さまざまなツールと方法を使用して 、Linux 上に Defender for Endpoint をデプロイできます。 この記事では、Saltstack を使用して Defender for Endpoint on Linux をデプロイする方法について説明します。 デプロイが成功するには、この記事のすべての手順を完了する必要があります。 (別の方法を使用するには、「 関連コンテンツ」セクションを参照してください)。
重要
複数のセキュリティ ソリューションを並行して実行する場合は、「 パフォーマンス、構成、およびサポートに関する考慮事項」を参照してください。
既に、Microsoft Defender for Endpointにオンボードされているデバイスの相互セキュリティ除外を構成している可能性があります。 競合を回避するために相互除外を設定する必要がある場合は、「既存のソリューションの除外リストにMicrosoft Defender for Endpointを追加する」を参照してください。
重要
この記事には、サード パーティ製ツールに関する情報が含まれています。 これは統合シナリオの完了に役立ちますが、Microsoft ではサード パーティ製ツールのトラブルシューティング サポートを提供していません。
サポートについては、サード パーティベンダーにお問い合わせください。
前提条件とシステム要件
作業を開始する前に、前提条件とシステム要件の説明については、「 Linux 上の Defender for Endpoint の前提条件」を参照してください。
さらに、Saltstack デプロイの場合は、Saltstack 管理に精通し、Saltstack をインストールし、マスターとミニオンを構成し、状態を適用する方法を理解する必要があります。 Saltstack には、同じタスクを完了するための多くの方法があります。 これらの手順では、パッケージのデプロイに役立つ apt や unarchive など、サポートされている Saltstack モジュールの可用性を前提としています。 organizationは別のワークフローを使用する場合があります。 詳細については、 Saltstack のドキュメントを参照してください。
いくつかの重要なポイントを次に示します。
- Saltstack は少なくとも 1 台のコンピューターにインストールされます (Saltstack はコンピューターをマスターとして呼び出します)。
- Saltstack マスターは、マネージド ノード (Saltstack はノードをミニオンとして呼び出します) 接続を受け入れた。
- Saltstack ミニオンは Saltstack マスターへの通信を解決できます (既定では、ミニオンは salt という名前のマシンと通信しようとします)。
- 次の ping テストを実行します。
sudo salt '*' test.ping - Saltstack マスターには、Microsoft Defender for Endpoint ファイルを配布できるファイル サーバーの場所があります (既定では、Saltstack は既定の配布ポイントとして
/srv/saltフォルダーを使用します)
オンボーディング パッケージをダウンロードする
警告
Defender for Endpoint インストール パッケージの再パッケージ化は、サポートされているシナリオではありません。 これにより、製品の整合性に悪影響を及ぼし、改ざんアラートや更新プログラムの適用に失敗したトリガーなど、悪影響を及ぼす可能性があります。
Microsoft Defender ポータルで、[設定>Endpoints>Device Management>Onboarding に移動します。
最初のドロップダウン メニューで、オペレーティング システムとして [Linux サーバー] を選択します。 2 番目のドロップダウン メニューで、デプロイ方法として [お好みの Linux 構成管理ツール ] を選択します。
[オンボーディング パッケージをダウンロードする] を選択します。 ファイルを
WindowsDefenderATPOnboardingPackage.zipとして保存します。![[オンボード パッケージのダウンロード] オプション](media/portal-onboarding-linux-2.png)
SaltStack マスターで、アーカイブの内容を SaltStack Server のフォルダー (通常は
/srv/salt) に抽出します。unzip WindowsDefenderATPOnboardingPackage.zip -d /srv/salt/mdeArchive: WindowsDefenderATPOnboardingPackage.zip inflating: /srv/salt/mde/mdatp_onboard.json
Saltstack 状態ファイルを作成する
Saltstack 状態ファイルを作成する方法は 2 つあります。
インストーラー スクリプトを使用します (推奨)。この方法では、エージェントをインストールし、デバイスをMicrosoft Defender ポータルにオンボードし、Linux ディストリビューションと互換性のある適切なエージェントを選択するようにリポジトリを構成することで、デプロイが自動化されます。
リポジトリを手動で構成します。 この方法では、リポジトリを手動で構成し、Linux ディストリビューションと互換性のあるエージェント バージョンを選択する必要があります。 この方法を使用すると、デプロイ プロセスをより詳細に制御できます。
インストーラー スクリプトを使用して Saltstack 状態ファイルを作成する
Microsoft GitHub リポジトリから インストーラー bash スクリプト をプルするか、次のコマンドを使用してダウンロードします。
wget https://raw.githubusercontent.com/microsoft/mdatp-xplat/refs/heads/master/linux/installation/mde_installer.sh /srv/salt/mde/次の内容を含む状態ファイル
/srv/salt/install_mdatp.slsを作成します。 同じを GitHub からダウンロードできます#Download the mde_installer.sh: https://github.com/microsoft/mdatp-xplat/blob/master/linux/installation/mde_installer.sh install_mdatp_package: cmd.run: - name: /srv/salt/mde/mde_installer.sh --install --onboard /srv/salt/mde/mdatp_onboard.json - shell: /bin/bash - unless: 'pgrep -f mde_installer.sh'
注:
インストーラー スクリプトでは、チャネル (insiders-fast、insiders-slow、prod (既定値)、リアルタイム保護、バージョン、カスタムの場所のインストールなど、他のパラメーターもサポートされています。使用可能なオプションの一覧から選択するには、次のコマンドチェックヘルプを参照してください。./mde_installer.sh --help
リポジトリを手動で構成して Saltstack 状態ファイルを作成する
この手順では、構成リポジトリ (通常は /srv/salt) に SaltState 状態ファイルを作成し、Defender for Endpoint のデプロイとオンボードに必要な状態を適用します。 次に、Defender for Endpoint リポジトリとキー: install_mdatp.slsを追加します。
注:
Defender for Endpoint on Linux は、次のいずれかのチャネルからデプロイできます。
-
insiders-fast
[channel] -
insiders-slow
[channel] -
prod、バージョン名を使用して
[channel]として示されます ( 「Microsoft 製品の Linux ソフトウェア リポジトリ」を参照してください)
各チャネルは、Linux ソフトウェア リポジトリに対応します。 チャネルの選択により、デバイスに提供される更新プログラムの種類と頻度が決まります。 insiders-fast のデバイスは、更新プログラムと新機能を受け取る最初のデバイスであり、その後、インサイダーが遅く、最後に prod が続きます。
新機能をプレビューし、早期フィードバックを提供するには、社内の一部のデバイスを 、Insider-fast または insider-slow を使用するように構成することをお勧めします。
警告
初期インストール後にチャネルを切り替えるには、製品を再インストールする必要があります。 製品チャネルを切り替えるには:既存のパッケージをアンインストールし、新しいチャネルを使用するようにデバイスを再構成し、このドキュメントの手順に従って新しい場所からパッケージをインストールします。
ディストリビューションとバージョンをメモし、
https://packages.microsoft.com/config/[distro]/で最も近いエントリを特定します。次のコマンドでは、
[distro]と[version]を自分の情報に置き換えます。注:
Oracle Linux と Amazon Linux 2 の場合は、
[distro]を "rhel" に置き換えます。Amazon Linux 2 の場合は、[version]を "7" に置き換えます。 Oracle で利用する場合は、[version]を Oracle Linux のバージョンに置き換えます。cat /srv/salt/install_mdatp.slsadd_ms_repo: pkgrepo.managed: - humanname: Microsoft Defender Repository {% if grains['os_family'] == 'Debian' %} - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/[channel] [codename] main - dist: [codename] - file: /etc/apt/sources.list.d/microsoft-[channel].list - key_url: https://packages.microsoft.com/keys/microsoft.asc - refresh: true {% elif grains['os_family'] == 'RedHat' %} - name: packages-microsoft-[channel] - file: microsoft-[channel] - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ - gpgkey: https://packages.microsoft.com/keys/microsoft.asc - gpgcheck: true {% endif %}以前に定義した
add_ms_repo状態の後に、パッケージのインストール済み状態をinstall_mdatp.slsに追加します。install_mdatp_package: pkg.installed: - name: mdatp - required: add_ms_repo前に定義した
install_mdatp_packageの後に、オンボード ファイルのデプロイをinstall_mdatp.slsに追加します。copy_mde_onboarding_file: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json - source: salt://mde/mdatp_onboard.json - required: install_mdatp_package完了したインストール状態ファイルは、次の出力のようになります。
add_ms_repo: pkgrepo.managed: - humanname: Microsoft Defender Repository {% if grains['os_family'] == 'Debian' %} - name: deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main - dist: [codename] - file: /etc/apt/sources.list.d/microsoft-[channel].list - key_url: https://packages.microsoft.com/keys/microsoft.asc - refresh: true {% elif grains['os_family'] == 'RedHat' %} - name: packages-microsoft-[channel] - file: microsoft-[channel] - baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ - gpgkey: https://packages.microsoft.com/keys/microsoft.asc - gpgcheck: true {% endif %} install_mdatp_package: pkg.installed: - name: mdatp - required: add_ms_repo copy_mde_onboarding_file: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json - source: salt://mde/mdatp_onboard.json - required: install_mdatp_package必要な状態をオフボードに適用し、Defender for Endpoint を削除する SaltState 状態ファイルを構成リポジトリ (通常は
/srv/salt) に作成します。 オフボード状態ファイルを使用する前に、Microsoft Defender ポータルからオフボード パッケージをダウンロードし、オンボード パッケージと同じ方法で抽出する必要があります。 ダウンロードしたオフボード パッケージは、一定期間のみ有効です。[アンインストール状態ファイル]
uninstall_mdapt.slsを作成し、状態を追加してmdatp_onboard.jsonファイルを削除します。cat /srv/salt/uninstall_mdatp.slsremove_mde_onboarding_file: file.absent: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json前のセクションで定義した
remove_mde_onboarding_file状態の後に、オフボード ファイルの展開をuninstall_mdatp.slsファイルに追加します。offboard_mde: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json - source: salt://mde/mdatp_offboard.json前のセクションで定義した
offboard_mde状態の後に、MDATP パッケージの削除をuninstall_mdatp.slsファイルに追加します。remove_mde_packages: pkg.removed: - name: mdatp完全なアンインストール状態ファイルは、次の出力のようになります。
remove_mde_onboarding_file: file.absent: - name: /etc/opt/microsoft/mdatp/mdatp_onboard.json offboard_mde: file.managed: - name: /etc/opt/microsoft/mdatp/mdatp_offboard.json - source: salt://mde/offboard/mdatp_offboard.json remove_mde_packages: pkg.removed: - name: mdatp
前に作成した状態ファイルを使用して Defender on Endpoint をデプロイする
この手順は、インストーラー スクリプトまたは手動構成方法の両方に適用されます。 この手順では、ミニオンに状態を適用します。 次のコマンドは、 mdetestで始まる名前のマシンに状態を適用します。
取り付け:
salt 'mdetest*' state.apply install_mdatp重要
製品が初めて起動すると、最新のマルウェア対策定義がダウンロードされます。 インターネット接続によっては、このプロセスに数分かかることがあります。
検証/構成:
salt 'mdetest*' cmd.run 'mdatp connectivity test'salt 'mdetest*' cmd.run 'mdatp health'アンインストール:
salt 'mdetest*' state.apply uninstall_mdatp
インストールに関する問題のトラブルシューティング
問題のトラブルシューティングを行うには:
インストール エラーが発生したときに自動的に生成されるログを検索する方法については、「 ログのインストールの問題」を参照してください。
一般的なインストールの問題については、「 インストールの問題」を参照してください。
デバイスの正常性が
falseされている場合は、「 Defender for Endpoint エージェントの正常性の問題」を参照してください。製品のパフォーマンスの問題については、「 パフォーマンスの問題のトラブルシューティング」を参照してください。
プロキシと接続の問題については、「 クラウド接続の問題のトラブルシューティング」を参照してください。
Microsoft からサポートを受けるために、サポート チケットを開き、 クライアント アナライザーを使用して作成されたログ ファイルを指定します。
Linux 上のMicrosoft Defenderのポリシーを構成する方法
エンドポイントでウイルス対策または EDR 設定を構成するには、次のいずれかの方法を使用します。
- 「Linux でMicrosoft Defender for Endpointの基本設定を設定する」を参照してください。
- Microsoft Defender ポータルで設定を構成するには、「セキュリティ設定の管理」を参照してください。
オペレーティング システムのアップグレード
オペレーティング システムを新しいメジャー バージョンにアップグレードするときは、まず Linux 上の Defender for Endpoint をアンインストールし、アップグレードをインストールし、最後に Linux デバイスで Defender for Endpoint を再構成する必要があります。
関連コンテンツ
- SALT プロジェクトのドキュメント
- Linux でのMicrosoft Defender for Endpointの前提条件
- インストーラー スクリプト ベースのデプロイを使用して Defender for Endpoint on Linux を展開する
- Ansible を使用して Defender for Endpoint on Linux をデプロイする
- Chef を使用して Linux 用 Microsoft Defender for Endpoint を展開する
- Puppet を使用して Defender for Endpoint on Linux をデプロイする
- Defender for Endpoint on Linux を手動でデプロイする
- Defender for Endpoint を使用して Azure 以外のマシンを Microsoft Defender for Cloud に接続する (Defender for Cloud を使用した直接オンボード)
- Linux for SAP 用 Defender for Endpoint のデプロイ ガイダンス
- カスタム パスに Defender for Endpoint on Linux をインストールする
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。