使用 Chef 在 Linux 上部署適用於端點的 Microsoft Defender

發行項
12/21/2024

重要事項

本文包含第三方工具的相關信息。這是為了協助完成整合案例而提供，不過，Microsoft不會提供第三方工具的疑難解答支援。
請連絡第三方廠商以取得支援。

適用於：

適用於端點的 Microsoft Defender 伺服器
伺服器的 Microsoft Defender

簡介

本文討論如何使用兩種方法，在 Linux 上使用 Chef 大規模部署適用於端點的 Defender：

使用安裝程式文稿安裝
手動設定存放庫，以更精細地控制部署

必要條件

如需必要條件和系統需求的說明，請參閱 Linux 上的適用於端點的 Microsoft Defender。

下載上線套件

登入 Microsoft Defender 入口網站，然後流覽至 [設定>端點>裝置管理>上線]。
在第一個下拉功能表中，選取 [Linux Server ] 作為操作系統。在第二個下拉功能表中，選 取 [您慣用的Linux組態管理工具 ] 作為部署方法。
選 取 [下載上線套件] ，並將檔案儲存為 WindowsDefenderATPOnboardingPackage.zip。

使用下列命令擷取封存的內容：

命令：

unzip WindowsDefenderATPOnboardingPackage.zip

預期的輸出如下：

Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: mdatp_onboard.json

建立目錄結構

開始之前，請確定 Chef 元件已安裝，且 Chef (Chef 產生存放 <庫重新> 命名) 來儲存用來在 Chef 受控 Linux 伺服器上部署至適用於端點的 Defender 的 Cookbook。

下列命令會為名為 mdatp 的新手冊建立新的資料夾結構。如果您已經有想要用來新增適用於端點的 Defender 部署的活頁簿，您也可以使用現有的活頁簿。

chef generate cookbook mdatp

建立手冊之後，請在您建立的cookbook資料夾內建立 files 資料夾：

mkdir mdatp/files

複製 mdatp_onboard.json 到檔案 /tmp 夾。

在 Chef 工作站上，流覽至 mdatp/recipes 資料夾，此資料夾會在產生手冊時自動建立。使用您慣用的文本編輯器 (如 vi 或 nano) ，將下列指示新增至 default.rb 檔案的結尾，然後儲存並關閉檔案：

include_recipe '：：install_mdatp'

建立手冊

您可以透過下列任一方法來建立手冊：

使用安裝程式腳本建立活頁簿

下載安裝程式bash腳本。從 GitHub 存放庫Microsoft 提取安裝程式 bash 腳本，或使用下列命令下載：
```
wget https://raw.githubusercontent.com/microsoft/mdatp-xplat/refs/heads/master/linux/installation/mde_installer.sh /tmp
```

在 recipes 資料夾~/cookbooks/mdatp/recipes/install_mdatp.rb中建立名為 install_mdatp.rb 的新配方檔案，並將下列文字新增至檔案。您也可以直接從 GitHub 下載檔案。

mdatp = "/etc/opt/microsoft/mdatp"

#Download the onboarding json from tenant, keep the same at specific location
onboarding_json = "/tmp/mdatp_onboard.json"

#Download the installer script from: https://github.com/microsoft/mdatp-xplat/blob/master/linux/installation/mde_installer.sh
#Place the same at specific location, edit this if needed
mde_installer= "/tmp/mde_installer.sh"


## Invoke the mde-installer script 
bash 'Installing mdatp using mde-installer' do
    code <<-EOS
    chmod +x #{mde_installer}
    #{mde_installer} --install --onboard #{onboarding_json}
    EOS
end

注意事項

安裝程式腳本也支援其他參數，例如通道、即時保護、版本等。若要從可用選項清單中選取，請透過下列命令檢查說明： ./mde_installer.sh --help

手動設定存放庫來建立手冊

在 recipes 資料夾~/cookbooks/mdatp/recipes/install_mdatp.rb中建立名為 install_mdatp.rb 的新配方檔案，並將下列文字新增至檔案。您也可以直接從 Github 下載檔案。

#Add Microsoft Defender
case node['platform_family']
when 'debian'
 apt_repository 'MDATPRepo' do
   arch               'amd64'
   cache_rebuild      true
   cookbook           false
   deb_src            false
   key                'BC528686B50D79E339D3721CEB3E94ADBE1229CF'
   keyserver          "keyserver.ubuntu.com"
   distribution       'jammy'
   repo_name          'microsoft-prod'
   components         ['main']
   uri                "https://packages.microsoft.com/ubuntu/22.04/prod"
 end
apt_package "mdatp"
when 'rhel'
 yum_repository 'microsoft-prod' do
   baseurl            "https://packages.microsoft.com/rhel/7/prod/"
   description        "Microsoft Defender for Endpoint"
   enabled            true
   gpgcheck           true
   gpgkey             "https://packages.microsoft.com/keys/microsoft.asc"
 end
 if node['platform_version'] <= 8 then
    yum_package "mdatp"
 else
    dnf_package "mdatp"
 end
end

#Create MDATP Directory
mdatp = "/etc/opt/microsoft/mdatp"
onboarding_json = "/tmp/mdatp_onboard.json"

directory "#{mdatp}" do
  owner 'root'
  group 'root'
  mode 0755
  recursive true
end

#Onboarding using tenant json 
file "#{mdatp}/mdatp_onboard.json" do
  content lazy { ::File.open(onboarding_json).read }
  owner 'root'
  group 'root'
  mode '0644'
  action :create_if_missing
end

注意事項

您可以修改 os 散發套件、散發版本號碼、通道 (prod/insider-fast、insider-slow) 和存放庫名稱，以符合您要部署至的版本和您想要部署至的通道。執行 chef-client --local-mode --runlist 'recipe[mdatp]' 以測試 Chef 工作站上的手冊。

安裝問題的疑難排解

若要針對問題進行疑難解答：

如需如何尋找安裝錯誤發生時自動產生的記錄檔的相關信息，請參閱記錄安裝問題。
如需常見安裝問題的相關信息，請參閱安裝問題。
如果裝置的健康情況是 false，請參閱適用於端點的 Defender 代理程式健康情況問題。
如需產品效能問題，請參閱針對效能問題進行疑難解答。
如需 Proxy 和連線問題，請參閱針對雲端連線問題進行疑難解答。

若要從Microsoft取得支援，請開啟支援票證，並提供使用用戶端分析器建立的記錄檔。

如何在Linux上設定 Microsoft Defender的原則

您可以使用下列任何方法，在端點上設定防病毒軟體或 EDR 設定：

請參閱設定 Linux 上適用於端點的 Microsoft Defender 的喜好設定。
請參閱安全性設定管理，以在 Microsoft Defender 入口網站中設定設定。

卸載 MDATP 手冊

若要卸載 Defender，請將下列內容儲存為活頁簿 ~/cookbooks/mdatp/recipes/uninstall_mdatp.rb。

#Uninstall the Defender package
case node['platform_family']
when 'debian'
 apt_package "mdatp" do
   action :remove
 end
when 'rhel'
 if node['platform_version'] <= 8
then
    yum_package "mdatp" do
      action :remove
    end
 else
    dnf_package "mdatp" do
      action :remove
    end
 end
end

若要將此步驟納入配方，請將新 include_recipe ':: uninstall_mdatp 增至您 default.rb 在 recipe 資料夾內的檔案。請確定您已從檔案中default.rb移除 include_recipe '::install_mdatp' 。

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群：適用於端點的 Microsoft Defender 技術社群。

共用方式為