Поделиться через

Развертывание Defender для конечной точки в Linux с помощью Chef

  • Статья

Важно!

Эта статья содержит сведения о сторонних средствах. Это предоставляется для выполнения сценариев интеграции, однако корпорация Майкрософт не предоставляет поддержку по устранению неполадок для сторонних средств.
Обратитесь за поддержкой к стороннему поставщику.

Применимо к:

Введение

В этой статье рассказывается о том, как развернуть Defender для конечной точки в Linux в большом масштабе с помощью Chef с помощью двух методов:

  1. Установка с помощью скрипта установщика
  2. Настройка репозиториев вручную для более детального управления развертыванием

Предварительные условия

Описание предварительных требований и требований к системе см. в разделе Microsoft Defender для конечной точки в Linux.

Скачивание пакета подключения

  1. Войдите на портал Microsoft Defender, а затем перейдите в раздел Параметры>Конечные> точкиПодключение управления устройствами>.

  2. В первом раскрывающемся меню выберите Сервер Linux в качестве операционной системы. Во втором раскрывающемся меню выберите предпочитаемое средство управления конфигурацией Linux в качестве метода развертывания.

  3. Выберите Скачать пакет подключения и сохраните файл как WindowsDefenderATPOnboardingPackage.zip.

    Параметр для скачивания подключенного пакета.

  4. Извлеките содержимое архива с помощью следующей команды:

    Команда:

    unzip WindowsDefenderATPOnboardingPackage.zip

    Ожидаемый результат:

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: mdatp_onboard.json

Создание структуры каталогов

Прежде чем приступить к работе, убедитесь, что компоненты Chef уже установлены и существует репозиторий Chef (репозиторий создания chef<>) для хранения поваренной книги, используемой для развертывания в Defender для конечной точки на серверах Linux, управляемых Chef.

Следующая команда создает новую структуру папок для новой книги с именем mdatp. Вы также можете использовать существующую поваренную книгу, если у вас уже есть книга, которую вы хотите использовать для добавления развертывания Defender для конечной точки.

chef generate cookbook mdatp

После создания книги поваренной книги создайте папку files в созданной папке поваренной книги:

mkdir mdatp/files

Скопируйте mdatp_onboard.json в папку /tmp .

На рабочей станции Chef перейдите в папку mdatp/recipes , которая автоматически создается при создании поваренной книги. Используйте предпочитаемый текстовый редактор (например, vi или nano), чтобы добавить следующие инструкции в конец файла default.rb , а затем сохранить и закрыть файл:

  • include_recipe "::install_mdatp"

Создание поваренной книги

Книгу поваренной книги можно создать с помощью любого из следующих методов:

Создание книги поваренной книги с помощью скрипта установщика

  1. Скачайте скрипт bash установщика. Извлеките скрипт bash установщика из репозитория Microsoft GitHub или скачайте его с помощью следующей команды:

    wget https://raw.githubusercontent.com/microsoft/mdatp-xplat/refs/heads/master/linux/installation/mde_installer.sh /tmp

  2. Создайте файл рецепта с именем install_mdatp.rb в папке ~/cookbooks/mdatp/recipes/install_mdatp.rb recipes и добавьте в файл следующий текст. Вы также можете скачать файл непосредственно из GitHub.

    mdatp = "/etc/opt/microsoft/mdatp"

#Download the onboarding json from tenant, keep the same at specific location
onboarding_json = "/tmp/mdatp_onboard.json"

#Download the installer script from: https://github.com/microsoft/mdatp-xplat/blob/master/linux/installation/mde_installer.sh
#Place the same at specific location, edit this if needed
mde_installer= "/tmp/mde_installer.sh"


## Invoke the mde-installer script 
bash 'Installing mdatp using mde-installer' do
    code <<-EOS
    chmod +x #{mde_installer}
    #{mde_installer} --install --onboard #{onboarding_json}
    EOS
end

Примечание.

Скрипт установщика также поддерживает другие параметры, такие как канал, защита в реальном времени, версия и т. д. Чтобы выбрать из списка доступных параметров, проверка справку с помощью следующей команды:./mde_installer.sh --help

Создание книги поваренной книги путем настройки репозиториев вручную

Создайте файл рецепта с именем install_mdatp.rb в папке ~/cookbooks/mdatp/recipes/install_mdatp.rb recipes и добавьте в файл следующий текст. Вы также можете скачать файл непосредственно из GitHub.

#Add Microsoft Defender
case node['platform_family']
when 'debian'
 apt_repository 'MDATPRepo' do
   arch               'amd64'
   cache_rebuild      true
   cookbook           false
   deb_src            false
   key                'BC528686B50D79E339D3721CEB3E94ADBE1229CF'
   keyserver          "keyserver.ubuntu.com"
   distribution       'jammy'
   repo_name          'microsoft-prod'
   components         ['main']
   uri                "https://packages.microsoft.com/ubuntu/22.04/prod"
 end
apt_package "mdatp"
when 'rhel'
 yum_repository 'microsoft-prod' do
   baseurl            "https://packages.microsoft.com/rhel/7/prod/"
   description        "Microsoft Defender for Endpoint"
   enabled            true
   gpgcheck           true
   gpgkey             "https://packages.microsoft.com/keys/microsoft.asc"
 end
 if node['platform_version'] <= 8 then
    yum_package "mdatp"
 else
    dnf_package "mdatp"
 end
end

#Create MDATP Directory
mdatp = "/etc/opt/microsoft/mdatp"
onboarding_json = "/tmp/mdatp_onboard.json"

directory "#{mdatp}" do
  owner 'root'
  group 'root'
  mode 0755
  recursive true
end

#Onboarding using tenant json 
file "#{mdatp}/mdatp_onboard.json" do
  content lazy { ::File.open(onboarding_json).read }
  owner 'root'
  group 'root'
  mode '0644'
  action :create_if_missing
end

Примечание.

Вы можете изменить дистрибутив ос, номер версии дистрибутива, канал (prod/insider-fast, insiders-slow) и имя репозитория в соответствии с версией, в которую вы развертываете, и каналом, в котором вы хотите развернуть. Запустите chef-client --local-mode --runlist 'recipe[mdatp]' , чтобы протестировать поваренную книгу на рабочей станции Chef.

Устранение неполадок при установке

Чтобы устранить неполадки, выполните приведенные ниже действия.

  1. Сведения о том, как найти журнал, который создается автоматически при возникновении ошибки установки, см. в разделе Проблемы с установкой журнала.

  2. Сведения о распространенных проблемах с установкой см. в разделе Проблемы с установкой.

  3. Если работоспособность устройства — false, см. статью Проблемы работоспособности агента Defender для конечной точки.

  4. Сведения о проблемах с производительностью продукта см. в статье Устранение проблем с производительностью.

  5. Сведения о проблемах с прокси-сервером и подключением см. в статье Устранение неполадок с подключением к облаку.

Чтобы получить поддержку от Корпорации Майкрософт, откройте запрос в службу поддержки и предоставьте файлы журнала, созданные с помощью анализатора клиента.

Настройка политик для Microsoft Defender в Linux

Вы можете настроить параметры антивирусной программы или EDR на конечных точках с помощью любого из следующих методов:

Удаление поваренной книги MDATP

Чтобы удалить Defender, сохраните следующую версию в виде поваренной книги ~/cookbooks/mdatp/recipes/uninstall_mdatp.rb.

#Uninstall the Defender package
case node['platform_family']
when 'debian'
 apt_package "mdatp" do
   action :remove
 end
when 'rhel'
 if node['platform_version'] <= 8
then
    yum_package "mdatp" do
      action :remove
    end
 else
    dnf_package "mdatp" do
      action :remove
    end
 end
end

Чтобы включить этот шаг в состав рецепта, добавьте include_recipe ':: uninstall_mdatp в файл default.rb в папке recipe. Убедитесь, что вы удалили include_recipe '::install_mdatp' из default.rb файла .

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.