Distribuer Microsoft Defender for endepunkt på Linux med marionett

Gjelder for:

• Microsoft Defender for endepunkt Server
• Microsoft Defender for servere

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Denne artikkelen beskriver hvordan du distribuerer Defender for Endpoint på Linux ved hjelp av Marionett.

Viktig

Denne artikkelen inneholder informasjon om tredjepartsverktøy. Dette tilbys for å fullføre integreringsscenarioer, men Microsoft tilbyr ikke feilsøkingsstøtte for tredjepartsverktøy.
Kontakt tredjepartsleverandøren for å få støtte.

Forutsetninger og systemkrav

Hvis du vil ha en beskrivelse av forutsetninger og systemkrav, kan du se Microsoft Defender for endepunkt på Linux.

I tillegg, for dukkenettdistribusjon, må du være kjent med dukkens administrasjonsoppgaver, ha marionett konfigurert og vet hvordan du distribuerer pakker. Dukken har mange måter å fullføre den samme oppgaven på. Disse instruksjonene forutsetter tilgjengelighet av støttede marionettmoduler, for eksempel til å hjelpe til med å distribuere pakken. Organisasjonen kan bruke en annen arbeidsflyt. Hvis du vil ha mer informasjon, kan du se dukkedokumentasjon.

Last ned pålastingspakken

Last ned pålastingspakken fra Microsoft Defender portal.

Advarsel

Ompakking av installasjonspakken defender for endepunkt er ikke et støttet scenario. Dette kan påvirke integriteten til produktet negativt og føre til uønskede resultater, inkludert, men ikke begrenset til å utløse manipuleringsvarsler og oppdateringer som ikke gjelder.

1. Gå tilPålasting forenhetsbehandling>> for innstillinger> for endepunkter i Microsoft Defender-portalen.

2. Velg Linux Server som operativsystem i den første rullegardinmenyen. I den andre rullegardinmenyen velger du ditt foretrukne administrasjonsverktøy for Linux-konfigurasjon som distribusjonsmetode.

3. Velg Last ned pålastingspakke. Lagre filen som WindowsDefenderATPOnboardingPackage.zip.

   

4. Trekk ut innholdet i arkivet.

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: mdatp_onboard.json
   

Opprette en katalogstruktur

Du må opprette en katalogstruktur for å distribuere Defender for Endpoint på Linux til enheter som administreres av en marionettserver. Dette eksemplet bruker apt modulene og yumrepo er tilgjengelige fra puppetlabs, og forutsetter at modulene er installert på marionettserveren.

1. Opprett mappeneinstall_mdatp/files og install_mdatp/manifestsunder moduler-mappen hvis marionettinstallasjonen er opprettet. Moduler-mappen er vanligvis plassert på /etc/puppetlabs/code/environments/production/modules marionettserveren.

2. Kopier filen som mdatp_onboard.json ble opprettet tidligere, install_mdatp/files til mappen.

3. Opprett en init.pp fil som inneholder distribusjonsinstruksjonene:

   pwd
   

   /etc/puppetlabs/code/environments/production/modules
   

   tree install_mdatp
   

   install_mdatp
   ├── files
   │   └── mdatp_onboard.json
   └── manifests
       └── init.pp
   

Opprett et marionettmanifest

Det finnes to måter å opprette en manifestfil på:

• Bruke et installasjonsskript. eller
• Konfigurer repositoriene manuelt.

Opprette et manifest for å distribuere Defender for Endpoint ved hjelp av et installasjonsskript

1. Last ned bash-skriptet for installasjonsprogrammet. Hent bash-skriptet for installasjonsprogrammet fra Microsoft GitHub Repository, eller bruk følgende kommando til å laste det ned.

wget https://raw.githubusercontent.com/microsoft/mdatp-xplat/refs/heads/master/linux/installation/mde_installer.sh /etc/puppetlabs/code/environments/production/modules/install_mdatp/files/

2. Legg til følgende innhold i install_mdatp/manifests/init.pp filen. Du kan også laste ned filen direkte fra GitHub

# Puppet manifest to install Microsoft Defender for Endpoint on Linux.
# @param channel The release channel based on your environment, insider-fast or prod.

class install_mdatp (
  $channel = 'prod',
) {
  # Ensure that the directory /tmp/mde_install exists
  file { '/tmp/mde_install':
    ensure => directory,
    mode   => '0755',
  }

  # Copy the installation script to the destination
  file { '/tmp/mde_install/mde_installer.sh':
    ensure => file,
    source => 'puppet:///modules/install_mdatp/mde_installer.sh',
    mode   => '0777',
  }

  # Copy the onboarding script to the destination
  file { '/tmp/mde_install/mdatp_onboard.json':
    ensure => file,
    source => 'puppet:///modules/install_mdatp/mdatp_onboard.json',
    mode   => '0777',
  }

  # Install MDE on the host using an external script
  exec { 'install_mde':
    command     => "/tmp/mde_install/mde_installer.sh --install --channel ${channel} --onboard /tmp/mde_install/mdatp_onboard.json",
    path        => '/bin:/usr/bin',
    user        => 'root',
    logoutput   => true,
    require     => File['/tmp/mde_install/mde_installer.sh', '/tmp/mde_install/mdatp_onboard.json'], # Ensure the script is copied before running the installer
  }

}

Obs!

Installasjonsskriptet støtter også andre parametere, for eksempel kanal, sanntidsbeskyttelse, versjon osv. Hvis du vil velge fra listen over tilgjengelige alternativer, kontrollerer du hjelpen. ./mde_installer.sh --help

Opprett et manifest for å distribuere Defender for endepunkt ved å konfigurere repositorier manuelt

Legg til følgende innhold i install_mdatp/manifests/init.pp filen. Du kan også laste den ned fra GitHub.

# Puppet manifest to install Microsoft Defender for Endpoint on Linux.
# @param channel The release channel based on your environment, insider-fast or prod.

class install_mdatp::configure_debian_repo (
  String $channel,
  String $distro,
  String $version ) {
  # Configure the APT repository for Debian-based systems

  $release = $channel ? {
    'prod'  => $facts['os']['distro']['codename'],
    default => $channel
    }
  
  apt::source { 'microsoftpackages':
    location => "https://packages.microsoft.com/${distro}/${version}/prod",
    release  => $release,
    repos    => 'main',
    key      => {
      'id'     => 'BC528686B50D79E339D3721CEB3E94ADBE1229CF',
      'server' => 'keyserver.ubuntu.com',
    },
  }
}

class install_mdatp::configure_redhat_repo (
  String $channel,
  String $distro,
  String $version) {
  # Configure the Yum repository for RedHat-based systems
  
  yumrepo { 'microsoftpackages':
    baseurl  => "https://packages.microsoft.com/rhel/${version}/prod",
    descr    => 'packages-microsoft-com-prod',
    enabled  => 1,
    gpgcheck => 1,
    gpgkey   => 'https://packages.microsoft.com/keys/microsoft.asc',
  }
}

class install_mdatp::install {
  # Common configurations for both Debian and RedHat
  
  file { ['/etc/opt', '/etc/opt/microsoft', '/etc/opt/microsoft/mdatp']:
    ensure  => directory,
    owner   => 'root',
    group   => 'root',
    mode    => '0755',
  }

  file { '/etc/opt/microsoft/mdatp/mdatp_onboard.json':
    source  => 'puppet:///modules/install_mdatp/mdatp_onboard.json',
    owner   => 'root',
    group   => 'root',
    mode    => '0600',
    require => File['/etc/opt/microsoft/mdatp'],
  }

  # Install mdatp package
  package { 'mdatp':
    ensure  => installed,
    require => [
      File['/etc/opt/microsoft/mdatp/mdatp_onboard.json'],
    ],
  }
}


class install_mdatp (
  $channel = 'prod'
) {
  # Include the appropriate class based on the OS family
  
  $distro = downcase($facts['os']['name'])
  $version = $facts['os']['release']['major']
  
  case $facts['os']['family'] {
    'Debian': {
      class { 'install_mdatp::configure_debian_repo':
        channel => 'prod',
        distro => $distro,
        version => $version
        } -> class { 'install_mdatp::install': }
    }
    'RedHat': {
      class { 'install_mdatp::configure_redhat_repo':
        channel => 'prod',
        distro => $distro,
        version => $version,
        } -> class { 'install_mdatp::install': }
    }
    default: { fail("${facts['os']['family']} is currently not supported.")}
  }
}

Obs!

Defender for Endpoint på Linux kan distribueres fra en av følgende kanaler: insiders-fast, insiders-slow, prod. Hver kanal tilsvarer et Linux-programvarerepositorium. Valget av kanalen bestemmer typen og hyppigheten av oppdateringene som tilbys til enheten. Enheter i insiders-fast er de første som mottar oppdateringer og nye funksjoner i forhåndsversjon, etterfulgt av insiders-slow, og til slutt av prod. Legg merke til distribusjonen og versjonen, og identifiser den nærmeste oppføringen for den under https://packages.microsoft.com/config/[distro]/[version].

Advarsel

Hvis du bytter kanal etter den første installasjonen, må produktet installeres på nytt. Slik bytter du produktkanal: avinstaller den eksisterende pakken, konfigurer enheten på nytt til å bruke den nye kanalen, og følg fremgangsmåten i dette dokumentet for å installere pakken fra den nye plasseringen.

Inkluder manifestet i site.pp-filen

Inkluder manifestet som er beskrevet tidligere i denne artikkelen i site.pp filen:

cat /etc/puppetlabs/code/environments/production/manifests/site.pp

node "default" {
    include install_mdatp
}

Registrerte agentenheter avspørrer dukkeserveren regelmessig og installerer nye konfigurasjonsprofiler og -policyer så snart de oppdages.

Overvåk distribusjonen av dukken

På agentenheten kan du også kontrollere distribusjonsstatusen ved å kjøre følgende kommando:

mdatp health

...
healthy                                 : true
health_issues                           : []
licensed                                : true
org_id                                  : "[your organization identifier]"
...

• healthy: Bekreft at Defender for endepunkt er distribuert og operativ.
• health_issues: Sier problemene som førte til at den sunne statusen ble usann.
• licensed: Bekrefter at enheten er knyttet til organisasjonen.
• orgId: Organisasjonsidentifikatoren defender for endepunkt.

Feilsøke installasjonsproblemer

Hvis det oppstår problemer under installasjonen, kan du prøve disse selvfeilsøkingstrinnene:

1. Se logginstallasjonsproblemer for mer informasjon om hvordan du finner den automatisk genererte loggen som opprettes av installasjonsprogrammet når det oppstår en feil.

2. Se installasjonsproblemer for mer informasjon om vanlige installasjonsproblemer

3. Hvis tilstanden til enheten er usann, kan du se MDE agenttilstandsproblemer

4. Hvis du vil ha informasjon om problemer med produktytelsen, kan du se Feilsøke ytelsesproblemer, ytelsesjustering

5. Hvis du vil ha informasjon om proxy- og tilkoblingsproblemer, kan du se Feilsøke problemer med skytilkoblingen

Hvis du vil ha støtte fra Microsoft, kan du samle inn en støtteforespørsel og oppgi loggfiler ved hjelp av klientanalyse

Slik konfigurerer du policyer for Microsoft Defender på Linux

Du kan konfigurere innstillinger for antivirus og EDR på endepunktene. Hvis du vil ha mer informasjon, kan du se følgende artikler:

• Angi innstillinger for Microsoft Defender for endepunkt på Linux beskriver de tilgjengelige innstillingene
• Administrasjon av sikkerhetsinnstillinger beskriver hvordan du konfigurerer innstillinger i Microsoft Defender-portalen.

Operativsystemoppgraderinger

Når du oppgraderer operativsystemet til en ny hovedversjon, må du først avinstallere Defender for Endpoint på Linux, installere oppgraderingen og deretter konfigurere Defender for Endpoint på Linux på enheten på nytt.

Avinstallasjon

Opprett en modul remove_mdatp som ligner install_mdatp på følgende innhold i init.pp filen:

class remove_mdatp {
    package { 'mdatp':
        ensure => 'purged',
    }
}

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.