Bereitstellen von Microsoft Defender for Endpoint unter Linux mit Puppet

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

In diesem Artikel wird beschrieben, wie Sie Defender für Endpunkt unter Linux mithilfe von Puppet bereitstellen. Eine erfolgreiche Bereitstellung erfordert den Abschluss aller folgenden Aufgaben:

• Herunterladen des Onboardingpakets
• Create Puppet-Manifest
• Bereitstellung
• Überprüfen des onboarding-status

Wichtig

Dieser Artikel enthält Informationen zu Drittanbietertools. Dies wird bereitgestellt, um Integrationsszenarien abzuschließen. Microsoft bietet jedoch keine Unterstützung bei der Problembehandlung für Drittanbietertools.
Wenden Sie sich an den Drittanbieter, um Support zu erhalten.

Voraussetzungen und Systemanforderungen

Eine Beschreibung der Voraussetzungen und Systemanforderungen für die aktuelle Softwareversion finden Sie auf der Seite Standard Defender für Endpunkt unter Linux.

Darüber hinaus müssen Sie für die Puppet-Bereitstellung mit Puppet-Verwaltungsaufgaben vertraut sein, Puppet konfiguriert haben und wissen, wie Pakete bereitgestellt werden. Puppet hat viele Möglichkeiten, die gleiche Aufgabe auszuführen. Diese Anweisungen setzen voraus, dass unterstützte Puppet-Module verfügbar sind, z. B. apt , um das Paket bereitzustellen. Ihr organization verwendet möglicherweise einen anderen Workflow. Ausführliche Informationen finden Sie in der Puppet-Dokumentation .

Herunterladen des Onboardingpakets

Laden Sie das Onboardingpaket aus Microsoft Defender Portal herunter.

Warnung

Das Erneute Packen des Defender für Endpunkt-Installationspakets wird nicht unterstützt. Dies kann sich negativ auf die Integrität des Produkts auswirken und zu negativen Ergebnissen führen, einschließlich, aber nicht beschränkt auf das Auslösen von Manipulationswarnungen und nicht angewendeten Updates.

1. Navigieren Sie Microsoft Defender Portal zu Einstellungen > Endpunkte > Geräteverwaltung > Onboarding.

2. Wählen Sie im ersten Dropdownmenü Linux Server als Betriebssystem aus. Wählen Sie im zweiten Dropdownmenü Ihr bevorzugtes Linux-Konfigurationsverwaltungstool als Bereitstellungsmethode aus.

3. Wählen Sie "Onboardingpaket herunterladen" aus. Speichern Sie die Datei als WindowsDefenderATPOnboardingPackage.zip.

   

4. Vergewissern Sie sich an einer Eingabeaufforderung, dass Sie über die Datei verfügen.

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

5. Extrahieren Sie den Inhalt des Archivs.

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: mdatp_onboard.json
   

Create eines Puppet-Manifests

Sie müssen ein Puppet-Manifest erstellen, um Defender für Endpunkt unter Linux auf Geräten bereitzustellen, die von einem Puppet-Server verwaltet werden. In diesem Beispiel werden die apt - und yumrepo-Module verwendet, die in puppetlabs verfügbar sind, und es wird davon ausgegangen, dass die Module auf Ihrem Puppet-Server installiert wurden.

Create die Ordner install_mdatp/Dateien und install_mdatp/Manifeste im Ordner modules Ihrer Puppet-Installation. Dieser Ordner befindet sich in der Regel in /etc/puppetlabs/code/environments/production/modules auf Ihrem Puppet-Server. Kopieren Sie die oben erstellte mdatp_onboard.json-Datei in den Ordner install_mdatp/files . Create eine Datei init.pp, die die Bereitstellungsanweisungen enthält:

pwd

/etc/puppetlabs/code/environments/production/modules

tree install_mdatp

install_mdatp
├── files
│   └── mdatp_onboard.json
└── manifests
    └── init.pp

Inhalt von install_mdatp/manifests/init.pp

Defender für Endpunkt für Linux kann über einen der folgenden Kanäle (unten als [Kanal] bezeichnet) bereitgestellt werden: insiders-fast, insiders-slow oder prod. Jeder dieser Kanäle entspricht einem Linux-Softwarerepository.

Die Wahl des Kanals bestimmt den Typ und die Häufigkeit der Updates, die Ihrem Gerät angeboten werden. Geräte in Insider-fast sind die ersten, die Updates und neue Features erhalten, gefolgt von Insider-langsam und schließlich von Prod.

Um eine Vorschau neuer Features anzuzeigen und frühzeitig Feedback zu geben, empfiehlt es sich, einige Geräte in Ihrem Unternehmen so zu konfigurieren, dass sie entweder insiders-fast oder insiders-slow verwenden.

Warnung

Wenn Sie den Kanal nach der Erstinstallation wechseln, muss das Produkt neu installiert werden. Um den Produktkanal zu wechseln: Deinstallieren Sie das vorhandene Paket, konfigurieren Sie Ihr Gerät neu, um den neuen Kanal zu verwenden, und führen Sie die Schritte in diesem Dokument aus, um das Paket vom neuen Speicherort aus zu installieren.

Notieren Sie sich Ihre Distribution und Version, und identifizieren Sie den nächstgelegenen Eintrag unter https://packages.microsoft.com/config/[distro]/.

Ersetzen Sie in den folgenden Befehlen [Distribution] und [Version] durch die Informationen, die Sie identifiziert haben:

Hinweis

Ersetzen Sie im Fall von RedHat, Oracle Linux, Amazon Linux 2 und CentOS 8 [Distribution] durch "rhel".

# Puppet manifest to install Microsoft Defender for Endpoint on Linux.
# @param channel The release channel based on your environment, insider-fast or prod.
# @param distro The Linux distribution in lowercase. In case of RedHat, Oracle Linux, Amazon Linux 2, and CentOS 8, the distro variable should be 'rhel'.
# @param version The Linux distribution release number, e.g. 7.4.

class install_mdatp (
  $channel = 'insiders-fast',
  $distro = undef,
  $version = undef
) {
  case $facts['os']['family'] {
    'Debian' : {
      $release = $channel ? {
        'prod'  => $facts['os']['distro']['codename'],
        default => $channel
      }
      apt::source { 'microsoftpackages' :
        location => "https://packages.microsoft.com/${distro}/${version}/prod",
        release  => $release,
        repos    => 'main',
        key      => {
          'id'     => 'BC528686B50D79E339D3721CEB3E94ADBE1229CF',
          'server' => 'keyserver.ubuntu.com',
        },
      }
    }
    'RedHat' : {
      yumrepo { 'microsoftpackages' :
        baseurl  => "https://packages.microsoft.com/${distro}/${version}/${channel}",
        descr    => "packages-microsoft-com-prod-${channel}",
        enabled  => 1,
        gpgcheck => 1,
        gpgkey   => 'https://packages.microsoft.com/keys/microsoft.asc',
      }
    }
    default : { fail("${facts['os']['family']} is currently not supported.") }
  }

  case $facts['os']['family'] {
    /(Debian|RedHat)/: {
      file { ['/etc/opt', '/etc/opt/microsoft', '/etc/opt/microsoft/mdatp']:
        ensure => directory,
        owner  => root,
        group  => root,
        mode   => '0755',
      }

      file { '/etc/opt/microsoft/mdatp/mdatp_onboard.json':
        source  => 'puppet:///modules/install_mdatp/mdatp_onboard.json',
        owner   => root,
        group   => root,
        mode    => '0600',
        require => File['/etc/opt/microsoft/mdatp'],
      }

      package { 'mdatp':
        ensure  => 'installed',
        require => File['/etc/opt/microsoft/mdatp/mdatp_onboard.json'],
      }
    }
    default : { fail("${facts['os']['family']} is currently not supported.") }
  }
}

Bereitstellung)

Fügen Sie das oben genannte Manifest in Die Datei site.pp ein:

cat /etc/puppetlabs/code/environments/production/manifests/site.pp

node "default" {
    include install_mdatp
}

Registrierte Agent-Geräte rufen den Puppet Server in regelmäßigen Abständen ab und installieren neue Konfigurationsprofile und Richtlinien, sobald sie erkannt werden.

Überwachen der Puppet-Bereitstellung

Auf dem Agent-Gerät können Sie auch die Onboarding-status überprüfen, indem Sie Folgendes ausführen:

mdatp health

...
licensed                                : true
org_id                                  : "[your organization identifier]"
...

• lizenziert: Dies bestätigt, dass das Gerät an Ihre organization gebunden ist.

• orgId: Dies ist Ihr Defender für Endpunkt organization-Bezeichner.

Überprüfen des onboarding-status

Sie können überprüfen, ob geräte ordnungsgemäß integriert wurden, indem Sie ein Skript erstellen. Das folgende Skript überprüft beispielsweise registrierte Geräte für das Onboarding status:

mdatp health --field healthy

Der obige Befehl gibt aus 1 , wenn das Produkt integriert ist und wie erwartet funktioniert.

Wichtig

Wenn das Produkt zum ersten Mal gestartet wird, lädt es die neuesten Antischadsoftwaredefinitionen herunter. Je nach Internetverbindung kann dies einige Minuten dauern. Während dieser Zeit gibt der obige Befehl den Wert zurück 0.

Wenn das Produkt nicht fehlerfrei ist, weist der Exitcode (der überprüft echo $?werden kann) auf das Problem hin:

• 1, wenn das Gerät noch nicht integriert ist.
• 3, wenn die Verbindung mit dem Daemon nicht hergestellt werden kann.

Protokollieren von Installationsproblemen

Weitere Informationen zum Suchen des automatisch generierten Protokolls, das beim Auftreten eines Fehlers vom Installationsprogramm erstellt wird, finden Sie unter Protokollinstallationsprobleme.

Betriebssystemupgrades

Wenn Sie Ihr Betriebssystem auf eine neue Hauptversion aktualisieren, müssen Sie zunächst Defender für Endpunkt unter Linux deinstallieren, das Upgrade installieren und schließlich Defender für Endpunkt unter Linux auf Ihrem Gerät neu konfigurieren.

Deinstallation

Create ein Modul remove_mdatp ähnlich wie install_mdatp mit dem folgenden Inhalt in der Datei init.pp:

class remove_mdatp {
    package { 'mdatp':
        ensure => 'purged',
    }
}

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.