共用方式為


使用 Chef 在 Linux 上部署適用於端點的 Microsoft Defender

重要事項

本文包含第三方工具的相關信息。 這是為了協助完成整合案例而提供,不過,Microsoft不會提供第三方工具的疑難解答支援。
請連絡第三方廠商以取得支援。

適用於

簡介

本文討論如何使用兩種方法,在 Linux 上使用 Chef 大規模部署適用於端點的 Defender:

  1. 使用安裝程式文稿安裝
  2. 手動設定存放庫,以更精細地控制部署

必要條件

如需必要條件和系統需求的說明,請參閱 Linux 上的 適用於端點的 Microsoft Defender

下載上線套件

  1. 登入 Microsoft Defender 入口網站,然後流覽至 [設定>端點>裝置管理>上線]

  2. 在第一個下拉功能表中,選取 [Linux Server ] 作為操作系統。 在第二個下拉功能表中,選 取 [您慣用的Linux組態管理工具 ] 作為部署方法。

  3. 取 [下載上線套件] ,並將檔案儲存為 WindowsDefenderATPOnboardingPackage.zip

    下載已上線套件的選項。

  4. 使用下列命令擷取封存的內容:

    命令:

    unzip WindowsDefenderATPOnboardingPackage.zip
    

    預期的輸出如下:

    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: mdatp_onboard.json
    

建立目錄結構

開始之前,請確定 Chef 元件已安裝,且 Chef (Chef 產生存放 <庫重新> 命名) 來儲存用來在 Chef 受控 Linux 伺服器上部署至適用於端點的 Defender 的 Cookbook。

下列命令會為名為 mdatp 的新手冊建立新的資料夾結構。 如果您已經有想要用來新增適用於端點的 Defender 部署的活頁簿,您也可以使用現有的活頁簿。

chef generate cookbook mdatp

建立手冊之後,請在您建立的cookbook資料夾內建立 files 資料夾:

mkdir mdatp/files

複製 mdatp_onboard.json 到檔案 /tmp 夾。

在 Chef 工作站上,流覽至 mdatp/recipes 資料夾,此資料夾會在產生手冊時自動建立。 使用您慣用的文本編輯器 (如 vi 或 nano) ,將下列指示新增至 default.rb 檔案的結尾,然後儲存並關閉檔案:

  • include_recipe '::install_mdatp'

建立手冊

您可以透過下列任一方法來建立手冊:

使用安裝程式腳本建立活頁簿

  1. 下載安裝程式bash腳本。 從 GitHub 存放庫Microsoft 提取安裝程式 bash 腳本 ,或使用下列命令下載:

    wget https://raw.githubusercontent.com/microsoft/mdatp-xplat/refs/heads/master/linux/installation/mde_installer.sh /tmp
    
  2. 在 recipes 資料夾~/cookbooks/mdatp/recipes/install_mdatp.rb建立名為 install_mdatp.rb 的新配方檔案,並將下列文字新增至檔案。 您也可以直接從 GitHub 下載檔案。

    mdatp = "/etc/opt/microsoft/mdatp"
    
    #Download the onboarding json from tenant, keep the same at specific location
    onboarding_json = "/tmp/mdatp_onboard.json"
    
    #Download the installer script from: https://github.com/microsoft/mdatp-xplat/blob/master/linux/installation/mde_installer.sh
    #Place the same at specific location, edit this if needed
    mde_installer= "/tmp/mde_installer.sh"
    
    
    ## Invoke the mde-installer script 
    bash 'Installing mdatp using mde-installer' do
        code <<-EOS
        chmod +x #{mde_installer}
        #{mde_installer} --install --onboard #{onboarding_json}
        EOS
    end
    

注意事項

安裝程式腳本也支援其他參數,例如通道、即時保護、版本等。若要從可用選項清單中選取,請透過下列命令檢查說明: ./mde_installer.sh --help

手動設定存放庫來建立手冊

在 recipes 資料夾~/cookbooks/mdatp/recipes/install_mdatp.rb建立名為 install_mdatp.rb 的新配方檔案,並將下列文字新增至檔案。 您也可以直接從 Github 下載檔案。

#Add Microsoft Defender
case node['platform_family']
when 'debian'
 apt_repository 'MDATPRepo' do
   arch               'amd64'
   cache_rebuild      true
   cookbook           false
   deb_src            false
   key                'BC528686B50D79E339D3721CEB3E94ADBE1229CF'
   keyserver          "keyserver.ubuntu.com"
   distribution       'jammy'
   repo_name          'microsoft-prod'
   components         ['main']
   uri                "https://packages.microsoft.com/ubuntu/22.04/prod"
 end
apt_package "mdatp"
when 'rhel'
 yum_repository 'microsoft-prod' do
   baseurl            "https://packages.microsoft.com/rhel/7/prod/"
   description        "Microsoft Defender for Endpoint"
   enabled            true
   gpgcheck           true
   gpgkey             "https://packages.microsoft.com/keys/microsoft.asc"
 end
 if node['platform_version'] <= 8 then
    yum_package "mdatp"
 else
    dnf_package "mdatp"
 end
end

#Create MDATP Directory
mdatp = "/etc/opt/microsoft/mdatp"
onboarding_json = "/tmp/mdatp_onboard.json"

directory "#{mdatp}" do
  owner 'root'
  group 'root'
  mode 0755
  recursive true
end

#Onboarding using tenant json 
file "#{mdatp}/mdatp_onboard.json" do
  content lazy { ::File.open(onboarding_json).read }
  owner 'root'
  group 'root'
  mode '0644'
  action :create_if_missing
end

注意事項

您可以修改 os 散發套件、散發版本號碼、通道 (prod/insider-fast、insider-slow) 和存放庫名稱,以符合您要部署至的版本和您想要部署至的通道。 執行 chef-client --local-mode --runlist 'recipe[mdatp]' 以測試 Chef 工作站上的手冊。

安裝問題的疑難排解

若要針對問題進行疑難解答:

  1. 如需如何尋找安裝錯誤發生時自動產生的記錄檔的相關信息,請參閱 記錄安裝問題

  2. 如需常見安裝問題的相關信息,請參閱 安裝問題

  3. 如果裝置的健康情況是 false,請參閱 適用於端點的 Defender 代理程式健康情況問題

  4. 如需產品效能問題,請參閱 針對效能問題進行疑難解答

  5. 如需 Proxy 和連線問題,請參閱 針對雲端連線問題進行疑難解答

若要從Microsoft取得支援,請開啟支援票證,並提供使用 用戶端分析器建立的記錄檔。

如何在Linux上設定 Microsoft Defender的原則

您可以使用下列任何方法,在端點上設定防病毒軟體或 EDR 設定:

卸載 MDATP 手冊

若要卸載 Defender,請將下列內容儲存為活頁簿 ~/cookbooks/mdatp/recipes/uninstall_mdatp.rb

#Uninstall the Defender package
case node['platform_family']
when 'debian'
 apt_package "mdatp" do
   action :remove
 end
when 'rhel'
 if node['platform_version'] <= 8
then
    yum_package "mdatp" do
      action :remove
    end
 else
    dnf_package "mdatp" do
      action :remove
    end
 end
end

若要將此步驟納入配方,請將 新 include_recipe ':: uninstall_mdatp 增至您 default.rb 在 recipe 資料夾內的 檔案。 請確定您已從檔案中default.rb移除 include_recipe '::install_mdatp'

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。