Implementar Microsoft Defender para Ponto de Extremidade no Linux com o Saltstack

Aplica-se a:

• Servidor do Microsoft Defender para Ponto de Extremidade.
• Microsoft Defender para Servidores

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Este artigo descreve como implementar o Defender para Endpoint no Linux com o Saltstack. Uma implementação bem-sucedida requer a conclusão de todos os passos neste artigo.

Importante

Este artigo contém informações sobre ferramentas de terceiros. Isto é fornecido para ajudar a concluir cenários de integração. No entanto, a Microsoft não fornece suporte de resolução de problemas para ferramentas de terceiros.
Contacte o fornecedor de terceiros para obter suporte.

Pré-requisitos e requisitos de sistema

Antes de começar, consulte a página main Defender para Endpoint no Linux para obter uma descrição dos pré-requisitos e requisitos de sistema para a versão atual do software.

Além disso, para a implementação do Saltstack, tem de estar familiarizado com a administração do Saltstack, ter o Saltstack instalado, configurar os Modelos Globais e Minions e saber como aplicar estados. Saltstack tem muitas formas de concluir a mesma tarefa. Estas instruções assumem a disponibilidade dos módulos do Saltstack suportados, como apt e unarchive para ajudar a implementar o pacote. A sua organização poderá utilizar um fluxo de trabalho diferente. Para obter mais informações, veja a documentação do Saltstack.

Seguem-se alguns pontos importantes:

• O Saltstack está instalado em pelo menos um computador (Saltstack chama o computador como o master).
• O Saltstack master aceitou os nós geridos (Saltstack chama os nós como minions).
• Os minions saltstack são capazes de resolve comunicação com a master Saltstack (por predefinição, os lacaios tentam comunicar com uma máquina chamada sal).
• Execute o seguinte teste de ping: sudo salt '*' test.ping
• O saltstack master tem uma localização do servidor de ficheiros a partir da qual os ficheiros de Microsoft Defender para Ponto de Extremidade podem ser distribuídos (por predefinição, o Saltstack utiliza a /srv/salt pasta como ponto de distribuição predefinido)

Transferir o pacote de inclusão

Aviso

Reembalar o pacote de instalação do Defender para Endpoint não é um cenário suportado. Fazê-lo pode afetar negativamente a integridade do produto e levar a resultados adversos, incluindo, mas não se limitando a acionar alertas de adulteração e atualizações que não se aplicam.

1. No portal do Microsoft Defender, aceda a Definições Pontos Finais>Gestão> dedispositivos>Integração.

2. No primeiro menu pendente, selecione Servidor Linux como o sistema operativo. No segundo menu pendente, selecione A sua ferramenta de gestão de configuração do Linux preferida como método de implementação.

3. Selecione Baixar pacote de integração. Guarde o ficheiro como WindowsDefenderATPOnboardingPackage.zip.

   

4. No SaltStack Master, extraia o conteúdo do arquivo para a pasta do Servidor SaltStack (normalmente /srv/salt):

   unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: /srv/salt/mde/mdatp_onboard.json
   

Criar ficheiros de estado saltstack

Existem duas formas de criar os ficheiros de estado saltstack:

• Utilize o Script do instalador (recomendado): Com este método, o script automatiza a implementação ao instalar o agente, ao integrar o dispositivo no portal do Microsoft Defender e ao configurar os repositórios para escolher o agente correto compatível com a distribuição do Linux.

• Configure manualmente os repositórios: Com este método, os repositórios têm de ser configurados manualmente, juntamente com a seleção da versão do agente compatível com a distribuição do Linux. Este método dá-lhe um controlo mais granular sobre o processo de implementação.

Criar ficheiros de estado do Saltstack com o script do instalador

1. Extraia o script bash do instalador do Repositório do Microsoft GitHub ou utilize o seguinte comando para transferi-lo:

   wget https://raw.githubusercontent.com/microsoft/mdatp-xplat/refs/heads/master/linux/installation/mde_installer.sh /srv/salt/mde/
   

2. Crie o ficheiro /srv/salt/install_mdatp.sls de estado com o seguinte conteúdo. O mesmo pode ser transferido a partir do GitHub

   #Download the mde_installer.sh: https://github.com/microsoft/mdatp-xplat/blob/master/linux/installation/mde_installer.sh
    install_mdatp_package:
      cmd.run:
        - name: /srv/salt/mde/mde_installer.sh --install --onboard /srv/salt/mde/mdatp_onboard.json
        - shell: /bin/bash
        - unless: 'pgrep -f mde_installer.sh'
   

Observação

O script do instalador também suporta outros parâmetros, tais como canal (insiders-fast, insiders-slow, prod (predefinição) ), proteção em tempo real, versão, etc. Para selecionar a partir da lista de opções disponíveis, marcar ajuda através do seguinte comando:./mde_installer.sh --help

Criar ficheiros de estado do Saltstack ao configurar manualmente os repositórios

Neste passo, vai criar um ficheiro de estado SaltState no seu repositório de configuração (normalmente /srv/salt) que aplica os estados necessários para implementar e integrar o Defender para Ponto Final. Em seguida, adicione o repositório e a chave do Defender para Endpoint: install_mdatp.sls.

Observação

O Defender para Endpoint no Linux pode ser implementado a partir de um dos seguintes canais:

• insiders-fast, indicado como [channel]
• insiders-slow, indicado como [channel]
• prod, indicado como [channel] utilizando o nome da versão (veja Repositório de Software Linux para Produtos Microsoft)

Cada canal corresponde a um repositório de software linux. A escolha do canal determina o tipo e a frequência das atualizações que são oferecidas ao seu dispositivo. Os dispositivos no insider-fast são os primeiros a receber atualizações e novas funcionalidades, seguidos posteriormente por insiders-slow e, por último, por prod.

Para pré-visualizar as novas funcionalidades e fornecer feedback antecipado, recomenda-se que configure alguns dispositivos na sua empresa para utilizarem insiders fast ou insiders-slow.

Aviso

Mudar o canal após a instalação inicial requer que o produto seja reinstalado. Para mudar o canal de produto: desinstale o pacote existente, volte a configurar o dispositivo para utilizar o novo canal e siga os passos neste documento para instalar o pacote a partir da nova localização.

1. Anote a sua distribuição e versão e identifique a entrada mais próxima da mesma https://packages.microsoft.com/config/[distro]/em .

2. Nos seguintes comandos, substitua [distro] e [versão] pelas suas informações.

   Observação

   No caso do Oracle Linux e do Amazon Linux 2, substitua [distro] por "rhel". Para o Amazon Linux 2, substitua [versão] por "7". Para a utilização do Oracle, substitua [versão] pela versão do Oracle Linux.

   cat /srv/salt/install_mdatp.sls
   

   add_ms_repo:
     pkgrepo.managed:
       - humanname: Microsoft Defender Repository
       {% if grains['os_family'] == 'Debian' %}
       - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
       - dist: [codename]
       - file: /etc/apt/sources.list.d/microsoft-[channel].list
       - key_url: https://packages.microsoft.com/keys/microsoft.asc
       - refresh: true
       {% elif grains['os_family'] == 'RedHat' %}
       - name: packages-microsoft-[channel]
       - file: microsoft-[channel]
       - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
       - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
       - gpgcheck: true
       {% endif %}
   

3. Adicione o estado do pacote instalado a install_mdatp.sls depois do add_ms_repo estado, conforme definido anteriormente.

   install_mdatp_package:
     pkg.installed:
       - name: matp
       - required: add_ms_repo
   

4. Adicione a implementação do ficheiro de inclusão ao install_mdatp.sls após o install_mdatp_package definido anteriormente.

   copy_mde_onboarding_file:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
       - source: salt://mde/mdatp_onboard.json
       - required: install_mdatp_package
   

   O ficheiro de estado de instalação concluído deve ter um aspeto semelhante a este resultado:

   add_ms_repo:
   pkgrepo.managed:
   - humanname: Microsoft Defender Repository
   {% if grains['os_family'] == 'Debian' %}
   - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
   - dist: [codename]
   - file: /etc/apt/sources.list.d/microsoft-[channel].list
   - key_url: https://packages.microsoft.com/keys/microsoft.asc
   - refresh: true
   {% elif grains['os_family'] == 'RedHat' %}
   - name: packages-microsoft-[channel]
   - file: microsoft-[channel]
   - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
   - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
   - gpgcheck: true
   {% endif %}
   
   install_mdatp_package:
   pkg.installed:
   - name: mdatp
   - required: add_ms_repo
   
   copy_mde_onboarding_file:
   file.managed:
   - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   - source: salt://mde/mdatp_onboard.json
   - required: install_mdatp_package
   

5. Crie um ficheiro de estado SaltState no repositório de configuração (normalmente /srv/salt) que aplica os estados necessários para remover e remover o Defender para Endpoint. Antes de utilizar o ficheiro de estado de exclusão, tem de transferir o pacote de exclusão do portal do Microsoft Defender e extraí-lo da mesma forma que fez com o pacote de inclusão. O pacote de exclusão transferido só é válido por um período de tempo limitado.

6. Crie um ficheiro uninstall_mdapt.sls de estado Desinstalar e adicione o estado para remover o mdatp_onboard.json ficheiro.

   cat /srv/salt/uninstall_mdatp.sls
   

   remove_mde_onboarding_file:
     file.absent:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   

7. Adicione a implementação do ficheiro de exclusão ao uninstall_mdatp.sls ficheiro após o remove_mde_onboarding_file estado definido na secção anterior.

    offboard_mde:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
       - source: salt://mde/mdatp_offboard.json
   

8. Adicione a remoção do pacote MDATP ao uninstall_mdatp.sls ficheiro após o offboard_mde estado definido na secção anterior.

   remove_mde_packages:
     pkg.removed:
       - name: mdatp
   

   O ficheiro de estado de desinstalação completo deve ter um aspeto semelhante ao seguinte resultado:

   remove_mde_onboarding_file:
     file.absent:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   
   offboard_mde:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
       - source: salt://mde/offboard/mdatp_offboard.json
   
   remove_mde_packages:
      pkg.removed:
        - name: mdatp
   

Implementar o Defender no Ponto Final com os ficheiros de estado criados anteriormente

Este passo aplica-se ao script do instalador ou ao método de configuração manual. Neste passo, vai aplicar o estado aos lacaios. O comando seguinte aplica o estado às máquinas com o nome que começa por mdetest.

1. Instalação:

   salt 'mdetest*' state.apply install_mdatp
   

   Importante

   Quando o produto é iniciado pela primeira vez, transfere as definições antimalware mais recentes. Consoante a sua ligação à Internet, esta ação pode demorar alguns minutos.

2. Validação/configuração:

   salt 'mdetest*' cmd.run 'mdatp connectivity test'
   

   salt 'mdetest*' cmd.run 'mdatp health'
   

3. Desinstalação:

   salt 'mdetest*' state.apply uninstall_mdatp
   

Solucionar problemas de instalação

Para resolver problemas:

1. Para obter informações sobre como localizar o registo gerado automaticamente quando ocorre um erro de instalação, veja Problemas de instalação de registos.

2. Para obter informações sobre problemas comuns de instalação, veja Problemas de instalação.

3. Se o estado de funcionamento do dispositivo for false, consulte Problemas de estado de funcionamento do agente do Defender para Endpoint.

4. Para problemas de desempenho do produto, veja Resolver problemas de desempenho.

5. Para problemas de proxy e conectividade, veja Resolver problemas de conectividade da cloud.

Para obter suporte da Microsoft, abra um pedido de suporte e forneça os ficheiros de registo criados com o analisador de cliente.

Como configurar políticas para Microsoft Defender no Linux

Pode configurar as definições de antivírus ou EDR nos pontos finais com qualquer um dos seguintes métodos:

• Veja Definir preferências para Microsoft Defender para Ponto de Extremidade no Linux.
• Veja Gestão de definições de segurança para configurar as definições no portal do Microsoft Defender.

Atualizações do sistema operativo

Ao atualizar o seu sistema operativo para uma nova versão principal, primeiro tem de desinstalar o Defender para Endpoint no Linux, instalar a atualização e, por fim, reconfigurar o Defender para Endpoint no seu dispositivo Linux.

Referências

• Documentação do Salt Project

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.