Развертывание Defender для конечной точки в Linux с помощью Chef
Важно!
Эта статья содержит сведения о сторонних средствах. Это предоставляется для выполнения сценариев интеграции, однако корпорация Майкрософт не предоставляет поддержку по устранению неполадок для сторонних средств.
Обратитесь за поддержкой к стороннему поставщику.
Прежде чем приступить к работе, выполните установку распакуку, если она еще не установлена.
Компоненты Chef уже установлены, и существует репозиторий Chef (репозиторий> создания chef<) для хранения поваренной книги, используемой для развертывания в Defender для конечной точки на управляемых серверах Linux Chef.
Вы можете создать новую поваренную книгу в существующем репозитории, выполнив следующую команду из папки cookbooks, которая находится в репозитории chef:
chef generate cookbook mdatp
Эта команда создает новую структуру папок для новой книги поваренной книги с именем mdatp. Вы также можете использовать существующую поваренную книгу, если у вас уже есть книга, которую вы хотите использовать для добавления развертывания Defender для конечной точки. После создания книги поваренной книги создайте папку с файлами внутри папки , которая только что была создана:
mkdir mdatp/files
Перенесите ZIP-файл подключения сервера Linux, который можно скачать с портала Microsoft Defender, в эту папку новых файлов.
Предупреждение
Переупаковка пакета установки Defender для конечной точки не поддерживается. Это может негативно повлиять на целостность продукта и привести к неблагоприятным результатам, включая, помимо прочего, активацию оповещений и обновлений о незаконном изменении.
На рабочей станции Chef перейдите в папку mdatp/recipes. Эта папка создается при создании книги поваренной книги. Используйте предпочитаемый текстовый редактор (например, vi или nano), чтобы добавить следующие инструкции в конец файла default.rb:
- include_recipe "::onboard_mdatp"
- include_recipe "::install_mdatp"
Затем сохраните и закройте файл default.rb.
Затем создайте файл рецепта с именем install_mdatp.rb в папке recipes и добавьте в файл следующий текст:
#Add Microsoft Defender
Repo
case node['platform_family']
when 'debian'
apt_repository 'MDAPRepo' do
arch 'amd64'
cache_rebuild true
cookbook false
deb_src false
key 'BC528686B50D79E339D3721CEB3E94ADBE1229CF'
keyserver "keyserver.ubuntu.com"
distribution 'focal'
repo_name 'microsoft-prod'
components ['main']
trusted true
uri "https://packages.microsoft.com/config/ubuntu/20.04/prod"
end
apt_package "mdatp"
when 'rhel'
yum_repository 'microsoft-prod' do
baseurl "https://packages.microsoft.com/config/rhel/7/prod/"
description "Microsoft Defender for Endpoint"
enabled true
gpgcheck true
gpgkey "https://packages.microsoft.com/keys/microsoft.asc"
end
if node['platform_version'] <= 8 then
yum_package "mdatp"
else
dnf_package "mdatp"
end
end
Необходимо изменить номер версии, дистрибутив и имя репозитория в соответствии с версией, в которую вы развертываете, и каналом, который вы хотите развернуть. Затем необходимо создать файл onboard_mdatp.rb в папке mdatp/recipies. Добавьте в этот файл следующий текст:
#Create MDATP Directory
mdatp = "/etc/opt/microsoft/mdatp"
zip_path = "/path/to/chef-repo/cookbooks/mdatp/files/WindowsDefenderATPOnboardingPackage.zip"
directory "#{mdatp}" do
owner 'root'
group 'root'
mode 0755
recursive true
end
#Extract WindowsDefenderATPOnbaordingPackage.zip into /etc/opt/microsoft/mdatp
bash 'Extract Onboarding Json MDATP' do
code <<-EOS
unzip #{zip_path} -d #{mdatp}
EOS
not_if { ::File.exist?('/etc/opt/microsoft/mdatp/mdatp_onboard.json') }
end
Обязательно обновите имя пути до расположения файла подключения.
Чтобы протестировать развертывание на рабочей станции Chef, выполните команду sudo chef-client -z -o mdatp.
После развертывания следует рассмотреть возможность создания и развертывания файла конфигурации на серверах на основе настроек Set для Microsoft Defender для конечной точки в Linux.
После создания и тестирования файла конфигурации его можно поместить в папку cookbook/mdatp/files , в которой вы также разместили пакет подключения. Затем можно создать файл settings_mdatp.rb в папке mdatp/recipies и добавить следующий текст:
#Copy the configuration file
cookbook_file '/etc/opt/microsoft/mdatp/managed/mdatp_managed.json' do
source 'mdatp_managed.json'
owner 'root'
group 'root'
mode '0755'
action :create
end
Чтобы включить этот шаг в состав рецепта, просто добавьте include_recipe ':: settings_mdatp в файл default.rb в папке recipe.
Вы также можете использовать crontab для планирования автоматических обновлений Планирование обновления Microsoft Defender для конечной точки (Linux).
Удалить поваренную книгу MDATP:
#Uninstall the Defender package
case node['platform_family']
when 'debian'
apt_package "mdatp" do
action :remove
end
when 'rhel'
if node['platform_version'] <= 8
then
yum_package "mdatp" do
action :remove
end
else
dnf_package "mdatp" do
action :remove
end
end
end
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.