Partilhar via


Implementar o Defender para Endpoint no Linux com o Chef

Importante

Este artigo contém informações sobre ferramentas de terceiros. Isto é fornecido para ajudar a concluir cenários de integração. No entanto, a Microsoft não fornece suporte de resolução de problemas para ferramentas de terceiros.
Contacte o fornecedor de terceiros para obter suporte.

Aplica-se a:

Introdução

Este artigo aborda como implementar o Defender para Endpoint no Linux em escala com o Chef através de dois métodos:

  1. Instalar com o script do instalador
  2. Configurar manualmente os repositórios para um controlo mais granular sobre a implementação

Pré-requisitos

Para obter uma descrição dos pré-requisitos e requisitos de sistema, veja Microsoft Defender para Endpoint no Linux.

Transferir o pacote de inclusão

  1. Inicie sessão no portal Microsoft Defender e, em seguida, navegue para Definições Pontos Finais>Gestão de dispositivos>Integração>.

  2. No primeiro menu pendente, selecione Servidor Linux como o sistema operativo. No segundo menu pendente, selecione A sua ferramenta de gestão de configuração do Linux preferida como método de implementação.

  3. Selecione Transferir pacote de inclusão e guarde o ficheiro como WindowsDefenderATPOnboardingPackage.zip.

    A opção para transferir o pacote integrado.

  4. Extraia os conteúdos do arquivo com o seguinte comando:

    Comando:

    unzip WindowsDefenderATPOnboardingPackage.zip
    

    O resultado esperado é:

    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: mdatp_onboard.json
    

Criar uma estrutura de diretório

Antes de começar, certifique-se de que os componentes do Chef já estão instalados e que existe um repositório chef (chef generate repo <reponame>) para armazenar o livro de receitas que é utilizado para implementar no Defender para Endpoint em servidores Linux geridos pelo Chef.

O comando seguinte cria uma nova estrutura de pastas para o novo livro de receitas denominado mdatp. Também pode utilizar um livro de receitas existente se já tiver um que gostaria de utilizar para adicionar a implementação do Defender para Endpoint.

chef generate cookbook mdatp

Depois de criar o livro de receitas, crie uma pasta de ficheiros dentro da pasta do livro de receitas que criou:

mkdir mdatp/files

Copie mdatp_onboard.json para a /tmp pasta .

Na Estação de Trabalho do Chef, navegue para a pasta mdatp/recipes , que é criada automaticamente quando o livro de receitas é gerado. Utilize o seu editor de texto preferencial (como vi ou nano) para adicionar as seguintes instruções ao final do ficheiro default.rb e, em seguida, guarde e feche o ficheiro:

  • include_recipe '::install_mdatp'

Criar um livro de receitas

Um livro de receitas pode ser criado através de qualquer um dos seguintes métodos:

Criar um livro de receitas com o script do instalador

  1. Transfira o script bash do instalador. Extraia o script bash do instalador do Repositório do Microsoft GitHub ou utilize o seguinte comando para transferi-lo:

    wget https://raw.githubusercontent.com/microsoft/mdatp-xplat/refs/heads/master/linux/installation/mde_installer.sh /tmp
    
  2. Crie um novo ficheiro de receitas com o nome install_mdatp.rb na pasta ~/cookbooks/mdatp/recipes/install_mdatp.rb de receitas e adicione o seguinte texto ao ficheiro. Também pode transferir o ficheiro diretamente a partir do GitHub.

    mdatp = "/etc/opt/microsoft/mdatp"
    
    #Download the onboarding json from tenant, keep the same at specific location
    onboarding_json = "/tmp/mdatp_onboard.json"
    
    #Download the installer script from: https://github.com/microsoft/mdatp-xplat/blob/master/linux/installation/mde_installer.sh
    #Place the same at specific location, edit this if needed
    mde_installer= "/tmp/mde_installer.sh"
    
    
    ## Invoke the mde-installer script 
    bash 'Installing mdatp using mde-installer' do
        code <<-EOS
        chmod +x #{mde_installer}
        #{mde_installer} --install --onboard #{onboarding_json}
        EOS
    end
    

Nota

O script do instalador também suporta outros parâmetros, como canal, proteção em tempo real, versão, etc. Para selecionar a partir da lista de opções disponíveis, consulte a ajuda através do seguinte comando: ./mde_installer.sh --help

Criar um livro de receitas ao configurar manualmente repositórios

Crie um novo ficheiro de receitas com o nome install_mdatp.rb na pasta ~/cookbooks/mdatp/recipes/install_mdatp.rb de receitas e adicione o seguinte texto ao ficheiro. Também pode transferir o ficheiro diretamente a partir do Github.

#Add Microsoft Defender
case node['platform_family']
when 'debian'
 apt_repository 'MDATPRepo' do
   arch               'amd64'
   cache_rebuild      true
   cookbook           false
   deb_src            false
   key                'BC528686B50D79E339D3721CEB3E94ADBE1229CF'
   keyserver          "keyserver.ubuntu.com"
   distribution       'jammy'
   repo_name          'microsoft-prod'
   components         ['main']
   uri                "https://packages.microsoft.com/ubuntu/22.04/prod"
 end
apt_package "mdatp"
when 'rhel'
 yum_repository 'microsoft-prod' do
   baseurl            "https://packages.microsoft.com/rhel/7/prod/"
   description        "Microsoft Defender for Endpoint"
   enabled            true
   gpgcheck           true
   gpgkey             "https://packages.microsoft.com/keys/microsoft.asc"
 end
 if node['platform_version'] <= 8 then
    yum_package "mdatp"
 else
    dnf_package "mdatp"
 end
end

#Create MDATP Directory
mdatp = "/etc/opt/microsoft/mdatp"
onboarding_json = "/tmp/mdatp_onboard.json"

directory "#{mdatp}" do
  owner 'root'
  group 'root'
  mode 0755
  recursive true
end

#Onboarding using tenant json 
file "#{mdatp}/mdatp_onboard.json" do
  content lazy { ::File.open(onboarding_json).read }
  owner 'root'
  group 'root'
  mode '0644'
  action :create_if_missing
end

Nota

Pode modificar a distribuição do so, o número da versão de distribuição, o canal (prod/insider-fast, insiders-slow) e o nome do repositório para corresponder à versão em que está a implementar e ao canal no qual pretende implementar. Execute chef-client --local-mode --runlist 'recipe[mdatp]' para testar o livro de receitas na estação de trabalho chef.

Resolução de problemas de instalação

Para resolver problemas:

  1. Para obter informações sobre como localizar o registo gerado automaticamente quando ocorre um erro de instalação, veja Problemas de instalação de registos.

  2. Para obter informações sobre problemas comuns de instalação, veja Problemas de instalação.

  3. Se o estado de funcionamento do dispositivo for false, consulte Problemas de estado de funcionamento do agente do Defender para Endpoint.

  4. Para problemas de desempenho do produto, veja Resolver problemas de desempenho.

  5. Para problemas de proxy e conectividade, veja Resolver problemas de conectividade da cloud.

Para obter suporte da Microsoft, abra um pedido de suporte e forneça os ficheiros de registo criados com o analisador de cliente.

Como configurar políticas para Microsoft Defender no Linux

Pode configurar as definições de antivírus ou EDR nos pontos finais com qualquer um dos seguintes métodos:

Desinstalar o livro de receitas do MDATP

Para desinstalar o Defender, guarde o seguinte como um livro de receitas ~/cookbooks/mdatp/recipes/uninstall_mdatp.rb.

#Uninstall the Defender package
case node['platform_family']
when 'debian'
 apt_package "mdatp" do
   action :remove
 end
when 'rhel'
 if node['platform_version'] <= 8
then
    yum_package "mdatp" do
      action :remove
    end
 else
    dnf_package "mdatp" do
      action :remove
    end
 end
end

Para incluir este passo como parte da receita, adicione include_recipe ':: uninstall_mdatp ao seu default.rb ficheiro na pasta de receitas. Certifique-se de que removeu o include_recipe '::install_mdatp' do default.rb ficheiro.

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.