Konfigurace nastavení zabezpečení v Microsoft Defender for Endpoint v Linuxu

Microsoft Defender for Endpoint v Linuxu zahrnuje antivirovou ochranu, antimalwarovou ochranu, detekci koncových bodů a možnosti reakce. Tento článek shrnuje důležitá nastavení zabezpečení pro konfiguraci a obsahuje odkazy na další zdroje informací.

Možnosti	Popis
1. Nakonfigurujte zjišťování statického proxy serveru.	Konfigurace statického proxy serveru pomáhá zajistit odeslání telemetrie a vyhnout se vypršení časových limitů sítě. Tuto úlohu proveďte během instalace defenderu for Endpoint a po jeho dokončení. Další informace najdete v tématu Konfigurace Microsoft Defender for Endpoint v Linuxu pro zjišťování statického proxy serveru.
2. Nakonfigurujte antivirové kontroly.	Automatické antivirové kontroly můžete naplánovat pomocí anacronu nebo nástroje Crontab. Další informace najdete v následujících článcích: Použití Anacronu k naplánování antivirové kontroly v Microsoft Defender for Endpoint v Linuxu Použití nástroje Crontab k naplánování antivirové kontroly v Microsoft Defender for Endpoint v Linuxu
3. Nakonfigurujte nastavení a zásady zabezpečení.	Ke konfiguraci defenderu pro koncový bod v Linuxu můžete použít portál Microsoft Defender (Správa nastavení zabezpečení zabezpečení defenderu for Endpoint) nebo konfigurační profil (.jsonsoubor). Nebo můžete pomocí příkazového řádku nakonfigurovat určitá nastavení. Další informace najdete v následujících článcích: Správa nastavení zabezpečení služby Defender for Endpoint Konfigurační profil Příkazový řádek
4. Konfigurace a ověření vyloučení (podle potřeby)	Z Defenderu for Endpoint v Linuxu můžete vyloučit určité soubory, složky, procesy a soubory otevřené procesem. Globální vyloučení platí pro ochranu v reálném čase (RTP), monitorování chování (BM) a detekci a odezvu koncových bodů (EDR), čímž se zastaví všechny související antivirové detekce, upozornění EDR a viditelnost vyloučené položky. Další informace najdete v tématu Konfigurace a ověření vyloučení Microsoft Defender for Endpoint v systému Linux.
5. Nakonfigurujte senzor založený na eBPF.	Rozšířený filtr paketů Berkeley (eBPF) pro Microsoft Defender for Endpoint v Linuxu je automaticky povolený pro všechny zákazníky ve výchozím nastavení pro verze 101.23082.0006 agentů a novější. Poskytuje dodatečná data událostí pro operační systémy Linux a pomáhá omezit možnost konfliktů mezi aplikacemi. Další informace najdete v tématu Použití senzoru založeného na eBPF pro Microsoft Defender for Endpoint v Linuxu.
6. Konfigurace offline aktualizace analýzy zabezpečení (podle potřeby)	Offline aktualizace bezpečnostních informací umožňuje konfigurovat aktualizace bezpečnostních informací pro servery s Linuxem s omezeným nebo žádným internetovým připojením. Můžete nastavit místní hostitelský server ("zrcadlový server"), který se může připojit ke cloudu Microsoftu a stáhnout podpisy. Ostatní koncové body Linuxu můžou vyžádat aktualizace ze zrcadlového serveru v předdefinovaném intervalu. Další informace najdete v tématu Konfigurace offline aktualizace bezpečnostních funkcí pro Microsoft Defender for Endpoint v Linuxu.
7. Nasaďte aktualizace.	Společnost Microsoft pravidelně publikuje aktualizace softwaru, aby zlepšila výkon, zabezpečení a poskytovala nové funkce. Další informace najdete v tématu Nasazení aktualizací pro Microsoft Defender for Endpoint v Linuxu.
8. Konfigurace ochrany sítě (Preview)	Ochrana sítě pomáhá zabránit uživatelům v používání jakékoli aplikace pro přístup k nebezpečným doménám, které mohou na internetu hostovat phishingové podvody, zneužití a další škodlivý obsah. Další informace najdete v tématu Ochrana sítě pro Linux.

Důležité

Pokud chcete souběžně spouštět několik řešení zabezpečení, přečtěte si téma Důležité informace o výkonu, konfiguraci a podpoře.

Možná jste už nakonfigurovali vzájemné vyloučení zabezpečení pro zařízení nasazená k Microsoft Defender for Endpoint. Pokud stále potřebujete nastavit vzájemná vyloučení, abyste se vyhnuli konfliktům, přečtěte si téma Přidání Microsoft Defender for Endpoint do seznamu vyloučení pro vaše stávající řešení.

Možnosti konfigurace nastavení zabezpečení

Pokud chcete nakonfigurovat nastavení zabezpečení v Defenderu for Endpoint v Linuxu, máte dvě hlavní možnosti:

• Použití portálu Microsoft Defender (Správa nastavení zabezpečení koncového bodu Defenderu for Endpoint)

  nebo

• Použití konfiguračního profilu

Pomocí příkazového řádku můžete nakonfigurovat konkrétní nastavení, shromáždit diagnostiku, spouštět kontroly atd. Další informace najdete v tématu Prostředky Linuxu: Konfigurace pomocí příkazového řádku.

Správa nastavení zabezpečení služby Defender for Endpoint

Defender for Endpoint v Linuxu můžete nakonfigurovat na portálu Microsoft Defender na adrese (https://security.microsoft.com) pomocí správy nastavení zabezpečení defenderu for Endpoint. Další informace, včetně postupu při vytváření, úpravách a ověřování zásad zabezpečení, najdete v tématu Správa nastavení zabezpečení Microsoft Defender for Endpoint ke správě Microsoft Defender Antivirové ochrany.

Konfigurační profil

Nastavení v Defenderu for Endpoint v Linuxu můžete nakonfigurovat prostřednictvím konfiguračního profilu, který používá .json soubor. Po nastavení profilu ho můžete nasadit pomocí zvoleného nástroje pro správu. Předvolby spravované podnikem mají přednost před předvolbou nastavenou místně na zařízení.

Jinými slovy, uživatelé ve vašem podniku nemůžou změnit předvolby, které jsou nastavené prostřednictvím tohoto konfiguračního profilu. Pokud byla vyloučení přidána prostřednictvím spravovaného konfiguračního profilu, je možné je odebrat pouze prostřednictvím spravovaného konfiguračního profilu. Příkazový řádek funguje pro vyloučení přidaná místně.

Tento článek popisuje strukturu tohoto profilu (včetně doporučeného profilu, který můžete použít, abyste mohli začít) a pokyny k nasazení profilu.

Struktura konfiguračního profilu

Konfigurační profil je .json soubor, který se skládá z položek identifikovaných klíčem (který označuje název předvolby) následovaný hodnotou, která závisí na povaze předvolby. Hodnoty můžou být jednoduché (například číselná hodnota) nebo složité (například vnořený seznam předvoleb).

Obvykle se používá nástroj pro správu konfigurace k nasdílení souboru s názvem mdatp_managed.json do umístění /etc/opt/microsoft/mdatp/managed/.

Nejvyšší úroveň konfiguračního profilu zahrnuje předvolby pro celý produkt a položky pro podoblasti produktu, které jsou podrobněji vysvětleny v dalších částech.

Doporučený konfigurační profil

Tato část obsahuje dva příklady konfiguračního profilu:

• Ukázkový profil , který vám pomůže začít s doporučenými nastaveními.
• Příklad úplného konfiguračního profilu pro organizace, které chtějí podrobnější kontrolu nad nastavením zabezpečení.

Pokud chcete začít, doporučujeme použít první ukázkový profil pro vaši organizaci. Pro podrobnější kontrolu můžete místo toho použít příklad úplného konfiguračního profilu .

Ukázkový profil

Následující konfigurační profil vám pomůže využívat důležité funkce ochrany v Defenderu for Endpoint v Linuxu. Profil zahrnuje následující konfiguraci:

• Povolte ochranu v reálném čase (RTP).
• Určete, jak se budou zpracovávat následující typy hrozeb:
  • Potenciálně nežádoucí aplikace (PUA) jsou blokované.
  • Archive bomby (soubor s vysokou mírou komprese) se auditují do protokolů produktu.
• Povolte automatické aktualizace bezpečnostních informací.
• Povolte cloudovou ochranu.
• Povolte automatické odesílání vzorků na safe úrovni.

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Příklad úplného konfiguračního profilu

Následující konfigurační profil obsahuje položky pro všechna nastavení popsaná v tomto článku a lze ho použít pro pokročilejší scénáře, ve kterých potřebujete větší kontrolu.

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":false,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefinitionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"disabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

Nastavení antivirové ochrany, antimalwaru a EDR v Defenderu for Endpoint v Linuxu

Bez ohledu na to, jestli používáte konfigurační profil (.json soubor) nebo portál Microsoft Defender (Správa nastavení zabezpečení), můžete v Defenderu for Endpoint v Linuxu nakonfigurovat nastavení antivirového, antimalwarového a EDR. Následující části popisují, kde a jak nakonfigurovat nastavení.

Předvolby antivirového modulu

Část antivirusEngine konfiguračního profilu spravuje předvolby antivirové součásti produktu.

Popis	Hodnota JSON	Hodnota portálu Defender
Klíč	antivirusEngine	Antivirový modul
Datový typ	Slovník (vnořená předvolba)	Sbalený oddíl

Popis obsahu slovníku a vlastností zásad najdete v následujících pododdílech.

Úroveň vynucení pro Microsoft Defender Antivirus

Určuje předvolbu vynucení antivirového modulu. Pro nastavení úrovně vynucení existují tři hodnoty:

• Ochrana v reálném čase (real_time): Ochrana v reálném čase (kontrola souborů při jejich úpravách) je povolená.

• Na vyžádání (on_demand): Files se kontrolují jenom na vyžádání:

  • Ochrana v reálném čase je vypnutá.
  • K aktualizacím definic dochází pouze při spuštění kontroly, a to i v případě, že automaticDefinitionUpdateEnabled je v režimu na vyžádání nastavená možnost true .

• Pasivní (passive): Spustí antivirový modul v pasivním režimu:

  • Ochrana v reálném čase je vypnutá. Microsoft Defender Antivirus nenapravuje hrozby.
  • Kontrola na vyžádání je zapnutá. Možnosti kontroly jsou na zařízení stále dostupné.
  • Automatická náprava hrozeb je vypnutá. Nepřesouvají se žádné soubory a očekává se, že správce zabezpečení provede požadovanou akci.
  • Aktualizace bezpečnostních informací jsou zapnuté. Výstrahy jsou dostupné v organizaci správce zabezpečení.
  • K aktualizacím definic dochází pouze při spuštění kontroly, a to i v případě, že automaticDefinitionUpdateEnabled je nastavená hodnota .true
  • Detekce a odezva koncového bodu (EDR) je zapnutá. Výstup příkazu na mdatp health zařízení se zobrazí engine not loaded pro engine_load_version vlastnost . Modul souvisí s antivirovým programem, ne s EDR.

Poznámka

• K dispozici ve verzi 101.10.72 Defenderu for Endpoint nebo novější.
• Ve verzi 101.23062.0001 nebo novější je passivevýchozí hodnota . V předchozích verzích byla real_timevýchozí hodnota .
• Doporučujeme také podle potřeby používat naplánované kontroly .

Povolení nebo zakázání monitorování chování (pokud je povolená rtp)

Důležité

Tato funkce funguje jenom v případě, že úroveň vynucení je real-time.

Určuje, jestli je v zařízení povolená nebo zakázaná funkce monitorování a blokování chování.

Popis	Hodnota JSON	Hodnota portálu Defender
Klíč	behaviorMonitoring	Povolení monitorování chování
Datový typ	String	Rozevírací seznam
Možné hodnoty	disabled (výchozí) enabled	Nenakonfigurováno Zakázáno (výchozí) Povoleno

Poznámka

K dispozici ve verzi 101.45.00 Defenderu for Endpoint nebo novější.

Po aktualizaci definic spusťte kontrolu.

Důležité

Tato funkce funguje pouze v případě, že je úroveň vynucení nastavená na real-timehodnotu .

Určuje, jestli se má spustit kontrola procesu po stažení nových aktualizací bezpečnostních informací do zařízení. Povolením tohoto nastavení se aktivuje antivirová kontrola spuštěných procesů zařízení.

Popis	Hodnota JSON	Hodnota portálu Defender
Klíč	scanAfterDefinitionUpdate	Povolit kontrolu po aktualizaci definice
Datový typ	Boolean	Rozevírací seznam
Možné hodnoty	true (výchozí) false	Not configured Disabled Enabled (Výchozí)

Poznámka

K dispozici ve verzi 101.45.00 Defenderu for Endpoint nebo novější.

Prohledat archivy (jenom antivirové kontroly na vyžádání)

Určuje, zda se mají prohledávat archivy během antivirových kontrol na vyžádání.

Popis	Hodnota JSON	Hodnota portálu Defender
Klíč	scanArchives	Povolení kontroly archivů
Datový typ	Boolean	Rozevírací seznam
Možné hodnoty	true (výchozí) false	Nenakonfigurováno Zakázáno Povoleno (výchozí)

Poznámka

• K dispozici ve verzi 101.45.00 Microsoft Defender for Endpoint nebo novější.
• Archive soubory se během rtp nikdy nekontrolují. Files v archivu se po extrahování naskenují. Možnost scanArchives vynutí prohledávání archivu pouze během kontrol na vyžádání.

Stupeň paralelismu pro kontroly na vyžádání

Určuje stupeň paralelismu pro kontroly na vyžádání. Toto nastavení odpovídá počtu vláken procesoru používaných kontrolou. Toto nastavení ovlivňuje využití procesoru a dobu trvání kontrol na vyžádání.

Popis	Hodnota JSON	Hodnota portálu Defender
Klíč	maximumOnDemandScanThreads	Maximální počet vláken kontroly na vyžádání
Datový typ	Celé číslo	Přepnout přepínač & Celé číslo
Možné hodnoty	2 (výchozí). Povolené hodnoty jsou celá čísla mezi 1 a 64.	Not Configured (Výchozí přepínač vypněte výchozí nastavení na 2) Configured (zapněte) a celé číslo mezi 1 a 64.

Poznámka

K dispozici ve verzi 101.45.00 Microsoft Defender for Endpoint nebo novější.

Zásady sloučení vyloučení

Poznámka

Doporučujeme nakonfigurovat vyloučení a zásady sloučení v exclusionSettings. Tento přístup umožňuje nakonfigurovat a global nastavit epp obor vyloučení pomocí jediného mergePolicy. Nastavení v této části platí jenom pro epp vyloučení, pokud zásady sloučení v exclusionSettings systému nejsou admin_only.

Určuje, jestli se mají na zařízení používat vyloučení definovaná uživatelem. Platné hodnoty jsou:

• admin_only: Používejte pouze vyloučení definovaná správcem nakonfigurovaná zásadami Defenderu for Endpoint. Tuto hodnotu použijte, pokud chcete uživatelům zabránit v definování vlastních vyloučení.
• merge: Použijte kombinaci vyloučení definovaných správcem a uživatelem.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	exclusionsMergePolicy	Sloučení vyloučení
Datový typ	String	Rozevírací seznam
Možné hodnoty	merge (výchozí) admin_only	Not configured merge (Výchozí) admin_only

Poznámka

K dispozici ve verzi 100.83.73 Defenderu for Endpoint nebo novější.

Vyloučení kontroly

Entity vyloučené z kontrol. Vyloučení zadáte jako pole položek. Správci můžou zadat libovolný počet prvků v libovolném pořadí. Vyloučení zadáte pomocí úplných cest, přípon nebo názvů souborů.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	exclusions	Vyloučení kontroly
Datový typ	Slovník (vnořená předvolba)	Seznam dynamických vlastností

Popis obsahu slovníku najdete v následujících pododdílech.

Typ vyloučení

Určuje typ obsahu vyloučeného z kontrol.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	$type	Typ
Datový typ	String	Rozevírací seznam
Možné hodnoty	excludedPath excludedFileExtension excludedFileName	Cesta Přípona souboru Název procesu

Cesta k vyloučenýmu obsahu

Vylučte obsah z kontroly podle úplné cesty k souboru.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	Cestu	Cesta
Datový typ	String	String
Možné hodnoty	platné cesty	platné cesty
Komentáře	Platí pouze v případě, že $typeexcludedPath	Přístup v místní nabídce Upravit instanci

Typ cesty (soubor nebo adresář)

Určuje, zda vlastnost path odkazuje na soubor nebo adresář.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	isDirectory	Je adresář
Datový typ	Boolean	Rozevírací seznam
Možné hodnoty	false (výchozí) true	Enabled Disabled
Komentáře	Platí pouze v případě, že $typeexcludedPath	Přístup v místní nabídce Upravit instanci

Přípona souboru vyloučená z kontroly

Vylučte obsah z kontroly podle přípony souboru.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	Rozšíření	Přípona souboru
Datový typ	String	String
Možné hodnoty	platné přípony souborů	platné přípony souborů
Komentáře	Platí pouze v případě, že $typeexcludedFileExtension	Přístup v místní nabídce Konfigurace instance

Proces vyloučený z kontroly

Určuje proces, pro který je z kontroly vyloučena veškerá aktivita souboru. Proces můžete zadat podle názvu (například cat) nebo úplné cesty (například /bin/cat).

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	Jméno	Název souboru
Datový typ	String	String
Možné hodnoty	libovolný řetězec	libovolný řetězec
Komentáře	Platí pouze v případě, že $typeexcludedFileName	Přístup v místní nabídce Konfigurace instance

Ztlumení připojení nonexec

Určuje chování protokolu RTP u přípojných bodů označených jako noexec. Platné hodnoty jsou:

• Unmuted (unmute): Všechny přípojné body se kontrolují jako součást protokolu RTP. Tato hodnota je výchozí.
• Ztlumené (mute): Přípojné body označené jako noexec se neskenují jako součást rtp.
  • Databázové servery můžou uchovávat soubor databáze.
  • Souborové servery můžou uchovávat přípojné body datových souborů.
  • Zálohování může zachovat přípojné body datového souboru.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	nonExecMountPolicy	non execute mount mute
Datový typ	String	Rozevírací seznam
Možné hodnoty	unmute (výchozí) mute	Not configured unmute (Výchozí) mute

Poznámka

K dispozici ve verzi 101.85.27 Defenderu for Endpoint nebo novější.

Zrušení monitorování systémů souborů

Určuje systémy souborů, které nejsou monitorovány protokolem RTP (nejsou z) monitorovány. Zadané systémy souborů jsou stále kontrolovány rychlými, úplnými a vlastními kontrolami v Microsoft Defender Antivirus.

Když přidáte nebo odeberete systém souborů ze seznamu nemonitorovaných souborů, Microsoft ověří oprávněnost systému souborů pro monitorování pomocí rtp (odebrané ze seznamu) nebo žádné monitorování pomocí programu RTP (přidáno do seznamu).

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	unmonitoredFilesystems	Nemonitorované systémy souborů
Datový typ	Pole řetězců	Seznam dynamických řetězců

• Ve výchozím nastavení jsou protokolem RTP monitorovány následující systémy souborů:

  • btrfs
  • ecryptfs
  • ext2
  • ext3
  • ext4
  • fuseblk
  • jfs
  • overlay
  • ramfs
  • reiserfs
  • tmpfs
  • vfat
  • xfs

• Ve výchozím nastavení nejsou protokolem RTP sledovány následující systémy souborů:

  • cifs^*
  • fuse
  • nfs
  • nfs4^*
  • smb^*

  Tyto systémy souborů nejsou také sledovány rychlými a úplnými kontrolami, ale dají se prohledávat vlastními kontrolami.

  ^* V současné době je monitorování RTP tohoto systému souborů ve verzi Preview.

Pokud například chcete odebrat nfs a nfs4 ze seznamu nemonitorovaných systémů souborů (což znamená nfs , že po nfs4 ověření jsou monitorované protokolem RTP), aktualizujte spravovaný konfigurační soubor následujícím záznamem:

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["cifs","fuse","smb"]
  }
}

Pokud chcete odebrat všechny položky ze seznamu nemonitorovaných systémů souborů, použijte následující položku:

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

Konfigurace funkce výpočtu hodnoty hash souboru

Povolí nebo zakáže výpočet hodnoty hash souborů pro soubory, které kontroluje Defender for Endpoint. Povolení této funkce může ovlivnit výkon zařízení. Další informace najdete v tématu Vytvoření indikátorů pro soubory.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	enableFileHashComputation	Povolení výpočtu hodnoty hash souboru
Datový typ	Boolean	Rozevírací seznam
Možné hodnoty	false (výchozí) true	Not configured Disabled (výchozí) Enabled

Poznámka

K dispozici ve verzi 101.85.27 Defenderu for Endpoint nebo novější.

Povolené hrozby

Určuje názvy hrozeb, které defender for Endpoint neblokuje. Místo toho je možné tyto hrozby spustit.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	allowedThreats	Povolené hrozby
Datový typ	Pole řetězců	Seznam dynamických řetězců

Nepovolené akce hrozeb

Omezuje akce povolené uživatelem zařízení při zjištění hrozeb. Akce zahrnuté v tomto seznamu se v uživatelském rozhraní nezobrazují.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	disallowedThreatActions	Nepovolené akce hrozeb
Datový typ	Pole řetězců	Seznam dynamických řetězců
Možné hodnoty	allow (omezuje uživatele v povolení hrozeb) restore (omezuje uživatele v obnovení hrozeb z karantény)	allow (omezuje uživatele v povolení hrozeb) restore (omezuje uživatele v obnovení hrozeb z karantény)

Poznámka

K dispozici ve verzi 100.83.73 Defenderu for Endpoint nebo novější.

Nastavení typu hrozby

Řízení způsobu zpracování určitých typů hrozeb

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	threatTypeSettings	Nastavení typu hrozby
Datový typ	Slovník (vnořená předvolba)	Seznam dynamických vlastností

Popis obsahu slovníku najdete v následujících pododdílech.

Typ hrozby

Určuje typ hrozby.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	Klíč	Typ hrozby
Datový typ	String	Rozevírací seznam
Možné hodnoty	potentially_unwanted_application archive_bomb	potentially_unwanted_application archive_bomb

Akce, která se má provést

Určuje akci při zjištění dříve zadaných typů hrozeb. Platné hodnoty jsou:

• Audit: Zařízení není chráněné před tímto typem hrozby, ale zaprotokoluje se záznam o hrozbě. Tato hodnota je Výchozí.
• Blokovat: Zařízení je chráněné před tímto typem hrozby a na portálu Microsoft Defender budete upozorněni.
• Vypnuto: Zařízení není chráněné proti tomuto typu hrozby a nic se nezaprotokoluje.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	Hodnotu	Akce, která se má provést
Datový typ	String	Rozevírací seznam
Možné hodnoty	audit (výchozí) block off	audit block vypnuto

Zásady sloučení nastavení typu hrozby

Určuje, jestli se má v zařízení použít nastavení typu hrozby definované uživatelem. Platné hodnoty jsou:

• admin_only: Používejte pouze nastavení typu hrozby definované správcem. Tuto hodnotu použijte, pokud chcete uživatelům zabránit v definování vlastního nastavení typu hrozby.
• merge: Použijte kombinaci nastavení typu hrozby definované správcem a uživatelem.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	threatTypeSettingsMergePolicy	Sloučení nastavení typu hrozby
Datový typ	String	Rozevírací seznam
Možné hodnoty	merge (výchozí) admin_only	Not configured merge (Výchozí) admin_only

Poznámka

K dispozici ve verzi 100.83.73 Defenderu for Endpoint nebo novější.

Uchovávání historie kontrol antivirové ochrany (ve dnech)

Zadejte počet dnů, po který se výsledky zachovají v historii kontrol na zařízení. Staré výsledky kontroly se z historie odeberou. Staré soubory v karanténě se také odeberou z disku.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	scanResultsRetentionDays	Uchovávání výsledků kontroly
Datový typ	String	Přepnout přepínač a celé číslo
Možné hodnoty	90 (výchozí). Platné hodnoty jsou 1 až 180 dnů.	Not configured (přepínač vypnuto; výchozí 90 dnů) Configured (zapnout) a povolenou hodnotu 1 až 180 dnů.

Poznámka

K dispozici ve verzi 101.04.76 Defenderu for Endpoint nebo novější.

Maximální počet položek v historii antivirových kontrol

Zadejte maximální počet položek, které se mají zachovat v historii kontrol. Položky zahrnují všechny kontroly na vyžádání a všechny antivirové detekce.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	scanHistoryMaximumItems	Velikost historie procházení
Datový typ	String	Přepínací tlačítko a celé číslo
Možné hodnoty	10000 (výchozí). Povolené hodnoty jsou od 5000 položek k položkám 15000 .	Nenakonfigurováno (vypnout – výchozí hodnota 10000) Configured (zapněte) a povolenou hodnotu od 5000 do 15 000 položek.

Poznámka

K dispozici ve verzi 101.04.76 Defenderu for Endpoint nebo novější.

Předvolby nastavení vyloučení

Poznámka

Globální vyloučení jsou k dispozici ve verzi 101.24092.0001 Defenderu for Endpoint nebo novější.

Část exclusionSettings konfiguračního profilu konfiguruje různá vyloučení pro Microsoft Defender for Endpoint pro Linux.

Popis	Hodnota JSON
Klíč	exclusionSettings
Datový typ	Slovník (vnořená předvolba)

Popis obsahu slovníku najdete v následujících částech.|

Poznámka

• Dříve nakonfigurovaná vyloučení antivirového softwaru v části antivirusEngine ve spravovaném formátu JSON budou dál fungovat.
• Vyloučení antivirového softwaru můžete zadat v této části nebo v antivirusEnginečásti ) . V této části byste měli přidat všechny ostatní typy vyloučení, protože exclusionSettings oddíl je navržený tak, aby centrálně hostil všechny typy vyloučení.

Zásady sloučení

Zásady sloučení vyloučení

Určuje, jestli se mají na zařízení používat vyloučení definovaná uživatelem. Platné hodnoty jsou:

• admin_only: Používejte pouze vyloučení definovaná správcem nakonfigurovaná zásadami Defenderu for Endpoint. Tuto hodnotu použijte, pokud chcete uživatelům zabránit v definování vlastních vyloučení.
• merge: Použijte kombinaci vyloučení definovaných správcem a uživatelem.

Toto nastavení platí pro vyloučení všech oborů.

Popis	Hodnota JSON
Klíč	mergePolicy
Datový typ	String
Možné hodnoty	merge (výchozí) admin_only

Poznámka

K dispozici v Defenderu for Endpoint verze září 2023 nebo novější.

Vyloučení

Entity vyloučené z kontrol. Vyloučení zadáte jako pole položek. Správci můžou zadat libovolný počet prvků v libovolném pořadí. Vyloučení zadáte pomocí úplných cest, přípon nebo názvů souborů. Pro každé vyloučení můžete zadat obor. Výchozí obor je globální.

Popis	Hodnota JSON
Klíč	exclusions
Datový typ	Slovník (vnořená předvolba)

Popis obsahu slovníku najdete v následujících pododdílech.

Typ vyloučení

Určuje typ obsahu vyloučeného z kontrol.

Popis	Hodnota JSON
Klíč	$type
Datový typ	String
Možné hodnoty	excludedPath excludedFileExtension excludedFileName

Rozsah vyloučení (volitelné)

Určuje rozsah vyloučení vyloučeného obsahu. Platné hodnoty jsou:

• epp
• global

Pokud ve spravované konfiguraci nezadáte obor vyloučení, použije se hodnota global .

Poznámka

Dříve nakonfigurovaná vyloučení antivirusEngine antivirového softwaru ve spravovaném formátu JSON nadále fungují s oborem epp , protože byla v oddílu antivirusEngine .

Popis	Hodnota JSON
Klíč	Obory
Datový typ	Sada řetězců
Možné hodnoty	epp global

Poznámka

Dříve použitá vyloučení pomocí (mdatp_managed.json) nebo rozhraní příkazového řádku nejsou ovlivněná. Rozsah těchto vyloučení spočívá epp v tom, že se nacházely v oddílu antivirusEngine .

Cesta k vyloučenýmu obsahu

Vylučte obsah z kontrol podle úplné cesty k souboru.

Popis	Hodnota JSON
Klíč	Cestu
Datový typ	String
Možné hodnoty	platné cesty
Komentáře	Platí pouze v případě , že je $typevyloučenaPath. Zástupné cardy se nepodporují, pokud má vyloučení globální rozsah.

Typ cesty (soubor nebo adresář)

Určuje, zda vlastnost path odkazuje na soubor nebo adresář.

Poznámka

Pokud přidáte vyloučení souboru s oborem global , musí už cesta k souboru existovat.

Popis	Hodnota JSON
Klíč	isDirectory
Datový typ	Boolean
Možné hodnoty	false (výchozí) true
Komentáře	Platí pouze v případě , že je $typevyloučenaPath. Zástupné cardy se nepodporují, pokud má vyloučení globální rozsah.

Přípona souboru vyloučená z kontroly

Vylučte obsah z kontrol podle přípony souboru.

Popis	Hodnota JSON
Klíč	Rozšíření
Datový typ	String
Možné hodnoty	platné přípony souborů
Komentáře	Platí pouze v případě , že je $typevyloučenoFileExtension. Nepodporuje se, pokud má vyloučení globální rozsah.

Proces vyloučený z kontroly

Vylučte z kontrol všechny aktivity souborů procesem. Platné hodnoty jsou:

• Název procesu. Například: cat.
• Úplná cesta. Například: /bin/cat.

Popis	Hodnota JSON
Klíč	Jméno
Datový typ	String
Možné hodnoty	libovolný řetězec
Komentáře	Platí pouze v případě , že je $typevyloučenoFileName. Zástupné cardy a názvy procesů se nepodporují, pokud má vyloučení globální rozsah. Musíte zadat úplnou cestu.

Rozšířené možnosti kontroly

Pokud chcete povolit některé pokročilé funkce kontroly, můžete nakonfigurovat následující nastavení.

Důležité

Povolení těchto funkcí může ovlivnit výkon zařízení. Výchozí hodnoty jsme doporučili, pokud podpora Microsoftu nedoporučují jinak.

Konfigurace kontroly událostí oprávnění k úpravě souborů

Určuje, jestli Defender for Endpoint kontroluje soubory, když se jejich oprávnění změnila, aby nastavil spuštěné bity.

Poznámka

Toto nastavení má smysl jenom v případě, že enableFilePermissionEvents je povolené. Další informace najdete v části Rozšířené volitelné funkce dále v tomto článku.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	scanFileModifyPermissions	Není k dispozici
Datový typ	Boolean	Není k dispozici
Možné hodnoty	false (výchozí) true	Není k dispozici

Poznámka

K dispozici ve verzi 101.23062.0010 Defenderu for Endpoint nebo novější.

Konfigurace kontroly událostí vlastnictví úprav souborů

Určuje, jestli Defender for Endpoint kontroluje soubory se změněným vlastnictvím.

Poznámka

Toto nastavení má smysl jenom v případě, že enableFileOwnershipEvents je povolené. Další informace najdete v části Rozšířené volitelné funkce dále v tomto článku.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	scanFileModifyOwnership	Není k dispozici
Datový typ	Boolean	Není k dispozici
Možné hodnoty	false (výchozí) true	Není k dispozici

Poznámka

K dispozici ve verzi 101.23062.0010 Defenderu for Endpoint nebo novější.

Konfigurace kontroly událostí nezpracovaných soketů

Určuje, jestli Defender for Endpoint kontroluje události síťových soketů. Příklady:

• Vytváření nezpracovaných soketů / soketů paketů
• Nastavení možností soketů.

Poznámka

• Toto nastavení má smysl jenom v případě, že je povolené monitorování chování.
• Toto nastavení má smysl jenom v případě, že enableRawSocketEvent je povolené. Další informace najdete v části Rozšířené volitelné funkce dále v tomto článku.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	scanNetworkSocketEvent	Není k dispozici
Datový typ	Boolean	Není k dispozici
Možné hodnoty	false (výchozí) true	Není k dispozici

Poznámka

K dispozici ve verzi 101.23062.0010 Defenderu for Endpoint nebo novější.

Předvolby ochrany poskytované v cloudu

Položka cloudService v konfiguračním profilu konfiguruje funkci cloudové ochrany.

Poznámka

Cloudová ochrana se dá použít u všech nastavení úrovně vynucení (real_time, on_demandnebo passive).

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	cloudService	Předvolby ochrany poskytované cloudem
Datový typ	Slovník (vnořená předvolba)	Sbalený oddíl

Popis obsahu slovníku a nastavení zásad najdete v následujících pododdílech.

Povolení nebo zakázání ochrany před cloudem

Určete, jestli je na zařízení povolená cloudová ochrana. Pokud chcete zlepšit zabezpečení, doporučujeme nechat tuto funkci zapnutou.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	enabled	Povolení ochrany před cloudem
Datový typ	Boolean	Rozevírací seznam
Možné hodnoty	true (výchozí) false	Nenakonfigurováno Zakázáno Povoleno (výchozí)

Úroveň shromažďování diagnostických dat

Zadejte úroveň diagnostických informací odesílaných do Microsoftu. Další informace najdete v tématu Ochrana osobních údajů pro Microsoft Defender for Endpoint v Linuxu.

Diagnostická data se používají k udržování defenderu for Endpoint v zabezpečeném a aktualizovaném stavu, ke zjišťování, diagnostice a řešení problémů a k vylepšování produktů.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	diagnosticLevel	Úroveň shromažďování diagnostických dat
Datový typ	String	Rozevírací seznam
Možné hodnoty	optional required (výchozí)	Not configured optional (Výchozí) required

Konfigurace úrovně cloudového bloku

Určete agresivitu Defenderu for Endpoint při blokování a kontrole podezřelých souborů. Platné hodnoty jsou:

• Normální (normal): Hodnota je výchozí.
• Střední (moderate): Doručujte verdikty jenom pro detekci vysoké spolehlivosti.
• Vysoká (high): Agresivně blokovat neznámé soubory při optimalizaci výkonu. Tato hodnota má větší šanci blokovat neharmful soubory.
• Vysoké plus (high_plus): Agresivně blokovat neznámé soubory a používat dodatečná ochranná opatření. Tato hodnota může mít vliv na výkon klientského zařízení.
• Nulová tolerance (zero_tolerance): Blokovat všechny neznámé programy.

Pokud je toto nastavení zapnuté, je Defender for Endpoint při identifikaci podezřelých souborů, které se mají blokovat a kontrolovat, agresivnější. V opačném případě je méně agresivní, a proto blokuje a skenuje s menší frekvencí.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	cloudBlockLevel	Konfigurace úrovně cloudového bloku
Datový typ	String	Rozevírací seznam
Možné hodnoty	normal (výchozí) moderate high high_plus zero_tolerance	Not configured Normal (výchozí) Moderate High High_Plus Zero_Tolerance

Poznámka

K dispozici ve verzi 101.56.62 Defenderu for Endpoint nebo novější.

Povolení nebo zakázání automatického odesílání vzorků

Určuje, jestli se microsoftu odesílají podezřelé vzorky (pravděpodobně budou obsahovat hrozby). Platné hodnoty jsou:

• Žádné: Microsoftu se neposílají žádné podezřelé vzorky.
• Bezpečné: Automaticky se odesílají jenom podezřelé vzorky, které neobsahují osobní údaje. Tato hodnota je výchozí.
• Vše: Microsoftu se odesílají všechny podezřelé vzorky.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	automaticSampleSubmissionConsent	Povolení automatického odesílání vzorků
Datový typ	String	Rozevírací seznam
Možné hodnoty	none safe (výchozí) all	Not configured None Safe (Výchozí) All

Povolení nebo zakázání automatických aktualizací bezpečnostních informací

Určuje, jestli se aktualizace bezpečnostních funkcí instalují automaticky.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	automaticDefinitionUpdateEnabled	Automatické aktualizace bezpečnostních informací
Datový typ	Boolean	Rozevírací seznam
Možné hodnoty	true (výchozí) false	Not configured Disabled Enabled (Výchozí)

V závislosti na úrovni vynucení se automatické aktualizace bezpečnostních informací instalují odlišně. V režimu RTP se aktualizace instalují pravidelně. V pasivním režimu nebo režimu na vyžádání se aktualizace instalují před každou kontrolou.

Rozšířené volitelné funkce

Následující nastavení použijte k povolení některých pokročilých volitelných funkcí.

Důležité

Povolení těchto funkcí může ovlivnit výkon zařízení. Pokud podpora Microsoftu nedoporučují jinak, doporučujeme výchozí hodnoty.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	Funkce	Není dostupný
Datový typ	Slovník (vnořená předvolba)	Není k dispozici

Popis obsahu slovníku najdete v následujících pododdílech.

Funkce načítání modulů

Určuje, jestli se monitorují události načtení modulu (události otevření souboru ve sdílených knihovnách).

Poznámka

Toto nastavení má smysl jenom v případě, že je povolené monitorování chování.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	moduleLoad	Není dostupný
Datový typ	String	Není k dispozici
Možné hodnoty	disabled (výchozí) enabled	Není k dispozici

Poznámka

K dispozici ve verzi 101.68.80 Defenderu for Endpoint nebo novější.

Funkce Remediate Infected File (Napravit nakažený soubor)

Určuje, jestli jsou nakažené procesy, které otevírají nebo načítají nakažené soubory, napraveny v režimu RTP.

Poznámka

Tyto procesy se nezobrazují v seznamu hrozeb, protože nejsou škodlivé. Procesy THe jsou ukončeny pouze proto, že načetly soubor hrozby v paměti.

Popis	Hodnota JSON	Hodnota portálu Defender
Klíč	remediateInfectedFile	Není dostupný
Datový typ	String	Není k dispozici
Možné hodnoty	zakázáno (výchozí) Povoleno	Není k dispozici

Poznámka

K dispozici ve verzi 101.24122.0001 Defenderu for Endpoint nebo novější.

Doplňkové konfigurace senzorů

Pomocí následujících nastavení nakonfigurujte některé pokročilé doplňkové funkce senzoru.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	supplementarySensorConfigurations	Není dostupný
Datový typ	Slovník (vnořená předvolba)	Není k dispozici

Popis obsahu slovníku najdete v následujících částech.

Konfigurace monitorování událostí oprávnění k úpravě souborů

Určuje, jestli se monitorují události oprávnění pro úpravu souboru (chmod).

Poznámka

Když je tato funkce povolená, Defender for Endpoint monitoruje změny spuštěných bitů souborů, ale neskenuje tyto události. Další informace najdete v části Funkce rozšířené kontroly .

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	enableFilePermissionEvents	Není dostupný
Datový typ	String	Není k dispozici
Možné hodnoty	disabled (výchozí) enabled	Není k dispozici

Poznámka

K dispozici ve verzi 101.23062.0010 Defenderu for Endpoint nebo novější.

Konfigurace monitorování událostí vlastnictví úprav souborů

Určuje, jestli se monitorují události vlastnictví změn souborů (chown).

Poznámka

Když je tato funkce povolená, Defender for Endpoint monitoruje změny vlastnictví souborů, ale tyto události neskenuje. Další informace najdete v tématu Funkce rozšířené kontroly.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	enableFileOwnershipEvents	Není dostupný
Datový typ	String	Není k dispozici
Možné hodnoty	disabled (výchozí) enabled	Není k dispozici

Poznámka

K dispozici ve verzi 101.23062.0010 Defenderu for Endpoint nebo novější.

Konfigurace monitorování událostí nezpracovaných soketů

Určuje, zda se monitorují události síťových soketů zahrnujících vytvoření nezpracovaných soketů/ soketů paketů nebo nastavení možnosti soketu.

Poznámka

• Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.
• Pokud je tato funkce povolená, Defender for Endpoint monitoruje tyto události soketů sítě, ale neskenuje tyto události. Další informace najdete v části Rozšířené funkce kontroly .

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	enableRawSocketEvent	Není dostupný
Datový typ	String	Není k dispozici
Možné hodnoty	disabled (výchozí) enabled	Není k dispozici

Poznámka

K dispozici ve verzi 101.23062.0010 Defenderu for Endpoint nebo novější.|

Konfigurace monitorování událostí zavaděče spouštění

Určuje, jestli se monitorují a kontrolují události zavaděče spouštění.

Poznámka

Toto nastavení má smysl jenom v případě, že je povolené monitorování chování.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	enableBootLoaderCalls	Není dostupný
Datový typ	String	Není k dispozici
Možné hodnoty	disabled (výchozí) enabled	Není k dispozici

Poznámka

K dispozici ve verzi 101.68.80 Defenderu for Endpoint nebo novější.

Konfigurace monitorování událostí ptrace

Určuje, jestli se monitorují a kontrolují události ptrace.

Poznámka

Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	enableProcessCalls	Není dostupný
Datový typ	String	Není k dispozici
Možné hodnoty	disabled (výchozí) enabled	Není k dispozici

Poznámka

K dispozici ve verzi 101.68.80 Defenderu for Endpoint nebo novější.

Konfigurace monitorování událostí pseudofs

Určuje, jestli se monitorují a kontrolují události pseudofs.

Poznámka

Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	enablePseudofsCalls	Není dostupný
Datový typ	String	Není k dispozici
Možné hodnoty	disabled (výchozí) enabled	Není k dispozici

Poznámka

K dispozici ve verzi 101.68.80 Defenderu for Endpoint nebo novější.

Konfigurace monitorování událostí načtení modulu pomocí eBPF

Určuje, jestli eBPF monitoruje a kontroluje události načtení modulu.

Poznámka

Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	enableEbpfModuleLoadEvents	Není dostupný
Datový typ	String	Není k dispozici
Možné hodnoty	disabled (výchozí) enabled	Není k dispozici

Poznámka

K dispozici ve verzi 101.68.80 Defenderu for Endpoint nebo novější.

Konfigurace monitorování otevřených událostí z konkrétních systémů souborů pomocí eBPF

Určuje, jestli jsou události otevření z procfs monitorovány eBPF.

Poznámka

Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	enableOtherFsOpenEvents	Není dostupný
Datový typ	String	Není k dispozici
Možné hodnoty	disabled (výchozí) enabled	Není k dispozici

Poznámka

K dispozici ve verzi 101.24072.0001 Defenderu for Endpoint nebo novější.

Konfigurace rozšíření zdroje událostí pomocí eBPF

Určuje, jestli se události ve zdroji v eBPF obohacují o metadata.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	enableEbpfSourceEnrichment	Není dostupný
Datový typ	String	Není k dispozici
Možné hodnoty	disabled (výchozí) enabled	Není k dispozici

Poznámka

K dispozici ve verzi 101.24072.0001 Defenderu for Endpoint nebo novější.

Povolení mezipaměti antivirového modulu

Určuje, jestli se metadata událostí kontrolovaných antivirovým modulem ukládají do mezipaměti.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	enableAntivirusEngineCache	Není dostupný
Datový typ	String	Není k dispozici
Možné hodnoty	disabled (výchozí) enabled	Není k dispozici

Poznámka

K dispozici ve verzi 101.24072.0001 Defenderu for Endpoint nebo novější.

Hlášení podezřelých antivirových událostí do EDR

Určuje, jestli mají být podezřelé události z antivirové ochrany hlášeny do EDR.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	sendLowfiEvents	Není dostupný
Datový typ	String	Není k dispozici
Možné hodnoty	disabled (výchozí) enabled	Není k dispozici

Poznámka

K dispozici ve verzi 101.23062.0010 Defenderu for Endpoint nebo novější.

Konfigurace ochrany sítě

Poznámka

• V současné době je tato funkce ve verzi Preview.
• Tato nastavení jsou smysluplná jenom v případech, kdy je zapnutá ochrana sítě. Další informace najdete v tématu Zapnutí ochrany sítě pro Linux.

Pomocí následujících nastavení můžete nakonfigurovat pokročilé funkce kontroly ochrany sítě, které řídí provoz kontrolovaný ochranou sítě.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	networkProtection	Ochrana sítě
Datový typ	Slovník (vnořená předvolba)	Sbalený oddíl

Popis obsahu slovníku najdete v následujících pododdílech.

Úroveň vynucení

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	enforcementLevel	Úroveň vynucení
Datový typ	String	Rozevírací seznam
Možné hodnoty	disabled (výchozí) audit block	Not configured disabled (výchozí) audit block

Konfigurace kontroly PROTOKOLU ICMP

Určuje, jestli se monitorují a kontrolují události PROTOKOLU ICMP.

Poznámka

Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.

Popis	Hodnota JSON	Microsoft Defender hodnota portálu
Klíč	disableIcmpInspection	Není dostupný
Datový typ	Boolean	Není k dispozici
Možné hodnoty	true (výchozí) false	Není k dispozici

Poznámka

K dispozici ve verzi 101.23062.0010 Defenderu for Endpoint nebo novější.

Přidání ID značky nebo skupiny do konfiguračního profilu

Při prvním spuštění mdatp health příkazu jsou hodnoty ID značek a skupiny prázdné. Pokud chcete do souboru přidat id značky mdatp_managed.json nebo skupiny, postupujte takto:

1. Otevřete konfigurační profil z cesty /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

2. cloudService V bloku v dolní části souboru přidejte požadovanou značku nebo ID skupiny na konec koncové složené závorky pro cloudService blok, jak je znázorněno v následujícím příkladu.

   },
   "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
   },
   "edr": {
   "groupIds":"GroupIdExample",
   "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
   }
   

   Poznámka

   • Za pravou složenou závorku na konci bloku přidejte čárku cloudService .
   • Ověřte, že po přidání tags nebo groupIds bloky existují dvě složených závorek, jak je znázorněno v příkladu.
   • V současné době je GROUPjediným podporovaným názvem klíče pro značky .

Ověření konfiguračního profilu

Konfigurační profil musí být platný soubor ve formátu JSON. K ověření konfiguračního profilu máte k dispozici mnoho nástrojů. Spusťte například následující příkaz, pokud jste na zařízení nainstalovali python :

python -m json.tool mdatp_managed.json

Pokud je soubor správně naformátovaný, příkaz vrátí ukončovací kód 0. V opačném případě se zobrazí chyby a příkaz vrátí ukončovací kód 1.

Ověření, že soubor mdatp_managed.json funguje podle očekávání

Pokud chcete ověřit, že vaše /etc/opt/microsoft/mdatp/managed/mdatp_managed.json zařízení funguje správně, měli byste vidět [managed] následující nastavení:

• cloud_enabled
• cloud_automatic_sample_submission_consent
• passive_mode_enabled
• real_time_protection_enabled
• automatic_definition_update_enabled

Tip

U většiny konfigurací v mdatp_managed.jsonnástroji není nutné restartovat proces démon mdatp. Následující konfigurace vyžadují restartování démona, aby se projevilo:

• cloud-diagnostic
• log-rotation-parameters

Nasazení konfiguračního profilu

Po vytvoření konfiguračního profilu pro vaši organizaci ho můžete nasadit pomocí aktuálních nástrojů pro správu. Defender for Endpoint v Linuxu načte spravovanou konfiguraci z ./etc/opt/microsoft/mdatp/managed/mdatp_managed.json