Bereitstellen von Microsoft Defender for Endpoint unter Linux mit Saltstack

Gilt für:

• Microsoft Defender for Endpoint-Server
• Microsoft Defender für Server

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

In diesem Artikel wird beschrieben, wie Sie Defender für Endpunkt unter Linux mithilfe von Saltstack bereitstellen. Eine erfolgreiche Bereitstellung erfordert den Abschluss aller Schritte in diesem Artikel.

Wichtig

Dieser Artikel enthält Informationen zu Drittanbietertools. Dies wird bereitgestellt, um Integrationsszenarien abzuschließen. Microsoft bietet jedoch keine Unterstützung bei der Problembehandlung für Drittanbietertools.
Wenden Sie sich an den Drittanbieter, um Support zu erhalten.

Voraussetzungen und Systemanforderungen

Bevor Sie beginnen, finden Sie auf der Seite Standard Defender für Endpunkt unter Linux eine Beschreibung der Voraussetzungen und Systemanforderungen für die aktuelle Softwareversion.

Darüber hinaus müssen Sie für die Saltstack-Bereitstellung mit der Saltstack-Verwaltung vertraut sein, Saltstack installiert haben, master und minions konfigurieren und wissen, wie Zustände angewendet werden. Saltstack hat viele Möglichkeiten, die gleiche Aufgabe auszuführen. Diese Anweisungen setzen die Verfügbarkeit unterstützter Saltstack-Module wie apt und unarchive voraus, um das Paket bereitzustellen. Ihr organization verwendet möglicherweise einen anderen Workflow. Weitere Informationen finden Sie in der Saltstack-Dokumentation.

Hier sind einige wichtige Punkte:

• Saltstack ist auf mindestens einem Computer installiert (Saltstack nennt den Computer als master).
• Die Saltstack-master die verwalteten Knoten (Saltstack ruft die Knoten als Minions auf) akzeptiert.
• Die Saltstack-Minions können die Kommunikation mit dem Saltstack-master auflösen (standardmäßig versuchen die Minions mit einem Computer namens Salt zu kommunizieren).
• Führen Sie den folgenden Pingtest aus: sudo salt '*' test.ping
• Die Saltstack-master verfügt über einen Dateiserverspeicherort, von dem die Microsoft Defender for Endpoint Dateien verteilt werden können (standardmäßig verwendet Saltstack den /srv/salt Ordner als Standardverteilungspunkt).

Herunterladen des Onboardingpakets

Warnung

Das Erneute Packen des Defender für Endpunkt-Installationspakets wird nicht unterstützt. Dies kann sich negativ auf die Integrität des Produkts auswirken und zu negativen Ergebnissen führen, einschließlich, aber nicht beschränkt auf das Auslösen von Manipulationswarnungen und nicht angewendeten Updates.

1. Wechseln Sie Microsoft Defender Portal zu Einstellungen>Endpunkte>Geräteverwaltung>Onboarding.

2. Wählen Sie im ersten Dropdownmenü Linux Server als Betriebssystem aus. Wählen Sie im zweiten Dropdownmenü Ihr bevorzugtes Linux-Konfigurationsverwaltungstool als Bereitstellungsmethode aus.

3. Wählen Sie "Onboardingpaket herunterladen" aus. Speichern Sie die Datei als WindowsDefenderATPOnboardingPackage.zip.

   

4. Extrahieren Sie auf dem SaltStack-Master den Inhalt des Archivs in den Ordner des SaltStack-Servers (in der Regel /srv/salt):

   unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: /srv/salt/mde/mdatp_onboard.json
   

Erstellen von Saltstack-Zustandsdateien

Es gibt zwei Möglichkeiten, die Saltstack-Zustandsdateien zu erstellen:

• Verwenden Sie das Installationsskript (empfohlen): Mit dieser Methode automatisiert das Skript die Bereitstellung, indem es den Agent installiert, das Gerät in das Microsoft Defender-Portal integriert und die Repositorys so konfiguriert, dass der richtige Agent ausgewählt wird, der mit Ihrer Linux-Distribution kompatibel ist.

• Konfigurieren Sie die Repositorys manuell: Bei dieser Methode müssen Repositorys manuell konfiguriert werden, zusammen mit der Auswahl der Agent-Version, die mit Ihrer Linux-Distribution kompatibel ist. Diese Methode bietet Ihnen eine präzisere Kontrolle über den Bereitstellungsprozess.

Erstellen von Saltstack-Zustandsdateien mithilfe des Installationsskripts

1. Rufen Sie das Bash-Skript des Installers aus dem Microsoft GitHub-Repository ab, oder verwenden Sie den folgenden Befehl, um es herunterzuladen:

   wget https://raw.githubusercontent.com/microsoft/mdatp-xplat/refs/heads/master/linux/installation/mde_installer.sh /srv/salt/mde/
   

2. Erstellen Sie die Zustandsdatei /srv/salt/install_mdatp.sls mit dem folgenden Inhalt. Dasselbe kann von GitHub heruntergeladen werden.

   #Download the mde_installer.sh: https://github.com/microsoft/mdatp-xplat/blob/master/linux/installation/mde_installer.sh
    install_mdatp_package:
      cmd.run:
        - name: /srv/salt/mde/mde_installer.sh --install --onboard /srv/salt/mde/mdatp_onboard.json
        - shell: /bin/bash
        - unless: 'pgrep -f mde_installer.sh'
   

Hinweis

Das Installationsskript unterstützt auch andere Parameter wie Kanal (insiders-fast, insiders-slow, prod (standard) ), Echtzeitschutz, Version usw. Wenn Sie aus der Liste der verfügbaren Optionen auswählen möchten, überprüfen Sie die Hilfe mithilfe des folgenden Befehls: ./mde_installer.sh --help

Erstellen von Saltstack-Zustandsdateien durch manuelles Konfigurieren von Repositorys

In diesem Schritt erstellen Sie eine SaltState-Zustandsdatei in Ihrem Konfigurationsrepository (in der Regel /srv/salt), die die erforderlichen Zustände für die Bereitstellung und das Onboarding von Defender für Endpunkt anwendet. Anschließend fügen Sie das Defender für Endpunkt-Repository und den Schlüssel hinzu: install_mdatp.sls.

Hinweis

Defender für Endpunkt unter Linux kann über einen der folgenden Kanäle bereitgestellt werden:

• insiders-fast, bezeichnet als [channel]
• insiders-slow, bezeichnet als [channel]
• prod, angegeben als [channel] mit dem Versionsnamen (siehe Linux-Softwarerepository für Microsoft-Produkte)

Jeder Kanal entspricht einem Linux-Softwarerepository. Die Wahl des Kanals bestimmt den Typ und die Häufigkeit der Updates, die Ihrem Gerät angeboten werden. Geräte in Insider-fast sind die ersten, die Updates und neue Features erhalten, später von Insidern langsam und schließlich von Prod.

Um eine Vorschau neuer Features anzuzeigen und frühzeitig Feedback zu geben, wird empfohlen, einige Geräte in Ihrem Unternehmen so zu konfigurieren, dass sie entweder insiders-fast oder insiders-slow verwenden.

Warnung

Wenn Sie den Kanal nach der Erstinstallation wechseln, muss das Produkt neu installiert werden. Um den Produktkanal zu wechseln: Deinstallieren Sie das vorhandene Paket, konfigurieren Sie Ihr Gerät neu, um den neuen Kanal zu verwenden, und führen Sie die Schritte in diesem Dokument aus, um das Paket vom neuen Speicherort aus zu installieren.

1. Notieren Sie sich Ihre Distribution und Version, und identifizieren Sie den nächstgelegenen Eintrag unter https://packages.microsoft.com/config/[distro]/.

2. Ersetzen Sie in den folgenden Befehlen [distribution] und [version] durch Ihre Informationen.

   Hinweis

   Ersetzen Sie im Fall von Oracle Linux und Amazon Linux 2 [Distribution] durch "rhel". Ersetzen Sie für Amazon Linux 2 [Version] durch "7". Ersetzen Sie [Version] durch die Version von Oracle Linux, um Oracle zu verwenden.

   cat /srv/salt/install_mdatp.sls
   

   add_ms_repo:
     pkgrepo.managed:
       - humanname: Microsoft Defender Repository
       {% if grains['os_family'] == 'Debian' %}
       - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
       - dist: [codename]
       - file: /etc/apt/sources.list.d/microsoft-[channel].list
       - key_url: https://packages.microsoft.com/keys/microsoft.asc
       - refresh: true
       {% elif grains['os_family'] == 'RedHat' %}
       - name: packages-microsoft-[channel]
       - file: microsoft-[channel]
       - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
       - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
       - gpgcheck: true
       {% endif %}
   

3. Fügen Sie den Installationsstatus des Pakets nach dem add_ms_repo zuvor definierten Zustand hinzuinstall_mdatp.sls.

   install_mdatp_package:
     pkg.installed:
       - name: matp
       - required: add_ms_repo
   

4. Fügen Sie die Bereitstellung der Onboardingdatei nach install_mdatp.sls dem install_mdatp_package hinzu, wie zuvor definiert.

   copy_mde_onboarding_file:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
       - source: salt://mde/mdatp_onboard.json
       - required: install_mdatp_package
   

   Die abgeschlossene Installationsstatusdatei sollte in etwa wie die folgende Ausgabe aussehen:

   add_ms_repo:
   pkgrepo.managed:
   - humanname: Microsoft Defender Repository
   {% if grains['os_family'] == 'Debian' %}
   - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
   - dist: [codename]
   - file: /etc/apt/sources.list.d/microsoft-[channel].list
   - key_url: https://packages.microsoft.com/keys/microsoft.asc
   - refresh: true
   {% elif grains['os_family'] == 'RedHat' %}
   - name: packages-microsoft-[channel]
   - file: microsoft-[channel]
   - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
   - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
   - gpgcheck: true
   {% endif %}
   
   install_mdatp_package:
   pkg.installed:
   - name: mdatp
   - required: add_ms_repo
   
   copy_mde_onboarding_file:
   file.managed:
   - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   - source: salt://mde/mdatp_onboard.json
   - required: install_mdatp_package
   

5. Erstellen Sie in Ihrem Konfigurationsrepository (in der Regel /srv/salt) eine SaltState-Zustandsdatei, die die erforderlichen Zustände anwendet, um Defender für Endpunkt zu offboarden und zu entfernen. Bevor Sie die Offboardingzustandsdatei verwenden, müssen Sie das Offboardingpaket aus dem Microsoft Defender-Portal herunterladen und auf die gleiche Weise extrahieren wie das Onboardingpaket. Das heruntergeladene Offboardingpaket ist nur für einen begrenzten Zeitraum gültig.

6. Erstellen Sie eine Deinstallationsstatusdatei uninstall_mdapt.sls , und fügen Sie den Zustand hinzu, um die mdatp_onboard.json Datei zu entfernen.

   cat /srv/salt/uninstall_mdatp.sls
   

   remove_mde_onboarding_file:
     file.absent:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   

7. Fügen Sie der Datei die Offboardingdateibereitstellung nach dem uninstall_mdatp.slsremove_mde_onboarding_file im vorherigen Abschnitt definierten Zustand hinzu.

    offboard_mde:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
       - source: salt://mde/mdatp_offboard.json
   

8. Fügen Sie der Datei das Entfernen des MDATP-Pakets uninstall_mdatp.sls nach dem offboard_mde im vorherigen Abschnitt definierten Zustand hinzu.

   remove_mde_packages:
     pkg.removed:
       - name: mdatp
   

   Die vollständige Deinstallationszustandsdatei sollte in etwa wie die folgende Ausgabe aussehen:

   remove_mde_onboarding_file:
     file.absent:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   
   offboard_mde:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
       - source: salt://mde/offboard/mdatp_offboard.json
   
   remove_mde_packages:
      pkg.removed:
        - name: mdatp
   

Bereitstellen von Defender auf Endpunkt mithilfe der zuvor erstellten Zustandsdateien

Dieser Schritt gilt sowohl für das Installationsskript als auch für die manuelle Konfigurationsmethode. In diesem Schritt wenden Sie den Zustand auf die Minions an. Der folgende Befehl wendet den Zustand auf Computer mit dem Namen an, der mit mdetestbeginnt.

1. Installation:

   salt 'mdetest*' state.apply install_mdatp
   

   Wichtig

   Wenn das Produkt zum ersten Mal gestartet wird, lädt es die neuesten Antischadsoftwaredefinitionen herunter. Je nach Internetverbindung kann dies einige Minuten dauern.

2. Überprüfung/Konfiguration:

   salt 'mdetest*' cmd.run 'mdatp connectivity test'
   

   salt 'mdetest*' cmd.run 'mdatp health'
   

3. Deinstallation:

   salt 'mdetest*' state.apply uninstall_mdatp
   

Problembehandlung bei Problemen mit Installation und Update

So beheben Sie Probleme:

1. Informationen zum Suchen des Protokolls, das automatisch generiert wird, wenn ein Installationsfehler auftritt, finden Sie unter Protokollinstallationsprobleme.

2. Informationen zu häufigen Installationsproblemen finden Sie unter Installationsprobleme.

3. Wenn die Integrität des Geräts lautet false, finden Sie weitere Informationen unter Probleme mit der Defender für Endpunkt-Agent-Integrität.

4. Informationen zu Problemen mit der Produktleistung finden Sie unter Behandeln von Leistungsproblemen.

5. Informationen zu Proxy- und Konnektivitätsproblemen finden Sie unter Behandeln von Problemen mit der Cloudkonnektivität.

Um Support von Microsoft zu erhalten, öffnen Sie ein Supportticket, und stellen Sie die Protokolldateien bereit, die mit dem Clientanalysetool erstellt wurden.

Konfigurieren von Richtlinien für Microsoft Defender unter Linux

Sie können Antiviren- oder EDR-Einstellungen auf Ihren Endpunkten mit einer der folgenden Methoden konfigurieren:

• Weitere Informationen finden Sie unter Festlegen von Einstellungen für Microsoft Defender for Endpoint unter Linux.
• Informationen zum Konfigurieren von Einstellungen im Microsoft Defender-Portal finden Sie unter Verwaltung von Sicherheitseinstellungen.

Betriebssystemupgrades

Wenn Sie Ihr Betriebssystem auf eine neue Hauptversion aktualisieren, müssen Sie zunächst Defender für Endpunkt unter Linux deinstallieren, das Upgrade installieren und schließlich Defender für Endpunkt auf Ihrem Linux-Gerät neu konfigurieren.

Referenz

• SALT-Projektdokumentation

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.