Nasazení aplikace Defender for Endpoint v Linuxu pomocí Chef

Důležité

Tento článek obsahuje informace o nástrojích třetích stran. To je poskytováno jako pomoc při dokončení scénářů integrace, ale Microsoft neposkytuje podporu pro řešení potíží s nástroji třetích stran.
Požádejte o podporu externího dodavatele.

Platí pro:

• Microsoft Defender for Endpoint Server
• Microsoft Defender pro servery

Úvod

Tento článek popisuje, jak nasadit Defender for Endpoint v Linuxu ve velkém měřítku pomocí Chefu pomocí dvou metod:

1. Instalace pomocí instalačního skriptu
2. Ruční konfigurace úložišť pro podrobnější kontrolu nad nasazením

Požadavky

Popis požadavků a požadavků na systém najdete v tématu Microsoft Defender for Endpoint v Linuxu.

Stažení balíčku pro onboarding

1. Přihlaste se k portálu Microsoft Defender a pak přejděte na Nastavení>Koncové body>Onboardingsprávy> zařízení.

2. V první rozevírací nabídce vyberte jako operační systém Linux Server . V druhé rozevírací nabídce vyberte jako metodu nasazení Váš preferovaný nástroj pro správu konfigurace Linuxu .

3. Vyberte Stáhnout onboardingový balíček a uložte soubor jako WindowsDefenderATPOnboardingPackage.zip.

   

4. Extrahujte obsah archivu pomocí následujícího příkazu:

   Příkaz:

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Očekávaný výstup je:

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: mdatp_onboard.json
   

Vytvoření adresářové struktury

Než začnete, ujistěte se, že jsou součásti Chefu už nainstalované a existuje úložiště Chef (název úložiště <>vygenerované chefem) pro uložení kuchařky, která se používá k nasazení do Defenderu for Endpoint na linuxových serverech spravovaných chefem.

Následující příkaz vytvoří novou strukturu složek pro novou kuchařku s názvem mdatp. Pokud už máte existující kuchařku, kterou chcete použít k přidání nasazení Defenderu for Endpoint, můžete použít i existující kuchařku.

chef generate cookbook mdatp

Po vytvoření kuchařky vytvořte složku se soubory ve složce cookbook, kterou jste vytvořili:

mkdir mdatp/files

Zkopírujte mdatp_onboard.json do /tmp složky.

Na pracovní stanici Chef přejděte do složky mdatp/recipes , která se automaticky vytvoří při vygenerování kuchařky. Pomocí preferovaného textového editoru (jako je vi nebo nano) přidejte na konec souboru default.rb následující pokyny a pak soubor uložte a zavřete:

• include_recipe '::install_mdatp'

Vytvoření kuchařky

Kuchařku je možné vytvořit některým z následujících způsobů:

• Použití instalačního skriptu
• Ruční konfigurace úložišť

Vytvoření kuchařky pomocí instalačního skriptu

1. Stáhněte si skript Bash instalačního programu. Stáhněte si skript Bash instalačního programu z úložiště Microsoft GitHub nebo ho stáhněte pomocí následujícího příkazu:

   wget https://raw.githubusercontent.com/microsoft/mdatp-xplat/refs/heads/master/linux/installation/mde_installer.sh /tmp
   

2. Ve složce ~/cookbooks/mdatp/recipes/install_mdatp.rb recepty vytvořte nový soubor receptu s názvem install_mdatp.rb a přidejte do souboru následující text. Soubor si také můžete stáhnout přímo z GitHubu.

   mdatp = "/etc/opt/microsoft/mdatp"
   
   #Download the onboarding json from tenant, keep the same at specific location
   onboarding_json = "/tmp/mdatp_onboard.json"
   
   #Download the installer script from: https://github.com/microsoft/mdatp-xplat/blob/master/linux/installation/mde_installer.sh
   #Place the same at specific location, edit this if needed
   mde_installer= "/tmp/mde_installer.sh"
   
   
   ## Invoke the mde-installer script 
   bash 'Installing mdatp using mde-installer' do
       code <<-EOS
       chmod +x #{mde_installer}
       #{mde_installer} --install --onboard #{onboarding_json}
       EOS
   end
   

Poznámka

Instalační skript také podporuje další parametry, jako je kanál, ochrana v reálném čase, verze atd. Pokud chcete vybrat ze seznamu dostupných možností, zkontrolujte nápovědu pomocí následujícího příkazu: ./mde_installer.sh --help

Vytvoření kuchařky ruční konfigurací úložišť

Ve složce ~/cookbooks/mdatp/recipes/install_mdatp.rb recepty vytvořte nový soubor receptu s názvem install_mdatp.rb a přidejte do souboru následující text. Soubor si také můžete stáhnout přímo z GitHubu.

#Add Microsoft Defender
case node['platform_family']
when 'debian'
 apt_repository 'MDATPRepo' do
   arch               'amd64'
   cache_rebuild      true
   cookbook           false
   deb_src            false
   key                'BC528686B50D79E339D3721CEB3E94ADBE1229CF'
   keyserver          "keyserver.ubuntu.com"
   distribution       'jammy'
   repo_name          'microsoft-prod'
   components         ['main']
   uri                "https://packages.microsoft.com/ubuntu/22.04/prod"
 end
apt_package "mdatp"
when 'rhel'
 yum_repository 'microsoft-prod' do
   baseurl            "https://packages.microsoft.com/rhel/7/prod/"
   description        "Microsoft Defender for Endpoint"
   enabled            true
   gpgcheck           true
   gpgkey             "https://packages.microsoft.com/keys/microsoft.asc"
 end
 if node['platform_version'] <= 8 then
    yum_package "mdatp"
 else
    dnf_package "mdatp"
 end
end

#Create MDATP Directory
mdatp = "/etc/opt/microsoft/mdatp"
onboarding_json = "/tmp/mdatp_onboard.json"

directory "#{mdatp}" do
  owner 'root'
  group 'root'
  mode 0755
  recursive true
end

#Onboarding using tenant json 
file "#{mdatp}/mdatp_onboard.json" do
  content lazy { ::File.open(onboarding_json).read }
  owner 'root'
  group 'root'
  mode '0644'
  action :create_if_missing
end

Poznámka

Můžete upravit distribuci operačního systému, číslo verze distribuce, kanál (prod/insider-fast, insiders-slow) a název úložiště tak, aby odpovídaly verzi, do které nasazujete, a kanálu, do který chcete nasadit. Spuštěním příkazu chef-client --local-mode --runlist 'recipe[mdatp]' otestujte kuchařku na pracovní stanici Chef.

Řešení potíží s instalací

Řešení potíží:

1. Informace o tom, jak najít protokol, který se automaticky vygeneruje, když dojde k chybě instalace, najdete v tématu Problémy s instalací protokolu.

2. Informace o běžných problémech s instalací najdete v tématu Problémy s instalací.

3. Pokud je stav zařízení , přečtěte si falsetéma Problémy se stavem agenta Defenderu for Endpoint.

4. Informace o problémech s výkonem produktu najdete v tématu Řešení potíží s výkonem.

5. Informace o problémech s proxy serverem a připojením najdete v tématu Řešení potíží s připojením ke cloudu.

Pokud chcete získat podporu od Microsoftu, otevřete lístek podpory a zadejte soubory protokolu vytvořené pomocí analyzátoru klienta.

Konfigurace zásad pro Microsoft Defender v Linuxu

Nastavení antivirového softwaru nebo EDR můžete na koncových bodech nakonfigurovat pomocí některé z následujících metod:

• Viz Nastavení předvoleb pro Microsoft Defender for Endpoint v Linuxu.
• Informace o konfiguraci nastavení na portálu Microsoft Defender najdete v tématu Správa nastavení zabezpečení.

Odinstalace kuchařky MDATP

Pokud chcete program Defender odinstalovat, uložte následující položky jako kuchařku ~/cookbooks/mdatp/recipes/uninstall_mdatp.rb.

#Uninstall the Defender package
case node['platform_family']
when 'debian'
 apt_package "mdatp" do
   action :remove
 end
when 'rhel'
 if node['platform_version'] <= 8
then
    yum_package "mdatp" do
      action :remove
    end
 else
    dnf_package "mdatp" do
      action :remove
    end
 end
end

Pokud chcete tento krok zahrnout jako součást receptu, přidejte include_recipe ':: uninstall_mdatp do souboru default.rb ve složce s recepty. Ujistěte se, že jste odebrali include_recipe '::install_mdatp' soubor ze default.rb souboru.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.