Freigeben über

Microsoft Defender für Endpunkt unter Linux mit Chef bereitstellen

  • Artikel

Wichtig

Dieser Artikel enthält Informationen zu Drittanbietertools. Dies wird bereitgestellt, um Integrationsszenarien abzuschließen. Microsoft bietet jedoch keine Unterstützung bei der Problembehandlung für Drittanbietertools.
Wenden Sie sich an den Drittanbieter, um Support zu erhalten.

Bevor Sie beginnen: Installieren Sie unzippen, wenn es noch nicht installiert ist.

Die Chef-Komponenten sind bereits installiert, und es ist ein Chef-Repository vorhanden (Chef generate repo <reponame>), um das Cookbook zu speichern, das für die Bereitstellung in Defender für Endpunkt auf von Chef verwalteten Linux-Servern verwendet wird.

Sie können ein neues Cookbook in Ihrem vorhandenen Repository erstellen, indem Sie den folgenden Befehl im Ordner cookbooks ausführen, der sich in Ihrem Chef-Repository befindet:

chef generate cookbook mdatp

Dieser Befehl erstellt eine neue Ordnerstruktur für das neue Cookbook namens mdatp. Sie können auch ein vorhandenes Cookbook verwenden, wenn Sie bereits über ein Cookbook verfügen, in dem Sie die Defender für Endpunkt-Bereitstellung hinzufügen möchten. Nachdem das Cookbook erstellt wurde, erstellen Sie einen Dateiordner innerhalb des Gerade erstellten Cookbookordners:

mkdir mdatp/files

Übertragen Sie die LINUX Server Onboarding-ZIP-Datei, die aus dem Microsoft Defender-Portal heruntergeladen werden kann, in diesen neuen Dateiordner.

Warnung

Das Erneute Packen des Defender für Endpunkt-Installationspakets wird nicht unterstützt. Dies kann sich negativ auf die Integrität des Produkts auswirken und zu negativen Ergebnissen führen, einschließlich, aber nicht beschränkt auf das Auslösen von Manipulationswarnungen und nicht angewendeten Updates.

Navigieren Sie auf der Chef-Arbeitsstation zum Ordner mdatp/recipes. Dieser Ordner wird erstellt, wenn das Cookbook generiert wurde. Verwenden Sie Ihren bevorzugten Text-Editor (z. B. vi oder nano), um die folgenden Anweisungen am Ende der Datei default.rb hinzuzufügen:

  • include_recipe "::onboard_mdatp"
  • include_recipe "::install_mdatp"

Speichern und schließen Sie dann die Datei default.rb.

Erstellen Sie als Nächstes im Ordner recipes eine neue Rezeptdatei mit dem Namen install_mdatp.rb, und fügen Sie der Datei diesen Text hinzu:

#Add Microsoft Defender
Repo
case node['platform_family']
when 'debian'
 apt_repository 'MDAPRepo' do
   arch               'amd64'
   cache_rebuild      true
   cookbook           false
   deb_src            false
   key                'BC528686B50D79E339D3721CEB3E94ADBE1229CF'
   keyserver          "keyserver.ubuntu.com"
   distribution       'focal'
   repo_name          'microsoft-prod'
   components         ['main']
   trusted            true
   uri                "https://packages.microsoft.com/config/ubuntu/20.04/prod"
 end
 apt_package "mdatp"
when 'rhel'
 yum_repository 'microsoft-prod' do
   baseurl            "https://packages.microsoft.com/config/rhel/7/prod/"
   description        "Microsoft Defender for Endpoint"
   enabled            true
   gpgcheck           true
   gpgkey             "https://packages.microsoft.com/keys/microsoft.asc"
 end
 if node['platform_version'] <= 8 then
    yum_package "mdatp"
 else
    dnf_package "mdatp"
 end
end

Sie müssen die Versionsnummer, verteilung und den Namen des Repositorys so ändern, dass sie der Version entsprechen, in der Sie die Bereitstellung durchführen, und dem Kanal, den Sie bereitstellen möchten. Als Nächstes sollten Sie eine onboard_mdatp.rb-Datei im Ordner mdatp/recipies erstellen. Fügen Sie der Datei den folgenden Text hinzu:

#Create MDATP Directory
mdatp = "/etc/opt/microsoft/mdatp"
zip_path = "/path/to/chef-repo/cookbooks/mdatp/files/WindowsDefenderATPOnboardingPackage.zip"

directory "#{mdatp}" do
  owner 'root'
  group 'root'
  mode 0755
  recursive true
end

#Extract WindowsDefenderATPOnbaordingPackage.zip into /etc/opt/microsoft/mdatp

bash 'Extract Onboarding Json MDATP' do
  code <<-EOS
  unzip #{zip_path} -d #{mdatp}
  EOS
  not_if { ::File.exist?('/etc/opt/microsoft/mdatp/mdatp_onboard.json') }
end

Stellen Sie sicher, dass Sie den Pfadnamen an den Speicherort der Onboardingdatei aktualisieren. Führen sudo chef-client -z -o mdatpSie aus, um die Bereitstellung auf der Chef-Arbeitsstation zu testen. Nach der Bereitstellung sollten Sie erwägen, eine Konfigurationsdatei auf den Servern basierend auf Festlegen von Einstellungen für Microsoft Defender for Endpoint unter Linux zu erstellen und bereitzustellen. Nachdem Sie Ihre Konfigurationsdatei erstellt und getestet haben, können Sie sie in den cookbook/mdatp/files Ordner ablegen, in dem Sie auch das Onboardingpaket platziert haben. Anschließend können Sie eine settings_mdatp.rb-Datei im Ordner mdatp/recipies erstellen und diesen Text hinzufügen:

#Copy the configuration file
cookbook_file '/etc/opt/microsoft/mdatp/managed/mdatp_managed.json' do
  source 'mdatp_managed.json'
  owner 'root'
  group 'root'
  mode '0755'
  action :create
end

Um diesen Schritt als Teil des Rezepts einzuschließen, fügen Sie include_recipe ':: settings_mdatp einfach ihrer Datei default.rb im Rezeptordner hinzu.

Sie können auch crontab verwenden, um automatische Updates planen Planen Sie ein Update der Microsoft Defender for Endpoint (Linux).

Deinstallieren Sie das MDATP-Cookbook:

#Uninstall the Defender package
case node['platform_family']
when 'debian'
 apt_package "mdatp" do
   action :remove
 end
when 'rhel'
 if node['platform_version'] <= 8
then
    yum_package "mdatp" do
      action :remove
    end
 else
    dnf_package "mdatp" do
      action :remove
    end
 end
end

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.