次の方法で共有

Saltstack を使用して Linux にMicrosoft Defender for Endpointをデプロイする

  • [アーティクル]

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

この記事では、Saltstack を使用して Defender for Endpoint on Linux をデプロイする方法について説明します。 デプロイが成功するには、この記事のすべての手順を完了する必要があります。

重要

この記事には、サード パーティ製ツールに関する情報が含まれています。 これは統合シナリオの完了に役立ちますが、Microsoft ではサード パーティ製ツールのトラブルシューティング サポートを提供していません。
サポートについては、サード パーティベンダーにお問い合わせください。

前提条件とシステム要件

作業を開始する前に、現在のソフトウェア バージョンの前提条件とシステム要件の説明については、「Linux 上の Defender for Endpoint のメイン」ページを参照してください。

さらに、Saltstack デプロイの場合は、Saltstack 管理に精通し、Saltstack をインストールし、マスターとミニオンを構成し、状態を適用する方法を理解する必要があります。 Saltstack には、同じタスクを完了するための多くの方法があります。 これらの手順では、パッケージのデプロイに役立つ aptunarchive など、サポートされている Saltstack モジュールの可用性を前提としています。 organizationは別のワークフローを使用する場合があります。 詳細については、 Saltstack のドキュメントを参照してください

いくつかの重要なポイントを次に示します。

  • Saltstack は少なくとも 1 台のコンピューターにインストールされます (Saltstack はコンピューターをマスターとして呼び出します)。
  • Saltstack マスターは、マネージド ノード (Saltstack はノードをミニオンとして呼び出します) 接続を受け入れた。
  • Saltstack ミニオンは Saltstack マスターへの通信を解決できます (既定では、ミニオンは salt という名前のマシンと通信しようとします)。
  • 次の ping テストを実行します。 sudo salt '*' test.ping
  • Saltstack マスターには、Microsoft Defender for Endpoint ファイルを配布できるファイル サーバーの場所があります (既定では、Saltstack は既定の配布ポイントとして /srv/salt フォルダーを使用します)

オンボーディング パッケージをダウンロードする

警告

Defender for Endpoint インストール パッケージの再パッケージ化は、サポートされているシナリオではありません。 これにより、製品の整合性に悪影響を及ぼし、改ざんアラートや更新プログラムの適用に失敗したトリガーなど、悪影響を及ぼす可能性があります。

  1. Microsoft Defender ポータルで、[設定>Endpoints>Device Management>Onboarding に移動します

  2. 最初のドロップダウン メニューで、オペレーティング システムとして [Linux サーバー] を選択します。 2 番目のドロップダウン メニューで、デプロイ方法として [お好みの Linux 構成管理ツール ] を選択します。

  3. [オンボーディング パッケージをダウンロードする] を選択します。 ファイルを WindowsDefenderATPOnboardingPackage.zipとして保存します。

    [オンボード パッケージのダウンロード] オプション

  4. SaltStack マスターで、アーカイブの内容を SaltStack Server のフォルダー (通常は /srv/salt) に抽出します。

    unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: /srv/salt/mde/mdatp_onboard.json

Saltstack 状態ファイルを作成する

Saltstack 状態ファイルを作成する方法は 2 つあります。

  • インストーラー スクリプトを使用します (推奨)。この方法では、エージェントをインストールし、デバイスをMicrosoft Defender ポータルにオンボードし、Linux ディストリビューションと互換性のある適切なエージェントを選択するようにリポジトリを構成することで、デプロイが自動化されます。

  • リポジトリを手動で構成します。 この方法では、リポジトリを手動で構成し、Linux ディストリビューションと互換性のあるエージェント バージョンを選択する必要があります。 この方法を使用すると、デプロイ プロセスをより詳細に制御できます。

インストーラー スクリプトを使用して Saltstack 状態ファイルを作成する

  1. Microsoft GitHub リポジトリから インストーラー bash スクリプト をプルするか、次のコマンドを使用してダウンロードします。

    wget https://raw.githubusercontent.com/microsoft/mdatp-xplat/refs/heads/master/linux/installation/mde_installer.sh /srv/salt/mde/

  2. 次の内容を含む状態ファイル /srv/salt/install_mdatp.sls を作成します。 同じを GitHub からダウンロードできます

    #Download the mde_installer.sh: https://github.com/microsoft/mdatp-xplat/blob/master/linux/installation/mde_installer.sh
 install_mdatp_package:
   cmd.run:
     - name: /srv/salt/mde/mde_installer.sh --install --onboard /srv/salt/mde/mdatp_onboard.json
     - shell: /bin/bash
     - unless: 'pgrep -f mde_installer.sh'

注:

インストーラー スクリプトでは、チャネル (insiders-fast、insiders-slow、prod (既定値) 、リアルタイム保護、バージョンなど、他のパラメーターもサポートされています。使用可能なオプションの一覧から選択するには、次のコマンドチェックヘルプを参照してください。./mde_installer.sh --help

リポジトリを手動で構成して Saltstack 状態ファイルを作成する

この手順では、構成リポジトリ (通常は /srv/salt) に SaltState 状態ファイルを作成し、Defender for Endpoint のデプロイとオンボードに必要な状態を適用します。 次に、Defender for Endpoint リポジトリとキー: install_mdatp.slsを追加します。

注:

Defender for Endpoint on Linux は、次のいずれかのチャネルからデプロイできます。

各チャネルは、Linux ソフトウェア リポジトリに対応します。 チャネルの選択により、デバイスに提供される更新プログラムの種類と頻度が決まります。 insiders-fast のデバイスは、更新プログラムと新機能を受け取る最初のデバイスであり、その後、インサイダーが遅く、最後に prod が続きます。

新機能をプレビューし、早期フィードバックを提供するには、社内の一部のデバイスを 、Insider-fast または insider-slow を使用するように構成することをお勧めします。

警告

初期インストール後にチャネルを切り替えるには、製品を再インストールする必要があります。 製品チャネルを切り替えるには: 既存のパッケージをアンインストールし、新しいチャネルを使用するようにデバイスを再構成し、このドキュメントの手順に従って新しい場所からパッケージをインストールします。

  1. ディストリビューションとバージョンをメモし、 https://packages.microsoft.com/config/[distro]/で最も近いエントリを特定します。

  2. 次のコマンドでは、[ distro][version] を 自分の情報に置き換えます。

    注:

    Oracle Linux と Amazon Linux 2 の場合は、[ distro] を "rhel" に置き換えます。 Amazon Linux 2 の場合、[ version] を "7" に置き換えます。 Oracle が利用する場合は、[ version] を Oracle Linux のバージョンに置き換えます。

    cat /srv/salt/install_mdatp.sls

    add_ms_repo:
  pkgrepo.managed:
    - humanname: Microsoft Defender Repository
    {% if grains['os_family'] == 'Debian' %}
    - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
    - dist: [codename]
    - file: /etc/apt/sources.list.d/microsoft-[channel].list
    - key_url: https://packages.microsoft.com/keys/microsoft.asc
    - refresh: true
    {% elif grains['os_family'] == 'RedHat' %}
    - name: packages-microsoft-[channel]
    - file: microsoft-[channel]
    - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
    - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
    - gpgcheck: true
    {% endif %}

  3. 以前に定義したadd_ms_repo状態の後に、パッケージのインストール済み状態をinstall_mdatp.slsに追加します。

    install_mdatp_package:
  pkg.installed:
    - name: matp
    - required: add_ms_repo

  4. 前に定義したinstall_mdatp_packageの後に、オンボード ファイルのデプロイをinstall_mdatp.slsに追加します。

    copy_mde_onboarding_file:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    - source: salt://mde/mdatp_onboard.json
    - required: install_mdatp_package

    完了したインストール状態ファイルは、次の出力のようになります。

    add_ms_repo:
pkgrepo.managed:
- humanname: Microsoft Defender Repository
{% if grains['os_family'] == 'Debian' %}
- name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
- dist: [codename]
- file: /etc/apt/sources.list.d/microsoft-[channel].list
- key_url: https://packages.microsoft.com/keys/microsoft.asc
- refresh: true
{% elif grains['os_family'] == 'RedHat' %}
- name: packages-microsoft-[channel]
- file: microsoft-[channel]
- baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
- gpgkey: https://packages.microsoft.com/keys/microsoft.asc
- gpgcheck: true
{% endif %}

install_mdatp_package:
pkg.installed:
- name: mdatp
- required: add_ms_repo

copy_mde_onboarding_file:
file.managed:
- name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
- source: salt://mde/mdatp_onboard.json
- required: install_mdatp_package

  5. 必要な状態をオフボードに適用し、Defender for Endpoint を削除する SaltState 状態ファイルを構成リポジトリ (通常は /srv/salt) に作成します。 オフボード状態ファイルを使用する前に、Microsoft Defender ポータルからオフボード パッケージをダウンロードし、オンボード パッケージと同じ方法で抽出する必要があります。 ダウンロードしたオフボード パッケージは、一定期間のみ有効です。

  6. [アンインストール状態ファイル] uninstall_mdapt.sls を作成し、状態を追加して mdatp_onboard.json ファイルを削除します。

    cat /srv/salt/uninstall_mdatp.sls

    remove_mde_onboarding_file:
  file.absent:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json

  7. 前のセクションで定義したremove_mde_onboarding_file状態の後に、オフボード ファイルの展開を uninstall_mdatp.sls ファイルに追加します。

     offboard_mde:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
    - source: salt://mde/mdatp_offboard.json

  8. 前のセクションで定義したoffboard_mde状態の後に、MDATP パッケージの削除を uninstall_mdatp.sls ファイルに追加します。

    remove_mde_packages:
  pkg.removed:
    - name: mdatp

    完全なアンインストール状態ファイルは、次の出力のようになります。

    remove_mde_onboarding_file:
  file.absent:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json

offboard_mde:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
    - source: salt://mde/offboard/mdatp_offboard.json

remove_mde_packages:
   pkg.removed:
     - name: mdatp

前に作成した状態ファイルを使用して Defender on Endpoint をデプロイする

この手順は、インストーラー スクリプトまたは手動構成方法の両方に適用されます。 この手順では、ミニオンに状態を適用します。 次のコマンドは、 mdetestで始まる名前のマシンに状態を適用します。

  1. 取り付け:

    salt 'mdetest*' state.apply install_mdatp

    重要

    製品が初めて起動すると、最新のウイルス対策定義がダウンロードされます。 インターネット接続によっては、これには数分かかる場合があります。

  2. 検証/構成:

    salt 'mdetest*' cmd.run 'mdatp connectivity test'

    salt 'mdetest*' cmd.run 'mdatp health'

  3. アンインストール:

    salt 'mdetest*' state.apply uninstall_mdatp

インストールに関する問題のトラブルシューティング

問題のトラブルシューティングを行うには:

  1. インストール エラーが発生したときに自動的に生成されるログを検索する方法については、「 ログのインストールの問題」を参照してください。

  2. 一般的なインストールの問題については、「 インストールの問題」を参照してください。

  3. デバイスの正常性が falseされている場合は、「 Defender for Endpoint エージェントの正常性の問題」を参照してください。

  4. 製品のパフォーマンスの問題については、「 パフォーマンスの問題のトラブルシューティング」を参照してください。

  5. プロキシと接続の問題については、「 クラウド接続の問題のトラブルシューティング」を参照してください。

Microsoft からサポートを受けるために、サポート チケットを開き、 クライアント アナライザーを使用して作成されたログ ファイルを指定します。

Linux 上のMicrosoft Defenderのポリシーを構成する方法

エンドポイントでウイルス対策または EDR 設定を構成するには、次のいずれかの方法を使用します。

オペレーティング システムのアップグレード

オペレーティング システムを新しいメジャー バージョンにアップグレードするときは、まず Linux 上の Defender for Endpoint をアンインストールし、アップグレードをインストールし、最後に Linux デバイスで Defender for Endpoint を再構成する必要があります。

リファレンス

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。