使用 Saltstack 在 Linux 上部署適用於端點的 Microsoft Defender
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
本文說明如何使用 Saltstack 在 Linux 上部署適用於端點的 Defender。 成功部署需要完成下列所有工作:
重要事項
本文包含第三方工具的相關信息。 這是為了協助完成整合案例而提供,不過,Microsoft不會提供第三方工具的疑難解答支援。
請連絡第三方廠商以取得支援。
必要條件和系統需求
開始之前,請參閱 Linux 上主要適用於端點的 Defender 頁面 ,以取得目前軟體版本的必要條件和系統需求說明。
此外,針對 Saltstack 部署,您必須熟悉 Saltstack 管理、已安裝 Saltstack、設定主要和最小值,以及知道如何套用狀態。 Saltstack 有許多方法可以完成相同的工作。 這些指示假設支援的 Saltstack 模組可供使用,例如 apt 和 unarchive ,以協助部署套件。 您的組織可能會使用不同的工作流程。 如需詳細資訊,請參閱 Saltstack 檔 。
以下是一些重點:
- Saltstack 至少安裝在一部計算機上, (Saltstack 呼叫計算機作為主要) 。
- Saltstack 主機已接受受控節點, (Saltstack 呼叫節點作為連線的最小值) 。
- Saltstack minions 能夠解析與 Saltstack 主機的通訊 (預設情況下,minions 會嘗試與名為 'salt' 的計算機通訊 ) 。
- 執行下列 Ping 測試:
sudo salt '*' test.ping - Saltstack 主機有一個文件伺服器位置,其中適用於端點的 Microsoft Defender 檔案預設可以從 (散發,Saltstack 會使用
/srv/salt資料夾作為預設發佈點)
下載上線套件
警告
不支援重新封裝適用於端點的Defender安裝套件。 這樣做可能會對產品的完整性造成負面影響,並導致不良結果,包括但不限於觸發竄改警示和無法套用更新。
在 Microsoft Defender 入口網站中,移至 [ 設定>端點>裝置管理>上線]。
在第一個下拉功能表中,選取 [Linux Server ] 作為操作系統。 在第二個下拉功能表中,選 取 [您慣用的Linux組態管理工具 ] 作為部署方法。
選取 [下載上線套件]。 將檔案儲存為
WindowsDefenderATPOnboardingPackage.zip。
在 SaltStack Master 上,將封存的內容解壓縮到 SaltStack Server 的資料夾 (通常
/srv/salt) :ls -ltotal 8 -rw-r--r-- 1 test staff 4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zipunzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mdeArchive: WindowsDefenderATPOnboardingPackage.zip inflating: /srv/salt/mde/mdatp_onboard.json
建立 Saltstack 狀態檔案
在此步驟中,您會在組態存放庫中建立 SaltState 狀態檔案, (通常 /srv/salt) 套用部署和上線適用於端點的 Defender 所需的狀態。 然後,您會新增適用於端點的 Defender 存放庫和金鑰: install_mdatp.sls。
注意事項
您可以從下列其中一個通道部署適用於 Linux 上的適用於端點的 Defender:
-
insiders-fast,表示為
[channel] -
測試人員速度緩慢,表示為
[channel] -
prod,表示為
[channel]使用版本名稱 (請參閱 適用於Microsoft產品的Linux軟體存放庫)
每個通道都會對應至 Linux 軟體存放庫。
通道的選擇會決定提供給您裝置的更新類型和頻率。 測試人員快速的裝置是第一個接收更新和新功能的裝置,後面接著測試人員速度緩慢,最後是 prod。
為了預覽新功能並提供早期的意見反應,建議您將企業中的某些裝置設定為使用 測試人員快速 或 測試人員速度緩慢。
警告
在初始安裝之後切換通道需要重新安裝產品。 若要切換產品通道:卸載現有的套件,請將裝置重新設定為使用新通道,並遵循本檔中的步驟,從新位置安裝套件。
請記下您的散發套件和版本,並識別下最接近的專案
https://packages.microsoft.com/config/[distro]/。在下列命令中,將 [distro] 和 [version] 取代為您的資訊。
注意事項
如果是 Oracle Linux 和 Amazon Linux 2,請將 [distro] 取代為 “rhel”。 針對 Amazon Linux 2,將 [version] 取代為 “7”。 針對 Oracle 使用,請將 [version] 取代為 Oracle Linux 版本。
cat /srv/salt/install_mdatp.slsadd_ms_repo: pkgrepo.managed: - humanname: Microsoft Defender Repository {% if grains['os_family'] == 'Debian' %} - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main - dist: [codename] - file: /etc/apt/sources.list.d/microsoft-[channel].list - key_url: https://packages.microsoft.com/keys/microsoft.asc - refresh: true {% elif grains['os_family'] == 'RedHat' %} - name: packages-microsoft-[channel] - file: microsoft-[channel] - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ - gpgkey: https://packages.microsoft.com/keys/microsoft.asc - gpgcheck: true {% endif %}將套件安裝狀態新增至
install_mdatp.sls先前定義的add_ms_repo狀態之後。install_mdatp_package: pkg.installed: - name: matp - required: add_ms_repo在先前定義的 之後,
install_mdatp_package將上線檔案部署新增至install_mdatp.sls。copy_mde_onboarding_file: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json - source: salt://mde/mdatp_onboard.json - required: install_mdatp_package完成的安裝狀態檔案看起來應該類似下列輸出:
add_ms_repo: pkgrepo.managed: - humanname: Microsoft Defender Repository {% if grains['os_family'] == 'Debian' %} - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main - dist: [codename] - file: /etc/apt/sources.list.d/microsoft-[channel].list - key_url: https://packages.microsoft.com/keys/microsoft.asc - refresh: true {% elif grains['os_family'] == 'RedHat' %} - name: packages-microsoft-[channel] - file: microsoft-[channel] - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ - gpgkey: https://packages.microsoft.com/keys/microsoft.asc - gpgcheck: true {% endif %} install_mdatp_package: pkg.installed: - name: mdatp - required: add_ms_repo copy_mde_onboarding_file: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json - source: salt://mde/mdatp_onboard.json - required: install_mdatp_package在您的組態存放庫中建立 SaltState 狀態檔案 (通常
/srv/salt會) 套用必要的狀態以將適用於端點的 Defender 下架並移除。 使用下架狀態檔案之前,您必須先從安全性入口網站下載脫機套件,並以與上線套件相同的方式加以解壓縮。 下載的離線套件只在一段有限的時間內有效。建立卸載狀態檔案
uninstall_mdapt.sls,並新增 狀態以移除mdatp_onboard.json檔案。cat /srv/salt/uninstall_mdatp.slsremove_mde_onboarding_file: file.absent: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json在上一節中定義的狀態之後,
remove_mde_onboarding_file將下架檔案部署新增至uninstall_mdatp.sls檔案。offboard_mde: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json - source: salt://mde/mdatp_offboard.json在上一節中定義的狀態之後,
uninstall_mdatp.slsoffboard_mde將 MDATP 套件移除新增至檔案。remove_mde_packages: pkg.removed: - name: mdatp完整的卸載狀態檔案看起來應該類似下列輸出:
remove_mde_onboarding_file: file.absent: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json offboard_mde: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json - source: salt://mde/offboard/mdatp_offboard.json remove_mde_packages: pkg.removed: - name: mdatp
部署
在此步驟中,您會將狀態套用至 minions。 下列命令會將 狀態套用至名稱開頭為 的 mdetest計算機。
安裝:
salt 'mdetest*' state.apply install_mdatp重要事項
當產品第一次啟動時,它會下載最新的反惡意代碼定義。 視您的因特網連線而定,這可能需要幾分鐘的時間。
驗證/組態:
salt 'mdetest*' cmd.run 'mdatp connectivity test'salt 'mdetest*' cmd.run 'mdatp health'卸載:
salt 'mdetest*' state.apply uninstall_mdatp
記錄安裝問題
如需有關如何尋找安裝程式在發生錯誤時所建立之自動產生的記錄檔的詳細資訊,請參閱 記錄安裝問題。
操作系統升級
將操作系統升級至新的主要版本時,您必須先在 Linux 上卸載適用於端點的 Defender、安裝升級,最後在您的裝置上重新設定適用於端點的 Defender。
參考
另請參閱
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。