Distribuire Defender per Endpoint su Linux con Chef
Importante
Questo articolo contiene informazioni sugli strumenti di terze parti. Questo viene fornito per semplificare il completamento degli scenari di integrazione, tuttavia, Microsoft non fornisce supporto per la risoluzione dei problemi per gli strumenti di terze parti.
Per assistenza, contattare il fornitore di terze parti.
Prima di iniziare: installare unzip se non è già installato.
I componenti Chef sono già installati ed esiste un repository Chef (chef genera il nome> del repository<) per archiviare il cookbook usato per la distribuzione in Defender per endpoint nei server Linux gestiti da Chef.
È possibile creare un nuovo cookbook nel repository esistente eseguendo il comando seguente dall'interno della cartella cookbooks presente nel repository chef:
chef generate cookbook mdatp
Questo comando crea una nuova struttura di cartelle per il nuovo cookbook denominato mdatp. È anche possibile usare un libro di cucina esistente se ne si vuole già usare uno per aggiungere la distribuzione di Defender per endpoint. Dopo aver creato il libro di cucina, creare una cartella di file all'interno della cartella del libro di cucina appena creata:
mkdir mdatp/files
Trasferire il file ZIP di onboarding del server Linux che può essere scaricato dal portale di Microsoft Defender in questa nuova cartella di file.
Avviso
Il riconfezionamento del pacchetto di installazione di Defender per endpoint non è uno scenario supportato. Ciò può influire negativamente sull'integrità del prodotto e portare a risultati negativi, tra cui, a titolo esemplificabile, l'attivazione di avvisi di manomissione e l'impossibilità di applicare gli aggiornamenti.
Nella workstation Chef passare alla cartella mdatp/recipes. Questa cartella viene creata quando è stato generato il cookbook. Usare l'editor di testo preferito , ad esempio vi o nano, per aggiungere le istruzioni seguenti alla fine del file default.rb:
- include_recipe '::onboard_mdatp'
- include_recipe '::install_mdatp'
Salvare quindi e chiudere il file default.rb.
Creare quindi un nuovo file di ricette denominato install_mdatp.rb nella cartella recipes e aggiungere questo testo al file:
#Add Microsoft Defender
Repo
case node['platform_family']
when 'debian'
apt_repository 'MDAPRepo' do
arch 'amd64'
cache_rebuild true
cookbook false
deb_src false
key 'BC528686B50D79E339D3721CEB3E94ADBE1229CF'
keyserver "keyserver.ubuntu.com"
distribution 'focal'
repo_name 'microsoft-prod'
components ['main']
trusted true
uri "https://packages.microsoft.com/config/ubuntu/20.04/prod"
end
apt_package "mdatp"
when 'rhel'
yum_repository 'microsoft-prod' do
baseurl "https://packages.microsoft.com/config/rhel/7/prod/"
description "Microsoft Defender for Endpoint"
enabled true
gpgcheck true
gpgkey "https://packages.microsoft.com/keys/microsoft.asc"
end
if node['platform_version'] <= 8 then
yum_package "mdatp"
else
dnf_package "mdatp"
end
end
È necessario modificare il numero di versione, la distribuzione e il nome del repository in modo che corrispondano alla versione in cui si sta distribuendo e al canale che si vuole distribuire. Successivamente è necessario creare un file onboard_mdatp.rb nella cartella mdatp/recipies. Aggiungere il testo seguente al file:
#Create MDATP Directory
mdatp = "/etc/opt/microsoft/mdatp"
zip_path = "/path/to/chef-repo/cookbooks/mdatp/files/WindowsDefenderATPOnboardingPackage.zip"
directory "#{mdatp}" do
owner 'root'
group 'root'
mode 0755
recursive true
end
#Extract WindowsDefenderATPOnbaordingPackage.zip into /etc/opt/microsoft/mdatp
bash 'Extract Onboarding Json MDATP' do
code <<-EOS
unzip #{zip_path} -d #{mdatp}
EOS
not_if { ::File.exist?('/etc/opt/microsoft/mdatp/mdatp_onboard.json') }
end
Assicurarsi di aggiornare il nome del percorso al percorso del file di onboarding.
Per testare la distribuzione nella workstation Chef, eseguire sudo chef-client -z -o mdatp
.
Dopo la distribuzione, è consigliabile creare e distribuire un file di configurazione nei server in base a Imposta preferenze per Microsoft Defender per endpoint in Linux.
Dopo aver creato e testato il file di configurazione, è possibile inserirlo nella cookbook/mdatp/files
cartella in cui è stato inserito anche il pacchetto di onboarding. È quindi possibile creare un file settings_mdatp.rb nella cartella mdatp/recipies e aggiungere questo testo:
#Copy the configuration file
cookbook_file '/etc/opt/microsoft/mdatp/managed/mdatp_managed.json' do
source 'mdatp_managed.json'
owner 'root'
group 'root'
mode '0755'
action :create
end
Per includere questo passaggio come parte della ricetta, è sufficiente aggiungere include_recipe ':: settings_mdatp
al file default.rb all'interno della cartella recipe.
È anche possibile usare crontab per pianificare gli aggiornamenti automatici Pianificare un aggiornamento del Microsoft Defender per endpoint (Linux).You can also use crontab to schedule automatic updates Schedule an update of the Microsoft Defender per endpoint (Linux).
Disinstallare il cookbook MDATP:
#Uninstall the Defender package
case node['platform_family']
when 'debian'
apt_package "mdatp" do
action :remove
end
when 'rhel'
if node['platform_version'] <= 8
then
yum_package "mdatp" do
action :remove
end
else
dnf_package "mdatp" do
action :remove
end
end
end
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.