Implementación de Microsoft Defender para punto de conexión en Linux con Saltstack

Se aplica a:

• Servidor de Microsoft Defender para punto de conexión
• Microsoft Defender para servidores

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

En este artículo se describe cómo implementar Defender para punto de conexión en Linux mediante Saltstack. Una implementación correcta requiere la finalización de todos los pasos de este artículo.

Importante

Este artículo contiene información sobre herramientas de terceros. Esto se proporciona para ayudar a completar escenarios de integración; sin embargo, Microsoft no proporciona compatibilidad con la solución de problemas para herramientas de terceros.
Póngase en contacto con el proveedor de terceros para obtener soporte técnico.

Requisitos previos y requisitos del sistema

Antes de empezar, consulte la página principal de Defender para punto de conexión en Linux para obtener una descripción de los requisitos previos y los requisitos del sistema para la versión de software actual.

Además, para la implementación de Saltstack, debe estar familiarizado con la administración de Saltstack, tener Saltstack instalado, configurar los master y los súbditos y saber cómo aplicar estados. Saltstack tiene muchas maneras de completar la misma tarea. Estas instrucciones asumen la disponibilidad de los módulos saltstack admitidos, como apt y unarchive para ayudar a implementar el paquete. Su organización podría usar un flujo de trabajo diferente. Para obtener más información, consulte la documentación de Saltstack.

Estos son algunos puntos importantes:

• Saltstack está instalado en al menos un equipo (Saltstack llama al equipo como maestro).
• El maestro de Saltstack aceptó las conexiones de nodos administrados (Saltstack llama a los nodos como súbditos).
• Los súbditos de Saltstack pueden resolver la comunicación con el maestro de Saltstack (de forma predeterminada, los súbditos intentan comunicarse con una máquina denominada salt).
• Ejecute la siguiente prueba de ping: sudo salt '*' test.ping
• El maestro de Saltstack tiene una ubicación del servidor de archivos desde la que se pueden distribuir los archivos Microsoft Defender para punto de conexión (de forma predeterminada Saltstack usa la /srv/salt carpeta como punto de distribución predeterminado)

Descarga del paquete de incorporación

Advertencia

Volver a empaquetar el paquete de instalación de Defender para punto de conexión no es un escenario compatible. Esto puede afectar negativamente a la integridad del producto y dar lugar a resultados adversos, incluidos, entre otros, el desencadenamiento de alertas de manipulación y la no aplicación de actualizaciones.

1. En Microsoft Defender portal, vaya a Configuración>Puntos de conexión>Incorporación deadministración de> dispositivos.

2. En el primer menú desplegable, seleccione Servidor Linux como sistema operativo. En el segundo menú desplegable, seleccione La herramienta de administración de configuración de Linux preferida como método de implementación.

3. Seleccione Descargar el paquete de incorporación Guarde el archivo como WindowsDefenderATPOnboardingPackage.zip.

   

4. En SaltStack Master, extraiga el contenido del archivo en la carpeta del servidor SaltStack (normalmente /srv/salt):

   unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: /srv/salt/mde/mdatp_onboard.json
   

Creación de archivos de estado de Saltstack

Hay dos maneras de crear los archivos de estado de Saltstack:

• Use el script del instalador (recomendado): Con este método, el script automatiza la implementación instalando el agente, incorporando el dispositivo al portal de Microsoft Defender y configurando los repositorios para elegir el agente correcto compatible con la distribución de Linux.

• Configure manualmente los repositorios: Con este método, los repositorios se deben configurar manualmente junto con la selección de la versión del agente compatible con la distribución de Linux. Este método proporciona un control más pormenorizado sobre el proceso de implementación.

Creación de archivos de estado de Saltstack mediante el script del instalador

1. Extraiga el script de Bash del instalador del repositorio de Microsoft GitHub o use el siguiente comando para descargarlo:

   wget https://raw.githubusercontent.com/microsoft/mdatp-xplat/refs/heads/master/linux/installation/mde_installer.sh /srv/salt/mde/
   

2. Cree el archivo /srv/salt/install_mdatp.sls de estado con el siguiente contenido. Lo mismo se puede descargar desde GitHub

   #Download the mde_installer.sh: https://github.com/microsoft/mdatp-xplat/blob/master/linux/installation/mde_installer.sh
    install_mdatp_package:
      cmd.run:
        - name: /srv/salt/mde/mde_installer.sh --install --onboard /srv/salt/mde/mdatp_onboard.json
        - shell: /bin/bash
        - unless: 'pgrep -f mde_installer.sh'
   

Nota:

El script del instalador también admite otros parámetros, como channel (insiders-fast, insiders-slow, prod (default) ), realtime protection, version, etc. Para seleccionar en la lista de opciones disponibles, consulte la ayuda a través del siguiente comando: ./mde_installer.sh --help

Creación de archivos de estado de Saltstack mediante la configuración manual de repositorios

En este paso, creará un archivo de estado SaltState en el repositorio de configuración (normalmente /srv/salt) que aplica los estados necesarios para implementar e incorporar Defender para punto de conexión. A continuación, agregue el repositorio y la clave de Defender para punto de conexión: install_mdatp.sls.

Nota:

Defender para punto de conexión en Linux se puede implementar desde uno de los canales siguientes:

• insiders-fast, se indica como [channel]
• insiders-slow, se indica como [channel]
• prod, que se indica como [channel] mediante el nombre de versión (consulte Repositorio de software de Linux para productos de Microsoft)

Cada canal corresponde a un repositorio de software linux. La elección del canal determina el tipo y la frecuencia de las actualizaciones que se ofrecen al dispositivo. Los dispositivos de insiders-fast son los primeros en recibir actualizaciones y nuevas características, seguidos más adelante por los usuarios internos lentos y, por último, por producción.

Para obtener una vista previa de las nuevas características y proporcionar comentarios anticipados, se recomienda configurar algunos dispositivos en la empresa para usar insiders-fast o insiders-slow.

Advertencia

Cambiar el canal después de la instalación inicial requiere que se vuelva a instalar el producto. Para cambiar el canal del producto: desinstale el paquete existente, vuelva a configurar el dispositivo para que use el nuevo canal y siga los pasos de este documento para instalar el paquete desde la nueva ubicación.

1. Anote la distribución y la versión e identifique la entrada más cercana en https://packages.microsoft.com/config/[distro]/.

2. En los comandos siguientes, reemplace [distro] y [version] por la información.

   Nota:

   En el caso de Oracle Linux y Amazon Linux 2, reemplace [distro] por "rhel". Para Amazon Linux 2, reemplace [versión] por "7". Para el uso de Oracle, reemplace [versión] por la versión de Oracle Linux.

   cat /srv/salt/install_mdatp.sls
   

   add_ms_repo:
     pkgrepo.managed:
       - humanname: Microsoft Defender Repository
       {% if grains['os_family'] == 'Debian' %}
       - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
       - dist: [codename]
       - file: /etc/apt/sources.list.d/microsoft-[channel].list
       - key_url: https://packages.microsoft.com/keys/microsoft.asc
       - refresh: true
       {% elif grains['os_family'] == 'RedHat' %}
       - name: packages-microsoft-[channel]
       - file: microsoft-[channel]
       - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
       - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
       - gpgcheck: true
       {% endif %}
   

3. Agregue el estado instalado del paquete a install_mdatp.sls después del add_ms_repo estado tal como se definió anteriormente.

   install_mdatp_package:
     pkg.installed:
       - name: matp
       - required: add_ms_repo
   

4. Agregue la implementación del archivo de incorporación a install_mdatp.sls después de como install_mdatp_package se definió anteriormente.

   copy_mde_onboarding_file:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
       - source: salt://mde/mdatp_onboard.json
       - required: install_mdatp_package
   

   El archivo de estado de instalación completado debe tener un aspecto similar al de esta salida:

   add_ms_repo:
   pkgrepo.managed:
   - humanname: Microsoft Defender Repository
   {% if grains['os_family'] == 'Debian' %}
   - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
   - dist: [codename]
   - file: /etc/apt/sources.list.d/microsoft-[channel].list
   - key_url: https://packages.microsoft.com/keys/microsoft.asc
   - refresh: true
   {% elif grains['os_family'] == 'RedHat' %}
   - name: packages-microsoft-[channel]
   - file: microsoft-[channel]
   - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
   - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
   - gpgcheck: true
   {% endif %}
   
   install_mdatp_package:
   pkg.installed:
   - name: mdatp
   - required: add_ms_repo
   
   copy_mde_onboarding_file:
   file.managed:
   - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   - source: salt://mde/mdatp_onboard.json
   - required: install_mdatp_package
   

5. Cree un archivo de estado SaltState en el repositorio de configuración (normalmente /srv/salt) que aplique los estados necesarios para quitar Defender para punto de conexión. Antes de usar el archivo de estado de offboarding, debe descargar el paquete de offboarding del portal de Microsoft Defender y extraerlo de la misma manera que hizo el paquete de incorporación. El paquete de offboarding descargado solo es válido durante un período de tiempo limitado.

6. Cree un archivo uninstall_mdapt.sls de estado Desinstale y agregue el estado para quitar el mdatp_onboard.json archivo.

   cat /srv/salt/uninstall_mdatp.sls
   

   remove_mde_onboarding_file:
     file.absent:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   

7. Agregue la implementación del archivo de offboarding al archivo después del uninstall_mdatp.slsremove_mde_onboarding_file estado definido en la sección anterior.

    offboard_mde:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
       - source: salt://mde/mdatp_offboard.json
   

8. Agregue la eliminación del paquete MDATP al archivo después del uninstall_mdatp.slsoffboard_mde estado definido en la sección anterior.

   remove_mde_packages:
     pkg.removed:
       - name: mdatp
   

   El archivo de estado de desinstalación completo debe ser similar a la salida siguiente:

   remove_mde_onboarding_file:
     file.absent:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   
   offboard_mde:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
       - source: salt://mde/offboard/mdatp_offboard.json
   
   remove_mde_packages:
      pkg.removed:
        - name: mdatp
   

Implementación de Defender en el punto de conexión mediante los archivos de estado creados anteriormente

Este paso se aplica tanto al script del instalador como al método de configuración manual. En este paso, aplicará el estado a los súbditos. El siguiente comando aplica el estado a las máquinas con el nombre que comienza por mdetest.

1. Instalación:

   salt 'mdetest*' state.apply install_mdatp
   

   Importante

   Cuando el producto se inicia por primera vez, descarga las definiciones de antimalware más recientes. Dependiendo de la conexión a Internet, esto puede tardar hasta unos minutos.

2. Validación/configuración:

   salt 'mdetest*' cmd.run 'mdatp connectivity test'
   

   salt 'mdetest*' cmd.run 'mdatp health'
   

3. Desinstalación:

   salt 'mdetest*' state.apply uninstall_mdatp
   

Solucionar de problemas de instalación y actualización

Para solucionar problemas:

1. Para obtener información sobre cómo buscar el registro que se genera automáticamente cuando se produce un error de instalación, consulte Problemas de instalación de registros.

2. Para obtener información sobre problemas comunes de instalación, consulte Problemas de instalación.

3. Si el estado del dispositivo es false, consulte Problemas de estado del agente de Defender para punto de conexión.

4. Para ver los problemas de rendimiento del producto, consulte Solución de problemas de rendimiento.

5. Para ver los problemas de proxy y conectividad, consulte Solución de problemas de conectividad en la nube.

Para obtener soporte técnico de Microsoft, abra una incidencia de soporte técnico y proporcione los archivos de registro creados mediante el analizador de cliente.

Configuración de directivas para Microsoft Defender en Linux

Puede configurar los valores de antivirus o EDR en los puntos de conexión mediante cualquiera de los métodos siguientes:

• Consulte Establecimiento de preferencias para Microsoft Defender para punto de conexión en Linux.
• Consulte administración de la configuración de seguridad para configurar las opciones en el portal de Microsoft Defender.

Actualizaciones del sistema operativo

Al actualizar el sistema operativo a una nueva versión principal, primero debe desinstalar Defender para punto de conexión en Linux, instalar la actualización y, por último, volver a configurar Defender para punto de conexión en el dispositivo Linux.

Referencia

• Documentación del proyecto SALT

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.