Jaa

Microsoft Defender for Endpoint käyttöönotto Linuxissa Saltstackin avulla

  • Artikkeli

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tässä artikkelissa kuvataan Defender for Endpointin käyttöönotto Linuxissa Saltstackin avulla. Onnistunut käyttöönotto edellyttää, että kaikki tämän artikkelin vaiheet on suoritettu loppuun.

Tärkeää

Tässä artikkelissa on tietoja kolmannen osapuolen työkaluista. Tämä auttaa integrointitilanteissa, mutta Microsoft ei tarjoa vianmääritystukea kolmannen osapuolen työkaluille.
Pyydä tukea kolmannen osapuolen toimittajalta.

Edellytykset ja järjestelmävaatimukset

Ennen kuin aloitat, katso Defender for Endpoint on Linux -pääsivulta kuvaus nykyisen ohjelmistoversion edellytyksistä ja järjestelmävaatimuksista.

Lisäksi Saltstackin käyttöönottoa varten sinun on tunnettava Saltstackin hallinta, asennettava Saltstack, määritettävä Master ja Minions sekä tiedettävä, miten osavaltioita sovelletaan. Saltstackilla on monia tapoja suorittaa sama tehtävä. Näissä ohjeissa oletetaan, että tuetut Saltstack-moduulit, kuten apt ja unchive , ovat käytettävissä paketin käyttöönoton helpottamiseksi. Organisaatiosi saattaa käyttää eri työnkulkua. Lisätietoja on Saltstack-dokumentaatiossa.

Seuraavassa on muutamia tärkeitä kohtia:

  • Saltstack on asennettu vähintään yhteen tietokoneeseen (Saltstack kutsuu tietokonetta päätietokoneeksi).
  • Saltstack-isäntä hyväksyi hallitut solmut (Saltstack kutsuu solmuja kätyriyhteyksiksi).
  • Saltstack-kätyrit pystyvät ratkaisemaan viestinnän Saltstack-mestarille (oletuksena kätyrit yrittävät kommunikoida suola-nimisen koneen kanssa).
  • Suorita seuraava ping-testi: sudo salt '*' test.ping
  • Saltstack-perusmuodossa on tiedostopalvelinsijainti, josta Microsoft Defender for Endpoint tiedostot voidaan jakaa (oletusarvoisesti Saltstack käyttää kansiota /srv/salt oletusjakelupisteenä)

Perehdytyspaketin lataaminen

Varoitus

Defender for Endpoint -asennuspaketin uudelleenpakkaamista ei tueta. Tämä voi vaikuttaa kielteisesti tuotteen eheyteen ja johtaa haitallisiin tuloksiin, mukaan lukien muun muassa peukalointiilmoitusten ja päivitysten epäonnistumiseen.

  1. Siirry Microsoft Defender portaalissa kohtaan Asetukset>PäätepisteetLaitteiden hallinnan>perehdytys>.

  2. Valitse ensimmäisestä avattavasta valikosta käyttöjärjestelmäksi Linux Server . Valitse toisesta avattavasta valikosta Haluamasi Linux-määritysten hallintatyökalu käyttöönottomenetelmäksi.

  3. Valitse Lataa perehdytyspaketti. Tallenna tiedosto nimellä WindowsDefenderATPOnboardingPackage.zip.

    Lataa perehdytyspaketti -vaihtoehto

  4. Poimi SaltStack Masterissa arkiston sisältö SaltStack Serverin kansioon (yleensä /srv/salt):

    unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: /srv/salt/mde/mdatp_onboard.json

Luo Saltstackin tilatiedostoja

Saltstackin tilatiedostoja voi luoda kahdella tavalla:

  • Käytä asennusohjelman komentosarjaa (suositus): Tällä menetelmällä komentosarja automatisoi käyttöönoton asentamalla agentin, ottamalla laitteen Microsoft Defender portaaliin ja määrittämällä säilöt valitsemaan oikean agentin, joka on yhteensopiva Linux-jakelun kanssa.

  • Määritä säilöt manuaalisesti: Tämän menetelmän avulla säilöt on määritettävä manuaalisesti yhdessä Linux-jakelun kanssa yhteensopivan agenttiversion kanssa. Tämän menetelmän avulla voit hallita käyttöönottoprosessia tarkemmin.

Saltstack-tilatiedostojen luominen asennusohjelman komentosarjan avulla

  1. Hae asennusohjelman bash-komentosarja Microsoft GitHub -säilöstä tai lataa se seuraavalla komennolla:

    wget https://raw.githubusercontent.com/microsoft/mdatp-xplat/refs/heads/master/linux/installation/mde_installer.sh /srv/salt/mde/

  2. Luo tilatiedosto /srv/salt/install_mdatp.sls käyttäen seuraavaa sisältöä. Sama voidaan ladata GitHubista

    #Download the mde_installer.sh: https://github.com/microsoft/mdatp-xplat/blob/master/linux/installation/mde_installer.sh
 install_mdatp_package:
   cmd.run:
     - name: /srv/salt/mde/mde_installer.sh --install --onboard /srv/salt/mde/mdatp_onboard.json
     - shell: /bin/bash
     - unless: 'pgrep -f mde_installer.sh'

Huomautus

Asennusohjelman komentosarja tukee myös muita parametreja, kuten kanavaa (insider-fast, insiders-slow, prod (oletus) ), reaaliaikaista suojausta, versiota jne. Jos haluat valita käytettävissä olevien vaihtoehtojen luettelosta, tarkista ohje seuraavan komennon kautta: ./mde_installer.sh --help

Luo Saltstackin tilatiedostoja määrittämällä säilöt manuaalisesti

Tässä vaiheessa luot SaltState-tilatiedoston määrityssäilössäsi (yleensä /srv/salt), joka käyttää tarvittavia tiloja Defender for Endpointin käyttöönottoon ja käyttöönottoon. Sitten lisäät Defender for Endpoint -säilön ja avaimen: install_mdatp.sls.

Huomautus

Defender for Endpoint Linuxissa voidaan ottaa käyttöön jostakin seuraavista kanavista:

Jokainen kanava vastaa Linux-ohjelmistosäilöä. Kanavan valinta määrittää laitteellesi tarjottavien päivitysten tyypin ja esiintymistiheyden. Insider-laitteiden laitteet ovat ensimmäisiä, jotka saavat päivityksiä ja uusia ominaisuuksia, joita seuraavat myöhemmin insider-käyttäjät hitaasti ja viimeiseksi prod.

Jotta voit esikatsella uusia ominaisuuksia ja antaa varhaista palautetta, on suositeltavaa, että määrität jotkin yrityksesi laitteet käyttämään joko insider-laitteita nopeasti tai insider-hitaita.

Varoitus

Kanavan vaihtaminen ensimmäisen asennuksen jälkeen edellyttää tuotteen uudelleenasentamista. Tuotekanavan vaihtaminen: poista aiemmin luodun paketin asennus, määritä laite uudelleen käyttämään uutta kanavaa ja asenna paketti uudesta sijainnista tämän asiakirjan ohjeiden mukaisesti.

  1. Huomaa jakelu ja versio ja määritä sen lähin merkintä kohdassa https://packages.microsoft.com/config/[distro]/.

  2. Korvaa seuraavissa komennoissa [distro] ja [version] tiedoillasi.

    Huomautus

    Oracle Linuxin ja Amazon Linux 2:n tapauksessa korvaa [distro] arvolla "rhel". Korvaa Amazon Linux 2:ssa [versio] arvolla "7". Korvaa Oracle utilize -kohteelle [versio] Oracle Linux -versiolla.

    cat /srv/salt/install_mdatp.sls

    add_ms_repo:
  pkgrepo.managed:
    - humanname: Microsoft Defender Repository
    {% if grains['os_family'] == 'Debian' %}
    - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
    - dist: [codename]
    - file: /etc/apt/sources.list.d/microsoft-[channel].list
    - key_url: https://packages.microsoft.com/keys/microsoft.asc
    - refresh: true
    {% elif grains['os_family'] == 'RedHat' %}
    - name: packages-microsoft-[channel]
    - file: microsoft-[channel]
    - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
    - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
    - gpgcheck: true
    {% endif %}

  3. Lisää paketin asennettu tila install_mdatp.sls tilan jälkeen aiemmin määritetyllä add_ms_repo tavalla.

    install_mdatp_package:
  pkg.installed:
    - name: matp
    - required: add_ms_repo

  4. Lisää käyttöönottotiedoston käyttöönotto kohteeseen install_mdatp.sls aiemmin määritetyn install_mdatp_package mukaisesti.

    copy_mde_onboarding_file:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    - source: salt://mde/mdatp_onboard.json
    - required: install_mdatp_package

    Valmiin asennuksen tilatiedoston pitäisi näyttää samalta kuin tässä tulosteessa:

    add_ms_repo:
pkgrepo.managed:
- humanname: Microsoft Defender Repository
{% if grains['os_family'] == 'Debian' %}
- name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
- dist: [codename]
- file: /etc/apt/sources.list.d/microsoft-[channel].list
- key_url: https://packages.microsoft.com/keys/microsoft.asc
- refresh: true
{% elif grains['os_family'] == 'RedHat' %}
- name: packages-microsoft-[channel]
- file: microsoft-[channel]
- baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
- gpgkey: https://packages.microsoft.com/keys/microsoft.asc
- gpgcheck: true
{% endif %}

install_mdatp_package:
pkg.installed:
- name: mdatp
- required: add_ms_repo

copy_mde_onboarding_file:
file.managed:
- name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
- source: salt://mde/mdatp_onboard.json
- required: install_mdatp_package

  5. Luo SaltState-tilatiedosto määrityssäilöön (yleensä /srv/salt), joka ottaa käyttöön tarvittavat tilat ja poistaa Defender for Endpointin. Ennen kuin käytät perehdyttämistilatiedostoa, sinun on ladattava perehdytyspaketti Microsoft Defender-portaalista ja poimittava se samalla tavalla kuin perehdytyspaketti. Ladattu perehdytyspaketti on voimassa vain rajoitetun ajan.

  6. Luo asennuksen poistamisen tilatiedosto uninstall_mdapt.sls ja lisää tila tiedoston poistamiseksi mdatp_onboard.json .

    cat /srv/salt/uninstall_mdatp.sls

    remove_mde_onboarding_file:
  file.absent:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json

  7. Lisää käytöstä poistotiedoston uninstall_mdatp.sls käyttöönotto tiedostoon edellisessä osiossa määritetyn remove_mde_onboarding_file tilan jälkeen.

     offboard_mde:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
    - source: salt://mde/mdatp_offboard.json

  8. Lisää MDATP-paketin uninstall_mdatp.sls poistaminen tiedostoon edellisessä osiossa määritetyn offboard_mde tilan jälkeen.

    remove_mde_packages:
  pkg.removed:
    - name: mdatp

    Asennuksen poistamisen koko tilatiedoston pitäisi näyttää samalta kuin seuraavassa:

    remove_mde_onboarding_file:
  file.absent:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json

offboard_mde:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
    - source: salt://mde/offboard/mdatp_offboard.json

remove_mde_packages:
   pkg.removed:
     - name: mdatp

Ota Defender käyttöön päätepisteessä aiemmin luotujen tilatiedostojen avulla

Tämä vaihe koskee sekä asennusohjelman komentosarjaa että manuaalista määritysmenetelmää. Tässä vaiheessa sovellat tilaa kätyriisihin. Seuraava komento käyttää tilaa koneisiin, joiden nimi alkaa merkkijonolla mdetest.

  1. Asennus:

    salt 'mdetest*' state.apply install_mdatp

    Tärkeää

    Kun tuote käynnistyy ensimmäistä kertaa, se lataa uusimmat haittaohjelmien torjuntamääritykset. Internet-yhteydestä riippuen tämä voi kestää muutaman minuutin.

  2. Vahvistus/määritys:

    salt 'mdetest*' cmd.run 'mdatp connectivity test'

    salt 'mdetest*' cmd.run 'mdatp health'

  3. Asennuksen poistaminen:

    salt 'mdetest*' state.apply uninstall_mdatp

Asennusongelmien vianmääritys

Ongelmien vianmääritys:

  1. Lisätietoja automaattisesti asennusvirheen ilmetessä luodun lokin löytämisestä on artikkelissa Kirjaa asennusongelmat lokiin.

  2. Lisätietoja yleisistä asennusongelmista on kohdassa Asennusongelmat.

  3. Jos laitteen kunto on false, katso Defender for Endpoint agentin kunto-ongelmat.

  4. Lisätietoja tuotteen suorituskykyongelmista on artikkelissa Suorituskykyongelmien vianmääritys.

  5. Katso välityspalvelin- ja yhteysongelmat kohdasta Pilvipalveluun liittyvien ongelmien vianmääritys.

Jos haluat saada tukea Microsoftilta, avaa tukipalvelupyyntö ja anna lokitiedostot, jotka on luotu asiakasanalysaattorin avulla.

Microsoft Defender käytäntöjen määrittäminen Linuxissa

Voit määrittää virustentorjunnan tai EDR-asetukset päätepisteisiin seuraavilla tavoilla:

Käyttöjärjestelmän päivitykset

Kun päivität käyttöjärjestelmäsi uuteen pääversioon, sinun on ensin poistettava Defender for Endpoint Linuxissa, asennettava päivitys ja lopuksi määritettävä Defender for Endpoint uudelleen Linux-laitteessasi.

Viittaus

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.