Implementar Microsoft Defender para Ponto de Extremidade no Linux com o Saltstack

  • Artigo

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Este artigo descreve como implementar o Defender para Endpoint no Linux com o Saltstack. Uma implementação bem-sucedida requer a conclusão de todas as seguintes tarefas:

Importante

Este artigo contém informações sobre ferramentas de terceiros. Isto é fornecido para ajudar a concluir cenários de integração. No entanto, a Microsoft não fornece suporte de resolução de problemas para ferramentas de terceiros.
Contacte o fornecedor de terceiros para obter suporte.

Pré-requisitos e requisitos de sistema

Antes de começar, consulte a página main Defender para Endpoint no Linux para obter uma descrição dos pré-requisitos e requisitos de sistema para a versão atual do software.

Além disso, para a implementação do Saltstack, tem de estar familiarizado com a administração do Saltstack, ter o Saltstack instalado, configurar os Modelos Globais e Minions e saber como aplicar estados. Saltstack tem muitas formas de concluir a mesma tarefa. Estas instruções assumem a disponibilidade dos módulos do Saltstack suportados, como apt e unarchive para ajudar a implementar o pacote. A sua organização poderá utilizar um fluxo de trabalho diferente. Veja a documentação do Saltstack para obter detalhes.

Seguem-se alguns pontos importantes:

  • O Saltstack está instalado em pelo menos um computador (Saltstack chama o computador como o master).
  • O Saltstack master aceitou os nós geridos (Saltstack chama os nós como minions).
  • Os lacaios saltstack são capazes de resolve comunicação com a master Saltstack (predefinição, os lacaios tentam comunicar com uma máquina chamada "sal").
  • Execute o seguinte teste de ping: sudo salt '*' test.ping
  • O saltstack master tem uma localização do servidor de ficheiros a partir da qual os ficheiros de Microsoft Defender para Ponto de Extremidade podem ser distribuídos (por predefinição, o Saltstack utiliza a /srv/salt pasta como ponto de distribuição predefinido)

Transferir o pacote de inclusão

Aviso

Reembalar o pacote de instalação do Defender para Endpoint não é um cenário suportado. Fazê-lo pode afetar negativamente a integridade do produto e levar a resultados adversos, incluindo, mas não se limitando a acionar alertas de adulteração e atualizações que não se aplicam.

  1. No portal do Microsoft Defender, aceda a Definições Pontos Finais>Gestão> dedispositivos>Integração.

  2. No primeiro menu pendente, selecione Servidor Linux como o sistema operativo. No segundo menu pendente, selecione A sua ferramenta de gestão de configuração do Linux preferida como método de implementação.

  3. Selecione Baixar pacote de integração. Guarde o ficheiro como WindowsDefenderATPOnboardingPackage.zip.

    A opção Transferir pacote de inclusão

  4. No SaltStack Master, extraia o conteúdo do arquivo para a pasta do Servidor SaltStack (normalmente /srv/salt):

    ls -l

    total 8
-rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: /srv/salt/mde/mdatp_onboard.json

Criar ficheiros de estado saltstack

Neste passo, vai criar um ficheiro de estado SaltState no seu repositório de configuração (normalmente /srv/salt) que aplica os estados necessários para implementar e integrar o Defender para Ponto Final. Em seguida, adicione o repositório e a chave do Defender para Endpoint: install_mdatp.sls.

Observação

O Defender para Endpoint no Linux pode ser implementado a partir de um dos seguintes canais:

Cada canal corresponde a um repositório de software linux.

A escolha do canal determina o tipo e a frequência das atualizações que são oferecidas ao seu dispositivo. Os dispositivos no insider-fast são os primeiros a receber atualizações e novas funcionalidades, seguidos posteriormente por insiders-slow e, por último, por prod.

Para pré-visualizar as novas funcionalidades e fornecer feedback antecipado, recomenda-se que configure alguns dispositivos na sua empresa para utilizarem insiders fast ou insiders-slow.

Aviso

Mudar o canal após a instalação inicial requer que o produto seja reinstalado. Para mudar o canal de produto: desinstale o pacote existente, volte a configurar o dispositivo para utilizar o novo canal e siga os passos neste documento para instalar o pacote a partir da nova localização.

  1. Anote a sua distribuição e versão e identifique a entrada mais próxima da mesma https://packages.microsoft.com/config/[distro]/em .

    Nos seguintes comandos, substitua [distro] e [versão] pelas suas informações.

    Observação

    No caso do Oracle Linux e do Amazon Linux 2, substitua [distro] por "rhel". Para o Amazon Linux 2, substitua [versão] por "7". Para a utilização do Oracle, substitua [versão] pela versão do Oracle Linux.

    cat /srv/salt/install_mdatp.sls

    add_ms_repo:
  pkgrepo.managed:
    - humanname: Microsoft Defender Repository
    {% if grains['os_family'] == 'Debian' %}
    - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
    - dist: [codename]
    - file: /etc/apt/sources.list.d/microsoft-[channel].list
    - key_url: https://packages.microsoft.com/keys/microsoft.asc
    - refresh: true
    {% elif grains['os_family'] == 'RedHat' %}
    - name: packages-microsoft-[channel]
    - file: microsoft-[channel]
    - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
    - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
    - gpgcheck: true
    {% endif %}

  2. Adicione o estado do pacote instalado a install_mdatp.sls depois do add_ms_repo estado, conforme definido anteriormente.

    install_mdatp_package:
  pkg.installed:
    - name: matp
    - required: add_ms_repo

  3. Adicione a implementação do ficheiro de inclusão ao install_mdatp.sls após o install_mdatp_package definido anteriormente.

    copy_mde_onboarding_file:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    - source: salt://mde/mdatp_onboard.json
    - required: install_mdatp_package

    O ficheiro de estado de instalação concluído deve ter um aspeto semelhante a este resultado:

    add_ms_repo:
pkgrepo.managed:
- humanname: Microsoft Defender Repository
{% if grains['os_family'] == 'Debian' %}
- name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
- dist: [codename]
- file: /etc/apt/sources.list.d/microsoft-[channel].list
- key_url: https://packages.microsoft.com/keys/microsoft.asc
- refresh: true
{% elif grains['os_family'] == 'RedHat' %}
- name: packages-microsoft-[channel]
- file: microsoft-[channel]
- baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
- gpgkey: https://packages.microsoft.com/keys/microsoft.asc
- gpgcheck: true
{% endif %}

install_mdatp_package:
pkg.installed:
- name: mdatp
- required: add_ms_repo

copy_mde_onboarding_file:
file.managed:
- name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
- source: salt://mde/mdatp_onboard.json
- required: install_mdatp_package

  4. Crie um ficheiro de estado SaltState no repositório de configuração (normalmente /srv/salt) que aplica os estados necessários para remover e remover o Defender para Endpoint. Antes de utilizar o ficheiro de estado de exclusão, tem de transferir o pacote de exclusão a partir do Portal de segurança e extraí-lo da mesma forma que fez o pacote de inclusão. O pacote de exclusão transferido só é válido por um período de tempo limitado.

  5. Crie um ficheiro uninstall_mdapt.sls de estado Desinstalar e adicione o estado para remover o mdatp_onboard.json ficheiro.

    cat /srv/salt/uninstall_mdatp.sls

    remove_mde_onboarding_file:
  file.absent:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json

  6. Adicione a implementação do ficheiro de exclusão ao uninstall_mdatp.sls ficheiro após o remove_mde_onboarding_file estado definido na secção anterior.

     offboard_mde:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
    - source: salt://mde/mdatp_offboard.json

  7. Adicione a remoção do pacote MDATP ao uninstall_mdatp.sls ficheiro após o offboard_mde estado definido na secção anterior.

    remove_mde_packages:
  pkg.removed:
    - name: mdatp

    O ficheiro de estado de desinstalação completo deve ter um aspeto semelhante ao seguinte resultado:

    remove_mde_onboarding_file:
  file.absent:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json

offboard_mde:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
    - source: salt://mde/offboard/mdatp_offboard.json

remove_mde_packages:
   pkg.removed:
     - name: mdatp

Implantação

Neste passo, vai aplicar o estado aos lacaios. O comando seguinte aplica o estado às máquinas com o nome que começa por mdetest.

  1. Instalação:

    salt 'mdetest*' state.apply install_mdatp

    Importante

    Quando o produto é iniciado pela primeira vez, transfere as definições antimalware mais recentes. Consoante a sua ligação à Internet, esta ação pode demorar alguns minutos.

  2. Validação/configuração:

    salt 'mdetest*' cmd.run 'mdatp connectivity test'

    salt 'mdetest*' cmd.run 'mdatp health'

  3. Desinstalação:

    salt 'mdetest*' state.apply uninstall_mdatp

Problemas de instalação de registos

Para obter mais informações sobre como localizar o registo gerado automaticamente que é criado pelo instalador quando ocorre um erro, veja Problemas de instalação de registos.

Atualizações do sistema operativo

Ao atualizar o seu sistema operativo para uma nova versão principal, primeiro tem de desinstalar o Defender para Endpoint no Linux, instalar a atualização e, por fim, reconfigurar o Defender para Endpoint no Linux no seu dispositivo.

Referências

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.