Condividi tramite


Distribuire Defender per Endpoint su Linux con Chef

Importante

Questo articolo contiene informazioni sugli strumenti di terze parti. Questo viene fornito per semplificare il completamento degli scenari di integrazione, tuttavia, Microsoft non fornisce supporto per la risoluzione dei problemi per gli strumenti di terze parti.
Per assistenza, contattare il fornitore di terze parti.

Prima di iniziare: installare unzip se non è già installato.

I componenti Chef sono già installati ed esiste un repository Chef (chef genera il nome> del repository<) per archiviare il cookbook usato per la distribuzione in Defender per endpoint nei server Linux gestiti da Chef.

È possibile creare un nuovo cookbook nel repository esistente eseguendo il comando seguente dall'interno della cartella cookbooks presente nel repository chef:

chef generate cookbook mdatp

Questo comando crea una nuova struttura di cartelle per il nuovo cookbook denominato mdatp. È anche possibile usare un libro di cucina esistente se ne si vuole già usare uno per aggiungere la distribuzione di Defender per endpoint. Dopo aver creato il libro di cucina, creare una cartella di file all'interno della cartella del libro di cucina appena creata:

mkdir mdatp/files

Trasferire il file ZIP di onboarding del server Linux che può essere scaricato dal portale di Microsoft Defender in questa nuova cartella di file.

Avviso

Il riconfezionamento del pacchetto di installazione di Defender per endpoint non è uno scenario supportato. Ciò può influire negativamente sull'integrità del prodotto e portare a risultati negativi, tra cui, a titolo esemplificabile, l'attivazione di avvisi di manomissione e l'impossibilità di applicare gli aggiornamenti.

Nella workstation Chef passare alla cartella mdatp/recipes. Questa cartella viene creata quando è stato generato il cookbook. Usare l'editor di testo preferito , ad esempio vi o nano, per aggiungere le istruzioni seguenti alla fine del file default.rb:

  • include_recipe '::onboard_mdatp'
  • include_recipe '::install_mdatp'

Salvare quindi e chiudere il file default.rb.

Creare quindi un nuovo file di ricette denominato install_mdatp.rb nella cartella recipes e aggiungere questo testo al file:

#Add Microsoft Defender
Repo
case node['platform_family']
when 'debian'
 apt_repository 'MDAPRepo' do
   arch               'amd64'
   cache_rebuild      true
   cookbook           false
   deb_src            false
   key                'BC528686B50D79E339D3721CEB3E94ADBE1229CF'
   keyserver          "keyserver.ubuntu.com"
   distribution       'focal'
   repo_name          'microsoft-prod'
   components         ['main']
   trusted            true
   uri                "https://packages.microsoft.com/config/ubuntu/20.04/prod"
 end
 apt_package "mdatp"
when 'rhel'
 yum_repository 'microsoft-prod' do
   baseurl            "https://packages.microsoft.com/config/rhel/7/prod/"
   description        "Microsoft Defender for Endpoint"
   enabled            true
   gpgcheck           true
   gpgkey             "https://packages.microsoft.com/keys/microsoft.asc"
 end
 if node['platform_version'] <= 8 then
    yum_package "mdatp"
 else
    dnf_package "mdatp"
 end
end

È necessario modificare il numero di versione, la distribuzione e il nome del repository in modo che corrispondano alla versione in cui si sta distribuendo e al canale che si vuole distribuire. Successivamente è necessario creare un file onboard_mdatp.rb nella cartella mdatp/recipies. Aggiungere il testo seguente al file:

#Create MDATP Directory
mdatp = "/etc/opt/microsoft/mdatp"
zip_path = "/path/to/chef-repo/cookbooks/mdatp/files/WindowsDefenderATPOnboardingPackage.zip"

directory "#{mdatp}" do
  owner 'root'
  group 'root'
  mode 0755
  recursive true
end

#Extract WindowsDefenderATPOnbaordingPackage.zip into /etc/opt/microsoft/mdatp

bash 'Extract Onboarding Json MDATP' do
  code <<-EOS
  unzip #{zip_path} -d #{mdatp}
  EOS
  not_if { ::File.exist?('/etc/opt/microsoft/mdatp/mdatp_onboard.json') }
end

Assicurarsi di aggiornare il nome del percorso al percorso del file di onboarding. Per testare la distribuzione nella workstation Chef, eseguire sudo chef-client -z -o mdatp. Dopo la distribuzione, è consigliabile creare e distribuire un file di configurazione nei server in base a Imposta preferenze per Microsoft Defender per endpoint in Linux. Dopo aver creato e testato il file di configurazione, è possibile inserirlo nella cookbook/mdatp/files cartella in cui è stato inserito anche il pacchetto di onboarding. È quindi possibile creare un file settings_mdatp.rb nella cartella mdatp/recipies e aggiungere questo testo:

#Copy the configuration file
cookbook_file '/etc/opt/microsoft/mdatp/managed/mdatp_managed.json' do
  source 'mdatp_managed.json'
  owner 'root'
  group 'root'
  mode '0755'
  action :create
end

Per includere questo passaggio come parte della ricetta, è sufficiente aggiungere include_recipe ':: settings_mdatp al file default.rb all'interno della cartella recipe.

È anche possibile usare crontab per pianificare gli aggiornamenti automatici Pianificare un aggiornamento del Microsoft Defender per endpoint (Linux).You can also use crontab to schedule automatic updates Schedule an update of the Microsoft Defender per endpoint (Linux).

Disinstallare il cookbook MDATP:

#Uninstall the Defender package
case node['platform_family']
when 'debian'
 apt_package "mdatp" do
   action :remove
 end
when 'rhel'
 if node['platform_version'] <= 8
then
    yum_package "mdatp" do
      action :remove
    end
 else
    dnf_package "mdatp" do
      action :remove
    end
 end
end

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.