Distribuera Microsoft Defender för Endpoint på Linux med Saltstack

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender XDR

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Den här artikeln beskriver hur du distribuerar Defender för Endpoint i Linux med hjälp av Saltstack. En lyckad distribution kräver att alla följande uppgifter slutförs:

• Ladda ned onboarding-paketet
• Skapa Saltstack-tillståndsfiler
• Distribution
• Referens

Viktigt

Den här artikeln innehåller information om verktyg från tredje part. Detta tillhandahålls för att hjälpa till att slutföra integreringsscenarier, men Microsoft tillhandahåller inte felsökningsstöd för verktyg från tredje part.
Kontakta tredjepartsleverantören för support.

Krav och systemkrav

Innan du börjar kan du se huvudsidan för Defender för Endpoint på Linux för en beskrivning av krav och systemkrav för den aktuella programvaruversionen.

För Saltstack-distribution behöver du dessutom vara bekant med Saltstack-administration, ha Saltstack installerat, konfigurera Master och Minions och veta hur tillstånd ska tillämpas. Saltstack har många sätt att slutföra samma uppgift. De här anvisningarna förutsätter tillgänglighet för Saltstack-moduler som stöds, till exempel apt och unarchive för att distribuera paketet. Din organisation kan använda ett annat arbetsflöde. Mer information finns i Saltstack-dokumentationen .

• Saltstack är installerat på minst en dator (Saltstack kallar datorn för huvuddator).

• Saltstack-huvudservern accepterade de hanterade noderna (Saltstack anropar noderna som minions)-anslutningar.

• Saltstack-underhuggarna kan lösa kommunikationen med Saltstack-huvudservern (som standard försöker underhuggarna kommunicera med en dator med namnet "salt").

• Kör det här pingtestet:

  sudo salt '*' test.ping
  

• Saltstack-huvudservern har en filserverplats där Microsoft Defender för Endpoint filer kan distribueras från (som standard använder Saltstack mappen /srv/salt som standarddistributionsplats)

Ladda ned onboarding-paketet

Ladda ned registreringspaketet från Microsoft Defender-portalen.

Varning

Det går inte att paketera om installationspaketet för Defender för Endpoint. Detta kan påverka produktens integritet negativt och leda till negativa resultat, inklusive men inte begränsat till att utlösa manipuleringsaviseringar och uppdateringar som inte kan tillämpas.

1. I Microsoft Defender portalen går du till Inställningar > Slutpunkter > Enhetshantering > Registrering.

2. I den första nedrullningsbara menyn väljer du Linux Server som operativsystem. I den andra nedrullningsbara menyn väljer du Önskat Linux-konfigurationshanteringsverktyg som distributionsmetod.

3. Välj Ladda ned registreringspaket. Spara filen som WindowsDefenderATPOnboardingPackage.zip.

   

4. På SaltStack Master extraherar du innehållet i arkivet till Mappen för SaltStack-servern (vanligtvis /srv/salt):

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: /srv/salt/mde/mdatp_onboard.json
   

Skapa Saltstack-tillståndsfiler

Skapa en SaltState-tillståndsfil i konfigurationslagringsplatsen (vanligtvis /srv/salt) som tillämpar de tillstånd som krävs för att distribuera och publicera Defender för Endpoint.

• Lägg till lagringsplatsen och nyckeln för Defender för Endpoint, install_mdatp.sls:

  Defender för Endpoint på Linux kan distribueras från någon av följande kanaler (beskrivs som [kanal]): insiders-fast, insiders-slow eller prod. Var och en av dessa kanaler motsvarar en Linux-programvarulagringsplats.

  Valet av kanal avgör typ och frekvens för uppdateringar som erbjuds till din enhet. Enheter i insiders-snabb är de första som tar emot uppdateringar och nya funktioner, följt senare av insiders-långsam och slutligen av prod.

  För att kunna förhandsgranska nya funktioner och ge tidig feedback rekommenderar vi att du konfigurerar vissa enheter i företaget för att använda insiders-fast eller insiders-slow.

  Varning

  Om du byter kanal efter den första installationen måste produkten installeras om. Så här växlar du produktkanalen: avinstallera det befintliga paketet, konfigurera om enheten så att den använder den nya kanalen och följ stegen i det här dokumentet för att installera paketet från den nya platsen.

  Observera distributionen och versionen och identifiera den närmaste posten för den under https://packages.microsoft.com/config/[distro]/.

  Ersätt [distro] och [version] med din information i följande kommandon.

  Obs!

  När det gäller Oracle Linux och Amazon Linux 2 ersätter du [distro] med "rhel". För Amazon Linux 2 ersätter du [version] med "7". För Oracle-användning ersätter du [version] med versionen av Oracle Linux.

  cat /srv/salt/install_mdatp.sls
  

  add_ms_repo:
    pkgrepo.managed:
      - humanname: Microsoft Defender Repository
      {% if grains['os_family'] == 'Debian' %}
      - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
      - dist: [codename]
      - file: /etc/apt/sources.list.d/microsoft-[channel].list
      - key_url: https://packages.microsoft.com/keys/microsoft.asc
      - refresh: true
      {% elif grains['os_family'] == 'RedHat' %}
      - name: packages-microsoft-[channel]
      - file: microsoft-[channel]
      - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
      - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
      - gpgcheck: true
      {% endif %}
  

• Lägg till paketets installerade tillstånd till install_mdatp.sls efter det add_ms_repo tillstånd som tidigare definierats.

  install_mdatp_package:
    pkg.installed:
      - name: matp
      - required: add_ms_repo
  

• Lägg till onboarding-fildistributionen i install_mdatp.sls efter som install_mdatp_package tidigare definierats.

  copy_mde_onboarding_file:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
      - source: salt://mde/mdatp_onboard.json
      - required: install_mdatp_package
  

  Den färdiga installationstillståndsfilen bör se ut ungefär så här:

  add_ms_repo:
  pkgrepo.managed:
  - humanname: Microsoft Defender Repository
  {% if grains['os_family'] == 'Debian' %}
  - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
  - dist: [codename]
  - file: /etc/apt/sources.list.d/microsoft-[channel].list
  - key_url: https://packages.microsoft.com/keys/microsoft.asc
  - refresh: true
  {% elif grains['os_family'] == 'RedHat' %}
  - name: packages-microsoft-[channel]
  - file: microsoft-[channel]
  - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
  - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
  - gpgcheck: true
  {% endif %}
  
  install_mdatp_package:
  pkg.installed:
  - name: matp
  - required: add_ms_repo
  
  copy_mde_onboarding_file:
  file.managed:
  - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  - source: salt://mde/mdatp_onboard.json
  - required: install_mdatp_package
  

Skapa en SaltState-tillståndsfil i konfigurationslagringsplatsen (vanligtvis /srv/salt) som tillämpar de tillstånd som krävs för att avregistrera och ta bort Defender för Endpoint. Innan du använder offboarding-tillståndsfilen måste du ladda ned offboarding-paketet från säkerhetsportalen och extrahera det på samma sätt som du gjorde onboarding-paketet. Det nedladdade offboarding-paketet är endast giltigt under en begränsad tidsperiod.

• Skapa en avinstallationstillståndsfil uninstall_mdapt.sls och lägg till tillståndet för att ta bort mdatp_onboard.json filen

  cat /srv/salt/uninstall_mdatp.sls
  

  remove_mde_onboarding_file:
    file.absent:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  

• Lägg till distributionen av avregistreringsfilen till uninstall_mdatp.sls filen efter det remove_mde_onboarding_file tillstånd som definierades i föregående avsnitt.

  offboard_mde:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
      - source: salt://mde/mdatp_offboard.json
  

• Lägg till borttagningen av MDATP-paketet i uninstall_mdatp.sls filen efter det offboard_mde tillstånd som definierades i föregående avsnitt.

  remove_mde_packages:
    pkg.removed:
      - name: mdatp
  

  Den fullständiga avinstallationstillståndsfilen bör se ut ungefär så här:

  remove_mde_onboarding_file:
    file.absent:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  
  offboard_mde:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
      - source: salt://mde/offboard/mdatp_offboard.json
  
  remove_mde_packages:
    pkg.removed:
      - name: mdatp
  

Distribution

Tillämpa nu tillståndet på underhuggarna. Kommandot nedan tillämpar tillståndet på datorer med namnet som börjar med mdetest.

• Installation:

  salt 'mdetest*' state.apply install_mdatp
  

  Viktigt

  När produkten startar för första gången hämtar den de senaste definitionerna för program mot skadlig kod. Beroende på din Internetanslutning kan det ta upp till några minuter.

• Validering/konfiguration:

  salt 'mdetest*' cmd.run 'mdatp connectivity test'
  

  salt 'mdetest*' cmd.run 'mdatp health'
  

• Avinstallation:

  salt 'mdetest*' state.apply uninstall_mdatp
  

Problem med logginstallation

Mer information om hur du hittar den automatiskt genererade loggen som skapas av installationsprogrammet när ett fel uppstår finns i Problem med logginstallation.

Uppgraderingar av operativsystem

När du uppgraderar operativsystemet till en ny huvudversion måste du först avinstallera Defender för Endpoint på Linux, installera uppgraderingen och slutligen konfigurera om Defender för Endpoint på Linux på enheten.

Referens

• Dokumentation om SALT-projekt

Se även

• Undersöka hälsoproblem i agenten

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.