Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux przy użyciu złotych obrazów

Złote obrazy to wstępnie skonfigurowane szablony maszyn wirtualnych używane do szybkiego i spójnego wdrażania wielu identycznych systemów w organizacji. Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux obsługuje wdrażanie złotego obrazu w chmurze i środowiskach lokalnych, dzięki ulepszonej obsłudze identyfikatorów maszyn i nazw hostów, zapewniając niezawodną telemetrię i korelację urządzeń.

Ten przewodnik przeprowadzi Cię przez:

• Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender na złotym obrazie.

• Przygotowywanie obrazu do klonowania.

• Zapewnianie unikatowych identyfikatorów dla każdego wystąpienia maszyny wirtualnej.

• Konkretne kroki dla środowisk chmurowych i lokalnych.

Krok 1. Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender na złotym obrazie

1. Przygotowywanie podstawowej maszyny wirtualnej

   • Zainstaluj preferowaną obsługiwaną dystrybucję systemu Linux i zastosuj wszystkie niezbędne aktualizacje systemu.

2. Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender na złotym obrazie

   Istnieje kilka metod i narzędzi, których można użyć do wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux (dotyczy serwerów AMD64 i ARM64 z systemem Linux):

   • Wdrażanie oparte na skryptach instalatora

   • Wdrożenie oparte na usłudze Ansible

   • Wdrażanie oparte na programie Chef

   • Wdrożenie oparte na usłudze Puppet

   • Wdrażanie oparte na aplikacji SaltStack

   • Wdrażanie ręczne

   • Bezpośrednie dołączanie za pomocą usługi Defender for Cloud

   • Wskazówki dotyczące usługi Defender for Endpoint w systemie Linux Server z oprogramowaniem SAP

3. Weryfikowanie wdrożenia

   Sprawdź stan kondycji produktu, uruchamiając następujące polecenie. Zwracana wartość true oznacza, że produkt działa zgodnie z oczekiwaniami:

   mdatp health
   

Krok 2. Przygotowanie złotego obrazu do klonowania

Podczas wdrażania usługi Defender for Endpoint na maszynach wirtualnych sprzętowy identyfikator UUID zgłoszony przez system (system-uuid z dmidecode) jest używany do unikatowego identyfikowania każdego wystąpienia.

Przed utworzeniem migawki maszyny wirtualnej upewnij się, że każdy klon maszyny wirtualnej otrzymuje unikatowy sprzętowy identyfikator UUID, zgodnie z opisem w poniższych sekcjach.

Maszyny lokalne

W przypadku środowisk lokalnych skonfiguruj platformę wirtualizacji tak, aby każdy klon odbierał unikatowy sprzętowy identyfikator UUID z podstawowej funkcji hypervisor. Postępuj zgodnie z następującymi wytycznymi:

KVM/libvirt

• Nie koduj <uuid> na stałe elementu w pliku XML domeny maszyny wirtualnej; jeśli zostanie pominięty, biblioteka libvirt generuje losowy element w czasie definicji.

• Alternatywnie jawnie utwórz nowy identyfikator UUID przy użyciu polecenia uuidgen.

• Aby usprawnić klonowanie, użyj polecenia virt-clone lub virt-manager, które automatycznie przypisują unikatowe identyfikatory UUID.

VMware

• Podczas klonowania program VMware monituje, czy zachować istniejący identyfikator UUID, czy utworzyć nowy. Zawsze wybierz pozycję Utwórz lub skonfiguruj uuid.action = "create" w pliku vmx maszyny wirtualnej.

• W usłudze VMware Cloud Director ustaw opcję backend.cloneBiosUuidOnVmCopy = 0 wymuszania tworzenia nowych identyfikatorów UUID.

Funkcja Hyper-V

Funkcja Hyper-V automatycznie generuje nowy sprzętowy identyfikator UUID podczas tworzenia maszyny wirtualnej przy użyciu menedżera funkcji Hyper-V lub programu PowerShell (Nowa maszyna wirtualna).

Maszyny wirtualne w chmurze

Platformy w chmurze (na przykład Azure, AWS, GCP) automatycznie wprowadzają unikatowe metadane i identyfikatory za pośrednictwem usług metadanych wystąpienia (IMDS). Nie są wymagane żadne czynności ręczne. Ochrona punktu końcowego w usłudze Microsoft Defender automatycznie wykrywa te wartości i używa ich do generowania unikatowych identyfikatorów maszyn.

Zarządzanie nazwami hostów

Jeśli nazwa hosta serwera systemu Linux została zmieniona po pomyślnym wdrożeniu usługi Defender, należy ponownie uruchomić mdatp usługę, aby upewnić się, że nowa nazwa hosta jest poprawnie rozpoznawana przez produkt.

Zawartość pokrewna