Microsoft Defender for Endpoint käyttöönotto Linuxissa Saltstackin avulla

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tässä artikkelissa kuvataan Defender for Endpointin käyttöönotto Linuxissa Saltstackin avulla. Onnistunut käyttöönotto edellyttää, että kaikki seuraavat tehtävät on suoritettu loppuun:

• Perehdytyspaketin lataaminen
• Luo Saltstackin tilatiedostoja
• Käyttöönotto
• Viittaus

Tärkeää

Tässä artikkelissa on tietoja kolmannen osapuolen työkaluista. Tämä auttaa integrointitilanteissa, mutta Microsoft ei tarjoa vianmääritystukea kolmannen osapuolen työkaluille.
Pyydä tukea kolmannen osapuolen toimittajalta.

Edellytykset ja järjestelmävaatimukset

Ennen kuin aloitat, katso Defender for Endpoint on Linux -pääsivulta kuvaus nykyisen ohjelmistoversion edellytyksistä ja järjestelmävaatimuksista.

Lisäksi Saltstackin käyttöönottoa varten sinun on tunnettava Saltstackin hallinta, asennettava Saltstack, määritettävä Master ja Minions sekä tiedettävä, miten osavaltioita sovelletaan. Saltstackilla on monia tapoja suorittaa sama tehtävä. Näissä ohjeissa oletetaan, että tuetut Saltstack-moduulit, kuten apt ja unchive , ovat käytettävissä paketin käyttöönoton helpottamiseksi. Organisaatiosi saattaa käyttää eri työnkulkua. Katso lisätietoja Saltstack-dokumentaatiosta .

Seuraavassa on muutamia tärkeitä kohtia:

• Saltstack on asennettu vähintään yhteen tietokoneeseen (Saltstack kutsuu tietokonetta päätietokoneeksi).
• Saltstack-isäntä hyväksyi hallitut solmut (Saltstack kutsuu solmuja kätyriyhteyksiksi).
• Saltstack-kätyrit pystyvät ratkaisemaan yhteyden Saltstack-mestariin (oletuksena kätyrit yrittävät kommunikoida "salt"-nimisen koneen kanssa).
• Suorita seuraava ping-testi: sudo salt '*' test.ping
• Saltstack-perusmuodossa on tiedostopalvelinsijainti, josta Microsoft Defender for Endpoint tiedostot voidaan jakaa (oletusarvoisesti Saltstack käyttää kansiota /srv/salt oletusjakelupisteenä)

Perehdytyspaketin lataaminen

Varoitus

Defender for Endpoint -asennuspaketin uudelleenpakkaamista ei tueta. Tämä voi vaikuttaa kielteisesti tuotteen eheyteen ja johtaa haitallisiin tuloksiin, mukaan lukien muun muassa peukalointiilmoitusten ja päivitysten epäonnistumiseen.

1. Siirry Microsoft Defender portaalissa kohtaan Asetukset>PäätepisteetLaitteiden hallinnan>perehdytys>.

2. Valitse ensimmäisestä avattavasta valikosta käyttöjärjestelmäksi Linux Server . Valitse toisesta avattavasta valikosta Haluamasi Linux-määritysten hallintatyökalu käyttöönottomenetelmäksi.

3. Valitse Lataa perehdytyspaketti. Tallenna tiedosto nimellä WindowsDefenderATPOnboardingPackage.zip.

   

4. Poimi SaltStack Masterissa arkiston sisältö SaltStack Serverin kansioon (yleensä /srv/salt):

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: /srv/salt/mde/mdatp_onboard.json
   

Luo Saltstackin tilatiedostoja

Tässä vaiheessa luot SaltState-tilatiedoston määrityssäilössäsi (yleensä /srv/salt), joka käyttää tarvittavia tiloja Defender for Endpointin käyttöönottoon ja käyttöönottoon. Sitten lisäät Defender for Endpoint -säilön ja avaimen: install_mdatp.sls.

Huomautus

Defender for Endpoint Linuxissa voidaan ottaa käyttöön jostakin seuraavista kanavista:

• insider-suodattimia nopeasti, merkitään seuraavasti: [channel]
• insider-hitaita, merkitään seuraavasti: [channel]
• prod, merkitty [channel] käyttäen version nimeä (katso Linux-ohjelmistosäilö Microsoft Productsille)

Jokainen kanava vastaa Linux-ohjelmistosäilöä.

Kanavan valinta määrittää laitteellesi tarjottavien päivitysten tyypin ja esiintymistiheyden. Insider-laitteiden laitteet ovat ensimmäisiä, jotka saavat päivityksiä ja uusia ominaisuuksia, joita seuraavat myöhemmin insider-käyttäjät hitaasti ja viimeiseksi prod.

Jotta voit esikatsella uusia ominaisuuksia ja antaa varhaista palautetta, on suositeltavaa, että määrität jotkin yrityksesi laitteet käyttämään joko insider-laitteita nopeasti tai insider-hitaita.

Varoitus

Kanavan vaihtaminen ensimmäisen asennuksen jälkeen edellyttää tuotteen uudelleenasentamista. Tuotekanavan vaihtaminen: poista aiemmin luodun paketin asennus, määritä laite uudelleen käyttämään uutta kanavaa ja asenna paketti uudesta sijainnista tämän asiakirjan ohjeiden mukaisesti.

1. Huomaa jakelu ja versio ja määritä sen lähin merkintä kohdassa https://packages.microsoft.com/config/[distro]/.

   Korvaa seuraavissa komennoissa [distro] ja [version] tiedoillasi.

   Huomautus

   Oracle Linuxin ja Amazon Linux 2:n tapauksessa korvaa [distro] arvolla "rhel". Korvaa Amazon Linux 2:ssa [versio] arvolla "7". Korvaa Oracle utilize -kohteelle [versio] Oracle Linux -versiolla.

   cat /srv/salt/install_mdatp.sls
   

   add_ms_repo:
     pkgrepo.managed:
       - humanname: Microsoft Defender Repository
       {% if grains['os_family'] == 'Debian' %}
       - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
       - dist: [codename]
       - file: /etc/apt/sources.list.d/microsoft-[channel].list
       - key_url: https://packages.microsoft.com/keys/microsoft.asc
       - refresh: true
       {% elif grains['os_family'] == 'RedHat' %}
       - name: packages-microsoft-[channel]
       - file: microsoft-[channel]
       - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
       - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
       - gpgcheck: true
       {% endif %}
   

2. Lisää paketin asennettu tila install_mdatp.sls tilan jälkeen aiemmin määritetyllä add_ms_repo tavalla.

   install_mdatp_package:
     pkg.installed:
       - name: matp
       - required: add_ms_repo
   

3. Lisää käyttöönottotiedoston käyttöönotto kohteeseen install_mdatp.sls aiemmin määritetyn install_mdatp_package mukaisesti.

   copy_mde_onboarding_file:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
       - source: salt://mde/mdatp_onboard.json
       - required: install_mdatp_package
   

   Valmiin asennuksen tilatiedoston pitäisi näyttää samalta kuin tässä tulosteessa:

   add_ms_repo:
   pkgrepo.managed:
   - humanname: Microsoft Defender Repository
   {% if grains['os_family'] == 'Debian' %}
   - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
   - dist: [codename]
   - file: /etc/apt/sources.list.d/microsoft-[channel].list
   - key_url: https://packages.microsoft.com/keys/microsoft.asc
   - refresh: true
   {% elif grains['os_family'] == 'RedHat' %}
   - name: packages-microsoft-[channel]
   - file: microsoft-[channel]
   - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
   - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
   - gpgcheck: true
   {% endif %}
   
   install_mdatp_package:
   pkg.installed:
   - name: mdatp
   - required: add_ms_repo
   
   copy_mde_onboarding_file:
   file.managed:
   - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   - source: salt://mde/mdatp_onboard.json
   - required: install_mdatp_package
   

4. Luo SaltState-tilatiedosto määrityssäilöön (yleensä /srv/salt), joka ottaa käyttöön tarvittavat tilat ja poistaa Defender for Endpointin. Ennen kuin käytät perehdytystilatiedostoa, sinun on ladattava käyttöönottopaketti suojausportaalista ja purettava se samalla tavalla kuin perehdytyspaketti. Ladattu perehdytyspaketti on voimassa vain rajoitetun ajan.

5. Luo asennuksen poistamisen tilatiedosto uninstall_mdapt.sls ja lisää tila tiedoston poistamiseksi mdatp_onboard.json .

   cat /srv/salt/uninstall_mdatp.sls
   

   remove_mde_onboarding_file:
     file.absent:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   

6. Lisää käytöstä poistotiedoston uninstall_mdatp.sls käyttöönotto tiedostoon edellisessä osiossa määritetyn remove_mde_onboarding_file tilan jälkeen.

    offboard_mde:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
       - source: salt://mde/mdatp_offboard.json
   

7. Lisää MDATP-paketin uninstall_mdatp.sls poistaminen tiedostoon edellisessä osiossa määritetyn offboard_mde tilan jälkeen.

   remove_mde_packages:
     pkg.removed:
       - name: mdatp
   

   Asennuksen poistamisen koko tilatiedoston pitäisi näyttää samalta kuin seuraavassa:

   remove_mde_onboarding_file:
     file.absent:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   
   offboard_mde:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
       - source: salt://mde/offboard/mdatp_offboard.json
   
   remove_mde_packages:
      pkg.removed:
        - name: mdatp
   

Käyttöönotto

Tässä vaiheessa sovellat tilaa kätyriisihin. Seuraava komento käyttää tilaa koneisiin, joiden nimi alkaa merkkijonolla mdetest.

1. Asennus:

   salt 'mdetest*' state.apply install_mdatp
   

   Tärkeää

   Kun tuote käynnistyy ensimmäistä kertaa, se lataa uusimmat haittaohjelmien torjuntamääritykset. Internet-yhteydestä riippuen tämä voi kestää muutaman minuutin.

2. Vahvistus/määritys:

   salt 'mdetest*' cmd.run 'mdatp connectivity test'
   

   salt 'mdetest*' cmd.run 'mdatp health'
   

3. Asennuksen poistaminen:

   salt 'mdetest*' state.apply uninstall_mdatp
   

Kirjaa asennusongelmat

Lisätietoja asennusohjelman virheen tapahtuessa luoman automaattisesti luodun lokin löytämisestä on kohdassa Kirjaa asennusongelmat.

Käyttöjärjestelmän päivitykset

Kun päivität käyttöjärjestelmäsi uuteen pääversioon, sinun on ensin poistettava Defender for Endpoint Linuxissa, asennettava päivitys ja lopuksi määritettävä Defender for Endpoint Linuxiin laitteessasi.

Viittaus

• SALT Project -dokumentaatio

Tutustu myös seuraaviin ohjeartikkeleihin:

• Tutki agentin kunto-ongelmia

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.