Bereitstellen von Microsoft Defender for Endpoint unter Linux mit Saltstack
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
In diesem Artikel wird beschrieben, wie Sie Defender für Endpunkt unter Linux mithilfe von Saltstack bereitstellen. Eine erfolgreiche Bereitstellung erfordert den Abschluss aller folgenden Aufgaben:
Wichtig
Dieser Artikel enthält Informationen zu Drittanbietertools. Dies wird bereitgestellt, um Integrationsszenarien abzuschließen. Microsoft bietet jedoch keine Unterstützung bei der Problembehandlung für Drittanbietertools.
Wenden Sie sich an den Drittanbieter, um Support zu erhalten.
Voraussetzungen und Systemanforderungen
Bevor Sie beginnen, finden Sie auf der Seite Standard Defender für Endpunkt unter Linux eine Beschreibung der Voraussetzungen und Systemanforderungen für die aktuelle Softwareversion.
Darüber hinaus müssen Sie für die Saltstack-Bereitstellung mit der Saltstack-Verwaltung vertraut sein, Saltstack installiert haben, master und minions konfigurieren und wissen, wie Zustände angewendet werden. Saltstack hat viele Möglichkeiten, die gleiche Aufgabe auszuführen. Diese Anweisungen setzen die Verfügbarkeit unterstützter Saltstack-Module wie apt und unarchive voraus, um das Paket bereitzustellen. Ihr organization verwendet möglicherweise einen anderen Workflow. Weitere Informationen finden Sie in der Saltstack-Dokumentation .
Hier sind einige wichtige Punkte:
- Saltstack ist auf mindestens einem Computer installiert (Saltstack nennt den Computer als master).
- Die Saltstack-master die verwalteten Knoten (Saltstack ruft die Knoten als Minions auf) akzeptiert.
- Die Saltstack-Minions können die Kommunikation mit dem Saltstack-master auflösen (standardmäßig versuchen die Minions, mit einem Computer namens "salt" zu kommunizieren).
- Führen Sie den folgenden Pingtest aus:
sudo salt '*' test.ping - Die Saltstack-master verfügt über einen Dateiserverspeicherort, von dem die Microsoft Defender for Endpoint Dateien verteilt werden können (standardmäßig verwendet Saltstack den
/srv/saltOrdner als Standardverteilungspunkt).
Herunterladen des Onboardingpakets
Warnung
Das Erneute Packen des Defender für Endpunkt-Installationspakets wird nicht unterstützt. Dies kann sich negativ auf die Integrität des Produkts auswirken und zu negativen Ergebnissen führen, einschließlich, aber nicht beschränkt auf das Auslösen von Manipulationswarnungen und nicht angewendeten Updates.
Wechseln Sie Microsoft Defender Portal zu Einstellungen>Endpunkte>Geräteverwaltung>Onboarding.
Wählen Sie im ersten Dropdownmenü Linux Server als Betriebssystem aus. Wählen Sie im zweiten Dropdownmenü Ihr bevorzugtes Linux-Konfigurationsverwaltungstool als Bereitstellungsmethode aus.
Wählen Sie "Onboardingpaket herunterladen" aus. Speichern Sie die Datei als
WindowsDefenderATPOnboardingPackage.zip.
Extrahieren Sie auf dem SaltStack-Master den Inhalt des Archivs in den Ordner des SaltStack-Servers (in der Regel
/srv/salt):ls -ltotal 8 -rw-r--r-- 1 test staff 4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zipunzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mdeArchive: WindowsDefenderATPOnboardingPackage.zip inflating: /srv/salt/mde/mdatp_onboard.json
Erstellen von Saltstack-Zustandsdateien
In diesem Schritt erstellen Sie eine SaltState-Zustandsdatei in Ihrem Konfigurationsrepository (in der Regel /srv/salt), die die erforderlichen Zustände für die Bereitstellung und das Onboarding von Defender für Endpunkt anwendet. Anschließend fügen Sie das Defender für Endpunkt-Repository und den Schlüssel hinzu: install_mdatp.sls.
Hinweis
Defender für Endpunkt unter Linux kann über einen der folgenden Kanäle bereitgestellt werden:
-
insiders-fast, bezeichnet als
[channel] -
insiders-slow, bezeichnet als
[channel] -
prod, angegeben als
[channel]mit dem Versionsnamen (siehe Linux-Softwarerepository für Microsoft-Produkte)
Jeder Kanal entspricht einem Linux-Softwarerepository.
Die Wahl des Kanals bestimmt den Typ und die Häufigkeit der Updates, die Ihrem Gerät angeboten werden. Geräte in Insider-fast sind die ersten, die Updates und neue Features erhalten, später von Insidern langsam und schließlich von Prod.
Um eine Vorschau neuer Features anzuzeigen und frühzeitig Feedback zu geben, wird empfohlen, einige Geräte in Ihrem Unternehmen so zu konfigurieren, dass sie entweder insiders-fast oder insiders-slow verwenden.
Warnung
Wenn Sie den Kanal nach der Erstinstallation wechseln, muss das Produkt neu installiert werden. Um den Produktkanal zu wechseln: Deinstallieren Sie das vorhandene Paket, konfigurieren Sie Ihr Gerät neu, um den neuen Kanal zu verwenden, und führen Sie die Schritte in diesem Dokument aus, um das Paket vom neuen Speicherort aus zu installieren.
Notieren Sie sich Ihre Distribution und Version, und identifizieren Sie den nächstgelegenen Eintrag unter
https://packages.microsoft.com/config/[distro]/.Ersetzen Sie in den folgenden Befehlen [distribution] und [version] durch Ihre Informationen.
Hinweis
Ersetzen Sie im Fall von Oracle Linux und Amazon Linux 2 [Distribution] durch "rhel". Ersetzen Sie für Amazon Linux 2 [Version] durch "7". Ersetzen Sie [Version] durch die Version von Oracle Linux, um Oracle zu verwenden.
cat /srv/salt/install_mdatp.slsadd_ms_repo: pkgrepo.managed: - humanname: Microsoft Defender Repository {% if grains['os_family'] == 'Debian' %} - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main - dist: [codename] - file: /etc/apt/sources.list.d/microsoft-[channel].list - key_url: https://packages.microsoft.com/keys/microsoft.asc - refresh: true {% elif grains['os_family'] == 'RedHat' %} - name: packages-microsoft-[channel] - file: microsoft-[channel] - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ - gpgkey: https://packages.microsoft.com/keys/microsoft.asc - gpgcheck: true {% endif %}Fügen Sie den Installationsstatus des Pakets nach dem
add_ms_repozuvor definierten Zustand hinzuinstall_mdatp.sls.install_mdatp_package: pkg.installed: - name: matp - required: add_ms_repoFügen Sie die Bereitstellung der Onboardingdatei nach
install_mdatp.slsdeminstall_mdatp_packagehinzu, wie zuvor definiert.copy_mde_onboarding_file: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json - source: salt://mde/mdatp_onboard.json - required: install_mdatp_packageDie abgeschlossene Installationsstatusdatei sollte in etwa wie die folgende Ausgabe aussehen:
add_ms_repo: pkgrepo.managed: - humanname: Microsoft Defender Repository {% if grains['os_family'] == 'Debian' %} - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main - dist: [codename] - file: /etc/apt/sources.list.d/microsoft-[channel].list - key_url: https://packages.microsoft.com/keys/microsoft.asc - refresh: true {% elif grains['os_family'] == 'RedHat' %} - name: packages-microsoft-[channel] - file: microsoft-[channel] - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ - gpgkey: https://packages.microsoft.com/keys/microsoft.asc - gpgcheck: true {% endif %} install_mdatp_package: pkg.installed: - name: mdatp - required: add_ms_repo copy_mde_onboarding_file: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json - source: salt://mde/mdatp_onboard.json - required: install_mdatp_packageErstellen Sie in Ihrem Konfigurationsrepository (in der Regel
/srv/salt) eine SaltState-Zustandsdatei, die die erforderlichen Zustände anwendet, um Defender für Endpunkt zu offboarden und zu entfernen. Bevor Sie die Offboardingzustandsdatei verwenden, müssen Sie das Offboarding-Paket aus dem Sicherheitsportal herunterladen und auf die gleiche Weise extrahieren wie das Onboardingpaket. Das heruntergeladene Offboardingpaket ist nur für einen begrenzten Zeitraum gültig.Erstellen Sie eine Deinstallationsstatusdatei
uninstall_mdapt.sls, und fügen Sie den Zustand hinzu, um diemdatp_onboard.jsonDatei zu entfernen.cat /srv/salt/uninstall_mdatp.slsremove_mde_onboarding_file: file.absent: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.jsonFügen Sie der Datei die Offboardingdateibereitstellung nach dem
uninstall_mdatp.slsremove_mde_onboarding_fileim vorherigen Abschnitt definierten Zustand hinzu.offboard_mde: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json - source: salt://mde/mdatp_offboard.jsonFügen Sie der Datei das Entfernen des MDATP-Pakets
uninstall_mdatp.slsnach demoffboard_mdeim vorherigen Abschnitt definierten Zustand hinzu.remove_mde_packages: pkg.removed: - name: mdatpDie vollständige Deinstallationszustandsdatei sollte in etwa wie die folgende Ausgabe aussehen:
remove_mde_onboarding_file: file.absent: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json offboard_mde: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json - source: salt://mde/offboard/mdatp_offboard.json remove_mde_packages: pkg.removed: - name: mdatp
Bereitstellung)
In diesem Schritt wenden Sie den Zustand auf die Minions an. Der folgende Befehl wendet den Zustand auf Computer mit dem Namen an, der mit mdetestbeginnt.
Installation:
salt 'mdetest*' state.apply install_mdatpWichtig
Wenn das Produkt zum ersten Mal gestartet wird, lädt es die neuesten Antischadsoftwaredefinitionen herunter. Je nach Internetverbindung kann dies einige Minuten dauern.
Überprüfung/Konfiguration:
salt 'mdetest*' cmd.run 'mdatp connectivity test'salt 'mdetest*' cmd.run 'mdatp health'Deinstallation:
salt 'mdetest*' state.apply uninstall_mdatp
Protokollieren von Installationsproblemen
Weitere Informationen zum Suchen des automatisch generierten Protokolls, das beim Auftreten eines Fehlers vom Installationsprogramm erstellt wird, finden Sie unter Protokollinstallationsprobleme.
Betriebssystemupgrades
Wenn Sie Ihr Betriebssystem auf eine neue Hauptversion aktualisieren, müssen Sie zunächst Defender für Endpunkt unter Linux deinstallieren, das Upgrade installieren und schließlich Defender für Endpunkt unter Linux auf Ihrem Gerät neu konfigurieren.
Referenz
Siehe auch
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.