Sdílet prostřednictvím

Nasazení Microsoft Defender for Endpoint v Linuxu pomocí Puppetu

  • Článek

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tento článek popisuje, jak nasadit Defender for Endpoint v Linuxu pomocí Puppetu. Úspěšné nasazení vyžaduje dokončení všech následujících úloh:

Důležité

Tento článek obsahuje informace o nástrojích třetích stran. To je poskytováno jako pomoc při dokončení scénářů integrace, ale Microsoft neposkytuje podporu pro řešení potíží s nástroji třetích stran.
Požádejte o podporu externího dodavatele.

Požadavky a požadavky na systém

Popis požadavků a systémových požadavků pro aktuální verzi softwaru najdete na hlavní stránce Defenderu for Endpoint v Linuxu.

Kromě toho pro nasazení Puppetu musíte znát úlohy správy Puppetu, mít puppet nakonfigurovaný a vědět, jak nasazovat balíčky. Puppet má mnoho způsobů, jak dokončit stejný úkol. Tyto pokyny předpokládají dostupnost podporovaných modulů Puppet, například apt , které vám pomůžou s nasazením balíčku. Vaše organizace může použít jiný pracovní postup. Podrobnosti najdete v dokumentaci puppetu.

Stažení balíčku pro onboarding

Stáhněte balíček pro onboarding z portálu Microsoft Defender.

Upozornění

Opětovné zabalení instalačního balíčku Defenderu for Endpoint není podporovaným scénářem. To může negativně ovlivnit integritu produktu a vést k nepříznivým výsledkům, mimo jiné včetně aktivace upozornění na manipulaci a selhání aktualizace.

  1. Na portálu Microsoft Defender přejděte na Nastavení > Koncové body > Onboarding správy > zařízení.

  2. V první rozevírací nabídce vyberte jako operační systém Linux Server . V druhé rozevírací nabídce vyberte jako metodu nasazení Váš preferovaný nástroj pro správu konfigurace Linuxu .

  3. Vyberte Stáhnout onboardingový balíček. Uložte soubor jako WindowsDefenderATPOnboardingPackage.zip.

    Možnost stažení onboardovaného balíčku

  4. Na příkazovém řádku ověřte, že soubor máte.

    ls -l

    total 8
-rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

  5. Extrahujte obsah archivu.

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: mdatp_onboard.json

Create manifest Puppetu

Potřebujete vytvořit manifest Puppetu pro nasazení Defenderu for Endpoint v Linuxu do zařízení spravovaných serverem Puppet. Tento příklad využívá moduly apt a yumrepo dostupné z puppetlabs a předpokládá, že tyto moduly byly nainstalovány na vašem serveru Puppet.

Create složky install_mdatp/files a install_mdatp/manifests ve složce modules vaší instalace Puppetu. Tato složka se obvykle nachází v /etc/puppetlabs/code/environment/production/modules na vašem serveru Puppet. Zkopírujte mdatp_onboard.json soubor vytvořený výše do složky install_mdatp/files . Create soubor init.pp, který obsahuje pokyny k nasazení:

pwd

/etc/puppetlabs/code/environments/production/modules

tree install_mdatp

install_mdatp
├── files
│   └── mdatp_onboard.json
└── manifests
    └── init.pp

Obsah install_mdatp/manifests/init.pp

Defender for Endpoint v Linuxu je možné nasadit z některého z následujících kanálů (níže označených jako [channel]): insiders-fast, insiders-slow nebo prod. Každý z těchto kanálů odpovídá úložišti softwaru v Linuxu.

Volba kanálu určuje typ a frekvenci aktualizací nabízených vašemu zařízení. Zařízení v rychlém programu insider jsou prvními, kteří obdrží aktualizace a nové funkce, a později je následují účastníci programu Insider-slow a nakonec prod.

Aby bylo možné vyzkoušet nové funkce ve verzi Preview a poskytnout včasnou zpětnou vazbu, doporučujeme nakonfigurovat některá zařízení ve vašem podniku tak, aby používala buď rychlé účastníkyprogramu Insider, nebo pomalé účastníky programu Insider.

Upozornění

Přepnutí kanálu po počáteční instalaci vyžaduje přeinstalaci produktu. Přepnutí kanálu produktu: Odinstalujte existující balíček, znovu nakonfigurujte zařízení tak, aby používalo nový kanál, a podle pokynů v tomto dokumentu nainstalujte balíček z nového umístění.

Poznamenejte si svoji distribuci a verzi a v části https://packages.microsoft.com/config/[distro]/identifikujte nejbližší položku.

V následujících příkazech nahraďte [distribuce] a [version] informacemi, které jste identifikovali:

Poznámka

V případě RedHatu, Oracle Linuxu, Amazon Linuxu 2 a CentOS 8 nahraďte [distro] názvem "rhel".

# Puppet manifest to install Microsoft Defender for Endpoint on Linux.
# @param channel The release channel based on your environment, insider-fast or prod.
# @param distro The Linux distribution in lowercase. In case of RedHat, Oracle Linux, Amazon Linux 2, and CentOS 8, the distro variable should be 'rhel'.
# @param version The Linux distribution release number, e.g. 7.4.

class install_mdatp (
  $channel = 'insiders-fast',
  $distro = undef,
  $version = undef
) {
  case $facts['os']['family'] {
    'Debian' : {
      $release = $channel ? {
        'prod'  => $facts['os']['distro']['codename'],
        default => $channel
      }
      apt::source { 'microsoftpackages' :
        location => "https://packages.microsoft.com/${distro}/${version}/prod",
        release  => $release,
        repos    => 'main',
        key      => {
          'id'     => 'BC528686B50D79E339D3721CEB3E94ADBE1229CF',
          'server' => 'keyserver.ubuntu.com',
        },
      }
    }
    'RedHat' : {
      yumrepo { 'microsoftpackages' :
        baseurl  => "https://packages.microsoft.com/${distro}/${version}/${channel}",
        descr    => "packages-microsoft-com-prod-${channel}",
        enabled  => 1,
        gpgcheck => 1,
        gpgkey   => 'https://packages.microsoft.com/keys/microsoft.asc',
      }
    }
    default : { fail("${facts['os']['family']} is currently not supported.") }
  }

  case $facts['os']['family'] {
    /(Debian|RedHat)/: {
      file { ['/etc/opt', '/etc/opt/microsoft', '/etc/opt/microsoft/mdatp']:
        ensure => directory,
        owner  => root,
        group  => root,
        mode   => '0755',
      }

      file { '/etc/opt/microsoft/mdatp/mdatp_onboard.json':
        source  => 'puppet:///modules/install_mdatp/mdatp_onboard.json',
        owner   => root,
        group   => root,
        mode    => '0600',
        require => File['/etc/opt/microsoft/mdatp'],
      }

      package { 'mdatp':
        ensure  => 'installed',
        require => File['/etc/opt/microsoft/mdatp/mdatp_onboard.json'],
      }
    }
    default : { fail("${facts['os']['family']} is currently not supported.") }
  }
}

Nasazení

Do souboru site.pp vložte výše uvedený manifest:

cat /etc/puppetlabs/code/environments/production/manifests/site.pp

node "default" {
    include install_mdatp
}

Zaregistrovaná zařízení agenta se pravidelně dotazují na Puppet Server a instalují nové konfigurační profily a zásady, jakmile jsou zjištěny.

Monitorování nasazení Puppetu

Na zařízení agenta můžete také zkontrolovat stav onboardingu spuštěním příkazu:

mdatp health

...
licensed                                : true
org_id                                  : "[your organization identifier]"
...

  • licencované: Tím potvrdíte, že je zařízení svázané s vaší organizací.

  • orgId: Toto je identifikátor organizace defenderu for Endpoint.

Kontrola stavu onboardingu

Správnou registraci zařízení můžete zkontrolovat vytvořením skriptu. Následující skript například zkontroluje stav onboardingu zaregistrovaných zařízení:

mdatp health --field healthy

Výše uvedený příkaz se vytiskne 1 , pokud je produkt nasazený a funguje podle očekávání.

Důležité

Když se produkt poprvé spustí, stáhne nejnovější antimalwarové definice. V závislosti na připojení k internetu to může trvat až několik minut. Během této doby výše uvedený příkaz vrátí hodnotu 0.

Pokud produkt není v pořádku, ukončovací kód (který je možné zkontrolovat) echo $?označuje problém:

  • 1, pokud zařízení ještě není nasazené.
  • 3, pokud nelze navázat připojení k procesu démon.

Problémy s instalací protokolu

Další informace o tom, jak najít automaticky vygenerovaný protokol vytvořený instalačním programem při výskytu chyby, najdete v tématu Problémy s instalací protokolu.

Upgrady operačního systému

Při upgradu operačního systému na novou hlavní verzi musíte nejprve odinstalovat Defender for Endpoint v Linuxu, nainstalovat upgrade a nakonec překonfigurovat Defender for Endpoint v Linuxu na vašem zařízení.

Odinstalace

Create modul remove_mdatp podobný install_mdatp s následujícím obsahem v souboru init.pp:

class remove_mdatp {
    package { 'mdatp':
        ensure => 'purged',
    }
}

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.