Implementación de Microsoft Defender para punto de conexión en Linux con Saltstack

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

En este artículo se describe cómo implementar Defender para punto de conexión en Linux mediante Saltstack. Una implementación correcta requiere la finalización de todas las tareas siguientes:

Importante

Este artículo contiene información sobre herramientas de terceros. Esto se proporciona para ayudar a completar escenarios de integración; sin embargo, Microsoft no proporciona compatibilidad con la solución de problemas para herramientas de terceros.
Póngase en contacto con el proveedor de terceros para obtener soporte técnico.

Requisitos previos y requisitos del sistema

Antes de empezar, consulte la página principal de Defender para punto de conexión en Linux para obtener una descripción de los requisitos previos y los requisitos del sistema para la versión de software actual.

Además, para la implementación de Saltstack, debe estar familiarizado con la administración de Saltstack, tener Saltstack instalado, configurar los master y los súbditos y saber cómo aplicar estados. Saltstack tiene muchas maneras de completar la misma tarea. Estas instrucciones asumen la disponibilidad de los módulos saltstack admitidos, como apt y unarchive para ayudar a implementar el paquete. Su organización podría usar un flujo de trabajo diferente. Consulte la documentación de Saltstack para obtener más información.

Estos son algunos puntos importantes:

  • Saltstack está instalado en al menos un equipo (Saltstack llama al equipo como maestro).
  • El maestro de Saltstack aceptó las conexiones de nodos administrados (Saltstack llama a los nodos como súbditos).
  • Los súbditos de Saltstack pueden resolver la comunicación con el maestro de Saltstack (por defecto, los súbditos intentan comunicarse con una máquina denominada "salt").
  • Ejecute la siguiente prueba de ping: sudo salt '*' test.ping
  • El maestro de Saltstack tiene una ubicación del servidor de archivos desde la que se pueden distribuir los archivos Microsoft Defender para punto de conexión (de forma predeterminada Saltstack usa la /srv/salt carpeta como punto de distribución predeterminado)

Descarga del paquete de incorporación

Advertencia

Volver a empaquetar el paquete de instalación de Defender para punto de conexión no es un escenario compatible. Esto puede afectar negativamente a la integridad del producto y dar lugar a resultados adversos, incluidos, entre otros, el desencadenamiento de alertas de manipulación y la no aplicación de actualizaciones.

  1. En Microsoft Defender portal, vaya a Configuración>Puntos de conexión>Incorporación deadministración de> dispositivos.

  2. En el primer menú desplegable, seleccione Servidor Linux como sistema operativo. En el segundo menú desplegable, seleccione La herramienta de administración de configuración de Linux preferida como método de implementación.

  3. Seleccione Descargar el paquete de incorporación Guarde el archivo como WindowsDefenderATPOnboardingPackage.zip.

    La opción Descargar paquete de incorporación

  4. En SaltStack Master, extraiga el contenido del archivo en la carpeta del servidor SaltStack (normalmente /srv/salt):

    ls -l
    
    total 8
    -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
    
    unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: /srv/salt/mde/mdatp_onboard.json
    

Creación de archivos de estado de Saltstack

En este paso, creará un archivo de estado SaltState en el repositorio de configuración (normalmente /srv/salt) que aplica los estados necesarios para implementar e incorporar Defender para punto de conexión. A continuación, agregue el repositorio y la clave de Defender para punto de conexión: install_mdatp.sls.

Nota:

Defender para punto de conexión en Linux se puede implementar desde uno de los canales siguientes:

Cada canal corresponde a un repositorio de software linux.

La elección del canal determina el tipo y la frecuencia de las actualizaciones que se ofrecen al dispositivo. Los dispositivos de insiders-fast son los primeros en recibir actualizaciones y nuevas características, seguidos más adelante por los usuarios internos lentos y, por último, por producción.

Para obtener una vista previa de las nuevas características y proporcionar comentarios anticipados, se recomienda configurar algunos dispositivos en la empresa para usar insiders-fast o insiders-slow.

Advertencia

Cambiar el canal después de la instalación inicial requiere que se vuelva a instalar el producto. Para cambiar el canal del producto: desinstale el paquete existente, vuelva a configurar el dispositivo para que use el nuevo canal y siga los pasos de este documento para instalar el paquete desde la nueva ubicación.

  1. Anote la distribución y la versión e identifique la entrada más cercana en https://packages.microsoft.com/config/[distro]/.

    En los comandos siguientes, reemplace [distro] y [version] por la información.

    Nota:

    En el caso de Oracle Linux y Amazon Linux 2, reemplace [distro] por "rhel". Para Amazon Linux 2, reemplace [versión] por "7". Para el uso de Oracle, reemplace [versión] por la versión de Oracle Linux.

    cat /srv/salt/install_mdatp.sls
    
    add_ms_repo:
      pkgrepo.managed:
        - humanname: Microsoft Defender Repository
        {% if grains['os_family'] == 'Debian' %}
        - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
        - dist: [codename]
        - file: /etc/apt/sources.list.d/microsoft-[channel].list
        - key_url: https://packages.microsoft.com/keys/microsoft.asc
        - refresh: true
        {% elif grains['os_family'] == 'RedHat' %}
        - name: packages-microsoft-[channel]
        - file: microsoft-[channel]
        - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
        - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
        - gpgcheck: true
        {% endif %}
    
  2. Agregue el estado instalado del paquete a install_mdatp.sls después del add_ms_repo estado tal como se definió anteriormente.

    install_mdatp_package:
      pkg.installed:
        - name: matp
        - required: add_ms_repo
    
  3. Agregue la implementación del archivo de incorporación a install_mdatp.sls después de como install_mdatp_package se definió anteriormente.

    copy_mde_onboarding_file:
      file.managed:
        - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
        - source: salt://mde/mdatp_onboard.json
        - required: install_mdatp_package
    

    El archivo de estado de instalación completado debe tener un aspecto similar al de esta salida:

    add_ms_repo:
    pkgrepo.managed:
    - humanname: Microsoft Defender Repository
    {% if grains['os_family'] == 'Debian' %}
    - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
    - dist: [codename]
    - file: /etc/apt/sources.list.d/microsoft-[channel].list
    - key_url: https://packages.microsoft.com/keys/microsoft.asc
    - refresh: true
    {% elif grains['os_family'] == 'RedHat' %}
    - name: packages-microsoft-[channel]
    - file: microsoft-[channel]
    - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
    - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
    - gpgcheck: true
    {% endif %}
    
    install_mdatp_package:
    pkg.installed:
    - name: mdatp
    - required: add_ms_repo
    
    copy_mde_onboarding_file:
    file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    - source: salt://mde/mdatp_onboard.json
    - required: install_mdatp_package
    
  4. Cree un archivo de estado SaltState en el repositorio de configuración (normalmente /srv/salt) que aplique los estados necesarios para quitar Defender para punto de conexión. Antes de usar el archivo de estado de offboarding, debe descargar el paquete de offboarding desde el portal de seguridad y extraerlo de la misma manera que hizo el paquete de incorporación. El paquete de offboarding descargado solo es válido durante un período de tiempo limitado.

  5. Cree un archivo uninstall_mdapt.sls de estado Desinstale y agregue el estado para quitar el mdatp_onboard.json archivo.

    cat /srv/salt/uninstall_mdatp.sls
    
    remove_mde_onboarding_file:
      file.absent:
        - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    
  6. Agregue la implementación del archivo de offboarding al archivo después del uninstall_mdatp.slsremove_mde_onboarding_file estado definido en la sección anterior.

     offboard_mde:
      file.managed:
        - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
        - source: salt://mde/mdatp_offboard.json
    
  7. Agregue la eliminación del paquete MDATP al archivo después del uninstall_mdatp.slsoffboard_mde estado definido en la sección anterior.

    remove_mde_packages:
      pkg.removed:
        - name: mdatp
    

    El archivo de estado de desinstalación completo debe ser similar a la salida siguiente:

    remove_mde_onboarding_file:
      file.absent:
        - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    
    offboard_mde:
      file.managed:
        - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
        - source: salt://mde/offboard/mdatp_offboard.json
    
    remove_mde_packages:
       pkg.removed:
         - name: mdatp
    

Implementación

En este paso, aplicará el estado a los súbditos. El siguiente comando aplica el estado a las máquinas con el nombre que comienza por mdetest.

  1. Instalación:

    salt 'mdetest*' state.apply install_mdatp
    

    Importante

    Cuando el producto se inicia por primera vez, descarga las definiciones de antimalware más recientes. Dependiendo de la conexión a Internet, esto puede tardar hasta unos minutos.

  2. Validación/configuración:

    salt 'mdetest*' cmd.run 'mdatp connectivity test'
    
    salt 'mdetest*' cmd.run 'mdatp health'
    
  3. Desinstalación:

    salt 'mdetest*' state.apply uninstall_mdatp
    

Problemas de instalación de registros

Para obtener más información sobre cómo buscar el registro generado automáticamente que crea el instalador cuando se produce un error, consulte Problemas de instalación de registros.

Actualizaciones del sistema operativo

Al actualizar el sistema operativo a una nueva versión principal, primero debe desinstalar Defender para punto de conexión en Linux, instalar la actualización y, por último, volver a configurar Defender para punto de conexión en Linux en el dispositivo.

Referencia

Vea también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.