Partilhar via


Implementar Microsoft Defender para Endpoint no Linux com o Saltstack

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Este artigo descreve como implementar o Defender para Endpoint no Linux com o Saltstack. Uma implementação bem-sucedida requer a conclusão de todas as seguintes tarefas:

Importante

Este artigo contém informações sobre ferramentas de terceiros. Isto é fornecido para ajudar a concluir cenários de integração. No entanto, a Microsoft não fornece suporte de resolução de problemas para ferramentas de terceiros.
Contacte o fornecedor de terceiros para obter suporte.

Pré-requisitos e requisitos de sistema

Antes de começar, consulte a página principal do Defender para Endpoint no Linux para obter uma descrição dos pré-requisitos e requisitos de sistema para a versão atual do software.

Além disso, para a implementação do Saltstack, tem de estar familiarizado com a administração do Saltstack, ter o Saltstack instalado, configurar os Modelos Globais e Minions e saber como aplicar estados. Saltstack tem muitas formas de concluir a mesma tarefa. Estas instruções assumem a disponibilidade dos módulos do Saltstack suportados, como apt e unarchive para ajudar a implementar o pacote. A sua organização poderá utilizar um fluxo de trabalho diferente. Veja a documentação do Saltstack para obter detalhes.

Seguem-se alguns pontos importantes:

  • O Saltstack está instalado em, pelo menos, um computador (Saltstack chama o computador como mestre).
  • O mestre saltstack aceitou os nós geridos (Saltstack chama os nós como minions).
  • Os minions saltstack são capazes de resolver a comunicação com o mestre saltstack (por predefinição, os lacaios tentam comunicar com uma máquina chamada "sal").
  • Execute o seguinte teste de ping: sudo salt '*' test.ping
  • O mestre saltstack tem uma localização de servidor de ficheiros a partir da qual os ficheiros Microsoft Defender para Endpoint podem ser distribuídos (por predefinição, o Saltstack utiliza a /srv/salt pasta como ponto de distribuição predefinido)

Transferir o pacote de inclusão

Aviso

Reembalar o pacote de instalação do Defender para Endpoint não é um cenário suportado. Fazê-lo pode afetar negativamente a integridade do produto e levar a resultados adversos, incluindo, mas não se limitando a acionar alertas de adulteração e atualizações que não se aplicam.

  1. No portal do Microsoft Defender, aceda a Definições Pontos Finais>Gestão> dedispositivos>Integração.

  2. No primeiro menu pendente, selecione Servidor Linux como o sistema operativo. No segundo menu pendente, selecione A sua ferramenta de gestão de configuração do Linux preferida como método de implementação.

  3. Selecione Transferir pacote de inclusão. Guarde o ficheiro como WindowsDefenderATPOnboardingPackage.zip.

    A opção Transferir pacote de inclusão

  4. No SaltStack Master, extraia o conteúdo do arquivo para a pasta do Servidor SaltStack (normalmente /srv/salt):

    ls -l
    
    total 8
    -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
    
    unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: /srv/salt/mde/mdatp_onboard.json
    

Criar ficheiros de estado saltstack

Neste passo, vai criar um ficheiro de estado SaltState no seu repositório de configuração (normalmente /srv/salt) que aplica os estados necessários para implementar e integrar o Defender para Ponto Final. Em seguida, adicione o repositório e a chave do Defender para Endpoint: install_mdatp.sls.

Nota

O Defender para Endpoint no Linux pode ser implementado a partir de um dos seguintes canais:

Cada canal corresponde a um repositório de software linux.

A escolha do canal determina o tipo e a frequência das atualizações que são oferecidas ao seu dispositivo. Os dispositivos no insider-fast são os primeiros a receber atualizações e novas funcionalidades, seguidos posteriormente por insiders-slow e, por último, por prod.

Para pré-visualizar as novas funcionalidades e fornecer feedback antecipado, recomenda-se que configure alguns dispositivos na sua empresa para utilizarem insiders fast ou insiders-slow.

Aviso

Mudar o canal após a instalação inicial requer que o produto seja reinstalado. Para mudar o canal de produto: desinstale o pacote existente, volte a configurar o dispositivo para utilizar o novo canal e siga os passos neste documento para instalar o pacote a partir da nova localização.

  1. Anote a sua distribuição e versão e identifique a entrada mais próxima da mesma https://packages.microsoft.com/config/[distro]/em .

    Nos seguintes comandos, substitua [distro] e [versão] pelas suas informações.

    Nota

    No caso do Oracle Linux e do Amazon Linux 2, substitua [distro] por "rhel". Para o Amazon Linux 2, substitua [versão] por "7". Para a utilização do Oracle, substitua [versão] pela versão do Oracle Linux.

    cat /srv/salt/install_mdatp.sls
    
    add_ms_repo:
      pkgrepo.managed:
        - humanname: Microsoft Defender Repository
        {% if grains['os_family'] == 'Debian' %}
        - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
        - dist: [codename]
        - file: /etc/apt/sources.list.d/microsoft-[channel].list
        - key_url: https://packages.microsoft.com/keys/microsoft.asc
        - refresh: true
        {% elif grains['os_family'] == 'RedHat' %}
        - name: packages-microsoft-[channel]
        - file: microsoft-[channel]
        - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
        - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
        - gpgcheck: true
        {% endif %}
    
  2. Adicione o estado do pacote instalado a install_mdatp.sls depois do add_ms_repo estado, conforme definido anteriormente.

    install_mdatp_package:
      pkg.installed:
        - name: matp
        - required: add_ms_repo
    
  3. Adicione a implementação do ficheiro de inclusão ao install_mdatp.sls após o install_mdatp_package definido anteriormente.

    copy_mde_onboarding_file:
      file.managed:
        - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
        - source: salt://mde/mdatp_onboard.json
        - required: install_mdatp_package
    

    O ficheiro de estado de instalação concluído deve ter um aspeto semelhante a este resultado:

    add_ms_repo:
    pkgrepo.managed:
    - humanname: Microsoft Defender Repository
    {% if grains['os_family'] == 'Debian' %}
    - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
    - dist: [codename]
    - file: /etc/apt/sources.list.d/microsoft-[channel].list
    - key_url: https://packages.microsoft.com/keys/microsoft.asc
    - refresh: true
    {% elif grains['os_family'] == 'RedHat' %}
    - name: packages-microsoft-[channel]
    - file: microsoft-[channel]
    - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
    - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
    - gpgcheck: true
    {% endif %}
    
    install_mdatp_package:
    pkg.installed:
    - name: mdatp
    - required: add_ms_repo
    
    copy_mde_onboarding_file:
    file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    - source: salt://mde/mdatp_onboard.json
    - required: install_mdatp_package
    
  4. Crie um ficheiro de estado SaltState no repositório de configuração (normalmente /srv/salt) que aplica os estados necessários para remover e remover o Defender para Endpoint. Antes de utilizar o ficheiro de estado de exclusão, tem de transferir o pacote de exclusão a partir do Portal de segurança e extraí-lo da mesma forma que fez o pacote de inclusão. O pacote de exclusão transferido só é válido por um período de tempo limitado.

  5. Crie um ficheiro uninstall_mdapt.sls de estado Desinstalar e adicione o estado para remover o mdatp_onboard.json ficheiro.

    cat /srv/salt/uninstall_mdatp.sls
    
    remove_mde_onboarding_file:
      file.absent:
        - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    
  6. Adicione a implementação do ficheiro de exclusão ao uninstall_mdatp.sls ficheiro após o remove_mde_onboarding_file estado definido na secção anterior.

     offboard_mde:
      file.managed:
        - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
        - source: salt://mde/mdatp_offboard.json
    
  7. Adicione a remoção do pacote MDATP ao uninstall_mdatp.sls ficheiro após o offboard_mde estado definido na secção anterior.

    remove_mde_packages:
      pkg.removed:
        - name: mdatp
    

    O ficheiro de estado de desinstalação completo deve ter um aspeto semelhante ao seguinte resultado:

    remove_mde_onboarding_file:
      file.absent:
        - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    
    offboard_mde:
      file.managed:
        - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
        - source: salt://mde/offboard/mdatp_offboard.json
    
    remove_mde_packages:
       pkg.removed:
         - name: mdatp
    

Implementação

Neste passo, vai aplicar o estado aos lacaios. O comando seguinte aplica o estado às máquinas com o nome que começa por mdetest.

  1. Instalação:

    salt 'mdetest*' state.apply install_mdatp
    

    Importante

    Quando o produto é iniciado pela primeira vez, transfere as definições antimalware mais recentes. Consoante a sua ligação à Internet, esta ação pode demorar alguns minutos.

  2. Validação/configuração:

    salt 'mdetest*' cmd.run 'mdatp connectivity test'
    
    salt 'mdetest*' cmd.run 'mdatp health'
    
  3. Desinstalação:

    salt 'mdetest*' state.apply uninstall_mdatp
    

Problemas de instalação de registos

Para obter mais informações sobre como localizar o registo gerado automaticamente que é criado pelo instalador quando ocorre um erro, veja Problemas de instalação de registos.

Atualizações do sistema operativo

Ao atualizar o seu sistema operativo para uma nova versão principal, primeiro tem de desinstalar o Defender para Endpoint no Linux, instalar a atualização e, por fim, reconfigurar o Defender para Endpoint no Linux no seu dispositivo.

Referência

Consulte também

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.