您可以使用各種工具和方法,在 Linux 上部署適用於端點的 Defender 。 本文說明如何使用 Saltstack 在 Linux 上部署適用於端點的 Defender。 成功部署需要完成本文中的所有步驟。 (若要使用其他方法,請參閱 相關內容區段 )
重要事項
如果您想要並存執行多個安全性解決方案,請參閱 效能、組態和支援的考量。
您可能已經為上線至 適用於端點的 Microsoft Defender 的裝置設定相互安全性排除。 如果您仍然需要設定相互排除以避免衝突,請參閱 將適用於端點的 Microsoft Defender新增至現有解決方案的排除清單。
重要事項
本文包含第三方工具的相關資訊。 提供此功能是為了協助完成整合案例,不過,Microsoft 不提供協力廠商工具的疑難排解支援。
請聯絡第三方廠商以取得支援。
必要條件和系統需求
開始之前,請參閱 Linux 上適用於端點的 Defender 必要條件 ,以取得必要條件和系統需求的描述。
此外,對於 Saltstack 部署,您需要熟悉 Saltstack 管理、安裝 Saltstack、設定主要和部屬節點,並知道如何套用狀態。 Saltstack 有許多方法可以完成相同的任務。 這些指示假設支援的 Saltstack 模組 (例如 apt 和 unarchive ) 可用,以協助部署套件。 您的組織可能會使用不同的工作流程。 如需詳細資訊,請參閱 Saltstack 文件。
以下是幾個要點:
- Saltstack 安裝在至少一台電腦上 (Saltstack 會呼叫該電腦作為主要) 。
- Saltstack 主節點接受受管理節點 (Saltstack 會將節點呼叫為部屬節點) 連線。
- Saltstack 部屬節點能夠解析與 Saltstack 主節點的通訊 (預設情況下,部屬節點會嘗試與名為 salt) 的機器通訊。
- 執行下列 Ping 測試:
sudo salt '*' test.ping - Saltstack 主節點有一個檔案伺服器位置,預設情況下,可以從 (分發適用於端點的 Microsoft Defender檔案,Saltstack 使用該
/srv/salt資料夾作為預設發佈點)
下載上線套件
警告
不支援重新封裝適用於端點的 Defender 安裝套件案例。 這樣做可能會對產品的完整性產生負面影響並導致不利結果,包括但不限於觸發篡改警報和無法應用的更新。
在 Microsoft Defender 入口網站中,移至 [設定>端點] [>裝置管理>] 上線。
在第一個下拉式功能表中,選取 Linux Server 作為作業系統。 在第二個下拉式功能表中,選取 [您偏好的 Linux 組態管理工具 ] 作為部署方法。
選取 [下載上線套件]。 將檔案儲存為
WindowsDefenderATPOnboardingPackage.zip。
在 SaltStack Master 上,將封存的內容解壓縮到 SaltStack Server 的資料夾, (通常
/srv/salt) :unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mdeArchive: WindowsDefenderATPOnboardingPackage.zip inflating: /srv/salt/mde/mdatp_onboard.json
建立 Saltstack 狀態檔案
您可以透過兩種方式建立 Saltstack 狀態檔案:
使用安裝程式指令碼 (建議) :使用此方法,腳本會藉由安裝代理程式、將裝置上線至 Microsoft Defender 入口網站,以及設定存放庫以挑選與您的 Linux 發行版相容的正確代理程式來自動化部署。
手動設定儲存庫: 使用此方法時,必須手動設定儲存庫,並選取與您的 Linux 發行版相容的代理程式版本。 此方法可讓您更精細地控制部署程式。
使用安裝程式指令碼建立 Saltstack 狀態檔案
從 Microsoft GitHub 存放庫提取 安裝程式 bash 腳本 ,或使用下列命令下載它:
wget https://raw.githubusercontent.com/microsoft/mdatp-xplat/refs/heads/master/linux/installation/mde_installer.sh /srv/salt/mde/建立具有下列內容的狀態檔案
/srv/salt/install_mdatp.sls。 同樣可以從 GitHub 下載#Download the mde_installer.sh: https://github.com/microsoft/mdatp-xplat/blob/master/linux/installation/mde_installer.sh install_mdatp_package: cmd.run: - name: /srv/salt/mde/mde_installer.sh --install --onboard /srv/salt/mde/mdatp_onboard.json - shell: /bin/bash - unless: 'pgrep -f mde_installer.sh'
注意事項
安裝程式腳本也支援其他參數,例如通道 (內部人員快速、內部人員慢速、生產 (預設) ) 、即時保護、版本、自訂位置安裝等。若要從可用選項清單中選取,請透過下列指令檢查說明: ./mde_installer.sh --help
透過手動設定儲存庫來建立 Saltstack 狀態檔案
在此步驟中,您會在組態存放庫中建立 SaltState 狀態檔案 (通常是 /srv/salt) ,以套用必要的狀態來部署和上線適用於端點的 Defender。 然後,您將適用於端點的 Defender 存放庫和金鑰新增至。 install_mdatp.sls
注意事項
Linux 上的適用於端點的 Defender 可以從下列其中一個通道部署:
-
insiders-fast,表示為
[channel] -
insiders-slow,表示為
[channel] -
prod,表示為
[channel]使用版本名稱 (請參閱 Linux Software Repository for Microsoft Products)
每個通道對應一個 Linux 軟體儲存庫。 頻道的選擇決定了提供給您設備的更新的類型和頻率。 Insiders-fast 中的設備是第一個接收更新和新功能的設備,其次是 insiders-slow,最後是 prod。
為了預覽新功能並提供早期意見反應,建議您將企業中的某些裝置設定為使用 Insiders-fast 或 Insiders-slow。
警告
在初始安裝之後切換通道需要重新安裝產品。 若要切換產品通道:解除安裝現有套件、重新設定裝置以使用新通道,然後依照本檔案中的步驟從新位置安裝套件。
記下您的發行版和版本,並在 下
https://packages.microsoft.com/config/[distro]/識別最接近的項目。在下列命令中,將 和
[version]取代[distro]為您的資訊。注意事項
對於 Oracle Linux 和 Amazon Linux 2,請取代
[distro]為「rhel」。對於 Amazon Linux 2,請取代[version]為「7」。 對於 Oracle utilize,請取代[version]為 Oracle Linux 版本。cat /srv/salt/install_mdatp.slsadd_ms_repo: pkgrepo.managed: - humanname: Microsoft Defender Repository {% if grains['os_family'] == 'Debian' %} - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main - dist: [codename] - file: /etc/apt/sources.list.d/microsoft-[channel].list - key_url: https://packages.microsoft.com/keys/microsoft.asc - refresh: true {% elif grains['os_family'] == 'RedHat' %} - name: packages-microsoft-[channel] - file: microsoft-[channel] - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ - gpgkey: https://packages.microsoft.com/keys/microsoft.asc - gpgcheck: true {% endif %}將套件已安裝狀態
install_mdatp.sls新增至先前定義的狀態之後add_ms_repo。install_mdatp_package: pkg.installed: - name: mdatp - required: add_ms_repo如先前定義,將上線檔案部署新增至
install_mdatp.sls之後install_mdatp_package。copy_mde_onboarding_file: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json - source: salt://mde/mdatp_onboard.json - required: install_mdatp_package完成的安裝狀態檔案看起來應該類似以下輸出:
add_ms_repo: pkgrepo.managed: - humanname: Microsoft Defender Repository {% if grains['os_family'] == 'Debian' %} - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main - dist: [codename] - file: /etc/apt/sources.list.d/microsoft-[channel].list - key_url: https://packages.microsoft.com/keys/microsoft.asc - refresh: true {% elif grains['os_family'] == 'RedHat' %} - name: packages-microsoft-[channel] - file: microsoft-[channel] - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ - gpgkey: https://packages.microsoft.com/keys/microsoft.asc - gpgcheck: true {% endif %} install_mdatp_package: pkg.installed: - name: mdatp - required: add_ms_repo copy_mde_onboarding_file: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json - source: salt://mde/mdatp_onboard.json - required: install_mdatp_package在組態存放庫中建立 SaltState 狀態檔案, (通常是
/srv/salt) ,以套用必要的狀態來離線並移除適用於端點的 Defender。 使用離職狀態檔案之前,您必須從 Microsoft Defender 入口網站下載離職套件,並以與上線套件相同的方式解壓縮它。 下載的下線套件僅在有限的時間內有效。建立解除安裝狀態檔案
uninstall_mdapt.sls,並新增狀態以移除檔案mdatp_onboard.json。cat /srv/salt/uninstall_mdatp.slsremove_mde_onboarding_file: file.absent: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json將離職檔案部署新增至
uninstall_mdatp.sls上一節中定義的狀態之後remove_mde_onboarding_file的檔案。offboard_mde: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json - source: salt://mde/mdatp_offboard.json將 MDATP 套件的移除新增至上一節中定義的狀態之後
offboard_mde的uninstall_mdatp.sls檔案。remove_mde_packages: pkg.removed: - name: mdatp完整的解除安裝狀態檔案看起來應該類似下列輸出:
remove_mde_onboarding_file: file.absent: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json offboard_mde: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json - source: salt://mde/offboard/mdatp_offboard.json remove_mde_packages: pkg.removed: - name: mdatp
使用稍早建立的狀態檔案在端點上部署 Defender
此步驟適用於安裝程式指令碼或手動設定方法。 在此步驟中,您將狀態套用至部屬節點。 下列命令會將狀態套用至名稱開頭 mdetest為 的機器。
裝置:
salt 'mdetest*' state.apply install_mdatp重要事項
當產品第一次啟動時,它會下載最新的反惡意代碼定義。 根據您的網際網路連線,此過程可能需要幾分鐘。
驗證/配置:
salt 'mdetest*' cmd.run 'mdatp connectivity test'salt 'mdetest*' cmd.run 'mdatp health'卸載:
salt 'mdetest*' state.apply uninstall_mdatp
安裝問題的疑難排解
若要疑難排解問題:
如需如何尋找發生安裝錯誤時自動產生的記錄的資訊,請參閱 記錄安裝問題。
如需常見安裝問題的相關資訊,請參閱 安裝問題。
如果裝置的健康情況為
false,請參閱適用於 端點的 Defender 代理程式健康情況問題。如需產品效能問題,請參閱 疑難排解效能問題。
如需 Proxy 和連線問題,請參閱 疑難排解雲端連線問題。
若要取得 Microsoft 的支援,請開啟支援票證,並提供使用 用戶端分析器建立的記錄檔。
如何在 Linux 上設定 Microsoft Defender 的原則
您可以使用下列任一方法在端點上設定防毒或 EDR 設定:
- 請參閱 在 Linux 上設定適用於端點的 Microsoft Defender 喜好設定。
- 請參閱安全性設定管理,以在 Microsoft Defender 入口網站中設定設定。
作業系統升級
將作業系統升級至新的主要版本時,您必須先解除安裝 Linux 上的適用於端點的 Defender、安裝升級,最後在 Linux 裝置上重新設定適用於端點的 Defender。
相關內容
- SALT 專案文件
- 在 Linux 上適用於端點的 Microsoft Defender的必要條件
- 使用安裝程式腳本型部署,在 Linux 上部署適用於端點的 Defender
- 使用 Ansible 在 Linux 上部署適用於端點的 Defender
- 使用 Chef 在 Linux 上部署適用於端點的 Microsoft Defender
- 使用 Puppet 在 Linux 上部署適用於端點的 Defender
- 在 Linux 上手動部署適用於端點的 Defender
- 使用適用於) 雲端的 Defender 將非 Azure 機器連線到適用於雲端的 Microsoft Defender, (使用適用於雲端的 Defender 直接上線
- 適用於 SAP 的 Linux 上適用於端點的 Defender 部署指引
- 在 Linux 上安裝適用於端點的 Defender 至自訂路徑
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。