Nastavení předvoleb pro Microsoft Defender pro koncový bod v Linuxu
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Důležité
Tento článek obsahuje pokyny k nastavení předvoleb pro Defender for Endpoint v Linuxu v podnikových prostředích. Pokud máte zájem o konfiguraci produktu na zařízení z příkazového řádku, přečtěte si téma Zdroje informací.
V podnikových prostředích je možné defender for Endpoint v Linuxu spravovat prostřednictvím konfiguračního profilu. Tento profil se nasadí z nástroje pro správu podle vašeho výběru. Předvolby spravované podnikem mají přednost před předvolbou nastavenou místně na zařízení. Jinými slovy, uživatelé ve vašem podniku nemůžou změnit předvolby, které jsou nastavené prostřednictvím tohoto konfiguračního profilu. Pokud byla vyloučení přidána prostřednictvím spravovaného konfiguračního profilu, je možné je odebrat pouze prostřednictvím spravovaného konfiguračního profilu. Příkazový řádek funguje pro vyloučení, která byla přidána místně.
Tento článek popisuje strukturu tohoto profilu (včetně doporučeného profilu, který můžete použít k zahájení práce) a pokyny k nasazení profilu.
Struktura konfiguračního profilu
Konfigurační profil je .json soubor, který se skládá z položek identifikovaných klíčem (který označuje název předvolby) následovaných hodnotou, která závisí na povaze předvolby. Hodnoty můžou být jednoduché, například číselná hodnota, nebo složité, například vnořený seznam předvoleb.
Obvykle byste použili nástroj pro správu konfigurace k nasdílení souboru s názvem mdatp_managed.json v umístění /etc/opt/microsoft/mdatp/managed/.
Nejvyšší úroveň konfiguračního profilu zahrnuje předvolby pro celý produkt a položky pro podoblasti produktu, které jsou podrobněji vysvětleny v dalších částech.
Předvolby antivirového modulu
Část antivirusEngine konfiguračního profilu slouží ke správě předvoleb antivirové součásti produktu.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | antivirusEngine | Antivirový modul |
| Datový typ | Slovník (vnořená předvolba) | Sbalený oddíl |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. | Popis vlastností zásad najdete v následujících částech. |
Úroveň vynucování pro antivirový modul
Určuje předvolbu vynucení antivirového modulu. Pro nastavení úrovně vynucení existují tři hodnoty:
- Ochrana v reálném čase (
real_time): Ochrana v reálném čase (kontrola souborů při jejich úpravách) je povolená. - Na vyžádání (
on_demand): Soubory se kontrolují jenom na vyžádání. V tomto:- Ochrana v reálném čase je vypnutá.
- Pasivní (
passive): Spustí antivirový modul v pasivním režimu. V tomto:- Ochrana v reálném čase je vypnutá: Antivirová ochrana v programu Microsoft Defender nenapravuje hrozby.
- Kontrola na vyžádání je zapnutá: Stále používejte možnosti kontroly v koncovém bodu.
- Automatická náprava hrozeb je vypnutá: Nepřesunou se žádné soubory a očekává se, že správce zabezpečení provede požadovanou akci.
- Aktualizace bezpečnostních informací jsou zapnuté: Upozornění budou k dispozici v tenantovi správců zabezpečení.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | enforcementLevel | Úroveň vynucení |
| Datový typ | String | Upadnout |
| Možné hodnoty | real_timeon_demandpassive (výchozí) |
Nenakonfigurováno Realtime OnDemand Pasivní (výchozí) |
Poznámka
K dispozici v Defenderu for Endpoint verze 101.10.72 nebo novější. Výchozí hodnota se změní z real_time na pasivní pro koncový bod verze 101.23062.0001 nebo novější. Podle požadavků se také doporučuje používat naplánované kontroly .
Povolení nebo zakázání monitorování chování
Určuje, jestli je na zařízení povolené monitorování a blokování chování.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | behaviorMonitoring | Povolení monitorování chování |
| Datový typ | String | Upadnout |
| Možné hodnoty | disabled (výchozí) |
Nenakonfigurováno Zakázáno (výchozí) Zpřístupněný |
Poznámka
K dispozici v Defenderu for Endpoint verze 101.45.00 nebo novější. Tato funkce je použitelná jenom v případě, že je povolená funkce Real-Time Protection.
Po aktualizaci definic spusťte kontrolu.
Určuje, jestli se má spustit kontrola procesu po stažení nových aktualizací bezpečnostních informací do zařízení. Povolením tohoto nastavení se aktivuje antivirová kontrola spuštěných procesů zařízení.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | scanAfterDefinitionUpdate | Povolit kontrolu po aktualizaci definice |
| Datový typ | Boolean | Upadnout |
| Možné hodnoty | true (výchozí) |
Nenakonfigurováno Zakázáno Povoleno (výchozí) |
Poznámka
K dispozici v Defenderu for Endpoint verze 101.45.00 nebo novější.
Tato funkce funguje jenom v případě, že je úroveň vynucení nastavená na real-timehodnotu .
Prohledat archivy (jenom antivirové kontroly na vyžádání)
Určuje, zda se mají prohledávat archivy během antivirových kontrol na vyžádání.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | scanArchives | Povolení kontroly archivů |
| Datový typ | Boolean | Upadnout |
| Možné hodnoty | true (výchozí)
|
Nenakonfigurováno Zakázáno Povoleno (výchozí) |
Poznámka
K dispozici v Microsoft Defenderu for Endpoint verze 101.45.00 nebo novější. Archivní soubory se během ochrany v reálném čase nikdy neskenují. Při extrahování souborů v archivu se prohledávají. Možnost scanArchives je možné použít k vynucení kontroly archivů pouze během kontroly na vyžádání.
Stupeň paralelismu pro kontroly na vyžádání
Určuje stupeň paralelismu pro kontroly na vyžádání. To odpovídá počtu vláken použitých k provedení kontroly a ovlivňuje využití procesoru a dobu trvání kontroly na vyžádání.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | maximumOnDemandScanThreads | Maximální počet vláken kontroly na vyžádání |
| Datový typ | Celé číslo | Přepnout přepínač & Celé číslo |
| Možné hodnoty | 2 (výchozí). Povolené hodnoty jsou celá čísla mezi 1 a 64. | Nenakonfigurováno (výchozí přepínač vypněte výchozí hodnoty na hodnotu 2) Nakonfigurováno (zapnout) a celé číslo mezi 1 a 64. |
Poznámka
K dispozici v Microsoft Defenderu for Endpoint verze 101.45.00 nebo novější.
Zásady sloučení vyloučení
Určuje zásadu sloučení pro vyloučení. Může se jednat o kombinaci vyloučení definovaných správcem a uživatelem (merge) nebo pouze vyloučení definovaných správcem (admin_only). Toto nastavení lze použít k omezení místních uživatelů v definování vlastních vyloučení.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | exclusionsMergePolicy | Sloučení vyloučení |
| Datový typ | String | Upadnout |
| Možné hodnoty | merge (výchozí)
|
Nenakonfigurováno sloučení (výchozí) admin_only |
Poznámka
K dispozici v Defenderu for Endpoint verze 100.83.73 nebo novější.
Vyloučení kontroly
Entity, které byly vyloučeny z kontroly. Vyloučení mohou být určena úplnými cestami, příponami nebo názvy souborů. (Vyloučení se zadávají jako pole položek, správce může určit tolik prvků, kolik je potřeba, v libovolném pořadí.)
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | výluky | Vyloučení kontroly |
| Datový typ | Slovník (vnořená předvolba) | Seznam dynamických vlastností |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. |
Typ vyloučení
Určuje typ obsahu vyloučeného z kontroly.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | $type | Typ |
| Datový typ | String | Upadnout |
| Možné hodnoty | excludedPath
|
Cesta Přípona souboru Název procesu |
Cesta k vyloučenýmu obsahu
Slouží k vyloučení obsahu z kontroly podle úplné cesty k souboru.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | cesta | Cesta |
| Datový typ | String | String |
| Možné hodnoty | platné cesty | platné cesty |
| Komentáře | Platí jenom v případě, že je $typevyloučenaPath. | Přístup v místní nabídce Upravit instanci |
Typ cesty (soubor nebo adresář)
Označuje, jestli vlastnost path odkazuje na soubor nebo adresář.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | isDirectory | Je adresář |
| Datový typ | Boolean | Upadnout |
| Možné hodnoty | false (výchozí)
|
Zpřístupněný Zakázáno |
| Komentáře | Platí jenom v případě, že je $typevyloučenaPath. | Přístup v místní nabídce Upravit instanci |
Přípona souboru vyloučená z kontroly
Slouží k vyloučení obsahu z kontroly podle přípony souboru.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | prodloužení | Přípona souboru |
| Datový typ | String | String |
| Možné hodnoty | platné přípony souborů | platné přípony souborů |
| Komentáře | Platí pouze v případě, že je $typevyloučenoFileExtension. | Přístup v místní nabídce Konfigurace instance |
Proces vyloučený z kontroly*
Určuje proces, pro který je z kontroly vyloučena veškerá aktivita souboru. Proces lze zadat buď názvem (například ) nebo catúplnou cestou (například /bin/cat).
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | Jméno | Název souboru |
| Datový typ | String | String |
| Možné hodnoty | libovolný řetězec | libovolný řetězec |
| Komentáře | Platí pouze v případě, že je $typevyloučenoFileName. | Přístup v místní nabídce Konfigurace instance |
Ztlumení připojení non Exec
Určuje chování protokolu RTP u přípojného bodu označeného jako noexec. Existují dvě hodnoty pro nastavení:
- Unmuted (
unmute): Výchozí hodnota, všechny přípojné body se kontrolují jako součást protokolu RTP. - Ztlumené (
mute): Přípojné body označené jako noexec se neskenují jako součást protokolu RTP. Tyto přípojné body je možné vytvořit pro:- Databázové soubory na databázových serverech pro uchovávání souborů základu dat
- Souborový server může uchovávat přípojné body datových souborů s možností noexec.
- Zálohování může zachovat přípojné body datových souborů s možností noexec.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | nonExecMountPolicy | ztlumení připojení bez spuštění |
| Datový typ | String | Upadnout |
| Možné hodnoty | unmute (výchozí)
|
Nenakonfigurováno unmute (výchozí) ztlumit |
Poznámka
K dispozici v Defenderu for Endpoint verze 101.85.27 nebo novější.
Zrušení monitorování systémů souborů
Nakonfigurujte systémy souborů tak, aby byly nemonitorované nebo vyloučené z ochrany v reálném čase (RTP). Nakonfigurované systémy souborů se ověřují podle seznamu povolených systémů souborů v programu Microsoft Defender. Až po úspěšném ověření se systém souborů bude moct nemonitorovat. Tyto nakonfigurované nemonitorované systémy souborů budou nadále kontrolovány rychlými, úplnými a vlastními kontrolami.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | unmonitoredFilesystems | Nemonitorované systémy souborů |
| Datový typ | Pole řetězců | Seznam dynamických řetězců |
Poznámka
Nakonfigurovaný systém souborů bude nemonitorovaný jenom v případě, že je v seznamu povolených nemonitorovaných systémů souborů microsoftu.
Ve výchozím nastavení se systém souborů NFS a Fuse nemonitorují z rychlých a úplných kontrol. Přesto je ale možné je zkontrolovat vlastní kontrolou. Pokud chcete například odebrat systém souborů NFS ze seznamu nemonitorovaných systémů souborů, aktualizujte spravovaný konfigurační soubor, jak je znázorněno níže. Tím se systém souborů NFS automaticky přidá do seznamu monitorovaných systémů souborů pro rtp.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Pokud chcete odebrat systém souborů NFS i Fuse z nemonitorovaného seznamu systémů souborů, postupujte následovně:
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Poznámka
Tady; s výchozí seznam monitorovaných systémů souborů pro RTP: btrfs, , , ext2, ext3ext4, fuseblk, jfs, overlay, ramfs, , reiserfs, , tmpfs, , vfat, . xfsecryptfs
Pokud je potřeba do seznamu nemonitorovaných systémů souborů přidat nějaký monitorovaný systém souborů, musí ho Microsoft vyhodnotit a povolit prostřednictvím cloudové konfigurace. Podle toho můžou zákazníci aktualizovat managed_mdatp.json a zrušit tak monitorování tohoto systému souborů.
Konfigurace funkce výpočtu hodnoty hash souboru
Povolí nebo zakáže funkci výpočtu hodnoty hash souboru. Když je tato funkce povolená, Defender for Endpoint vypočítá hodnoty hash souborů, které kontroluje. Mějte na paměti, že povolení této funkce může mít vliv na výkon zařízení. Další podrobnosti najdete v tématu Vytvoření indikátorů pro soubory.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | enableFileHashComputation | Povolení výpočtu hodnoty hash souboru |
| Datový typ | Boolean | Upadnout |
| Možné hodnoty | false (výchozí)
|
Nenakonfigurováno Zakázáno (výchozí) Zpřístupněný |
Poznámka
K dispozici v Defenderu for Endpoint verze 101.85.27 nebo novější.
Povolené hrozby
Seznam hrozeb (identifikovaných jejich názvem), které produkt neblokuje a které se místo toho můžou spustit.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | allowedThreats | Povolené hrozby |
| Datový typ | Pole řetězců | Seznam dynamických řetězců |
Nepovolené akce hrozeb
Omezuje akce, které může místní uživatel zařízení provést, když jsou zjištěny hrozby. Akce zahrnuté v tomto seznamu se v uživatelském rozhraní nezobrazují.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | disallowedThreatActions | Nepovolené akce hrozeb |
| Datový typ | Pole řetězců | Seznam dynamických řetězců |
| Možné hodnoty | allow (omezuje uživatele v povolení hrozeb)
|
povolit (omezuje uživatele v povolování hrozeb) obnovení (omezuje uživatele v obnovování hrozeb z karantény) |
Poznámka
K dispozici v Defenderu for Endpoint verze 100.83.73 nebo novější.
Nastavení typu hrozby
Předvolba threatTypeSettings v antivirovém modulu se používá k řízení toho, jak jsou určité typy hrozeb zpracovávány produktem.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | threatTypeSettings | Nastavení typu hrozby |
| Datový typ | Slovník (vnořená předvolba) | Seznam dynamických vlastností |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. | Popis dynamických vlastností najdete v následujících částech. |
Typ hrozby
Typ hrozby, pro kterou je nakonfigurováno chování.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | klíč | Typ hrozby |
| Datový typ | String | Upadnout |
| Možné hodnoty | potentially_unwanted_application
|
potentially_unwanted_application archive_bomb |
Akce, která se má provést
Akce, které je třeba provést, když narazíte na hrozbu typu zadaného v předchozí části. Může to být:
- Audit: Zařízení není chráněné před tímto typem hrozby, ale zaprotokoluje se záznam o hrozbě. (Výchozí)
- Blokovat: Zařízení je chráněné proti tomuto typu hrozby a v konzole zabezpečení budete upozorněni.
- Vypnuto: Zařízení není chráněné proti tomuto typu hrozby a nic se nezaprotokoluje.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | hodnota | Akce, která se má provést |
| Datový typ | String | Upadnout |
| Možné hodnoty | audit (výchozí)
|
audit blokovat pryč |
Zásady sloučení nastavení typu hrozby
Určuje zásadu sloučení pro nastavení typu hrozby. Může se jednat o kombinaci nastavení definovaných správcem a uživatelem (merge) nebo pouze nastavení definovaných správcem (admin_only). Toto nastavení se dá použít k tomu, aby místní uživatelé mohli definovat vlastní nastavení pro různé typy hrozeb.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | threatTypeSettingsMergePolicy | Sloučení nastavení typu hrozby |
| Datový typ | String | Upadnout |
| Možné hodnoty | sloučení (výchozí) admin_only |
Nenakonfigurováno sloučení (výchozí) admin_only |
Poznámka
K dispozici v Defenderu for Endpoint verze 100.83.73 nebo novější.
Uchovávání historie kontrol antivirové ochrany (ve dnech)
Zadejte počet dnů, po který se výsledky zachovají v historii kontrol na zařízení. Staré výsledky kontroly se z historie odeberou. Staré soubory v karanténě, které jsou také odebrány z disku.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | scanResultsRetentionDays | Uchovávání výsledků kontroly |
| Datový typ | String | Přepnout přepínač a celé číslo |
| Možné hodnoty | 90 (výchozí). Povolené hodnoty jsou od 1 do 180 dnů. | Nenakonfigurováno (vypnutí – výchozí 90 dnů) Nakonfigurováno (přepněte) a povolenou hodnotou 1 až 180 dnů. |
Poznámka
K dispozici v Defenderu for Endpoint verze 101.04.76 nebo novější.
Maximální počet položek v historii antivirových kontrol
Zadejte maximální počet položek, které se mají zachovat v historii kontrol. Položky zahrnují všechny kontroly na vyžádání provedené v minulosti a všechny antivirové detekce.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | scanHistoryMaximumItems | Velikost historie procházení |
| Datový typ | String | Přepínací tlačítko a celé číslo |
| Možné hodnoty | 10000 (výchozí). Povolené hodnoty jsou od 5000 položek do 15 000 položek. | Nenakonfigurováno (vypnout – výchozí hodnota 10000) Nakonfigurované (zapnout) a povolená hodnota od 5000 do 15 000 položek. |
Poznámka
K dispozici v Defenderu for Endpoint verze 101.04.76 nebo novější.
Rozšířené možnosti kontroly
Následující nastavení je možné nakonfigurovat tak, aby povolovala určité pokročilé funkce kontroly.
Poznámka
Povolení těchto funkcí může mít vliv na výkon zařízení. Proto se doporučuje zachovat výchozí hodnoty.
Konfigurace kontroly událostí oprávnění k úpravě souborů
Když je tato funkce povolená, Defender for Endpoint prohledá soubory, když se jejich oprávnění změní, aby nastavil bity spouštění.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolená enableFilePermissionEvents . Další informace najdete v části Rozšířené volitelné funkce níže, kde najdete podrobnosti.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | scanFileModifyPermissions | Není k dispozici |
| Datový typ | Boolean | Není k dispozici |
| Možné hodnoty | false (výchozí) pravdivý |
Není k dispozici |
Poznámka
K dispozici v Defenderu for Endpoint verze 101.23062.0010 nebo novější.
Konfigurace kontroly událostí vlastnictví úprav souborů
Když je tato funkce povolená, Defender for Endpoint zkontroluje soubory, u kterých se změnilo vlastnictví.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolená enableFileOwnershipEvents . Další informace najdete v části Rozšířené volitelné funkce níže, kde najdete podrobnosti.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | scanFileModifyOwnership | Není k dispozici |
| Datový typ | Boolean | Není k dispozici |
| Možné hodnoty | false (výchozí) pravdivý |
Není k dispozici |
Poznámka
K dispozici v Defenderu for Endpoint verze 101.23062.0010 nebo novější.
Konfigurace kontroly událostí nezpracovaných soketů
Pokud je tato funkce povolená, Defender for Endpoint bude kontrolovat události síťových soketů, jako je vytvoření nezpracovaných soketů nebo soketů paketů nebo nastavení možnosti soketu.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.
Tato funkce je použitelná jenom v případě, že je povolená enableRawSocketEvent . Další informace najdete v části Rozšířené volitelné funkce níže, kde najdete podrobnosti.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | scanNetworkSocketEvent | Není k dispozici |
| Datový typ | Boolean | Není k dispozici |
| Možné hodnoty | false (výchozí) pravdivý |
Není k dispozici |
Poznámka
K dispozici v Defenderu for Endpoint verze 101.23062.0010 nebo novější.
Předvolby ochrany poskytované v cloudu
Položka cloudService v konfiguračním profilu slouží ke konfiguraci funkce cloudové ochrany produktu.
Poznámka
Cloudová ochrana se dá použít u všech nastavení úrovně vynucení (real_time, on_demand, pasivní).
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | cloudService | Předvolby ochrany poskytované cloudem |
| Datový typ | Slovník (vnořená předvolba) | Sbalený oddíl |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. | Popis nastavení zásad najdete v následujících částech. |
Povolení nebo zakázání cloudové ochrany
Určuje, jestli je na zařízení povolená cloudová ochrana. Pokud chcete zlepšit zabezpečení vašich služeb, doporučujeme nechat tuto funkci zapnutou.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | zpřístupněný | Povolení ochrany před cloudem |
| Datový typ | Boolean | Upadnout |
| Možné hodnoty | true (výchozí)
|
Nenakonfigurováno Zakázáno Povoleno (výchozí) |
Úroveň shromažďování diagnostických dat
Diagnostická data se používají k udržování defenderu for Endpoint v zabezpečeném a aktualizovaném stavu, ke zjišťování, diagnostice a řešení problémů a k vylepšování produktů. Toto nastavení určuje úroveň diagnostiky odesílané produktem do Microsoftu. Další podrobnosti najdete v tématu Ochrana osobních údajů pro Microsoft Defender for Endpoint v Linuxu.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | diagnosticLevel | Úroveň shromažďování diagnostických dat |
| Datový typ | String | Upadnout |
| Možné hodnoty | optional
|
Nenakonfigurováno volitelné (výchozí) požadovaný |
Konfigurace úrovně cloudového bloku
Toto nastavení určuje, jak agresivní defender for Endpoint blokuje a kontroluje podezřelé soubory. Pokud je toto nastavení zapnuté, defender for Endpoint je při identifikaci podezřelých souborů k blokování a kontrole agresivnější. v opačném případě je méně agresivní, a proto blokuje a skenuje s menší frekvencí.
Pro nastavení úrovně cloudového bloku existuje pět hodnot:
- Normal (
normal): Výchozí úroveň blokování. - Střední (
moderate): Poskytuje verdikt pouze pro detekce vysoké spolehlivosti. - Vysoká (
high): Agresivně blokuje neznámé soubory při optimalizaci výkonu (větší pravděpodobnost blokování souborů, které nejsou škodlivé). - Vysoké plus (
high_plus): Agresivně blokuje neznámé soubory a používá další ochranná opatření (může mít vliv na výkon klientského zařízení). - Nulová tolerance (
zero_tolerance): Blokuje všechny neznámé programy.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | cloudBlockLevel | Konfigurace úrovně cloudového bloku |
| Datový typ | String | Upadnout |
| Možné hodnoty | normal (výchozí)
|
Nenakonfigurováno Normální (výchozí) Moderovat High (Vysoká) High_Plus Zero_Tolerance |
Poznámka
K dispozici v Defenderu for Endpoint verze 101.56.62 nebo novější.
Povolení nebo zakázání automatického odesílání vzorků
Určuje, jestli se microsoftu odesílají podezřelé vzorky (které pravděpodobně budou obsahovat hrozby). Existují tři úrovně řízení odesílání vzorků:
- Žádné: Microsoftu se neposílají žádné podezřelé vzorky.
- Bezpečné: Automaticky se odesílají jenom podezřelé vzorky, které neobsahují identifikovatelné osobní údaje. Toto je výchozí hodnota pro toto nastavení.
- Vše: Microsoftu se odesílají všechny podezřelé vzorky.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | automaticSampleSubmissionConsent | Povolení automatického odesílání vzorků |
| Datový typ | String | Upadnout |
| Možné hodnoty | none
|
Nenakonfigurováno Žádné Bezpečné (výchozí) Vše |
Povolení nebo zakázání automatických aktualizací bezpečnostních informací
Určuje, jestli se aktualizace bezpečnostních funkcí instalují automaticky:
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | automaticDefinitionUpdateEnabled | Automatické aktualizace bezpečnostních informací |
| Datový typ | Boolean | Upadnout |
| Možné hodnoty | true (výchozí)
|
Nenakonfigurováno Zakázáno Povoleno (výchozí) |
Rozšířené volitelné funkce
Následující nastavení je možné nakonfigurovat tak, aby povolovala určité pokročilé funkce.
Poznámka
Povolení těchto funkcí může mít vliv na výkon zařízení. Doporučujeme zachovat výchozí hodnoty.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | rysy | Není dostupný |
| Datový typ | Slovník (vnořená předvolba) | Není k dispozici |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. |
Funkce načítání modulů
Určuje, zda se monitorují události načtení modulu (události otevření souboru ve sdílených knihovnách).
Poznámka
Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | moduleLoad | Není dostupný |
| Datový typ | String | Není k dispozici |
| Možné hodnoty | zakázáno (výchozí) zpřístupněný |
Není k dispozici |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.68.80 nebo novější. |
Doplňkové konfigurace senzorů
Následující nastavení můžete použít ke konfiguraci určitých pokročilých doplňkových funkcí senzoru.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | supplementarySensorConfigurations | Není dostupný |
| Datový typ | Slovník (vnořená předvolba) | Není k dispozici |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. |
Konfigurace monitorování událostí oprávnění k úpravě souborů
Určuje, zda se monitorují události oprávnění k úpravě souborů (chmod).
Poznámka
Když je tato funkce povolená, Defender for Endpoint bude monitorovat změny spouštění bitů souborů, ale nebude kontrolovat tyto události. Další informace najdete v části Rozšířené funkce kontroly .
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | enableFilePermissionEvents | Není dostupný |
| Datový typ | String | Není k dispozici |
| Možné hodnoty | zakázáno (výchozí) zpřístupněný |
Není k dispozici |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.23062.0010 nebo novější. |
Konfigurace monitorování událostí vlastnictví úprav souborů
Určuje, zda se monitorují události vlastnictví změny souboru (chown).
Poznámka
Když je tato funkce povolená, Defender for Endpoint bude monitorovat změny vlastnictví souborů, ale nebude kontrolovat tyto události. Další informace najdete v části Rozšířené funkce kontroly .
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | enableFileOwnershipEvents | Není dostupný |
| Datový typ | String | Není k dispozici |
| Možné hodnoty | zakázáno (výchozí) zpřístupněný |
Není k dispozici |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.23062.0010 nebo novější. |
Konfigurace monitorování událostí nezpracovaných soketů
Určuje, zda jsou monitorovány události síťových soketů zahrnujících vytvoření nezpracovaných soketů/ soketů paketů nebo nastavení možnosti soketu.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolené monitorování chování. Pokud je tato funkce povolená, Defender for Endpoint bude tyto události soketů monitorovat, ale nebude tyto události kontrolovat. Další informace najdete v části Funkce rozšířené kontroly výše, kde najdete další podrobnosti.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | enableRawSocketEvent | Není dostupný |
| Datový typ | String | Není k dispozici |
| Možné hodnoty | zakázáno (výchozí) zpřístupněný |
Není k dispozici |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.23062.0010 nebo novější. |
Konfigurace monitorování událostí zavaděče spouštění
Určuje, zda se monitorují a kontrolují události zavaděče spouštění.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | enableBootLoaderCalls | Není dostupný |
| Datový typ | String | Není k dispozici |
| Možné hodnoty | zakázáno (výchozí) zpřístupněný |
Není k dispozici |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.68.80 nebo novější. |
Konfigurace monitorování událostí ptrace
Určuje, zda jsou monitorovány a kontrolovány události ptrace.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | enableProcessCalls | Není dostupný |
| Datový typ | String | Není k dispozici |
| Možné hodnoty | zakázáno (výchozí) zpřístupněný |
Není k dispozici |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.68.80 nebo novější. |
Konfigurace monitorování událostí pseudofs
Určuje, zda jsou události pseudofs monitorovány a kontrolovány.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | enablePseudofsCalls | Není dostupný |
| Datový typ | String | Není k dispozici |
| Možné hodnoty | zakázáno (výchozí) zpřístupněný |
Není k dispozici |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.68.80 nebo novější. |
Konfigurace monitorování událostí načtení modulu pomocí eBPF
Určuje, jestli se události načtení modulu monitorují pomocí eBPF a kontrolují.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | enableEbpfModuleLoadEvents | Není dostupný |
| Datový typ | String | Není k dispozici |
| Možné hodnoty | zakázáno (výchozí) zpřístupněný |
Není k dispozici |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.68.80 nebo novější. |
Hlášení podezřelých událostí av do EDR
Určuje, jestli jsou podezřelé události z antivirové ochrany hlášeny do EDR.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | sendLowfiEvents | Není dostupný |
| Datový typ | String | Není k dispozici |
| Možné hodnoty | zakázáno (výchozí) zpřístupněný |
Není k dispozici |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.23062.0010 nebo novější. |
Konfigurace ochrany sítě
Následující nastavení můžete použít ke konfiguraci pokročilých kontrolních funkcí služby Network Protection, které řídí, jaký provoz bude služba Network Protection kontrolovat.
Poznámka
Aby byly efektivní, musí být zapnutá ochrana sítě. Další informace najdete v tématu Zapnutí ochrany sítě pro Linux.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | networkProtection | Ochrana sítě |
| Datový typ | Slovník (vnořená předvolba) | Sbalený oddíl |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. | Popis nastavení zásad najdete v následujících částech. |
Úroveň vynucení
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | enforcementLevel | Úroveň vynucení |
| Datový typ | String | Upadnout |
| Možné hodnoty | disabled (výchozí)audit block |
Nenakonfigurováno zakázáno (výchozí) audit blokovat |
Konfigurace kontroly PROTOKOLU ICMP
Určuje, zda se události PROTOKOLU ICMP monitorují a kontrolují.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.
| Popis | Hodnota JSON | Hodnota portálu Defender |
|---|---|---|
| Klíč | disableIcmpInspection | Není dostupný |
| Datový typ | Boolean | Není k dispozici |
| Možné hodnoty | true (výchozí)
|
Není k dispozici |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.23062.0010 nebo novější. |
Doporučený konfigurační profil
Abyste mohli začít, doporučujeme pro váš podnik použít následující konfigurační profil, abyste mohli využívat všechny funkce ochrany, které defender for Endpoint poskytuje.
Následující konfigurační profil:
- Povolení ochrany v reálném čase (RTP)
- Určete, jak se budou zpracovávat následující typy hrozeb:
- Potenciálně nežádoucí aplikace (PUA) jsou blokované
- Archivní bomby (soubor s vysokou mírou komprese) se auditují do protokolů produktu.
- Povolení automatických aktualizací bezpečnostních informací
- Povolení cloudové ochrany
- Povolení automatického odesílání vzorků na
safeúrovni
Ukázkový profil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Příklad úplného konfiguračního profilu
Následující konfigurační profil obsahuje položky pro všechna nastavení popsaná v tomto dokumentu a je možné ho použít pro pokročilejší scénáře, ve kterých potřebujete větší kontrolu nad produktem.
Poznámka
Veškerou komunikaci v programu Microsoft Defender for Endpoint není možné řídit pouze nastavením proxy serveru v tomto formátu JSON.
Úplný profil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Přidání ID značky nebo skupiny do konfiguračního profilu
Při prvním spuštění mdatp health příkazu bude hodnota značky a ID skupiny prázdná. Pokud chcete do souboru přidat ID značky mdatp_managed.json nebo skupiny, postupujte následovně:
- Otevřete konfigurační profil z cesty
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json. - Přejděte dolů do dolní části souboru, kde se
cloudServicenachází blok. - Přidejte požadovanou značku nebo ID skupiny jako v následujícím příkladu na konec koncové složené závorky pro
cloudService.
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
Poznámka
Za pravou složenou závorku na konci bloku přidejte čárku cloudService . Ujistěte se také, že po přidání bloku ID značky nebo skupiny existují dvě složených závorek (viz výše uvedený příklad). V současné době je GROUPjediným podporovaným názvem klíče pro značky .
Ověření konfiguračního profilu
Konfigurační profil musí být platný soubor ve formátu JSON. Existuje mnoho nástrojů, které se dají použít k ověření. Pokud jste například na zařízení nainstalovali python :
python -m json.tool mdatp_managed.json
Pokud je JSON ve správném formátu, výše uvedený příkaz ho vypíše zpět do terminálu a vrátí ukončovací kód 0. V opačném případě se zobrazí chyba popisující problém a příkaz vrátí ukončovací kód .1
Ověření, že soubor mdatp_managed.json funguje podle očekávání
Pokud chcete ověřit, jestli váš /etc/opt/microsoft/mdatp/managed/mdatp_managed.json funguje správně, měli byste vedle těchto nastavení vidět "[managed]":
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
Poznámka
Aby se změny většiny konfigurací v mdatp_managed.json projevily, není potřeba restartovat proces démon mdatp. Výjimka: Následující konfigurace vyžadují restartování démona, aby se projevilo:
- diagnostika cloudu
- parametry rotace protokolu
Nasazení konfiguračního profilu
Jakmile vytvoříte konfigurační profil pro váš podnik, můžete ho nasadit pomocí nástroje pro správu, který používá váš podnik. Defender for Endpoint v Linuxu načte spravovanou konfiguraci ze souboru /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro