使用 Saltstack 在 Linux 上部署 適用於端點的 Microsoft Defender

適用於：

• 適用於端點的 Microsoft Defender 伺服器
• 伺服器的 Microsoft Defender

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

本文說明如何使用 Saltstack 在 Linux 上部署適用於端點的 Defender。 成功部署需要完成本文中的所有步驟。

重要事項

本文包含第三方工具的相關信息。 這是為了協助完成整合案例而提供，不過，Microsoft不會提供第三方工具的疑難解答支援。
請連絡第三方廠商以取得支援。

必要條件和系統需求

開始之前，請參閱 Linux 上主要適用於端點的 Defender 頁面 ，以取得目前軟體版本的必要條件和系統需求說明。

此外，針對 Saltstack 部署，您必須熟悉 Saltstack 管理、已安裝 Saltstack、設定主要和最小值，以及知道如何套用狀態。 Saltstack 有許多方法可以完成相同的工作。 這些指示假設支援的 Saltstack 模組可供使用，例如 apt 和 unarchive ，以協助部署套件。 您的組織可能會使用不同的工作流程。 如需詳細資訊，請參閱 Saltstack 檔。

以下是一些重點：

• Saltstack 至少安裝在一部計算機上， (Saltstack 呼叫計算機作為主要) 。
• Saltstack 主機已接受受控節點， (Saltstack 呼叫節點作為連線的最小值) 。
• 根據預設，Saltstack minions 能夠解析與 Saltstack 主要 (的通訊，這些小數會嘗試與名為 salt) 的計算機通訊。
• 執行下列 Ping 測試： sudo salt '*' test.ping
• Saltstack 主機有一個文件伺服器位置，其中 適用於端點的 Microsoft Defender 檔案預設可以從 (散發，Saltstack 會使用 /srv/salt 資料夾作為預設發佈點)

下載上線套件

警告

不支援重新封裝適用於端點的Defender安裝套件。 這樣做可能會對產品的完整性造成負面影響，並導致不良結果，包括但不限於觸發竄改警示和無法套用更新。

1. 在 Microsoft Defender 入口網站中，移至 [設定>端點>裝置管理>上線]。

2. 在第一個下拉功能表中，選取 [Linux Server ] 作為操作系統。 在第二個下拉功能表中，選 取 [您慣用的Linux組態管理工具 ] 作為部署方法。

3. 選取 [下載上線套件]。 將檔案儲存為 WindowsDefenderATPOnboardingPackage.zip。

   

4. 在 SaltStack Master 上，將封存的內容解壓縮到 SaltStack Server 的資料夾 (通常 /srv/salt) ：

   unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: /srv/salt/mde/mdatp_onboard.json
   

建立 Saltstack 狀態檔案

有兩種方式可以建立 Saltstack 狀態檔案：

• 使用安裝程式腳本 (建議) ：使用此方法時，腳本會藉由安裝代理程式、將裝置上線至 Microsoft Defender 入口網站，以及設定存放庫來挑選與您的Linux發行版相容的正確代理程式，以將部署自動化。

• 手動設定存放庫： 使用此方法時，必須手動設定存放庫，並選取與Linux發行版相容的代理程式版本。 這個方法可讓您更精細地控制部署程式。

使用安裝程式腳本建立 Saltstack 狀態檔案

1. 從 GitHub 存放庫Microsoft 提取安裝程式 bash 腳本 ，或使用下列命令加以下載：

   wget https://raw.githubusercontent.com/microsoft/mdatp-xplat/refs/heads/master/linux/installation/mde_installer.sh /srv/salt/mde/
   

2. 使用下列內容建立狀態檔案 /srv/salt/install_mdatp.sls 。 您也可以從 GitHub 下載相同的專案

   #Download the mde_installer.sh: https://github.com/microsoft/mdatp-xplat/blob/master/linux/installation/mde_installer.sh
    install_mdatp_package:
      cmd.run:
        - name: /srv/salt/mde/mde_installer.sh --install --onboard /srv/salt/mde/mdatp_onboard.json
        - shell: /bin/bash
        - unless: 'pgrep -f mde_installer.sh'
   

注意事項

安裝程式腳本也支援其他參數，例如通道 (測試人員快速、測試人員速度緩慢、生產 (預設) ) 、實時保護、版本等。若要從可用選項清單中選取，請透過下列命令檢查說明： ./mde_installer.sh --help

手動設定存放庫來建立 Saltstack 狀態檔案

在此步驟中，您會在組態存放庫中建立 SaltState 狀態檔案， (通常 /srv/salt) 套用部署和上線適用於端點的 Defender 所需的狀態。 然後，您會新增適用於端點的 Defender 存放庫和金鑰： install_mdatp.sls。

注意事項

您可以從下列其中一個通道部署適用於 Linux 上的適用於端點的 Defender：

• insiders-fast，表示為 [channel]
• 測試人員速度緩慢，表示為 [channel]
• prod，表示為 [channel] 使用版本名稱 (請參閱 適用於Microsoft產品的Linux軟體存放庫)

每個通道都會對應至 Linux 軟體存放庫。 通道的選擇會決定提供給您裝置的更新類型和頻率。 測試人員快速的裝置是第一個接收更新和新功能的裝置，後面接著測試人員速度緩慢，最後是 prod。

為了預覽新功能並提供早期的意見反應，建議您將企業中的某些裝置設定為使用 測試人員快速 或 測試人員速度緩慢。

警告

在初始安裝之後切換通道需要重新安裝產品。 若要切換產品通道：卸載現有的套件，請將裝置重新設定為使用新通道，並遵循本檔中的步驟，從新位置安裝套件。

1. 請記下您的散發套件和版本，並識別下最接近的專案 https://packages.microsoft.com/config/[distro]/。

2. 在下列命令中，將 [distro] 和 [version] 取代為您的資訊。

   注意事項

   如果是 Oracle Linux 和 Amazon Linux 2，請將 [distro] 取代為 “rhel”。 針對 Amazon Linux 2，將 [version] 取代為 “7”。 針對 Oracle 使用，請將 [version] 取代為 Oracle Linux 版本。

   cat /srv/salt/install_mdatp.sls
   

   add_ms_repo:
     pkgrepo.managed:
       - humanname: Microsoft Defender Repository
       {% if grains['os_family'] == 'Debian' %}
       - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
       - dist: [codename]
       - file: /etc/apt/sources.list.d/microsoft-[channel].list
       - key_url: https://packages.microsoft.com/keys/microsoft.asc
       - refresh: true
       {% elif grains['os_family'] == 'RedHat' %}
       - name: packages-microsoft-[channel]
       - file: microsoft-[channel]
       - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
       - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
       - gpgcheck: true
       {% endif %}
   

3. 將套件安裝狀態新增至 install_mdatp.sls 先前定義的 add_ms_repo 狀態之後。

   install_mdatp_package:
     pkg.installed:
       - name: matp
       - required: add_ms_repo
   

4. 在先前定義的 之後，install_mdatp_package將上線檔案部署新增至 install_mdatp.sls 。

   copy_mde_onboarding_file:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
       - source: salt://mde/mdatp_onboard.json
       - required: install_mdatp_package
   

   完成的安裝狀態檔案看起來應該類似下列輸出：

   add_ms_repo:
   pkgrepo.managed:
   - humanname: Microsoft Defender Repository
   {% if grains['os_family'] == 'Debian' %}
   - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
   - dist: [codename]
   - file: /etc/apt/sources.list.d/microsoft-[channel].list
   - key_url: https://packages.microsoft.com/keys/microsoft.asc
   - refresh: true
   {% elif grains['os_family'] == 'RedHat' %}
   - name: packages-microsoft-[channel]
   - file: microsoft-[channel]
   - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
   - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
   - gpgcheck: true
   {% endif %}
   
   install_mdatp_package:
   pkg.installed:
   - name: mdatp
   - required: add_ms_repo
   
   copy_mde_onboarding_file:
   file.managed:
   - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   - source: salt://mde/mdatp_onboard.json
   - required: install_mdatp_package
   

5. 在您的組態存放庫中建立 SaltState 狀態檔案 (通常 /srv/salt 會) 套用必要的狀態以將適用於端點的 Defender 下架並移除。 使用下架狀態檔案之前，您必須先從 Microsoft Defender 入口網站下載離線套件，並以您執行上線套件的相同方式加以解壓縮。 下載的離線套件只在一段有限的時間內有效。

6. 建立卸載狀態檔案 uninstall_mdapt.sls ，並新增 狀態以移除 mdatp_onboard.json 檔案。

   cat /srv/salt/uninstall_mdatp.sls
   

   remove_mde_onboarding_file:
     file.absent:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   

7. 在上一節中定義的狀態之後，remove_mde_onboarding_file將下架檔案部署新增至uninstall_mdatp.sls檔案。

    offboard_mde:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
       - source: salt://mde/mdatp_offboard.json
   

8. 在上一節中定義的狀態之後，uninstall_mdatp.slsoffboard_mde將 MDATP 套件移除新增至檔案。

   remove_mde_packages:
     pkg.removed:
       - name: mdatp
   

   完整的卸載狀態檔案看起來應該類似下列輸出：

   remove_mde_onboarding_file:
     file.absent:
       - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
   
   offboard_mde:
     file.managed:
       - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
       - source: salt://mde/offboard/mdatp_offboard.json
   
   remove_mde_packages:
      pkg.removed:
        - name: mdatp
   

使用稍早建立的狀態檔案在端點上部署Defender

此步驟同時適用於安裝程式腳本或手動設定方法。 在此步驟中，您會將狀態套用至 minions。 下列命令會將 狀態套用至名稱開頭為 的 mdetest計算機。

1. 安裝：

   salt 'mdetest*' state.apply install_mdatp
   

   重要事項

   當產品第一次啟動時，它會下載最新的反惡意代碼定義。 視您的因特網連線而定，這可能需要幾分鐘的時間。

2. 驗證/組態：

   salt 'mdetest*' cmd.run 'mdatp connectivity test'
   

   salt 'mdetest*' cmd.run 'mdatp health'
   

3. 卸載：

   salt 'mdetest*' state.apply uninstall_mdatp
   

安裝問題的疑難排解

若要針對問題進行疑難解答：

1. 如需如何尋找安裝錯誤發生時自動產生的記錄檔的相關信息，請參閱 記錄安裝問題。

2. 如需常見安裝問題的相關信息，請參閱 安裝問題。

3. 如果裝置的健康情況是 false，請參閱 適用於端點的 Defender 代理程式健康情況問題。

4. 如需產品效能問題，請參閱 針對效能問題進行疑難解答。

5. 如需 Proxy 和連線問題，請參閱 針對雲端連線問題進行疑難解答。

若要從Microsoft取得支援，請開啟支援票證，並提供使用 用戶端分析器建立的記錄檔。

如何在Linux上設定 Microsoft Defender的原則

您可以使用下列任何方法，在端點上設定防病毒軟體或 EDR 設定：

• 請參閱設定 Linux 上 適用於端點的 Microsoft Defender 的喜好設定。
• 請參閱安全性設定管理，以在 Microsoft Defender 入口網站中設定設定。

操作系統升級

將操作系統升級至新的主要版本時，您必須先在 Linux 上卸載適用於端點的 Defender、安裝升級，最後在 Linux 裝置上重新設定適用於端點的 Defender。

參考

• SALT 項目檔

提示

想要深入了解? 在我們的技術社群中 Engage Microsoft安全性社群：適用於端點的 Microsoft Defender 技術社群。