Sdílet prostřednictvím


Nasazení Microsoft Defender for Endpoint v Linuxu pomocí Saltstacku

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tento článek popisuje, jak nasadit Defender for Endpoint v Linuxu pomocí Saltstacku. Úspěšné nasazení vyžaduje dokončení všech kroků v tomto článku.

Důležité

Tento článek obsahuje informace o nástrojích třetích stran. To je poskytováno jako pomoc při dokončení scénářů integrace, ale Microsoft neposkytuje podporu pro řešení potíží s nástroji třetích stran.
Požádejte o podporu externího dodavatele.

Požadavky a požadavky na systém

Než začnete, podívejte se na hlavní stránku Defenderu for Endpoint v Linuxu , kde najdete popis požadavků a požadavků na systém pro aktuální verzi softwaru.

Kromě toho pro nasazení Saltstacku musíte znát správu Saltstacku, mít nainstalovaný Saltstack, nakonfigurovat hlavní a mimosluní a vědět, jak používat stavy. Saltstack má mnoho způsobů, jak provést stejný úkol. Tyto pokyny předpokládají dostupnost podporovaných modulů Saltstack, jako je apt a unarchive , které vám pomůžou nasadit balíček. Vaše organizace může použít jiný pracovní postup. Další informace najdete v dokumentaci k saltstacku.

Tady je několik důležitých bodů:

  • Saltstack je nainstalovaný alespoň na jednom počítači (Saltstack tento počítač nazývá master).
  • Hlavní server Saltstack přijal připojení spravovaných uzlů (Saltstack uzly nazývá přisluhovači).
  • Přisluhovači Saltstacku jsou schopni vyřešit komunikaci s hlavním saltstackem (ve výchozím nastavení se přisluhovači snaží komunikovat s počítačem s názvem salt).
  • Spusťte následující test ping: sudo salt '*' test.ping
  • Hlavní server Saltstack má umístění souborového serveru, ze kterého se dají distribuovat Microsoft Defender for Endpoint soubory (ve výchozím nastavení používá /srv/salt Saltstack složku jako výchozí distribuční bod).

Stažení balíčku pro onboarding

Upozornění

Opětovné zabalení instalačního balíčku Defenderu for Endpoint není podporovaným scénářem. To může negativně ovlivnit integritu produktu a vést k nepříznivým výsledkům, mimo jiné včetně aktivace upozornění na manipulaci a selhání aktualizace.

  1. Na portálu Microsoft Defender přejděte na Nastavení>Koncové body>Onboardingsprávy> zařízení.

  2. V první rozevírací nabídce vyberte jako operační systém Linux Server . V druhé rozevírací nabídce vyberte jako metodu nasazení Váš preferovaný nástroj pro správu konfigurace Linuxu .

  3. Vyberte Stáhnout onboardingový balíček. Uložte soubor jako WindowsDefenderATPOnboardingPackage.zip.

    Možnost Stáhnout onboardingový balíček

  4. Na hlavním serveru SaltStack extrahujte obsah archivu do složky serveru SaltStack (obvykle /srv/salt):

    unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: /srv/salt/mde/mdatp_onboard.json
    

Vytvoření stavových souborů Saltstack

Existují dva způsoby, jak můžete vytvořit soubory stavu Saltstack:

  • Použijte instalační skript (doporučeno): Pomocí této metody skript automatizuje nasazení tím, že nainstaluje agenta, onboarduje zařízení na portál Microsoft Defender a nakonfiguruje úložiště tak, aby vybrali správného agenta kompatibilního s vaší distribucí Linuxu.

  • Ručně nakonfigurujte úložiště: Při použití této metody musí být úložiště nakonfigurována ručně spolu s výběrem verze agenta kompatibilní s vaší distribucí Linuxu. Tato metoda poskytuje podrobnější kontrolu nad procesem nasazení.

Vytvoření stavových souborů Saltstack pomocí instalačního skriptu

  1. Stáhněte si skript Bash instalačního programu z úložiště Microsoft GitHub nebo ho stáhněte pomocí následujícího příkazu:

    wget https://raw.githubusercontent.com/microsoft/mdatp-xplat/refs/heads/master/linux/installation/mde_installer.sh /srv/salt/mde/
    
  2. Vytvořte soubor stavu /srv/salt/install_mdatp.sls s následujícím obsahem. Stejný soubor si můžete stáhnout z GitHubu.

    #Download the mde_installer.sh: https://github.com/microsoft/mdatp-xplat/blob/master/linux/installation/mde_installer.sh
     install_mdatp_package:
       cmd.run:
         - name: /srv/salt/mde/mde_installer.sh --install --onboard /srv/salt/mde/mdatp_onboard.json
         - shell: /bin/bash
         - unless: 'pgrep -f mde_installer.sh'
    

Poznámka

Skript instalačního programu také podporuje další parametry, jako je kanál (rychlý pro účastníky programu insider, pomalý, prod (výchozí) ), ochrana v reálném čase, verze atd. Pokud chcete vybrat ze seznamu dostupných možností, zkontrolujte nápovědu pomocí následujícího příkazu: ./mde_installer.sh --help

Vytváření souborů stavu Saltstack ruční konfigurací úložišť

V tomto kroku vytvoříte v úložišti konfigurace (obvykle /srv/salt) stavový soubor SaltState, který použije potřebné stavy k nasazení a onboardingu Defenderu for Endpoint. Pak přidáte úložiště a klíč Defenderu for Endpoint: install_mdatp.sls.

Poznámka

Defender for Endpoint v Linuxu je možné nasadit z jednoho z následujících kanálů:

Každý kanál odpovídá úložišti softwaru v Linuxu. Volba kanálu určuje typ a frekvenci aktualizací nabízených vašemu zařízení. Zařízení v rychlém okruhu insiderů jsou první, která obdrží aktualizace a nové funkce, za nimiž budou později následovat pomalí účastníci programu Insider a nakonec prod.

Pokud chcete získat náhled nových funkcí a poskytnout včasnou zpětnou vazbu, doporučujeme nakonfigurovat některá zařízení ve vašem podniku tak, aby používala buď rychlé účastníkyprogramu Insider, nebo pomalé účastníky programu Insider.

Upozornění

Přepnutí kanálu po počáteční instalaci vyžaduje přeinstalaci produktu. Přepnutí kanálu produktu: Odinstalujte existující balíček, znovu nakonfigurujte zařízení tak, aby používalo nový kanál, a podle pokynů v tomto dokumentu nainstalujte balíček z nového umístění.

  1. Poznamenejte si svoji distribuci a verzi a v části https://packages.microsoft.com/config/[distro]/identifikujte nejbližší položku.

  2. V následujících příkazech nahraďte [distribuce] a [version] vašimi informacemi.

    Poznámka

    V případě Oracle Linuxu a Amazon Linuxu 2 nahraďte [distro] názvem "rhel". V případě Amazon Linuxu 2 nahraďte [version] textem "7". V případě použití Oracle nahraďte [version] verzí Oracle Linuxu.

    cat /srv/salt/install_mdatp.sls
    
    add_ms_repo:
      pkgrepo.managed:
        - humanname: Microsoft Defender Repository
        {% if grains['os_family'] == 'Debian' %}
        - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
        - dist: [codename]
        - file: /etc/apt/sources.list.d/microsoft-[channel].list
        - key_url: https://packages.microsoft.com/keys/microsoft.asc
        - refresh: true
        {% elif grains['os_family'] == 'RedHat' %}
        - name: packages-microsoft-[channel]
        - file: microsoft-[channel]
        - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
        - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
        - gpgcheck: true
        {% endif %}
    
  3. Přidejte stav nainstalovaného balíčku do install_mdatp.sls za add_ms_repo stav, jak je definováno dříve.

    install_mdatp_package:
      pkg.installed:
        - name: matp
        - required: add_ms_repo
    
  4. Přidejte nasazení souboru onboardingu do za install_mdatp.slsinstall_mdatp_package , jak je definováno dříve.

    copy_mde_onboarding_file:
      file.managed:
        - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
        - source: salt://mde/mdatp_onboard.json
        - required: install_mdatp_package
    

    Dokončený soubor stavu instalace by měl vypadat podobně jako tento výstup:

    add_ms_repo:
    pkgrepo.managed:
    - humanname: Microsoft Defender Repository
    {% if grains['os_family'] == 'Debian' %}
    - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
    - dist: [codename]
    - file: /etc/apt/sources.list.d/microsoft-[channel].list
    - key_url: https://packages.microsoft.com/keys/microsoft.asc
    - refresh: true
    {% elif grains['os_family'] == 'RedHat' %}
    - name: packages-microsoft-[channel]
    - file: microsoft-[channel]
    - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
    - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
    - gpgcheck: true
    {% endif %}
    
    install_mdatp_package:
    pkg.installed:
    - name: mdatp
    - required: add_ms_repo
    
    copy_mde_onboarding_file:
    file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    - source: salt://mde/mdatp_onboard.json
    - required: install_mdatp_package
    
  5. Vytvořte v úložišti konfigurace (obvykle /srv/salt) stavový soubor SaltState, který použije potřebné stavy k offboardingu a odebrání Defenderu for Endpoint. Než použijete soubor stavu offboardingu, musíte stáhnout balíček pro offboarding z portálu Microsoft Defender a extrahovat ho stejným způsobem jako balíček pro onboarding. Stažený balíček pro offboarding je platný pouze po omezenou dobu.

  6. Vytvořte soubor uninstall_mdapt.sls stavu odinstalace a přidejte stav pro odebrání mdatp_onboard.json souboru.

    cat /srv/salt/uninstall_mdatp.sls
    
    remove_mde_onboarding_file:
      file.absent:
        - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    
  7. Přidejte nasazení souboru pro offboarding do uninstall_mdatp.sls souboru za remove_mde_onboarding_file stav definovaný v předchozí části.

     offboard_mde:
      file.managed:
        - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
        - source: salt://mde/mdatp_offboard.json
    
  8. Přidejte odebrání balíčku MDATP do uninstall_mdatp.sls souboru za offboard_mde stav definovaný v předchozí části.

    remove_mde_packages:
      pkg.removed:
        - name: mdatp
    

    Soubor stavu úplné odinstalace by měl vypadat podobně jako následující výstup:

    remove_mde_onboarding_file:
      file.absent:
        - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    
    offboard_mde:
      file.managed:
        - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
        - source: salt://mde/offboard/mdatp_offboard.json
    
    remove_mde_packages:
       pkg.removed:
         - name: mdatp
    

Nasazení Defenderu v koncovém bodu pomocí stavových souborů vytvořených dříve

Tento krok platí jak pro skript instalačního programu, tak pro metodu ruční konfigurace. V tomto kroku použijete stav na přisluhovačů. Následující příkaz použije stav na počítače s názvem, který začíná mdetestna .

  1. Instalace:

    salt 'mdetest*' state.apply install_mdatp
    

    Důležité

    Když se produkt poprvé spustí, stáhne nejnovější antimalwarové definice. V závislosti na připojení k internetu to může trvat až několik minut.

  2. Ověření/konfigurace:

    salt 'mdetest*' cmd.run 'mdatp connectivity test'
    
    salt 'mdetest*' cmd.run 'mdatp health'
    
  3. Odinstalace:

    salt 'mdetest*' state.apply uninstall_mdatp
    

Řešení potíží s instalací

Řešení potíží:

  1. Informace o tom, jak najít protokol, který se automaticky vygeneruje, když dojde k chybě instalace, najdete v tématu Problémy s instalací protokolu.

  2. Informace o běžných problémech s instalací najdete v tématu Problémy s instalací.

  3. Pokud je stav zařízení , přečtěte si falsetéma Problémy se stavem agenta Defenderu for Endpoint.

  4. Informace o problémech s výkonem produktu najdete v tématu Řešení potíží s výkonem.

  5. Informace o problémech s proxy serverem a připojením najdete v tématu Řešení potíží s připojením ke cloudu.

Pokud chcete získat podporu od Microsoftu, otevřete lístek podpory a zadejte soubory protokolu vytvořené pomocí analyzátoru klienta.

Konfigurace zásad pro Microsoft Defender v Linuxu

Nastavení antivirového softwaru nebo EDR můžete na koncových bodech nakonfigurovat pomocí některé z následujících metod:

Upgrady operačního systému

Při upgradu operačního systému na novou hlavní verzi musíte nejprve odinstalovat Defender for Endpoint v Linuxu, nainstalovat upgrade a nakonec překonfigurovat Defender for Endpoint na zařízení s Linuxem.

Odkazy

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.