使用 Saltstack 在 Linux 上部署 適用於端點的 Microsoft Defender
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
本文說明如何使用 Saltstack 在 Linux 上部署適用於端點的 Defender。 成功部署需要完成下列所有工作:
重要事項
本文包含第三方工具的相關信息。 這是為了協助完成整合案例而提供,不過,Microsoft 不會提供第三方工具的疑難解答支援。
請連絡第三方廠商以取得支援。
必要條件和系統需求
開始之前,請參閱 Linux 上主要適用於端點的 Defender 頁面 ,以取得目前軟體版本的必要條件和系統需求說明。
此外,針對 Saltstack 部署,您必須熟悉 Saltstack 管理、已安裝 Saltstack、設定主要和最小值,以及知道如何套用狀態。 Saltstack 有許多方法可以完成相同的工作。 這些指示假設支援的 Saltstack 模組可供使用,例如 apt 和 unarchive ,以協助部署套件。 您的組織可能會使用不同的工作流程。 如需詳細資訊,請參閱 Saltstack 檔 。
Saltstack 至少安裝在一部計算機上, (Saltstack 呼叫計算機作為主要) 。
Saltstack 主機已接受受控節點, (Saltstack 呼叫節點作為連線的最小值) 。
Saltstack minions 能夠解析與 Saltstack 主機的通訊 (預設情況下,minions 會嘗試與名為 'salt' 的計算機通訊 ) 。
執行此 Ping 測試:
sudo salt '*' test.pingSaltstack 主機有一個文件伺服器位置,根據預設,Saltstack 會使用 /srv/salt 資料夾作為預設發佈點,從 (散發 適用於端點的 Microsoft Defender 檔案)
下載上線套件
從入口網站下載上線套件 Microsoft Defender。
警告
不支援重新封裝適用於端點的Defender安裝套件。 這樣做可能會對產品的完整性造成負面影響,並導致不良結果,包括但不限於觸發竄改警示和無法套用更新。
在 Microsoft Defender 入口網站中,移至 [設定>端點>裝置管理>上線]。
在第一個下拉功能表中,選取 [Linux Server ] 作為操作系統。 在第二個下拉功能表中,選 取 [您慣用的Linux組態管理工具 ] 作為部署方法。
選取 [下載上線套件]。 將檔案儲存為 WindowsDefenderATPOnboardingPackage.zip。
在 SaltStack Master 上,將封存的內容解壓縮到 SaltStack Server 的資料夾 (通常
/srv/salt) :ls -ltotal 8 -rw-r--r-- 1 test staff 4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zipunzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mdeArchive: WindowsDefenderATPOnboardingPackage.zip inflating: /srv/salt/mde/mdatp_onboard.json
Create Saltstack 狀態檔案
Create 組態存放庫中的 SaltState 狀態檔案, (通常 /srv/salt) 套用部署和上線適用於端點的 Defender 所需的狀態。
新增適用於端點的 Defender 存放庫與金鑰:
install_mdatp.slsLinux 上適用於端點的 Defender 可以從下列其中一個通道部署, (描述為 [channel]) : 測試人員快速、 測試人員速度緩慢或 生產。每個通道都會對應至 Linux 軟體存放庫。
通道的選擇會決定提供給您裝置的更新類型和頻率。 快速測試人員中的裝置是第一個接收更新和新功能的裝置,後面接著測試人員速度緩慢,最後是 prod。
為了預覽新功能並提供早期的意見反應,建議您將企業中的某些裝置設定為使用 測試人員快速 或 測試人員速度緩慢。
警告
在初始安裝之後切換通道需要重新安裝產品。 若要切換產品通道:卸載現有的套件,請將裝置重新設定為使用新通道,並遵循本檔中的步驟,從新位置安裝套件。
請記下您的散發套件和版本,並識別下最接近的專案
https://packages.microsoft.com/config/[distro]/。在下列命令中,將 [distro] 和 [version] 取代為您的資訊。
注意事項
如果是 Oracle Linux 和 Amazon Linux 2,請將 [distro] 取代為 “rhel”。 針對 Amazon Linux 2,將 [version] 取代為 “7”。 針對 Oracle 使用,請將 [version] 取代為 Oracle Linux 版本。
cat /srv/salt/install_mdatp.slsadd_ms_repo: pkgrepo.managed: - humanname: Microsoft Defender Repository {% if grains['os_family'] == 'Debian' %} - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main - dist: [codename] - file: /etc/apt/sources.list.d/microsoft-[channel].list - key_url: https://packages.microsoft.com/keys/microsoft.asc - refresh: true {% elif grains['os_family'] == 'RedHat' %} - name: packages-microsoft-[channel] - file: microsoft-[channel] - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ - gpgkey: https://packages.microsoft.com/keys/microsoft.asc - gpgcheck: true {% endif %}將套件安裝狀態新增至
install_mdatp.sls先前定義的add_ms_repo狀態之後。install_mdatp_package: pkg.installed: - name: matp - required: add_ms_repo在先前定義的 之後,
install_mdatp_package將上線檔案部署新增至install_mdatp.sls。copy_mde_onboarding_file: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json - source: salt://mde/mdatp_onboard.json - required: install_mdatp_package完成的安裝狀態檔案看起來應該類似下列輸出:
add_ms_repo: pkgrepo.managed: - humanname: Microsoft Defender Repository {% if grains['os_family'] == 'Debian' %} - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main - dist: [codename] - file: /etc/apt/sources.list.d/microsoft-[channel].list - key_url: https://packages.microsoft.com/keys/microsoft.asc - refresh: true {% elif grains['os_family'] == 'RedHat' %} - name: packages-microsoft-[channel] - file: microsoft-[channel] - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ - gpgkey: https://packages.microsoft.com/keys/microsoft.asc - gpgcheck: true {% endif %} install_mdatp_package: pkg.installed: - name: mdatp - required: add_ms_repo copy_mde_onboarding_file: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json - source: salt://mde/mdatp_onboard.json - required: install_mdatp_package
Create 組態存放庫中的 SaltState 狀態檔案 (通常/srv/salt會) ,將必要的狀態套用到離線並移除適用於端點的 Defender。 使用下架狀態檔案之前,您必須先從安全性入口網站下載脫機套件,並以與上線套件相同的方式加以解壓縮。 下載的離線套件只在一段有限的時間內有效。
Create 卸載狀態檔案
uninstall_mdapt.sls並新增狀態以移除mdatp_onboard.json檔案cat /srv/salt/uninstall_mdatp.slsremove_mde_onboarding_file: file.absent: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json在上一節中定義的狀態之後,
remove_mde_onboarding_file將下架檔案部署新增至uninstall_mdatp.sls檔案。offboard_mde: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json - source: salt://mde/mdatp_offboard.json在上一節中定義的狀態之後,
uninstall_mdatp.slsoffboard_mde將 MDATP 套件移除新增至檔案。remove_mde_packages: pkg.removed: - name: mdatp完整的卸載狀態檔案看起來應該類似下列輸出:
remove_mde_onboarding_file: file.absent: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json offboard_mde: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json - source: salt://mde/offboard/mdatp_offboard.json remove_mde_packages: pkg.removed: - name: mdatp
部署
現在將狀態套用至小數。 下列命令會將 狀態套用至名稱開頭為 的 mdetest計算機。
安裝:
salt 'mdetest*' state.apply install_mdatp重要事項
當產品第一次啟動時,它會下載最新的反惡意代碼定義。 視您的因特網連線而定,這可能需要幾分鐘的時間。
驗證/組態:
salt 'mdetest*' cmd.run 'mdatp connectivity test'salt 'mdetest*' cmd.run 'mdatp health'卸載:
salt 'mdetest*' state.apply uninstall_mdatp
記錄安裝問題
如需有關如何尋找安裝程式在發生錯誤時所建立之自動產生的記錄檔的詳細資訊,請參閱 記錄安裝問題。
操作系統升級
將操作系統升級至新的主要版本時,您必須先在 Linux 上卸載適用於端點的 Defender、安裝升級,最後在您的裝置上重新設定適用於端點的 Defender。
參考
另請參閱
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: