Bereitstellen von Microsoft Defender for Endpoint unter Linux mit Saltstack

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

In diesem Artikel wird beschrieben, wie Sie Defender für Endpunkt unter Linux mithilfe von Saltstack bereitstellen. Eine erfolgreiche Bereitstellung erfordert den Abschluss aller folgenden Aufgaben:

• Herunterladen des Onboardingpakets
• Create Saltstack-Zustandsdateien
• Bereitstellung
• Referenz

Wichtig

Dieser Artikel enthält Informationen zu Drittanbietertools. Dies wird bereitgestellt, um Integrationsszenarien abzuschließen. Microsoft bietet jedoch keine Unterstützung bei der Problembehandlung für Drittanbietertools.
Wenden Sie sich an den Drittanbieter, um Support zu erhalten.

Voraussetzungen und Systemanforderungen

Bevor Sie beginnen, finden Sie auf der Seite Standard Defender für Endpunkt unter Linux eine Beschreibung der Voraussetzungen und Systemanforderungen für die aktuelle Softwareversion.

Darüber hinaus müssen Sie für die Saltstack-Bereitstellung mit der Saltstack-Verwaltung vertraut sein, Saltstack installiert haben, master und minions konfigurieren und wissen, wie Zustände angewendet werden. Saltstack hat viele Möglichkeiten, die gleiche Aufgabe auszuführen. Diese Anweisungen setzen die Verfügbarkeit unterstützter Saltstack-Module wie apt und unarchive voraus, um das Paket bereitzustellen. Ihr organization verwendet möglicherweise einen anderen Workflow. Weitere Informationen finden Sie in der Saltstack-Dokumentation .

• Saltstack ist auf mindestens einem Computer installiert (Saltstack nennt den Computer als master).

• Die Saltstack-master die verwalteten Knoten (Saltstack ruft die Knoten als Minions auf) akzeptiert.

• Die Saltstack-Minions können die Kommunikation mit dem Saltstack-master auflösen (standardmäßig versuchen die Minions, mit einem Computer namens "salt" zu kommunizieren).

• Rung this ping test:

  sudo salt '*' test.ping
  

• Die Saltstack-master verfügt über einen Dateiserverspeicherort, von dem die Microsoft Defender for Endpoint Dateien verteilt werden können (standardmäßig verwendet Saltstack den Ordner /srv/salt als Standardverteilungspunkt).

Herunterladen des Onboardingpakets

Laden Sie das Onboardingpaket aus Microsoft Defender Portal herunter.

Warnung

Das Erneute Packen des Defender für Endpunkt-Installationspakets wird nicht unterstützt. Dies kann sich negativ auf die Integrität des Produkts auswirken und zu negativen Ergebnissen führen, einschließlich, aber nicht beschränkt auf das Auslösen von Manipulationswarnungen und nicht angewendeten Updates.

1. Navigieren Sie Microsoft Defender Portal zu Einstellungen > Endpunkte > Geräteverwaltung > Onboarding.

2. Wählen Sie im ersten Dropdownmenü Linux Server als Betriebssystem aus. Wählen Sie im zweiten Dropdownmenü Ihr bevorzugtes Linux-Konfigurationsverwaltungstool als Bereitstellungsmethode aus.

3. Wählen Sie "Onboardingpaket herunterladen" aus. Speichern Sie die Datei als WindowsDefenderATPOnboardingPackage.zip.

   

4. Extrahieren Sie auf dem SaltStack-Master den Inhalt des Archivs in den Ordner des SaltStack-Servers (in der Regel /srv/salt):

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: /srv/salt/mde/mdatp_onboard.json
   

Create Saltstack-Zustandsdateien

Create eine SaltState-Zustandsdatei in Ihrem Konfigurationsrepository (in der Regel /srv/salt), die die erforderlichen Zustände zum Bereitstellen und Integrieren von Defender für Endpunkt anwendet.

• Fügen Sie das Defender für Endpunkt-Repository und den Schlüssel hinzu: install_mdatp.sls

  Defender für Endpunkt für Linux kann über einen der folgenden Kanäle (beschrieben als [Kanal]) bereitgestellt werden: insiders-fast, insiders-slow oder prod. Jeder dieser Kanäle entspricht einem Linux-Softwarerepository.

  Die Wahl des Kanals bestimmt den Typ und die Häufigkeit der Updates, die Ihrem Gerät angeboten werden. Geräte in Insider-fast sind die ersten, die Updates und neue Features erhalten, gefolgt von Insider-langsam und schließlich von Prod.

  Um eine Vorschau neuer Features anzuzeigen und frühzeitig Feedback zu geben, empfehlen wir Ihnen, einige Geräte in Ihrem Unternehmen so zu konfigurieren, dass sie entweder insiders-fast oder insiders-slow verwenden.

  Warnung

  Wenn Sie den Kanal nach der Erstinstallation wechseln, muss das Produkt neu installiert werden. Um den Produktkanal zu wechseln: Deinstallieren Sie das vorhandene Paket, konfigurieren Sie Ihr Gerät neu, um den neuen Kanal zu verwenden, und führen Sie die Schritte in diesem Dokument aus, um das Paket vom neuen Speicherort aus zu installieren.

  Notieren Sie sich Ihre Distribution und Version, und identifizieren Sie den nächstgelegenen Eintrag unter https://packages.microsoft.com/config/[distro]/.

  Ersetzen Sie in den folgenden Befehlen [distribution] und [version] durch Ihre Informationen.

  Hinweis

  Ersetzen Sie im Fall von Oracle Linux und Amazon Linux 2 [Distribution] durch "rhel". Ersetzen Sie für Amazon Linux 2 [Version] durch "7". Ersetzen Sie [Version] durch die Version von Oracle Linux, um Oracle zu verwenden.

  cat /srv/salt/install_mdatp.sls
  

  add_ms_repo:
    pkgrepo.managed:
      - humanname: Microsoft Defender Repository
      {% if grains['os_family'] == 'Debian' %}
      - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
      - dist: [codename]
      - file: /etc/apt/sources.list.d/microsoft-[channel].list
      - key_url: https://packages.microsoft.com/keys/microsoft.asc
      - refresh: true
      {% elif grains['os_family'] == 'RedHat' %}
      - name: packages-microsoft-[channel]
      - file: microsoft-[channel]
      - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
      - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
      - gpgcheck: true
      {% endif %}
  

• Fügen Sie den Installationsstatus des Pakets nach dem add_ms_repo zuvor definierten Zustand hinzuinstall_mdatp.sls.

  install_mdatp_package:
    pkg.installed:
      - name: matp
      - required: add_ms_repo
  

• Fügen Sie die Bereitstellung der Onboardingdatei nach install_mdatp.sls dem install_mdatp_package hinzu, wie zuvor definiert.

  copy_mde_onboarding_file:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
      - source: salt://mde/mdatp_onboard.json
      - required: install_mdatp_package
  

  Die abgeschlossene Installationsstatusdatei sollte in etwa wie die folgende Ausgabe aussehen:

  add_ms_repo:
  pkgrepo.managed:
  - humanname: Microsoft Defender Repository
  {% if grains['os_family'] == 'Debian' %}
  - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
  - dist: [codename]
  - file: /etc/apt/sources.list.d/microsoft-[channel].list
  - key_url: https://packages.microsoft.com/keys/microsoft.asc
  - refresh: true
  {% elif grains['os_family'] == 'RedHat' %}
  - name: packages-microsoft-[channel]
  - file: microsoft-[channel]
  - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
  - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
  - gpgcheck: true
  {% endif %}
  
  install_mdatp_package:
  pkg.installed:
  - name: matp
  - required: add_ms_repo
  
  copy_mde_onboarding_file:
  file.managed:
  - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  - source: salt://mde/mdatp_onboard.json
  - required: install_mdatp_package
  

Create eine SaltState-Zustandsdatei in Ihrem Konfigurationsrepository (in der Regel /srv/salt), die die erforderlichen Zustände anwendet, um Defender für Endpunkt zu offboarden und zu entfernen. Bevor Sie die Offboardingzustandsdatei verwenden, müssen Sie das Offboarding-Paket aus dem Sicherheitsportal herunterladen und auf die gleiche Weise extrahieren wie das Onboardingpaket. Das heruntergeladene Offboardingpaket ist nur für einen begrenzten Zeitraum gültig.

• Create eine Deinstallationszustandsdateiuninstall_mdapt.sls, und fügen Sie den Status hinzu, um die mdatp_onboard.json Datei zu entfernen.

  cat /srv/salt/uninstall_mdatp.sls
  

  remove_mde_onboarding_file:
    file.absent:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  

• Fügen Sie der Datei die Offboardingdateibereitstellung nach dem uninstall_mdatp.slsremove_mde_onboarding_file im vorherigen Abschnitt definierten Zustand hinzu.

  offboard_mde:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
      - source: salt://mde/mdatp_offboard.json
  

• Fügen Sie der Datei das Entfernen des MDATP-Pakets uninstall_mdatp.sls nach dem offboard_mde im vorherigen Abschnitt definierten Zustand hinzu.

  remove_mde_packages:
    pkg.removed:
      - name: mdatp
  

  Die vollständige Deinstallationszustandsdatei sollte in etwa wie die folgende Ausgabe aussehen:

  remove_mde_onboarding_file:
    file.absent:
      - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
  
  offboard_mde:
    file.managed:
      - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
      - source: salt://mde/offboard/mdatp_offboard.json
  
  remove_mde_packages:
    pkg.removed:
      - name: mdatp
  

Bereitstellung)

Wenden Sie nun den Zustand auf die Minions an. Der folgende Befehl wendet den Zustand auf Computer mit dem Namen an, der mit mdetestbeginnt.

• Installation:

  salt 'mdetest*' state.apply install_mdatp
  

  Wichtig

  Wenn das Produkt zum ersten Mal gestartet wird, lädt es die neuesten Antischadsoftwaredefinitionen herunter. Je nach Internetverbindung kann dies einige Minuten dauern.

• Überprüfung/Konfiguration:

  salt 'mdetest*' cmd.run 'mdatp connectivity test'
  

  salt 'mdetest*' cmd.run 'mdatp health'
  

• Deinstallation:

  salt 'mdetest*' state.apply uninstall_mdatp
  

Protokollieren von Installationsproblemen

Weitere Informationen zum Suchen des automatisch generierten Protokolls, das beim Auftreten eines Fehlers vom Installationsprogramm erstellt wird, finden Sie unter Protokollinstallationsprobleme.

Betriebssystemupgrades

Wenn Sie Ihr Betriebssystem auf eine neue Hauptversion aktualisieren, müssen Sie zunächst Defender für Endpunkt unter Linux deinstallieren, das Upgrade installieren und schließlich Defender für Endpunkt unter Linux auf Ihrem Gerät neu konfigurieren.

Referenz

• SALT-Projektdokumentation

Siehe auch

• Untersuchen von Problemen mit der Agent-Integrität

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.