Linux 用のエンドポイントに Microsoft Defender を展開するDeploy Microsoft Defender for Endpoint for Linux with Ansible

重要

最近の高度な攻撃である Solorigateから Microsoft がどのように顧客を保護しているのかについて説明します。Learn how Microsoft is helping to protect customers from Solorigate, a recent sophisticated attack.

適用対象:Applies to:

この記事では、Linux 用のエンドポイントを使用するために Defender を使用する方法について説明します。This article describes how to deploy Defender for Endpoint for Linux using Ansible. 展開を成功させるには、次のすべてのタスクが完了している必要があります。A successful deployment requires the completion of all of the following tasks:

前提条件とシステム要件Prerequisites and system requirements

使用を開始する前に、現在のソフトウェアバージョンの前提条件とシステム要件の説明については、「 Linux のエンドポイント用のメイン Defender」ページ を参照してください。Before you get started, see the main Defender for Endpoint for Linux page for a description of prerequisites and system requirements for the current software version.

さらに、さらに展開するには、管理タスクの詳細を把握して、わかりやすい構成を持ち、プレイブックとタスクの展開方法を理解している必要があります。In addition, for Ansible deployment, you need to be familiar with Ansible administration tasks, have Ansible configured, and know how to deploy playbooks and tasks. 1つのタスクを完了するには、次のようなさまざまな方法があります。Ansible has many ways to complete the same task. この手順では、パッケージの展開に役立つ aptunarchive などの、サポートされていないモジュールの可用性を前提としています。These instructions assume availability of supported Ansible modules, such as apt and unarchive to help deploy the package. 組織では、別のワークフローを使用している可能性があります。Your organization might use a different workflow. 詳細については、「 ドキュメント 」を参照してください。Refer to the Ansible documentation for details.

  • 少なくとも1台のコンピュータには個別にインストールする必要があります (プライマリコンピュータとして通話を発信します)。Ansible needs to be installed on at least one computer (we will call it the primary computer).

  • SSH はプライマリコンピューターとすべてのクライアントの管理者アカウントに対して構成されている必要があります。また、公開キー認証を使用して構成することをお勧めします。SSH must be configured for an administrator account between the primary computer and all clients, and it is recommended be configured with public key authentication.

  • 次のソフトウェアがすべてのクライアントにインストールされている必要があります。The following software must be installed on all clients:

    • curlcurl
    • python-aptpython-apt
  • すべてのホスト /etc/ansible/hosts は、または関連ファイルの次の形式で一覧表示されている必要があります。All hosts must be listed in the following format in the /etc/ansible/hosts or relevant file:

    [servers]
    host1 ansible_ssh_host=10.171.134.39
    host2 ansible_ssh_host=51.143.50.51
    
  • Ping テスト:Ping test:

    ansible -m ping all
    

オンボードパッケージをダウンロードするDownload the onboarding package

Microsoft Defender セキュリティセンターからオンボードパッケージをダウンロードします。Download the onboarding package from Microsoft Defender Security Center:

  1. Microsoft Defender セキュリティセンターで [設定] に移動し、[ デバイス管理 > オンボード > します。In Microsoft Defender Security Center, go to Settings > Device Management > Onboarding.

  2. 最初のドロップダウンメニューで、オペレーティングシステムとして [ Linux Server ] を選びます。In the first drop-down menu, select Linux Server as the operating system. 2番目のドロップダウンメニューで、 お好みの Linux 構成管理ツール を展開方法として選択します。In the second drop-down menu, select Your preferred Linux configuration management tool as the deployment method.

  3. [オン ボードパッケージのダウンロード] を選びます。Select Download onboarding package. WindowsDefenderATPOnboardingPackage.zip としてファイルを保存します。Save the file as WindowsDefenderATPOnboardingPackage.zip.

    Microsoft Defender セキュリティセンターのスクリーンショット

  4. コマンドプロンプトで、ファイルが保存されていることを確認します。From a command prompt, verify that you have the file. アーカイブの内容を抽出します。Extract the contents of the archive:

    ls -l
    
    total 8
    -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
    
    unzip WindowsDefenderATPOnboardingPackage.zip
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: mdatp_onboard.json
    

他のファイルを作成するCreate Ansible YAML files

プレイブックやタスクに寄与するサブタスクまたはロールファイルを作成します。Create a subtask or role files that contribute to an playbook or task.

  • オンボードタスクを作成し onboarding_setup.yml ます。Create the onboarding task, onboarding_setup.yml:

    - name: Create MDATP directories
      file:
        path: /etc/opt/microsoft/mdatp/
        recurse: true
        state: directory
        mode: 0755
        owner: root
        group: root
    
    - name: Register mdatp_onboard.json
      stat:
        path: /etc/opt/microsoft/mdatp/mdatp_onboard.json
      register: mdatp_onboard
    
    - name: Extract WindowsDefenderATPOnboardingPackage.zip into /etc/opt/microsoft/mdatp
      unarchive:
        src: WindowsDefenderATPOnboardingPackage.zip
        dest: /etc/opt/microsoft/mdatp
        mode: 0600
        owner: root
        group: root
      when: not mdatp_onboard.stat.exists
    
  • エンドポイントリポジトリとキーの Defender を追加します。Add the Defender for Endpoint repository and key.

    Linux 用の Defender は、次のいずれかのチャネル ( [channel] として示されます) のいずれかから展開できます。 insider-fastinsider-低速 、または製品。これらの各チャネルは、Linux ソフトウェアリポジトリに対応しています。Defender for Endpoint for Linux can be deployed from one of the following channels (denoted below as [channel]): insiders-fast, insiders-slow, or prod. Each of these channels corresponds to a Linux software repository.

    チャネルの選択によって、デバイスに提供される更新プログラムの種類と頻度が決まります。The choice of the channel determines the type and frequency of updates that are offered to your device. Insider-fastのデバイスは、更新プログラムと新機能を入手するための最初のデバイスであり、 後でinsider-低速、最後に製品によって提供されます。Devices in insiders-fast are the first ones to receive updates and new features, followed later by insiders-slow and lastly by prod.

    新機能をプレビューして早期のフィードバックを提供するには、 insider-fast または insider-低速のいずれかを使用するように企業内の一部のデバイスを構成することをお勧めします。In order to preview new features and provide early feedback, it is recommended that you configure some devices in your enterprise to use either insiders-fast or insiders-slow.

    警告

    最初のインストール後にチャネルを切り替えるには、製品を再インストールする必要があります。Switching the channel after the initial installation requires the product to be reinstalled. 製品チャネルを切り替えるには: 既存のパッケージをアンインストールし、新しいチャネルを使用するようにデバイスを再構成して、このドキュメントの手順に従って、新しい場所からパッケージをインストールします。To switch the product channel: uninstall the existing package, re-configure your device to use the new channel, and follow the steps in this document to install the package from the new location.

    配布とバージョンを確認し、で最も近いエントリを特定し https://packages.microsoft.com/config/ ます。Note your distribution and version and identify the closest entry for it under https://packages.microsoft.com/config/.

    次のコマンドでは、 [ディストリビューション][バージョン] を、指定した情報に置き換えます。In the following commands, replace [distro] and [version] with the information you've identified.

    注意

    Oracle Linux の場合は、 [ディストリビューション] を "rhel" に置き換えます。In case of Oracle Linux, replace [distro] with “rhel”.

    - name: Add Microsoft APT key
        apt_key:
            keyserver: https://packages.microsoft.com/
            id: BC528686B50D79E339D3721CEB3E94ADBE1229CF
        when: ansible_os_family == "Debian"
    
    - name: Add Microsoft apt repository for MDATP
        apt_repository:
            repo: deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/[distro]/[version]/prod [channel] main
            update_cache: yes
            state: present
            filename: microsoft-[channel].list
        when: ansible_os_family == "Debian"
    
    - name: Add  Microsoft yum repository for MDATP
        yum_repository:
            name: packages-microsoft-com-prod-[channel]
            description: Microsoft Defender for Endpoint
            file: microsoft-[channel]
            baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
            gpgcheck: yes
            enabled: Yes
        when: ansible_os_family == "RedHat"
    
  • ファイルを作成し、インストールしてアンインストールします。 YAML ファイル。Create the Ansible install and uninstall YAML files.

    • Apt ベースの配布の場合は、次の YAML ファイルを使用します。For apt-based distributions use the following YAML file:

      cat install_mdatp.yml
      
      - hosts: servers
          tasks:
              - include: ../roles/onboarding_setup.yml
              - include: ../roles/add_apt_repo.yml
              - apt:
                  name: mdatp
                  state: latest
                  update_cache: yes
      
      cat uninstall_mdatp.yml
      
      - hosts: servers
      tasks:
          - apt:
              name: mdatp
              state: absent
      
    • Yum ベースの配布の場合は、次の YUM ファイルを使用します。For yum-based distributions use the following YAML file:

      cat install_mdatp_yum.yml
      
      - hosts: servers
      tasks:
          - include: ../roles/onboarding_setup.yml
          - include: ../roles/add_yum_repo.yml
          - yum:
              name: mdatp
              state: latest
              enablerepo: packages-microsoft-com-prod-[channel]
      
      cat uninstall_mdatp_yum.yml
      
      - hosts: servers
      tasks:
          - yum:
              name: mdatp
              state: absent
      

展開Deployment

次に、または関連するディレクトリでタスクファイルを実行し /etc/ansible/playbooks/ ます。Now run the tasks files under /etc/ansible/playbooks/ or relevant directory.

  • 設置Installation:

    ansible-playbook /etc/ansible/playbooks/install_mdatp.yml -i /etc/ansible/hosts
    

重要

製品が初めて起動すると、最新のマルウェア対策定義がダウンロードされます。When the product starts for the first time, it downloads the latest antimalware definitions. 使用しているインターネット接続によっては、数分かかることがあります。Depending on your Internet connection, this can take up to a few minutes.

  • 検証/構成:Validation/configuration:

    ansible -m shell -a 'mdatp connectivity test' all
    
    ansible -m shell -a 'mdatp health' all
    
  • 削除Uninstallation:

    ansible-playbook /etc/ansible/playbooks/uninstall_mdatp.yml -i /etc/ansible/hosts
    

インストールの問題をログに記録するLog installation issues

エラーが発生したときにインストーラーによって作成される自動生成されたログを見つける方法の詳細については、「 ログのインストールの問題を解決 する」を参照してください。See Log installation issues for more information on how to find the automatically generated log that is created by the installer when an error occurs.

オペレーティングシステムのアップグレードOperating system upgrades

オペレーティングシステムを新しいメジャーバージョンにアップグレードする場合は、まず、Linux のエンドポイント用の Defender をアンインストールし、アップグレードをインストールしてから、デバイス上の Linux のエンドポイントについて Defender を再構成する必要があります。When upgrading your operating system to a new major version, you must first uninstall Defender for Endpoint for Linux, install the upgrade, and finally reconfigure Defender for Endpoint for Linux on your device.

参考資料References