpas. Saltstack har många sätt att slutföra samma uppgift. De här anvisningarna förutsätter tillgänglighet för Saltstack-moduler som stöds, till exempel apt och unarchive för att distribuera paketet. Din organisation kan använda ett annat arbetsflöde. Mer information finns i Saltstack-dokumentationen .
Saltstack är installerat på minst en dator (Saltstack kallar datorn för huvuddator).
Saltstack-huvudservern accepterade de hanterade noderna (Saltstack anropar noderna som minions)-anslutningar.
Saltstack-underhuggarna kan lösa kommunikationen med Saltstack-huvudservern (som standard försöker underhuggarna kommunicera med en dator med namnet "salt").
Kör det här pingtestet:
sudo salt '*' test.ping
Saltstack-huvudservern har en filserverplats där Microsoft Defender för Endpoint filer kan distribueras från (som standard använder Saltstack mappen /srv/salt som standarddistributionsplats)
Ladda ned onboarding-paketet
Ladda ned registreringspaketet från Microsoft Defender-portalen.
Varning
Det går inte att paketera om installationspaketet för Defender för Endpoint. Detta kan påverka produktens integritet negativt och leda till negativa resultat, inklusive men inte begränsat till att utlösa manipuleringsaviseringar och uppdateringar som inte kan tillämpas.
I Microsoft Defender portalen går du till Inställningar > Slutpunkter > Enhetshantering > Registrering.
I den första nedrullningsbara menyn väljer du Linux Server som operativsystem. I den andra nedrullningsbara menyn väljer du Önskat Linux-konfigurationshanteringsverktyg som distributionsmetod.
Välj Ladda ned registreringspaket. Spara filen som WindowsDefenderATPOnboardingPackage.zip.
På SaltStack Master extraherar du innehållet i arkivet till Mappen för SaltStack-servern (vanligtvis
/srv/salt
):ls -l
total 8 -rw-r--r-- 1 test staff 4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
Archive: WindowsDefenderATPOnboardingPackage.zip inflating: /srv/salt/mde/mdatp_onboard.json
Skapa Saltstack-tillståndsfiler
Skapa en SaltState-tillståndsfil i konfigurationslagringsplatsen (vanligtvis /srv/salt
) som tillämpar de tillstånd som krävs för att distribuera och publicera Defender för Endpoint.
Lägg till lagringsplatsen och nyckeln för Defender för Endpoint,
install_mdatp.sls
:Defender för Endpoint på Linux kan distribueras från någon av följande kanaler (beskrivs som [kanal]): insiders-fast, insiders-slow eller prod. Var och en av dessa kanaler motsvarar en Linux-programvarulagringsplats.
Valet av kanal avgör typ och frekvens för uppdateringar som erbjuds till din enhet. Enheter i insiders-snabb är de första som tar emot uppdateringar och nya funktioner, följt senare av insiders-långsam och slutligen av prod.
För att kunna förhandsgranska nya funktioner och ge tidig feedback rekommenderar vi att du konfigurerar vissa enheter i företaget för att använda insiders-fast eller insiders-slow.
Varning
Om du byter kanal efter den första installationen måste produkten installeras om. Så här växlar du produktkanalen: avinstallera det befintliga paketet, konfigurera om enheten så att den använder den nya kanalen och följ stegen i det här dokumentet för att installera paketet från den nya platsen.
Observera distributionen och versionen och identifiera den närmaste posten för den under
https://packages.microsoft.com/config/[distro]/
.Ersätt [distro] och [version] med din information i följande kommandon.
Obs!
När det gäller Oracle Linux och Amazon Linux 2 ersätter du [distro] med "rhel". För Amazon Linux 2 ersätter du [version] med "7". För Oracle-användning ersätter du [version] med versionen av Oracle Linux.
cat /srv/salt/install_mdatp.sls
add_ms_repo: pkgrepo.managed: - humanname: Microsoft Defender Repository {% if grains['os_family'] == 'Debian' %} - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main - dist: [codename] - file: /etc/apt/sources.list.d/microsoft-[channel].list - key_url: https://packages.microsoft.com/keys/microsoft.asc - refresh: true {% elif grains['os_family'] == 'RedHat' %} - name: packages-microsoft-[channel] - file: microsoft-[channel] - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ - gpgkey: https://packages.microsoft.com/keys/microsoft.asc - gpgcheck: true {% endif %}
Lägg till paketets installerade tillstånd till
install_mdatp.sls
efter detadd_ms_repo
tillstånd som tidigare definierats.install_mdatp_package: pkg.installed: - name: matp - required: add_ms_repo
Lägg till onboarding-fildistributionen i
install_mdatp.sls
efter sominstall_mdatp_package
tidigare definierats.copy_mde_onboarding_file: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json - source: salt://mde/mdatp_onboard.json - required: install_mdatp_package
Den färdiga installationstillståndsfilen bör se ut ungefär så här:
add_ms_repo: pkgrepo.managed: - humanname: Microsoft Defender Repository {% if grains['os_family'] == 'Debian' %} - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main - dist: [codename] - file: /etc/apt/sources.list.d/microsoft-[channel].list - key_url: https://packages.microsoft.com/keys/microsoft.asc - refresh: true {% elif grains['os_family'] == 'RedHat' %} - name: packages-microsoft-[channel] - file: microsoft-[channel] - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ - gpgkey: https://packages.microsoft.com/keys/microsoft.asc - gpgcheck: true {% endif %} install_mdatp_package: pkg.installed: - name: matp - required: add_ms_repo copy_mde_onboarding_file: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json - source: salt://mde/mdatp_onboard.json - required: install_mdatp_package
Skapa en SaltState-tillståndsfil i konfigurationslagringsplatsen (vanligtvis /srv/salt
) som tillämpar de tillstånd som krävs för att avregistrera och ta bort Defender för Endpoint. Innan du använder offboarding-tillståndsfilen måste du ladda ned offboarding-paketet från säkerhetsportalen och extrahera det på samma sätt som du gjorde onboarding-paketet. Det nedladdade offboarding-paketet är endast giltigt under en begränsad tidsperiod.
Skapa en avinstallationstillståndsfil
uninstall_mdapt.sls
och lägg till tillståndet för att ta bortmdatp_onboard.json
filencat /srv/salt/uninstall_mdatp.sls
remove_mde_onboarding_file: file.absent: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
Lägg till distributionen av avregistreringsfilen till
uninstall_mdatp.sls
filen efter detremove_mde_onboarding_file
tillstånd som definierades i föregående avsnitt.offboard_mde: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json - source: salt://mde/mdatp_offboard.json
Lägg till borttagningen av MDATP-paketet i
uninstall_mdatp.sls
filen efter detoffboard_mde
tillstånd som definierades i föregående avsnitt.remove_mde_packages: pkg.removed: - name: mdatp
Den fullständiga avinstallationstillståndsfilen bör se ut ungefär så här:
remove_mde_onboarding_file: file.absent: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json offboard_mde: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json - source: salt://mde/offboard/mdatp_offboard.json remove_mde_packages: pkg.removed: - name: mdatp
Distribution
Tillämpa nu tillståndet på underhuggarna. Kommandot nedan tillämpar tillståndet på datorer med namnet som börjar med mdetest
.
Installation:
salt 'mdetest*' state.apply install_mdatp
Viktigt
När produkten startar för första gången hämtar den de senaste definitionerna för program mot skadlig kod. Beroende på din Internetanslutning kan det ta upp till några minuter.
Validering/konfiguration:
salt 'mdetest*' cmd.run 'mdatp connectivity test'
salt 'mdetest*' cmd.run 'mdatp health'
Avinstallation:
salt 'mdetest*' state.apply uninstall_mdatp
Problem med logginstallation
Mer information om hur du hittar den automatiskt genererade loggen som skapas av installationsprogrammet när ett fel uppstår finns i Problem med logginstallation.
Uppgraderingar av operativsystem
När du uppgraderar operativsystemet till en ny huvudversion måste du först avinstallera Defender för Endpoint på Linux, installera uppgraderingen och slutligen konfigurera om Defender för Endpoint på Linux på enheten.
Referens
Se även
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för