Udrul Microsoft Defender for Endpoint på Linux med Puppet

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

I denne artikel beskrives det, hvordan du installerer Defender for Endpoint på Linux ved hjælp af Puppet. En vellykket installation kræver fuldførelse af alle følgende opgaver:

• Download onboardingpakken
• Create dukkemanifest
• Installation
• Kontrollér onboardingstatus

Vigtigt!

Denne artikel indeholder oplysninger om tredjepartsværktøjer. Dette leveres som en hjælp til komplette integrationsscenarier, men Microsoft yder ikke fejlfindingssupport til tredjepartsværktøjer.
Kontakt tredjepartsleverandøren for at få support.

Forudsætninger og systemkrav

Du kan finde en beskrivelse af forudsætninger og systemkrav til den aktuelle softwareversion på siden Med Defender for Endpoint på Linux.

Derudover skal du være fortrolig med dukkeadministrationsopgaver i forbindelse med udrulning af dukkedukke, have dukket op og vide, hvordan du installerer pakker. Dukken har mange måder at fuldføre den samme opgave på. Disse instruktioner forudsætter tilgængelighed af understøttede dukkemoduler, f.eks . egnet til at hjælpe med at installere pakken. Din organisation bruger muligvis en anden arbejdsproces. Du kan finde flere oplysninger i dokumentationen til din dukke .

Download onboardingpakken

Download onboardingpakken fra Microsoft Defender portal.

Advarsel

Ompakning af Defender for Endpoint-installationspakken er ikke et understøttet scenarie. Hvis du gør det, kan det påvirke produktets integritet negativt og føre til negative resultater, herunder, men ikke begrænset til, at udløse manipulation af beskeder og opdateringer, der ikke kan anvendes.

1. I Microsoft Defender portal skal du gå til Indstillinger > Slutpunkter > Onboarding af enhedshåndtering>.

2. Vælg Linux Server som operativsystem i den første rullemenu. I den anden rullemenu skal du vælge Dit foretrukne Værktøj til administration af Linux-konfiguration som installationsmetode.

3. Vælg Download onboarding-pakke. Gem filen som WindowsDefenderATPOnboardingPackage.zip.

   

4. Kontrollér, at du har filen, i en kommandoprompt.

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

5. Udpak indholdet af arkivet.

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: mdatp_onboard.json
   

Create et dukkemanifest

Du skal oprette et dukkemanifest til installation af Defender for Endpoint på Linux på enheder, der administreres af en dukkeserver. I dette eksempel bruges de apt - og yumrepo-moduler , der er tilgængelige fra dukkelabs, og det antages, at modulerne er installeret på din dukkeserver.

Create mapperne install_mdatp/filer og install_mdatp/manifester under mappen modules i din Dukkeinstallation. Denne mappe er typisk placeret i /etc/dukketeater/kode/miljøer/produktion/moduler på din dukkeserver. Kopiér den mdatp_onboard.json fil, der er oprettet ovenfor, til mappen install_mdatp/filer . Create en init.pp-fil, der indeholder installationsvejledningen:

pwd

/etc/puppetlabs/code/environments/production/modules

tree install_mdatp

install_mdatp
├── files
│   └── mdatp_onboard.json
└── manifests
    └── init.pp

Indhold af install_mdatp/manifests/init.pp

Defender for Endpoint på Linux kan udrulles fra en af følgende kanaler (angivet nedenfor som [kanal]): insiders-fast, insiders-slow eller prod. Hver af disse kanaler svarer til et Linux-softwarelager.

Valget af kanalen bestemmer typen og hyppigheden af opdateringer, der tilbydes til din enhed. Enheder i insiders-fast er de første til at modtage opdateringer og nye funktioner, efterfulgt senere af insiders-langsom og til sidst af prod.

For at få forhåndsvist nye funktioner og give tidlig feedback anbefales det, at du konfigurerer nogle enheder i din virksomhed til at bruge enten insiders-fast eller insiders-slow.

Advarsel

Hvis du skifter kanal efter den første installation, skal produktet geninstalleres. Hvis du vil skifte produktkanal: Fjern den eksisterende pakke, genkonfigurer enheden, så den bruger den nye kanal, og følg trinnene i dette dokument for at installere pakken fra den nye placering.

Bemærk din distribution og version, og identificer den nærmeste post for den under https://packages.microsoft.com/config/[distro]/.

I nedenstående kommandoer skal du erstatte [distro] og [version] med de oplysninger, du har identificeret:

Bemærk!

Hvis der er tale om RedHat, Oracle Linux, Amazon Linux 2 og CentOS 8, skal du erstatte [distro] med 'rhel'.

# Puppet manifest to install Microsoft Defender for Endpoint on Linux.
# @param channel The release channel based on your environment, insider-fast or prod.
# @param distro The Linux distribution in lowercase. In case of RedHat, Oracle Linux, Amazon Linux 2, and CentOS 8, the distro variable should be 'rhel'.
# @param version The Linux distribution release number, e.g. 7.4.

class install_mdatp (
  $channel = 'insiders-fast',
  $distro = undef,
  $version = undef
) {
  case $facts['os']['family'] {
    'Debian' : {
      $release = $channel ? {
        'prod'  => $facts['os']['distro']['codename'],
        default => $channel
      }
      apt::source { 'microsoftpackages' :
        location => "https://packages.microsoft.com/${distro}/${version}/prod",
        release  => $release,
        repos    => 'main',
        key      => {
          'id'     => 'BC528686B50D79E339D3721CEB3E94ADBE1229CF',
          'server' => 'keyserver.ubuntu.com',
        },
      }
    }
    'RedHat' : {
      yumrepo { 'microsoftpackages' :
        baseurl  => "https://packages.microsoft.com/${distro}/${version}/${channel}",
        descr    => "packages-microsoft-com-prod-${channel}",
        enabled  => 1,
        gpgcheck => 1,
        gpgkey   => 'https://packages.microsoft.com/keys/microsoft.asc',
      }
    }
    default : { fail("${facts['os']['family']} is currently not supported.") }
  }

  case $facts['os']['family'] {
    /(Debian|RedHat)/: {
      file { ['/etc/opt', '/etc/opt/microsoft', '/etc/opt/microsoft/mdatp']:
        ensure => directory,
        owner  => root,
        group  => root,
        mode   => '0755',
      }

      file { '/etc/opt/microsoft/mdatp/mdatp_onboard.json':
        source  => 'puppet:///modules/install_mdatp/mdatp_onboard.json',
        owner   => root,
        group   => root,
        mode    => '0600',
        require => File['/etc/opt/microsoft/mdatp'],
      }

      package { 'mdatp':
        ensure  => 'installed',
        require => File['/etc/opt/microsoft/mdatp/mdatp_onboard.json'],
      }
    }
    default : { fail("${facts['os']['family']} is currently not supported.") }
  }
}

Installation

Medtag ovenstående manifest i filen site.pp:

cat /etc/puppetlabs/code/environments/production/manifests/site.pp

node "default" {
    include install_mdatp
}

Tilmeldte agentenheder forespørger jævnligt dukkeserveren og installerer nye konfigurationsprofiler og politikker, så snart de registreres.

Overvåg udrulning af dukke

På agentenheden kan du også kontrollere onboardingstatussen ved at køre:

mdatp health

...
licensed                                : true
org_id                                  : "[your organization identifier]"
...

• licensed: Dette bekræfter, at enheden er knyttet til din organisation.

• orgId: Dette er dit Defender for Endpoint-organisations-id.

Kontrollér onboardingstatus

Du kan kontrollere, om enhederne er onboardet korrekt, ved at oprette et script. Følgende script kontrollerer f.eks. tilmeldte enheders onboardingstatus:

mdatp health --field healthy

Ovenstående kommando udskriver 1 , om produktet er onboardet og fungerer som forventet.

Vigtigt!

Når produktet starter for første gang, downloades de nyeste antimalwaredefinitioner. Afhængigt af din internetforbindelse kan det tage op til et par minutter. I denne periode returnerer ovenstående kommando en værdi af typen 0.

Hvis produktet ikke fungerer korrekt, angiver afslutningskoden (som kan kontrolleres gennem echo $?) problemet:

• 1, hvis enheden endnu ikke er onboardet.
• 3, hvis forbindelsen til daemon ikke kan etableres.

Problemer med loginstallation

Du kan finde flere oplysninger om, hvordan du finder den automatisk genererede log, der oprettes af installationsprogrammet, når der opstår en fejl, under Problemer med loginstallation.

Opgraderinger af operativsystem

Når du opgraderer operativsystemet til en ny overordnet version, skal du først fjerne Defender for Endpoint på Linux, installere opgraderingen og til sidst konfigurere Defender for Endpoint på Linux på din enhed.

Uninstallation

Create et modul remove_mdatp på samme måde som install_mdatp med følgende indhold i filen init.pp:

class remove_mdatp {
    package { 'mdatp':
        ensure => 'purged',
    }
}

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.