Dela via

Distribuera Microsoft Defender för Endpoint på Linux med Saltstack

  • Artikel

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Den här artikeln beskriver hur du distribuerar Defender för Endpoint i Linux med hjälp av Saltstack. En lyckad distribution kräver att alla steg i den här artikeln slutförs.

Viktigt

Den här artikeln innehåller information om verktyg från tredje part. Detta tillhandahålls för att hjälpa till att slutföra integreringsscenarier, men Microsoft tillhandahåller inte felsökningsstöd för verktyg från tredje part.
Kontakta tredjepartsleverantören för support.

Krav och systemkrav

Innan du börjar kan du se huvudsidan för Defender för Endpoint på Linux för en beskrivning av krav och systemkrav för den aktuella programvaruversionen.

För Saltstack-distribution behöver du dessutom vara bekant med Saltstack-administration, ha Saltstack installerat, konfigurera Master och Minions och veta hur tillstånd ska tillämpas. Saltstack har många sätt att slutföra samma uppgift. De här anvisningarna förutsätter tillgänglighet för Saltstack-moduler som stöds, till exempel apt och unarchive för att distribuera paketet. Din organisation kan använda ett annat arbetsflöde. Mer information finns i Saltstack-dokumentationen.

Här är några viktiga punkter:

  • Saltstack är installerat på minst en dator (Saltstack kallar datorn för huvuddator).
  • Saltstack-huvudservern accepterade de hanterade noderna (Saltstack anropar noderna som minions)-anslutningar.
  • Saltstack-underhuggarna kan lösa kommunikationen med Saltstack-huvudservern (som standard försöker underhuggarna kommunicera med en dator med namnet salt).
  • Kör följande pingtest: sudo salt '*' test.ping
  • Saltstack-huvudservern har en filserverplats där Microsoft Defender för Endpoint filer kan distribueras från (som standard använder /srv/salt Saltstack mappen som standarddistributionsplats)

Ladda ned onboarding-paketet

Varning

Det går inte att paketera om installationspaketet för Defender för Endpoint. Detta kan påverka produktens integritet negativt och leda till negativa resultat, inklusive men inte begränsat till att utlösa manipuleringsaviseringar och uppdateringar som inte kan tillämpas.

  1. I Microsoft Defender portalen går du till Inställningar>Slutpunkter>Enhetshantering>Registrering.

  2. I den första nedrullningsbara menyn väljer du Linux Server som operativsystem. I den andra nedrullningsbara menyn väljer du Önskat Linux-konfigurationshanteringsverktyg som distributionsmetod.

  3. Välj Ladda ned registreringspaket. Spara filen som WindowsDefenderATPOnboardingPackage.zip.

    Alternativet Ladda ned onboarding-paket

  4. På SaltStack Master extraherar du innehållet i arkivet till Mappen för SaltStack-servern (vanligtvis /srv/salt):

    unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: /srv/salt/mde/mdatp_onboard.json

Skapa Saltstack-tillståndsfiler

Du kan skapa tillståndsfilerna för Saltstack på två sätt:

  • Använd installationsskriptet (rekommenderas): Med den här metoden automatiserar skriptet distributionen genom att installera agenten, registrera enheten i Microsoft Defender-portalen och konfigurera lagringsplatserna för att välja rätt agent som är kompatibel med din Linux-distribution.

  • Konfigurera lagringsplatserna manuellt: Med den här metoden måste lagringsplatser konfigureras manuellt tillsammans med valet av agentversion som är kompatibel med din Linux-distribution. Med den här metoden får du mer detaljerad kontroll över distributionsprocessen.

Skapa Saltstack-tillståndsfiler med installationsskriptet

  1. Hämta bash-skriptet för installationsprogrammet från Microsoft GitHub-lagringsplatsen eller använd följande kommando för att ladda ned det:

    wget https://raw.githubusercontent.com/microsoft/mdatp-xplat/refs/heads/master/linux/installation/mde_installer.sh /srv/salt/mde/

  2. Skapa tillståndsfilen /srv/salt/install_mdatp.sls med följande innehåll. Samma sak kan laddas ned från GitHub

    #Download the mde_installer.sh: https://github.com/microsoft/mdatp-xplat/blob/master/linux/installation/mde_installer.sh
 install_mdatp_package:
   cmd.run:
     - name: /srv/salt/mde/mde_installer.sh --install --onboard /srv/salt/mde/mdatp_onboard.json
     - shell: /bin/bash
     - unless: 'pgrep -f mde_installer.sh'

Obs!

Installationsskriptet stöder även andra parametrar, till exempel kanal (insiders-fast, insiders-slow, prod (standard) ), realtidsskydd, version osv. Om du vill välja från listan över tillgängliga alternativ kontrollerar du hjälpen med följande kommando: ./mde_installer.sh --help

Skapa Saltstack-tillståndsfiler genom att konfigurera lagringsplatser manuellt

I det här steget skapar du en SaltState-tillståndsfil i konfigurationslagringsplatsen (vanligtvis /srv/salt) som tillämpar de tillstånd som krävs för att distribuera och publicera Defender för Endpoint. Sedan lägger du till defender för Endpoint-lagringsplatsen och nyckeln: install_mdatp.sls.

Obs!

Defender för Endpoint i Linux kan distribueras från någon av följande kanaler:

Varje kanal motsvarar en Linux-programvarulagringsplats. Valet av kanal avgör typ och frekvens för uppdateringar som erbjuds till din enhet. Enheter i insiders-snabb är de första som tar emot uppdateringar och nya funktioner, följt senare av insiders-långsam, och slutligen av prod.

För att kunna förhandsgranska nya funktioner och ge tidig feedback rekommenderar vi att du konfigurerar vissa enheter i företaget för att använda insiders-fast eller insiders-slow.

Varning

Om du byter kanal efter den första installationen måste produkten installeras om. Så här växlar du produktkanalen: avinstallera det befintliga paketet, konfigurera om enheten så att den använder den nya kanalen och följ stegen i det här dokumentet för att installera paketet från den nya platsen.

  1. Observera distributionen och versionen och identifiera den närmaste posten för den under https://packages.microsoft.com/config/[distro]/.

  2. Ersätt [distro] och [version] med din information i följande kommandon.

    Obs!

    När det gäller Oracle Linux och Amazon Linux 2 ersätter du [distro] med "rhel". För Amazon Linux 2 ersätter du [version] med "7". För Oracle-användning ersätter du [version] med versionen av Oracle Linux.

    cat /srv/salt/install_mdatp.sls

    add_ms_repo:
  pkgrepo.managed:
    - humanname: Microsoft Defender Repository
    {% if grains['os_family'] == 'Debian' %}
    - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
    - dist: [codename]
    - file: /etc/apt/sources.list.d/microsoft-[channel].list
    - key_url: https://packages.microsoft.com/keys/microsoft.asc
    - refresh: true
    {% elif grains['os_family'] == 'RedHat' %}
    - name: packages-microsoft-[channel]
    - file: microsoft-[channel]
    - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
    - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
    - gpgcheck: true
    {% endif %}

  3. Lägg till paketets installerade tillstånd till install_mdatp.sls efter det add_ms_repo tillstånd som tidigare definierats.

    install_mdatp_package:
  pkg.installed:
    - name: matp
    - required: add_ms_repo

  4. Lägg till onboarding-fildistributionen i install_mdatp.sls efter som install_mdatp_package tidigare definierats.

    copy_mde_onboarding_file:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    - source: salt://mde/mdatp_onboard.json
    - required: install_mdatp_package

    Den färdiga installationstillståndsfilen bör se ut ungefär så här:

    add_ms_repo:
pkgrepo.managed:
- humanname: Microsoft Defender Repository
{% if grains['os_family'] == 'Debian' %}
- name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
- dist: [codename]
- file: /etc/apt/sources.list.d/microsoft-[channel].list
- key_url: https://packages.microsoft.com/keys/microsoft.asc
- refresh: true
{% elif grains['os_family'] == 'RedHat' %}
- name: packages-microsoft-[channel]
- file: microsoft-[channel]
- baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
- gpgkey: https://packages.microsoft.com/keys/microsoft.asc
- gpgcheck: true
{% endif %}

install_mdatp_package:
pkg.installed:
- name: mdatp
- required: add_ms_repo

copy_mde_onboarding_file:
file.managed:
- name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
- source: salt://mde/mdatp_onboard.json
- required: install_mdatp_package

  5. Skapa en SaltState-tillståndsfil i konfigurationslagringsplatsen (vanligtvis /srv/salt) som tillämpar nödvändiga tillstånd för att avregistrera och ta bort Defender för Endpoint. Innan du använder offboarding-tillståndsfilen måste du ladda ned avregistreringspaketet från Microsoft Defender-portalen och extrahera det på samma sätt som du gjorde onboarding-paketet. Det nedladdade offboarding-paketet är endast giltigt under en begränsad tidsperiod.

  6. Skapa en avinstallationstillståndsfil uninstall_mdapt.sls och lägg till tillståndet för att ta bort mdatp_onboard.json filen.

    cat /srv/salt/uninstall_mdatp.sls

    remove_mde_onboarding_file:
  file.absent:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json

  7. Lägg till distributionen av avregistreringsfilen till uninstall_mdatp.sls filen efter det remove_mde_onboarding_file tillstånd som definierades i föregående avsnitt.

     offboard_mde:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
    - source: salt://mde/mdatp_offboard.json

  8. Lägg till borttagningen av MDATP-paketet i uninstall_mdatp.sls filen efter det offboard_mde tillstånd som definierades i föregående avsnitt.

    remove_mde_packages:
  pkg.removed:
    - name: mdatp

    Den fullständiga avinstallationstillståndsfilen bör se ut ungefär så här:

    remove_mde_onboarding_file:
  file.absent:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json

offboard_mde:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
    - source: salt://mde/offboard/mdatp_offboard.json

remove_mde_packages:
   pkg.removed:
     - name: mdatp

Distribuera Defender på Endpoint med tillståndsfilerna som skapades tidigare

Det här steget gäller både installationsskriptet eller den manuella konfigurationsmetoden. I det här steget tillämpar du tillståndet på underhuggarna. Följande kommando tillämpar tillståndet på datorer med namnet som börjar med mdetest.

  1. Installation:

    salt 'mdetest*' state.apply install_mdatp

    Viktigt

    När produkten startar för första gången hämtar den de senaste definitionerna för program mot skadlig kod. Beroende på din Internetanslutning kan det ta upp till några minuter.

  2. Validering/konfiguration:

    salt 'mdetest*' cmd.run 'mdatp connectivity test'

    salt 'mdetest*' cmd.run 'mdatp health'

  3. Avinstallation:

    salt 'mdetest*' state.apply uninstall_mdatp

Felsöka installationsproblem

Så här felsöker du problem:

  1. Information om hur du hittar loggen som genereras automatiskt när ett installationsfel inträffar finns i Problem med logginstallation.

  2. Information om vanliga installationsproblem finns i Installationsproblem.

  3. Om enhetens hälsotillstånd är falseläser du Hälsoproblem med Defender för Endpoint-agenten.

  4. Information om problem med produktprestanda finns i Felsöka prestandaproblem.

  5. Information om proxy- och anslutningsproblem finns i Felsöka problem med molnanslutning.

Om du vill få support från Microsoft öppnar du ett supportärende och anger loggfilerna som skapats med hjälp av klientanalyseraren.

Så här konfigurerar du principer för Microsoft Defender i Linux

Du kan konfigurera antivirus- eller EDR-inställningar på dina slutpunkter med någon av följande metoder:

Uppgraderingar av operativsystem

När du uppgraderar operativsystemet till en ny huvudversion måste du först avinstallera Defender för Endpoint på Linux, installera uppgraderingen och slutligen konfigurera om Defender för Endpoint på din Linux-enhet.

Referens

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.