Megosztás a következőn keresztül:

Végponthoz készült Microsoft Defender üzembe helyezése Linuxon a Saltstack használatával

  • Cikk

Érintett szolgáltatás:

  • Végponthoz készült Microsoft Defender kiszolgálókhoz
  • Microsoft Defender 1. vagy 2. csomag kiszolgálókhoz

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Ez a cikk azt ismerteti, hogyan helyezheti üzembe a Végponthoz készült Defendert Linux rendszeren a Saltstack használatával. A sikeres üzembe helyezéshez be kell fejezni az ebben a cikkben szereplő összes lépést.

Fontos

Ez a cikk harmadik féltől származó eszközökkel kapcsolatos információkat tartalmaz. Ez segít az integrációs forgatókönyvek teljesítésében, a Microsoft azonban nem nyújt hibaelhárítási támogatást külső eszközökhöz.
Támogatásért forduljon a külső gyártóhoz.

Előfeltételek és rendszerkövetelmények

Mielőtt hozzákezd, tekintse meg a Végponthoz készült Defender főoldalát a Linux rendszeren , amely ismerteti az aktuális szoftververzió előfeltételeit és rendszerkövetelményeit.

Emellett a Saltstack üzembe helyezéséhez ismernie kell a Saltstack adminisztrációját, telepítenie kell a Saltstacket, konfigurálnia kell a Master és a Minions elemet, és ismernie kell az állapotok alkalmazását. Saltstack számos módon végezheti el ugyanazt a feladatot. Ezek az utasítások feltételezik, hogy rendelkezésre állnak a támogatott Saltstack-modulok, például apt és unarchive a csomag üzembe helyezéséhez. Előfordulhat, hogy a szervezet más munkafolyamatot használ. További információt a Saltstack dokumentációjában talál.

Íme néhány fontos szempont:

  • A Saltstack legalább egy számítógépre telepítve van (Saltstack főkiszolgálóként hívja meg a számítógépet).
  • A Saltstack főkiszolgálója elfogadta a felügyelt csomópontokat (Saltstack a csomópontokat minions-kapcsolatként hívja meg).
  • A Saltstack minions képes feloldani a Saltstack főkiszolgálóval folytatott kommunikációt (alapértelmezés szerint a minions egy salt nevű géppel próbál kommunikálni).
  • Futtassa a következő pingelési tesztet: sudo salt '*' test.ping
  • A Saltstack-főkiszolgálónak van egy fájlkiszolgálói helye, ahonnan a Végponthoz készült Microsoft Defender fájlok terjeszthetők (a Saltstack alapértelmezés szerint a /srv/salt mappát használja alapértelmezett terjesztési pontként)

Az előkészítési csomag letöltése

Figyelmeztetés

A Végponthoz készült Defender telepítőcsomag újracsomagolása nem támogatott forgatókönyv. Ez negatív hatással lehet a termék integritására, és kedvezőtlen eredményekhez vezethet, beleértve, de nem kizárólagosan az illetéktelen módosítási riasztások aktiválását és a frissítések alkalmazásának sikertelenségét.

  1. A Microsoft Defender portálon lépjen a Beállítások>Végpontok>Eszközkezelés>Előkészítés területre.

  2. Az első legördülő menüben válassza a Linux Server elemet operációs rendszerként. A második legördülő menüben válassza az Előnyben részesített Linux-konfigurációkezelő eszközt telepítési módszerként.

  3. Válassza az Előkészítési csomag letöltése lehetőséget. Mentse a fájlt néven WindowsDefenderATPOnboardingPackage.zip.

    Az Előkészítési csomag letöltése lehetőség

  4. A SaltStack Masterben bontsa ki az archívum tartalmát a SaltStack-kiszolgáló mappájába (általában /srv/salt):

    unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mde

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: /srv/salt/mde/mdatp_onboard.json

Saltstack állapotfájljainak létrehozása

A Saltstack állapotfájljait kétféleképpen hozhatja létre:

  • Használja a telepítő szkriptet (ajánlott): Ezzel a módszerrel a szkript automatizálja az üzembe helyezést az ügynök telepítésével, az eszköz Microsoft Defender portálra való előkészítésével, valamint az adattárak konfigurálásával a Linux-disztribúcióval kompatibilis megfelelő ügynök kiválasztásával.

  • Az adattárak manuális konfigurálása: Ezzel a módszerrel az adattárakat manuálisan kell konfigurálni a Linux-disztribúcióval kompatibilis ügynökverzió kiválasztásával együtt. Ezzel a módszerrel részletesebben szabályozhatja az üzembe helyezési folyamatot.

Saltstack-állapotfájlok létrehozása a telepítőszkripttel

  1. Kérje le a telepítő bash szkriptet a Microsoft GitHub-adattárból, vagy töltse le a következő paranccsal:

    wget https://raw.githubusercontent.com/microsoft/mdatp-xplat/refs/heads/master/linux/installation/mde_installer.sh /srv/salt/mde/

  2. Hozza létre az állapotfájlt /srv/salt/install_mdatp.sls az alábbi tartalommal. Ugyanez letölthető a GitHubról is

    #Download the mde_installer.sh: https://github.com/microsoft/mdatp-xplat/blob/master/linux/installation/mde_installer.sh
 install_mdatp_package:
   cmd.run:
     - name: /srv/salt/mde/mde_installer.sh --install --onboard /srv/salt/mde/mdatp_onboard.json
     - shell: /bin/bash
     - unless: 'pgrep -f mde_installer.sh'

Megjegyzés:

A telepítőszkript más paramétereket is támogat, például a csatornát (insiders-fast, insiders-slow, prod (alapértelmezett)), valós idejű védelmet, verziót stb. Az elérhető lehetőségek listájából való választáshoz tekintse meg a súgót a következő paranccsal: ./mde_installer.sh --help

Saltstack-állapotfájlok létrehozása az adattárak manuális konfigurálásával

Ebben a lépésben létrehoz egy SaltState állapotfájlt a konfigurációs adattárban (általában /srv/salt), amely a Végponthoz készült Defender üzembe helyezéséhez és előkészítéséhez szükséges állapotokat alkalmazza. Ezután adja hozzá a Végponthoz készült Defender adattárat és kulcsot: install_mdatp.sls.

Megjegyzés:

A Végponthoz készült Defender Linux rendszeren az alábbi csatornák egyikéről telepíthető:

Minden csatorna egy Linux-szoftveradattárnak felel meg. A csatorna kiválasztása határozza meg az eszköz számára kínált frissítések típusát és gyakoriságát. Az insider-fast rendszerű eszközök az elsők, amelyek frissítéseket és új funkciókat kapnak, amelyeket később az insider-slow és végül a prod követ.

Az új funkciók előzetes verziójának megtekintéséhez és a korai visszajelzések küldéséhez javasoljuk, hogy a vállalat néhány eszközét úgy konfigurálja, hogy az insider-fast vagy az insider-slow verziót használja.

Figyelmeztetés

Ha a kezdeti telepítés után vált a csatornára, újra kell telepíteni a terméket. A termékcsatorna váltásához: távolítsa el a meglévő csomagot, konfigurálja újra az eszközt az új csatorna használatára, és a jelen dokumentumban leírt lépéseket követve telepítse a csomagot az új helyről.

  1. Jegyezze fel a disztribúciót és a verziót, és azonosítsa a legközelebbi bejegyzést a alatt https://packages.microsoft.com/config/[distro]/.

  2. Az alábbi parancsokban cserélje le a [disztribúció] és a [verzió] kifejezést az adataira.

    Megjegyzés:

    Oracle Linux és Amazon Linux 2 esetén cserélje le a [disztribúciót] a "rhel" kifejezésre. Amazon Linux 2 esetén cserélje le a [version] elemet a "7" értékre. Az Oracle használata esetén cserélje le a [version] elemet az Oracle Linux verziójára.

    cat /srv/salt/install_mdatp.sls

    add_ms_repo:
  pkgrepo.managed:
    - humanname: Microsoft Defender Repository
    {% if grains['os_family'] == 'Debian' %}
    - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main
    - dist: [codename]
    - file: /etc/apt/sources.list.d/microsoft-[channel].list
    - key_url: https://packages.microsoft.com/keys/microsoft.asc
    - refresh: true
    {% elif grains['os_family'] == 'RedHat' %}
    - name: packages-microsoft-[channel]
    - file: microsoft-[channel]
    - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
    - gpgkey: https://packages.microsoft.com/keys/microsoft.asc
    - gpgcheck: true
    {% endif %}

  3. Adja hozzá a csomag telepített állapotát install_mdatp.sls a add_ms_repo korábban definiált állapot után.

    install_mdatp_package:
  pkg.installed:
    - name: matp
    - required: add_ms_repo

  4. Adja hozzá az előkészítési fájl üzembe helyezését a fájlhoz install_mdatp.sls a install_mdatp_package korábban meghatározottak szerint.

    copy_mde_onboarding_file:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    - source: salt://mde/mdatp_onboard.json
    - required: install_mdatp_package

    A befejezett telepítési állapotfájlnak a következő kimenethez hasonlóan kell kinéznie:

    add_ms_repo:
pkgrepo.managed:
- humanname: Microsoft Defender Repository
{% if grains['os_family'] == 'Debian' %}
- name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
- dist: [codename]
- file: /etc/apt/sources.list.d/microsoft-[channel].list
- key_url: https://packages.microsoft.com/keys/microsoft.asc
- refresh: true
{% elif grains['os_family'] == 'RedHat' %}
- name: packages-microsoft-[channel]
- file: microsoft-[channel]
- baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/
- gpgkey: https://packages.microsoft.com/keys/microsoft.asc
- gpgcheck: true
{% endif %}

install_mdatp_package:
pkg.installed:
- name: mdatp
- required: add_ms_repo

copy_mde_onboarding_file:
file.managed:
- name: /etc/opt/microsoft/mdatp/mdatp_onboard.json
- source: salt://mde/mdatp_onboard.json
- required: install_mdatp_package

  5. Hozzon létre egy SaltState állapotfájlt a konfigurációs adattárban (általában /srv/salt), amely a végponthoz készült Defender kivezetéséhez és eltávolításához szükséges állapotokat alkalmazza. A kivezetési állapotfájl használata előtt le kell töltenie a kivezetési csomagot a Microsoft Defender portálról, és ki kell nyernie az előkészítési csomaghoz hasonlóan. A letöltött kivezetési csomag csak korlátozott ideig érvényes.

  6. Hozzon létre egy Eltávolítás állapotfájlt uninstall_mdapt.sls , és adja hozzá az állapotot a mdatp_onboard.json fájl eltávolításához.

    cat /srv/salt/uninstall_mdatp.sls

    remove_mde_onboarding_file:
  file.absent:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json

  7. Adja hozzá a kivezetési fájl üzembe helyezését a uninstall_mdatp.sls fájlhoz az remove_mde_onboarding_file előző szakaszban meghatározott állapot után.

     offboard_mde:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
    - source: salt://mde/mdatp_offboard.json

  8. Adja hozzá az MDATP-csomag eltávolítását a fájlhoz az uninstall_mdatp.slsoffboard_mde előző szakaszban meghatározott állapot után.

    remove_mde_packages:
  pkg.removed:
    - name: mdatp

    A teljes eltávolítási állapotfájlnak az alábbi kimenethez hasonlóan kell kinéznie:

    remove_mde_onboarding_file:
  file.absent:
    - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json

offboard_mde:
  file.managed:
    - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json
    - source: salt://mde/offboard/mdatp_offboard.json

remove_mde_packages:
   pkg.removed:
     - name: mdatp

A Defender üzembe helyezése végponton a korábban létrehozott állapotfájlok használatával

Ez a lépés a telepítőszkriptre és a manuális konfigurációs módszerre is vonatkozik. Ebben a lépésben az állapotot alkalmazza a minionsra. A következő parancs az állapotot a következővel kezdődő mdetestnevű gépekre alkalmazza: .

  1. Telepítés:

    salt 'mdetest*' state.apply install_mdatp

    Fontos

    Amikor a termék első alkalommal elindul, letölti a legújabb kártevőirtó-definíciókat. Az internetkapcsolattól függően ez akár néhány percet is igénybe vehet.

  2. Ellenőrzés/konfigurálás:

    salt 'mdetest*' cmd.run 'mdatp connectivity test'

    salt 'mdetest*' cmd.run 'mdatp health'

  3. Eltávolítás:

    salt 'mdetest*' state.apply uninstall_mdatp

A telepítési problémák elhárítása

A problémák elhárítása:

  1. A telepítési hiba esetén automatikusan generált napló megkereséséről a Naplótelepítési problémák című témakörben talál további információt.

  2. További információ a gyakori telepítési problémákról: Telepítési problémák.

  3. Ha az eszköz falseállapota , tekintse meg a Végponthoz készült Defender-ügynök állapotával kapcsolatos problémákat.

  4. A termék teljesítményével kapcsolatos problémákért lásd: Teljesítményproblémák elhárítása.

  5. A proxyval és a kapcsolattal kapcsolatos problémákért lásd: Felhőkapcsolati problémák elhárítása.

Ha támogatást szeretne kapni a Microsofttól, nyisson meg egy támogatási jegyet, és adja meg az ügyfélelemzővel létrehozott naplófájlokat.

Szabályzatok konfigurálása linuxos Microsoft Defender

A végpontokon a következő módszerek bármelyikével konfigurálhatja a víruskereső vagy az EDR beállításait:

Operációs rendszer frissítései

Amikor az operációs rendszert egy új főverzióra frissíti, először el kell távolítania a Végponthoz készült Defendert Linux rendszeren, telepítenie kell a frissítést, és végül újra kell konfigurálnia a Végponthoz készült Defendert a Linux-eszközön.

Hivatkozás

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.