mde baseline ansible

ตรวจสอบให้แน่ใจว่าได้ติดตั้ง กำหนดค่า และใช้งาน MDE บนระบบ Linux, MacOS หรือ Windows ด้วยความสามารถ

กำหนดกลุ่ม mde ในสินค้าคงคลังของคุณ

 % ansible-playbook mde-verify.yml

• ใช้โปรไฟล์ Inspec พื้นฐาน MDE

• Selinux บังคับใช้กับปัญหา RHEL/Centos7 ทำงานกับ RHEL/Centos8

 Error : wdavdaemon[20263]: /opt/microsoft/mdatp/sbin/wdavdaemon: error while loading shared libraries: libwdavdaemon_core.so: cannot enable executable stack as shared object requires: Permission denied

เพื่อแก้ปัญหานี้

 $ sepolicy generate -n wdavdaemon --init /opt/microsoft/mdatp/sbin/wdavdaemon
Loaded plugins: product-id, subscription-manager
Created the following files:
wdavdaemon.te # Type Enforcement file
wdavdaemon.if # Interface file
wdavdaemon.fc # File Contexts file
wdavdaemon_selinux.spec # Spec file
wdavdaemon.sh # Setup Script
$ sudo audit2allow -i /var/log/audit/audit.log -M wdavdaemon
[pp file should have: allow unconfined_service_t self:process execstack;]
$ sudo semodule -i wdavdaemon.pp
$ sudo systemctl restart mdatp
$ systemctl status mdatp

• /var/opt/microsoft/mdatp จำเป็นต้องมีการตั้งค่าสถานะ exec mount ตัวเลือกอื่นคือการย้ายไปยังตำแหน่งที่เข้ากันได้

 $ sudo systemctl stop mdatp
$ sudo install -d -m 755 /usr/local/microsoft
$ sudo bash -c 'mv /var/opt/microsoft/mdatp /usr/local/microsoft/ && ln -s /usr/local/microsoft/mdatp /var/opt/microsoft/'
$ sudo systemctl restart mdatp

สิ่งนี้น่าจะแก้ไขปัญหาด้านสุขภาพ: เครื่องยนต์ v1 ไม่พร้อมใช้งาน

• เครื่องมือวิเคราะห์ต้องใช้ python3.7 และ perf บน Linux ฝ่ายสนับสนุนสามารถจัดหาเครื่องมือสำรองโดยไม่ต้องใช้ python3

• zip ตัววิเคราะห์เริ่มต้นไม่รองรับ RHEL/Centos 6 เข้าถึงการสนับสนุนสำหรับแพ็คเกจที่เหมาะสม

• https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/
• https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/linux-install-with-ansible, https://github.com/MicrosoftDocs/microsoft-365-docs/blob/ สาธารณะ/microsoft-365/security/defender-endpoint/linux-install-with-ansible.md
• https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/linux-install-with-puppet
• https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/linux-deploy-defender-for-endpoint-with-chef
• https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint-linux
• https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/health-status หากคำจำกัดความไม่ได้รับการอัพเดตโดยอัตโนมัติ ให้ลองด้วยตนเอง

 mdatp definitions update

• https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/linux-support-connectivity
• https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/linux-support-perf ส่วนหนึ่งของผลกระทบด้านประสิทธิภาพอาจเกี่ยวข้องกับ auditd และเส้นทางปกติคือการแยกไบนารีที่ตรงกันออกจากความครอบคลุมของ auditd ด้วยเครื่องมือสนับสนุนโดยตรงในกฎการตรวจสอบ