Partager via


Déployer Microsoft Defender pour point de terminaison sur Linux avec Saltstack

S’applique à :

  • Microsoft Defender pour point de terminaison pour les serveurs
  • Microsoft Defender pour serveurs Plan 1 ou Plan 2

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Cet article explique comment déployer Defender pour point de terminaison sur Linux à l’aide de Saltstack. Un déploiement réussi nécessite la réalisation de toutes les étapes décrites dans cet article.

Importante

Cet article contient des informations sur les outils tiers. Cela est fourni pour faciliter la réalisation des scénarios d’intégration. Toutefois, Microsoft ne fournit pas de support de résolution des problèmes pour les outils tiers.
Contactez le fournisseur tiers pour obtenir de l’aide.

Conditions préalables et configuration système requise

Avant de commencer, consultez la page main Defender pour point de terminaison sur Linux pour obtenir une description des prérequis et de la configuration système requise pour la version actuelle du logiciel.

En outre, pour le déploiement de Saltstack, vous devez être familiarisé avec l’administration de Saltstack, avoir installé Saltstack, configurer les maîtres et les minions, et savoir comment appliquer des états. Saltstack a de nombreuses façons d’effectuer la même tâche. Ces instructions supposent la disponibilité des modules Saltstack pris en charge, tels qu’apt et unarchive pour faciliter le déploiement du package. Votre organization peut utiliser un autre workflow. Pour plus d’informations, consultez la documentation Saltstack.

Voici quelques points importants :

  • Saltstack est installé sur au moins un ordinateur (Saltstack appelle l’ordinateur comme master).
  • L’master Saltstack a accepté les connexions de nœuds managés (Saltstack appelle les nœuds en tant que sbires).
  • Les sbires Saltstack sont capables de résoudre la communication avec le master Saltstack (par défaut, les sbires essaient de communiquer avec une machine nommée salt).
  • Exécutez le test ping suivant : sudo salt '*' test.ping
  • Le master Saltstack dispose d’un emplacement de serveur de fichiers à partir duquel les fichiers Microsoft Defender pour point de terminaison peuvent être distribués (par défaut, Saltstack utilise le /srv/salt dossier comme point de distribution par défaut)

Télécharger le package d’intégration

Avertissement

Le repackaging du package d’installation de Defender pour point de terminaison n’est pas un scénario pris en charge. Cela peut avoir un impact négatif sur l’intégrité du produit et entraîner des résultats négatifs, y compris, mais sans s’y limiter, le déclenchement d’alertes de falsification et l’échec de l’application des mises à jour.

  1. Dans Microsoft Defender portail, accédez à Paramètres Points> determinaison>Intégrationde la gestion des appareils>.

  2. Dans le premier menu déroulant, sélectionnez Serveur Linux comme système d’exploitation. Dans le deuxième menu déroulant, sélectionnez Votre outil de gestion de configuration Linux préféré comme méthode de déploiement.

  3. Sélectionnez Télécharger le package d’intégration. Enregistrez le fichier sous WindowsDefenderATPOnboardingPackage.zip.

    L’option Télécharger le package d’intégration

  4. Sur le maître SaltStack, extrayez le contenu de l’archive dans le dossier du serveur SaltStack (généralement /srv/salt) :

    unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: /srv/salt/mde/mdatp_onboard.json
    

Créer des fichiers d’état Saltstack

Il existe deux façons de créer les fichiers d’état Saltstack :

  • Utilisez le script du programme d’installation (recommandé) : Avec cette méthode, le script automatise le déploiement en installant l’agent, en intégrant l’appareil au portail Microsoft Defender et en configurant les référentiels pour sélectionner l’agent compatible avec votre distribution Linux.

  • Configurez manuellement les dépôts : Avec cette méthode, les dépôts doivent être configurés manuellement avec la sélection de la version de l’agent compatible avec votre distribution Linux. Cette méthode vous donne un contrôle plus précis sur le processus de déploiement.

Créer des fichiers d’état Saltstack à l’aide du script du programme d’installation

  1. Extrayez le script bash du programme d’installation à partir du référentiel Microsoft GitHub ou utilisez la commande suivante pour le télécharger :

    wget https://raw.githubusercontent.com/microsoft/mdatp-xplat/refs/heads/master/linux/installation/mde_installer.sh /srv/salt/mde/
    
  2. Créez le fichier /srv/salt/install_mdatp.sls d’état avec le contenu suivant. La même peut être téléchargée à partir de GitHub

    #Download the mde_installer.sh: https://github.com/microsoft/mdatp-xplat/blob/master/linux/installation/mde_installer.sh
     install_mdatp_package:
       cmd.run:
         - name: /srv/salt/mde/mde_installer.sh --install --onboard /srv/salt/mde/mdatp_onboard.json
         - shell: /bin/bash
         - unless: 'pgrep -f mde_installer.sh'
    

Remarque

Le script du programme d’installation prend également en charge d’autres paramètres tels que le canal (insiders-fast, insiders-slow, prod (par défaut)), la protection en temps réel, la version, etc. Pour effectuer une sélection dans la liste des options disponibles, case activée aide via la commande suivante :./mde_installer.sh --help

Créer des fichiers d’état Saltstack en configurant manuellement des dépôts

Dans cette étape, vous créez un fichier d’état SaltState dans votre référentiel de configuration (généralement /srv/salt) qui applique les états nécessaires au déploiement et à l’intégration de Defender pour point de terminaison. Ensuite, vous ajoutez le référentiel Defender pour point de terminaison et la clé : install_mdatp.sls.

Remarque

Defender pour point de terminaison sur Linux peut être déployé à partir de l’un des canaux suivants :

Chaque canal correspond à un référentiel de logiciels Linux. Le choix du canal détermine le type et la fréquence des mises à jour proposées à votre appareil. Les appareils dans insiders-fast sont les premiers à recevoir des mises à jour et de nouvelles fonctionnalités, suivis ultérieurement par les insiders-slow, et enfin par prod.

Pour afficher un aperçu des nouvelles fonctionnalités et fournir des commentaires précoces, il est recommandé de configurer certains appareils de votre entreprise pour qu’ils utilisent des insiders rapides ou des insiders lents.

Avertissement

Le basculement du canal après l’installation initiale nécessite la réinstallation du produit. Pour changer de canal de produit : désinstallez le package existant, reconfigurez votre appareil pour utiliser le nouveau canal et suivez les étapes décrites dans ce document pour installer le package à partir du nouvel emplacement.

  1. Notez votre distribution et votre version et identifiez l’entrée la plus proche sous https://packages.microsoft.com/config/[distro]/.

  2. Dans les commandes suivantes, remplacez [distribution] et [version] par vos informations.

    Remarque

    Pour Oracle Linux et Amazon Linux 2, remplacez [distribution] par « rhel ». Pour Amazon Linux 2, remplacez [version] par « 7 ». Pour l’utilisation d’Oracle, remplacez [version] par la version d’Oracle Linux.

    cat /srv/salt/install_mdatp.sls
    
    add_ms_repo:
      pkgrepo.managed:
        - humanname: Microsoft Defender Repository
        {% if grains['os_family'] == 'Debian' %}
        - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
        - dist: [codename]
        - file: /etc/apt/sources.list.d/microsoft-[channel].list
        - key_url: https://packages.microsoft.com/keys/microsoft.asc
        - refresh: true
        {% elif grains['os_family'] == 'RedHat' %}
        - name: packages-microsoft-[channel]
        - file: microsoft-[channel]
        - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
        - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
        - gpgcheck: true
        {% endif %}
    
  3. Ajoutez l’état installé du package à install_mdatp.sls après l’état add_ms_repo défini précédemment.

    install_mdatp_package:
      pkg.installed:
        - name: matp
        - required: add_ms_repo
    
  4. Ajoutez le déploiement du fichier d’intégration à install_mdatp.sls après le install_mdatp_package , comme défini précédemment.

    copy_mde_onboarding_file:
      file.managed:
        - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
        - source: salt://mde/mdatp_onboard.json
        - required: install_mdatp_package
    

    Le fichier d’état d’installation terminé doit ressembler à cette sortie :

    add_ms_repo:
    pkgrepo.managed:
    - humanname: Microsoft Defender Repository
    {% if grains['os_family'] == 'Debian' %}
    - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
    - dist: [codename]
    - file: /etc/apt/sources.list.d/microsoft-[channel].list
    - key_url: https://packages.microsoft.com/keys/microsoft.asc
    - refresh: true
    {% elif grains['os_family'] == 'RedHat' %}
    - name: packages-microsoft-[channel]
    - file: microsoft-[channel]
    - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
    - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
    - gpgcheck: true
    {% endif %}
    
    install_mdatp_package:
    pkg.installed:
    - name: mdatp
    - required: add_ms_repo
    
    copy_mde_onboarding_file:
    file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    - source: salt://mde/mdatp_onboard.json
    - required: install_mdatp_package
    
  5. Créez un fichier d’état SaltState dans votre référentiel de configuration (généralement /srv/salt) qui applique les états nécessaires à la désactivation et supprimez Defender pour point de terminaison. Avant d’utiliser le fichier d’état de désintégrage, vous devez télécharger le package de désintéglage à partir du portail Microsoft Defender et l’extraire de la même façon que vous l’avez fait pour le package d’intégration. Le package de désintéglage téléchargé n’est valide que pour une période limitée.

  6. Créez un fichier uninstall_mdapt.sls d’état Désinstaller et ajoutez l’état pour supprimer le mdatp_onboard.json fichier.

    cat /srv/salt/uninstall_mdatp.sls
    
    remove_mde_onboarding_file:
      file.absent:
        - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    
  7. Ajoutez le déploiement du fichier de désintéglage au uninstall_mdatp.sls fichier après l’état remove_mde_onboarding_file défini dans la section précédente.

     offboard_mde:
      file.managed:
        - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
        - source: salt://mde/mdatp_offboard.json
    
  8. Ajoutez la suppression du package MDATP au uninstall_mdatp.sls fichier après l’état offboard_mde défini dans la section précédente.

    remove_mde_packages:
      pkg.removed:
        - name: mdatp
    

    Le fichier d’état de désinstallation complet doit ressembler à la sortie suivante :

    remove_mde_onboarding_file:
      file.absent:
        - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    
    offboard_mde:
      file.managed:
        - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
        - source: salt://mde/offboard/mdatp_offboard.json
    
    remove_mde_packages:
       pkg.removed:
         - name: mdatp
    

Déployer Defender sur le point de terminaison à l’aide des fichiers d’état créés précédemment

Cette étape s’applique à la fois au script d’installation ou à la méthode de configuration manuelle. Dans cette étape, vous appliquez l’état aux sbires. La commande suivante applique l’état aux machines dont le nom commence mdetestpar .

  1. Installation:

    salt 'mdetest*' state.apply install_mdatp
    

    Importante

    Lorsque le produit démarre pour la première fois, il télécharge les dernières définitions de logiciel anti-programme malveillant. Selon votre connexion Internet, cela peut prendre jusqu’à quelques minutes.

  2. Validation/configuration :

    salt 'mdetest*' cmd.run 'mdatp connectivity test'
    
    salt 'mdetest*' cmd.run 'mdatp health'
    
  3. Désinstallation :

    salt 'mdetest*' state.apply uninstall_mdatp
    

Résoudre des problèmes d’installation

Pour résoudre les problèmes :

  1. Pour plus d’informations sur la recherche du journal généré automatiquement lorsqu’une erreur d’installation se produit, consultez Problèmes d’installation du journal.

  2. Pour plus d’informations sur les problèmes d’installation courants, consultez Problèmes d’installation.

  3. Si l’intégrité de l’appareil est false, consultez Problèmes d’intégrité de l’agent Defender pour point de terminaison.

  4. Pour connaître les problèmes de performances du produit, consultez Résoudre les problèmes de performances.

  5. Pour les problèmes de proxy et de connectivité, consultez Résoudre les problèmes de connectivité cloud.

Pour obtenir le support de Microsoft, ouvrez un ticket de support et fournissez les fichiers journaux créés à l’aide de l’analyseur client.

Comment configurer des stratégies pour Microsoft Defender sur Linux

Vous pouvez configurer des paramètres antivirus ou EDR sur vos points de terminaison à l’aide de l’une des méthodes suivantes :

Mises à niveau du système d’exploitation

Lors de la mise à niveau de votre système d’exploitation vers une nouvelle version principale, vous devez d’abord désinstaller Defender pour point de terminaison sur Linux, installer la mise à niveau et enfin reconfigurer Defender pour point de terminaison sur votre appareil Linux.

Référence

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.