Implementar o Defender para Endpoint no Linux com o Chef
Importante
Este artigo contém informações sobre ferramentas de terceiros. Isto é fornecido para ajudar a concluir cenários de integração. No entanto, a Microsoft não fornece suporte de resolução de problemas para ferramentas de terceiros.
Contacte o fornecedor de terceiros para obter suporte.
Aplica-se a:
- Microsoft Defender para Endpoint Server
- Microsoft Defender para Servidores
Introdução
Este artigo aborda como implementar o Defender para Endpoint no Linux em escala com o Chef através de dois métodos:
- Instalar com o script do instalador
- Configurar manualmente os repositórios para um controlo mais granular sobre a implementação
Pré-requisitos
Para obter uma descrição dos pré-requisitos e requisitos de sistema, veja Microsoft Defender para Endpoint no Linux.
Transferir o pacote de inclusão
Inicie sessão no portal Microsoft Defender e, em seguida, navegue para Definições Pontos Finais>Gestão de dispositivos>Integração>.
No primeiro menu pendente, selecione Servidor Linux como o sistema operativo. No segundo menu pendente, selecione A sua ferramenta de gestão de configuração do Linux preferida como método de implementação.
Selecione Transferir pacote de inclusão e guarde o ficheiro como
WindowsDefenderATPOnboardingPackage.zip
.Extraia os conteúdos do arquivo com o seguinte comando:
Comando:
unzip WindowsDefenderATPOnboardingPackage.zip
O resultado esperado é:
Archive: WindowsDefenderATPOnboardingPackage.zip inflating: mdatp_onboard.json
Criar uma estrutura de diretório
Antes de começar, certifique-se de que os componentes do Chef já estão instalados e que existe um repositório chef (chef generate repo <reponame>) para armazenar o livro de receitas que é utilizado para implementar no Defender para Endpoint em servidores Linux geridos pelo Chef.
O comando seguinte cria uma nova estrutura de pastas para o novo livro de receitas denominado mdatp. Também pode utilizar um livro de receitas existente se já tiver um que gostaria de utilizar para adicionar a implementação do Defender para Endpoint.
chef generate cookbook mdatp
Depois de criar o livro de receitas, crie uma pasta de ficheiros dentro da pasta do livro de receitas que criou:
mkdir mdatp/files
Copie mdatp_onboard.json
para a /tmp
pasta .
Na Estação de Trabalho do Chef, navegue para a pasta mdatp/recipes , que é criada automaticamente quando o livro de receitas é gerado. Utilize o seu editor de texto preferencial (como vi ou nano) para adicionar as seguintes instruções ao final do ficheiro default.rb e, em seguida, guarde e feche o ficheiro:
- include_recipe '::install_mdatp'
Criar um livro de receitas
Um livro de receitas pode ser criado através de qualquer um dos seguintes métodos:
Criar um livro de receitas com o script do instalador
Transfira o script bash do instalador. Extraia o script bash do instalador do Repositório do Microsoft GitHub ou utilize o seguinte comando para transferi-lo:
wget https://raw.githubusercontent.com/microsoft/mdatp-xplat/refs/heads/master/linux/installation/mde_installer.sh /tmp
Crie um novo ficheiro de receitas com o nome install_mdatp.rb na pasta
~/cookbooks/mdatp/recipes/install_mdatp.rb
de receitas e adicione o seguinte texto ao ficheiro. Também pode transferir o ficheiro diretamente a partir do GitHub.mdatp = "/etc/opt/microsoft/mdatp" #Download the onboarding json from tenant, keep the same at specific location onboarding_json = "/tmp/mdatp_onboard.json" #Download the installer script from: https://github.com/microsoft/mdatp-xplat/blob/master/linux/installation/mde_installer.sh #Place the same at specific location, edit this if needed mde_installer= "/tmp/mde_installer.sh" ## Invoke the mde-installer script bash 'Installing mdatp using mde-installer' do code <<-EOS chmod +x #{mde_installer} #{mde_installer} --install --onboard #{onboarding_json} EOS end
Nota
O script do instalador também suporta outros parâmetros, como canal, proteção em tempo real, versão, etc. Para selecionar a partir da lista de opções disponíveis, consulte a ajuda através do seguinte comando: ./mde_installer.sh --help
Criar um livro de receitas ao configurar manualmente repositórios
Crie um novo ficheiro de receitas com o nome install_mdatp.rb na pasta ~/cookbooks/mdatp/recipes/install_mdatp.rb
de receitas e adicione o seguinte texto ao ficheiro. Também pode transferir o ficheiro diretamente a partir do Github.
#Add Microsoft Defender
case node['platform_family']
when 'debian'
apt_repository 'MDATPRepo' do
arch 'amd64'
cache_rebuild true
cookbook false
deb_src false
key 'BC528686B50D79E339D3721CEB3E94ADBE1229CF'
keyserver "keyserver.ubuntu.com"
distribution 'jammy'
repo_name 'microsoft-prod'
components ['main']
uri "https://packages.microsoft.com/ubuntu/22.04/prod"
end
apt_package "mdatp"
when 'rhel'
yum_repository 'microsoft-prod' do
baseurl "https://packages.microsoft.com/rhel/7/prod/"
description "Microsoft Defender for Endpoint"
enabled true
gpgcheck true
gpgkey "https://packages.microsoft.com/keys/microsoft.asc"
end
if node['platform_version'] <= 8 then
yum_package "mdatp"
else
dnf_package "mdatp"
end
end
#Create MDATP Directory
mdatp = "/etc/opt/microsoft/mdatp"
onboarding_json = "/tmp/mdatp_onboard.json"
directory "#{mdatp}" do
owner 'root'
group 'root'
mode 0755
recursive true
end
#Onboarding using tenant json
file "#{mdatp}/mdatp_onboard.json" do
content lazy { ::File.open(onboarding_json).read }
owner 'root'
group 'root'
mode '0644'
action :create_if_missing
end
Nota
Pode modificar a distribuição do so, o número da versão de distribuição, o canal (prod/insider-fast, insiders-slow) e o nome do repositório para corresponder à versão em que está a implementar e ao canal no qual pretende implementar. Execute chef-client --local-mode --runlist 'recipe[mdatp]'
para testar o livro de receitas na estação de trabalho chef.
Resolução de problemas de instalação
Para resolver problemas:
Para obter informações sobre como localizar o registo gerado automaticamente quando ocorre um erro de instalação, veja Problemas de instalação de registos.
Para obter informações sobre problemas comuns de instalação, veja Problemas de instalação.
Se o estado de funcionamento do dispositivo for
false
, consulte Problemas de estado de funcionamento do agente do Defender para Endpoint.Para problemas de desempenho do produto, veja Resolver problemas de desempenho.
Para problemas de proxy e conectividade, veja Resolver problemas de conectividade da cloud.
Para obter suporte da Microsoft, abra um pedido de suporte e forneça os ficheiros de registo criados com o analisador de cliente.
Como configurar políticas para Microsoft Defender no Linux
Pode configurar as definições de antivírus ou EDR nos pontos finais com qualquer um dos seguintes métodos:
- Veja Definir preferências para Microsoft Defender para Endpoint no Linux.
- Veja Gestão de definições de segurança para configurar as definições no portal do Microsoft Defender.
Desinstalar o livro de receitas do MDATP
Para desinstalar o Defender, guarde o seguinte como um livro de receitas ~/cookbooks/mdatp/recipes/uninstall_mdatp.rb
.
#Uninstall the Defender package
case node['platform_family']
when 'debian'
apt_package "mdatp" do
action :remove
end
when 'rhel'
if node['platform_version'] <= 8
then
yum_package "mdatp" do
action :remove
end
else
dnf_package "mdatp" do
action :remove
end
end
end
Para incluir este passo como parte da receita, adicione include_recipe ':: uninstall_mdatp
ao seu default.rb
ficheiro na pasta de receitas. Certifique-se de que removeu o include_recipe '::install_mdatp'
do default.rb
ficheiro.
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.