Nastavení předvoleb pro Microsoft Defender pro koncový bod v Linuxu
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Důležité
Toto téma obsahuje pokyny k nastavení předvoleb pro Defender for Endpoint v Linuxu v podnikových prostředích. Pokud máte zájem o konfiguraci produktu na zařízení z příkazového řádku, přečtěte si téma Zdroje informací.
V podnikových prostředích je možné defender for Endpoint v Linuxu spravovat prostřednictvím konfiguračního profilu. Tento profil se nasadí z nástroje pro správu podle vašeho výběru. Předvolby spravované podnikem mají přednost před předvolbou nastavenou místně na zařízení. Jinými slovy, uživatelé ve vašem podniku nemůžou změnit předvolby, které jsou nastavené prostřednictvím tohoto konfiguračního profilu. Pokud byla vyloučení přidána prostřednictvím spravovaného konfiguračního profilu, je možné je odebrat pouze prostřednictvím spravovaného konfiguračního profilu. Příkazový řádek funguje pro vyloučení, která byla přidána místně.
Tento článek popisuje strukturu tohoto profilu (včetně doporučeného profilu, který můžete použít k zahájení práce) a pokyny k nasazení profilu.
Struktura konfiguračního profilu
Konfigurační profil je .json soubor, který se skládá z položek identifikovaných klíčem (který označuje název předvolby) následovaných hodnotou, která závisí na povaze předvolby. Hodnoty můžou být jednoduché, například číselná hodnota, nebo složité, například vnořený seznam předvoleb.
Obvykle byste použili nástroj pro správu konfigurace k nasdílení souboru s názvem mdatp_managed.json v umístění /etc/opt/microsoft/mdatp/managed/.
Nejvyšší úroveň konfiguračního profilu zahrnuje předvolby pro celý produkt a položky pro podoblasti produktu, které jsou podrobněji vysvětleny v dalších částech.
Předvolby antivirového modulu
Část antivirusEngine konfiguračního profilu slouží ke správě předvoleb antivirové součásti produktu.
| Popis | Hodnota |
|---|---|
| Klíč | antivirusEngine |
| Datový typ | Slovník (vnořená předvolba) |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. |
Úroveň vynucování pro antivirový modul
Určuje předvolbu vynucení antivirového modulu. Pro nastavení úrovně vynucení existují tři hodnoty:
- Ochrana v reálném čase (
real_time): Ochrana v reálném čase (kontrola souborů při jejich úpravách) je povolená. - Na vyžádání (
on_demand): Soubory se kontrolují jenom na vyžádání. V tomto:- Ochrana v reálném čase je vypnutá.
- Pasivní (
passive): Spustí antivirový modul v pasivním režimu. V tomto:- Ochrana v reálném čase je vypnutá: Microsoft Defender Antivirus nenapravuje hrozby.
- Kontrola na vyžádání je zapnutá: Stále používejte možnosti kontroly v koncovém bodu.
- Automatická náprava hrozeb je vypnutá: Nepřesunou se žádné soubory a očekává se, že správce zabezpečení provede požadovanou akci.
- Aktualizace bezpečnostních informací jsou zapnuté: Upozornění budou k dispozici v tenantovi správců zabezpečení.
| Popis | Hodnota |
|---|---|
| Klíč | enforcementLevel |
| Datový typ | String |
| Možné hodnoty | real_time on_demand pasivní (výchozí) |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.10.72 nebo novější. Výchozí hodnota se změní z real_time na pasivní pro koncový bod verze 101.23062.0001 nebo novější. |
Povolení nebo zakázání monitorování chování
Určuje, jestli je na zařízení povolené monitorování a blokování chování.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolená funkce Real-Time Protection.
| Popis | Hodnota |
|---|---|
| Klíč | behaviorMonitoring |
| Datový typ | String |
| Možné hodnoty | zakázáno (výchozí) Povoleno |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.45.00 nebo novější. |
Po aktualizaci definic spusťte kontrolu.
Určuje, jestli se má spustit kontrola procesu po stažení nových aktualizací bezpečnostních informací do zařízení. Povolením tohoto nastavení se aktivuje antivirová kontrola spuštěných procesů zařízení.
| Popis | Hodnota |
|---|---|
| Klíč | scanAfterDefinitionUpdate |
| Datový typ | Boolean |
| Možné hodnoty | true (výchozí) False |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.45.00 nebo novější. |
Prohledat archivy (jenom antivirové kontroly na vyžádání)
Určuje, zda se mají prohledávat archivy během antivirových kontrol na vyžádání.
Poznámka
Archivní soubory se během ochrany v reálném čase nikdy neskenují. Při extrahování souborů v archivu se prohledávají. Možnost scanArchives je možné použít k vynucení kontroly archivů pouze během kontroly na vyžádání.
| Popis | Hodnota |
|---|---|
| Klíč | scanArchives |
| Datový typ | Boolean |
| Možné hodnoty | true (výchozí) False |
| Komentáře | K dispozici ve verzi Microsoft Defender for Endpoint 101.45.00 nebo vyšší. |
Stupeň paralelismu pro kontroly na vyžádání
Určuje stupeň paralelismu pro kontroly na vyžádání. To odpovídá počtu vláken použitých k provedení kontroly a ovlivňuje využití procesoru a dobu trvání kontroly na vyžádání.
| Popis | Hodnota |
|---|---|
| Klíč | maximumOnDemandScanThreads |
| Datový typ | Celé číslo |
| Možné hodnoty | 2 (výchozí). Povolené hodnoty jsou celá čísla mezi 1 a 64. |
| Komentáře | K dispozici ve verzi Microsoft Defender for Endpoint 101.45.00 nebo vyšší. |
Zásady sloučení vyloučení
Určuje zásadu sloučení pro vyloučení. Může se jednat o kombinaci vyloučení definovaných správcem a uživatelem (merge) nebo pouze vyloučení definovaných správcem (admin_only). Toto nastavení lze použít k omezení místních uživatelů v definování vlastních vyloučení.
| Popis | Hodnota |
|---|---|
| Klíč | exclusionsMergePolicy |
| Datový typ | String |
| Možné hodnoty | sloučení (výchozí) admin_only |
| Komentáře | K dispozici v Defenderu for Endpoint verze 100.83.73 nebo novější. |
Vyloučení kontroly
Entity, které byly vyloučeny z kontroly. Vyloučení mohou být určena úplnými cestami, příponami nebo názvy souborů. (Vyloučení se zadávají jako pole položek, správce může určit tolik prvků, kolik je potřeba, v libovolném pořadí.)
| Popis | Hodnota |
|---|---|
| Klíč | Vyloučení |
| Datový typ | Slovník (vnořená předvolba) |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. |
Typ vyloučení
Určuje typ obsahu vyloučeného z kontroly.
| Popis | Hodnota |
|---|---|
| Klíč | $type |
| Datový typ | String |
| Možné hodnoty | excludedPath excludedFileExtension excludedFileName |
Cesta k vyloučenýmu obsahu
Slouží k vyloučení obsahu z kontroly podle úplné cesty k souboru.
| Popis | Hodnota |
|---|---|
| Klíč | Cestu |
| Datový typ | String |
| Možné hodnoty | platné cesty |
| Komentáře | Platí jenom v případě, že je $typevyloučenaPath. |
Typ cesty (soubor nebo adresář)
Označuje, jestli vlastnost path odkazuje na soubor nebo adresář.
| Popis | Hodnota |
|---|---|
| Klíč | isDirectory |
| Datový typ | Boolean |
| Možné hodnoty | false (výchozí) Pravda |
| Komentáře | Platí jenom v případě, že je $typevyloučenaPath. |
Přípona souboru vyloučená z kontroly
Slouží k vyloučení obsahu z kontroly podle přípony souboru.
| Popis | Hodnota |
|---|---|
| Klíč | Rozšíření |
| Datový typ | String |
| Možné hodnoty | platné přípony souborů |
| Komentáře | Platí pouze v případě, že je $typevyloučenoFileExtension. |
Proces vyloučený z kontroly*
Určuje proces, pro který je z kontroly vyloučena veškerá aktivita souboru. Proces lze zadat buď názvem (například ) nebo catúplnou cestou (například /bin/cat).
| Popis | Hodnota |
|---|---|
| Klíč | Jméno |
| Datový typ | String |
| Možné hodnoty | libovolný řetězec |
| Komentáře | Platí pouze v případě, že je $typevyloučenoFileName. |
Ztlumení připojení non Exec
Určuje chování protokolu RTP u přípojného bodu označeného jako noexec. Existují dvě hodnoty pro nastavení:
- Unmuted (
unmute): Výchozí hodnota, všechny přípojné body se kontrolují jako součást protokolu RTP. - Ztlumené (
mute): Přípojné body označené jako noexec se neskenují jako součást protokolu RTP. Tyto přípojné body je možné vytvořit pro:- Databázové soubory na databázových serverech pro uchovávání souborů základu dat
- Souborový server může uchovávat přípojné body datových souborů s možností noexec.
- Zálohování může zachovat přípojné body datových souborů s možností noexec.
| Popis | Hodnota |
|---|---|
| Klíč | nonExecMountPolicy |
| Datový typ | String |
| Možné hodnoty | zrušit ztlumení (výchozí) Mute |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.85.27 nebo novější. |
Zrušení monitorování systémů souborů
Nakonfigurujte systémy souborů tak, aby byly nemonitorované nebo vyloučené z ochrany v reálném čase (RTP). Nakonfigurované systémy souborů se ověřují na seznamu povolených systémů souborů Microsoft Defender. Až po úspěšném ověření se systém souborů bude moct nemonitorovat. Tyto nakonfigurované nemonitorované systémy souborů budou nadále kontrolovány rychlými, úplnými a vlastními kontrolami.
| Popis | Hodnota |
|---|---|
| Klíč | unmonitoredFilesystems |
| Datový typ | Pole řetězců |
| Komentáře | Nakonfigurovaný systém souborů bude nemonitorovaný jenom v případě, že je v seznamu povolených nemonitorovaných systémů souborů microsoftu. |
Ve výchozím nastavení se systém souborů NFS a Fuse nemonitorují z rychlých a úplných kontrol. Přesto je ale možné je zkontrolovat vlastní kontrolou. Pokud chcete například odebrat systém souborů NFS ze seznamu nemonitorovaných systémů souborů, aktualizujte spravovaný konfigurační soubor, jak je znázorněno níže. Tím se systém souborů NFS automaticky přidá do seznamu monitorovaných systémů souborů pro rtp.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Pokud chcete odebrat systém souborů NFS i Fuse z nemonitorovaného seznamu systémů souborů, postupujte následovně:
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Poznámka
Níže je výchozí seznam monitorovaných systémů souborů pro RTP –
[btrfs, ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, reiserfs, tmpfs, vfat, xfs]
Pokud je potřeba do seznamu nemonitorovaných systémů souborů přidat nějaký monitorovaný systém souborů, musí ho Microsoft vyhodnotit a povolit prostřednictvím cloudové konfigurace. Podle toho můžou zákazníci aktualizovat managed_mdatp.json a zrušit tak monitorování tohoto systému souborů.
Konfigurace funkce výpočtu hodnoty hash souboru
Povolí nebo zakáže funkci výpočtu hodnoty hash souboru. Když je tato funkce povolená, Defender for Endpoint vypočítá hodnoty hash souborů, které kontroluje. Mějte na paměti, že povolení této funkce může mít vliv na výkon zařízení. Další podrobnosti najdete v tématu Vytvoření indikátorů pro soubory.
| Popis | Hodnota |
|---|---|
| Klíč | enableFileHashComputation |
| Datový typ | Boolean |
| Možné hodnoty | false (výchozí) Pravda |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.85.27 nebo novější. |
Povolené hrozby
Seznam hrozeb (identifikovaných jejich názvem), které produkt neblokuje a které se místo toho můžou spustit.
| Popis | Hodnota |
|---|---|
| Klíč | allowedThreats |
| Datový typ | Pole řetězců |
Nepovolené akce hrozeb
Omezuje akce, které může místní uživatel zařízení provést, když jsou zjištěny hrozby. Akce zahrnuté v tomto seznamu se v uživatelském rozhraní nezobrazují.
| Popis | Hodnota |
|---|---|
| Klíč | disallowedThreatActions |
| Datový typ | Pole řetězců |
| Možné hodnoty | povolit (omezuje uživatele v povolování hrozeb) obnovení (omezuje uživatele v obnovování hrozeb z karantény) |
| Komentáře | K dispozici v Defenderu for Endpoint verze 100.83.73 nebo novější. |
Nastavení typu hrozby
Předvolba threatTypeSettings v antivirovém modulu se používá k řízení toho, jak jsou určité typy hrozeb zpracovávány produktem.
| Popis | Hodnota |
|---|---|
| Klíč | threatTypeSettings |
| Datový typ | Slovník (vnořená předvolba) |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. |
Typ hrozby
Typ hrozby, pro kterou je nakonfigurováno chování.
| Popis | Hodnota |
|---|---|
| Klíč | Klíč |
| Datový typ | String |
| Možné hodnoty | potentially_unwanted_application archive_bomb |
Akce, která se má provést
Akce, které je třeba provést, když narazíte na hrozbu typu zadaného v předchozí části. Může to být:
- Audit: Zařízení není chráněné před tímto typem hrozby, ale zaprotokoluje se záznam o hrozbě.
- Blokovat: Zařízení je chráněné proti tomuto typu hrozby a v konzole zabezpečení budete upozorněni.
- Vypnuto: Zařízení není chráněné proti tomuto typu hrozby a nic se nezaprotokoluje.
| Popis | Hodnota |
|---|---|
| Klíč | Hodnotu |
| Datový typ | String |
| Možné hodnoty | audit (výchozí) Blok vypnuto |
Zásady sloučení nastavení typu hrozby
Určuje zásadu sloučení pro nastavení typu hrozby. Může se jednat o kombinaci nastavení definovaných správcem a uživatelem (merge) nebo pouze nastavení definovaných správcem (admin_only). Toto nastavení se dá použít k tomu, aby místní uživatelé mohli definovat vlastní nastavení pro různé typy hrozeb.
| Popis | Hodnota |
|---|---|
| Klíč | threatTypeSettingsMergePolicy |
| Datový typ | String |
| Možné hodnoty | sloučení (výchozí) admin_only |
| Komentáře | K dispozici v Defenderu for Endpoint verze 100.83.73 nebo novější. |
Uchovávání historie kontrol antivirové ochrany (ve dnech)
Zadejte počet dnů, po který se výsledky zachovají v historii kontrol na zařízení. Staré výsledky kontroly se z historie odeberou. Staré soubory v karanténě, které jsou také odebrány z disku.
| Popis | Hodnota |
|---|---|
| Klíč | scanResultsRetentionDays |
| Datový typ | String |
| Možné hodnoty | 90 (výchozí). Povolené hodnoty jsou od 1 do 180 dnů. |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.04.76 nebo novější. |
Maximální počet položek v historii antivirových kontrol
Zadejte maximální počet položek, které se mají zachovat v historii kontrol. Položky zahrnují všechny kontroly na vyžádání provedené v minulosti a všechny antivirové detekce.
| Popis | Hodnota |
|---|---|
| Klíč | scanHistoryMaximumItems |
| Datový typ | String |
| Možné hodnoty | 10000 (výchozí). Povolené hodnoty jsou od 5000 položek do 15 000 položek. |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.04.76 nebo novější. |
Rozšířené možnosti kontroly
Následující nastavení je možné nakonfigurovat tak, aby povolovala určité pokročilé funkce kontroly.
Poznámka
Povolení těchto funkcí může mít vliv na výkon zařízení. Proto se doporučuje zachovat výchozí hodnoty.
Konfigurace kontroly událostí oprávnění k úpravě souborů
Když je tato funkce povolená, Defender for Endpoint prohledá soubory, když se jejich oprávnění změní, aby nastavil bity spouštění.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolená enableFilePermissionEvents . Další informace najdete v části Rozšířené volitelné funkce níže, kde najdete podrobnosti.
| Popis | Hodnota |
|---|---|
| Klíč | scanFileModifyPermissions |
| Datový typ | Boolean |
| Možné hodnoty | false (výchozí) Pravda |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.23062.0010 nebo novější. |
Konfigurace kontroly událostí vlastnictví úprav souborů
Když je tato funkce povolená, Defender for Endpoint zkontroluje soubory, u kterých se změnilo vlastnictví.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolená enableFileOwnershipEvents . Další informace najdete v části Rozšířené volitelné funkce níže, kde najdete podrobnosti.
| Popis | Hodnota |
|---|---|
| Klíč | scanFileModifyOwnership |
| Datový typ | Boolean |
| Možné hodnoty | false (výchozí) Pravda |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.23062.0010 nebo novější. |
Konfigurace kontroly událostí nezpracovaných soketů
Pokud je tato funkce povolená, Defender for Endpoint bude kontrolovat události síťových soketů, jako je vytvoření nezpracovaných soketů nebo soketů paketů nebo nastavení možnosti soketu.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolená enableRawSocketEvent . Další informace najdete v části Rozšířené volitelné funkce níže, kde najdete podrobnosti.
| Popis | Hodnota |
|---|---|
| Klíč | scanNetworkSocketEvent |
| Datový typ | Boolean |
| Možné hodnoty | false (výchozí) Pravda |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.23062.0010 nebo novější. |
Předvolby ochrany poskytované v cloudu
Položka cloudService v konfiguračním profilu slouží ke konfiguraci funkce cloudové ochrany produktu.
Poznámka
Cloudová ochrana se dá použít u všech nastavení úrovně vynucení (real_time, on_demand, pasivní).
| Popis | Hodnota |
|---|---|
| Klíč | cloudService |
| Datový typ | Slovník (vnořená předvolba) |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. |
Povolení nebo zakázání cloudové ochrany
Určuje, jestli je na zařízení povolená cloudová ochrana. Pokud chcete zlepšit zabezpečení vašich služeb, doporučujeme nechat tuto funkci zapnutou.
| Popis | Hodnota |
|---|---|
| Klíč | Povoleno |
| Datový typ | Boolean |
| Možné hodnoty | true (výchozí) False |
Úroveň shromažďování diagnostických dat
Diagnostická data se používají k udržování defenderu for Endpoint v zabezpečeném a aktualizovaném stavu, ke zjišťování, diagnostice a řešení problémů a k vylepšování produktů. Toto nastavení určuje úroveň diagnostiky odesílané produktem do Microsoftu.
| Popis | Hodnota |
|---|---|
| Klíč | diagnosticLevel |
| Datový typ | String |
| Možné hodnoty | Volitelné required (výchozí) |
Konfigurace úrovně cloudového bloku
Toto nastavení určuje, jak agresivní defender for Endpoint blokuje a kontroluje podezřelé soubory. Pokud je toto nastavení zapnuté, defender for Endpoint je při identifikaci podezřelých souborů k blokování a kontrole agresivnější. v opačném případě je méně agresivní, a proto blokuje a skenuje s menší frekvencí.
Pro nastavení úrovně cloudového bloku existuje pět hodnot:
- Normal (
normal): Výchozí úroveň blokování. - Střední (
moderate): Poskytuje verdikt pouze pro detekce vysoké spolehlivosti. - Vysoká (
high): Agresivně blokuje neznámé soubory při optimalizaci výkonu (větší pravděpodobnost blokování souborů, které nejsou škodlivé). - Vysoké plus (
high_plus): Agresivně blokuje neznámé soubory a používá další ochranná opatření (může mít vliv na výkon klientského zařízení). - Nulová tolerance (
zero_tolerance): Blokuje všechny neznámé programy.
| Popis | Hodnota |
|---|---|
| Klíč | cloudBlockLevel |
| Datový typ | String |
| Možné hodnoty | normal (výchozí) Střední Vysoké high_plus zero_tolerance |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.56.62 nebo novější. |
Povolení nebo zakázání automatického odesílání vzorků
Určuje, jestli se microsoftu odesílají podezřelé vzorky (které pravděpodobně budou obsahovat hrozby). Existují tři úrovně řízení odesílání vzorků:
- Žádné: Microsoftu se neposílají žádné podezřelé vzorky.
- Bezpečné: Automaticky se odesílají jenom podezřelé vzorky, které neobsahují identifikovatelné osobní údaje. Toto je výchozí hodnota pro toto nastavení.
- Vše: Microsoftu se odesílají všechny podezřelé vzorky.
| Popis | Hodnota |
|---|---|
| Klíč | automaticSampleSubmissionConsent |
| Datový typ | String |
| Možné hodnoty | žádné bezpečné (výchozí) Všechny |
Povolení nebo zakázání automatických aktualizací bezpečnostních informací
Určuje, jestli se aktualizace bezpečnostních funkcí instalují automaticky:
| Popis | Hodnota |
|---|---|
| Klíč | automaticDefinitionUpdateEnabled |
| Datový typ | Boolean |
| Možné hodnoty | true (výchozí) False |
Rozšířené volitelné funkce
Následující nastavení je možné nakonfigurovat tak, aby povolovala určité pokročilé funkce.
Poznámka
Povolení těchto funkcí může mít vliv na výkon zařízení. Doporučujeme zachovat výchozí hodnoty.
| Popis | Hodnota |
|---|---|
| Klíč | Funkce |
| Datový typ | Slovník (vnořená předvolba) |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. |
Funkce načítání modulů
Určuje, zda se monitorují události načtení modulu (události otevření souboru ve sdílených knihovnách).
Poznámka
Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.
| Popis | Hodnota |
|---|---|
| Klíč | moduleLoad |
| Datový typ | String |
| Možné hodnoty | zakázáno (výchozí) Povoleno |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.68.80 nebo novější. |
Doplňkové konfigurace senzorů
Následující nastavení můžete použít ke konfiguraci určitých pokročilých doplňkových funkcí senzoru.
| Popis | Hodnota |
|---|---|
| Klíč | supplementarySensorConfigurations |
| Datový typ | Slovník (vnořená předvolba) |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. |
Konfigurace monitorování událostí oprávnění k úpravě souborů
Určuje, zda se monitorují události oprávnění k úpravě souborů (chmod).
Poznámka
Když je tato funkce povolená, Defender for Endpoint bude monitorovat změny spouštění bitů souborů, ale nebude kontrolovat tyto události. Další informace najdete v části Rozšířené funkce kontroly .
| Popis | Hodnota |
|---|---|
| Klíč | enableFilePermissionEvents |
| Datový typ | String |
| Možné hodnoty | zakázáno (výchozí) Povoleno |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.23062.0010 nebo novější. |
Konfigurace monitorování událostí vlastnictví úprav souborů
Určuje, zda se monitorují události vlastnictví změny souboru (chown).
Poznámka
Když je tato funkce povolená, Defender for Endpoint bude monitorovat změny vlastnictví souborů, ale nebude kontrolovat tyto události. Další informace najdete v části Rozšířené funkce kontroly .
| Popis | Hodnota |
|---|---|
| Klíč | enableFileOwnershipEvents |
| Datový typ | String |
| Možné hodnoty | zakázáno (výchozí) Povoleno |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.23062.0010 nebo novější. |
Konfigurace monitorování událostí nezpracovaných soketů
Určuje, zda jsou monitorovány události síťových soketů zahrnujících vytvoření nezpracovaných soketů/ soketů paketů nebo nastavení možnosti soketu.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.
Poznámka
Pokud je tato funkce povolená, Defender for Endpoint bude tyto události soketů monitorovat, ale nebude tyto události kontrolovat. Další informace najdete v části Funkce rozšířené kontroly výše, kde najdete další podrobnosti.
| Popis | Hodnota |
|---|---|
| Klíč | enableRawSocketEvent |
| Datový typ | String |
| Možné hodnoty | zakázáno (výchozí) Povoleno |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.23062.0010 nebo novější. |
Konfigurace monitorování událostí zavaděče spouštění
Určuje, zda se monitorují a kontrolují události zavaděče spouštění.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.
| Popis | Hodnota |
|---|---|
| Klíč | enableBootLoaderCalls |
| Datový typ | String |
| Možné hodnoty | zakázáno (výchozí) Povoleno |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.68.80 nebo novější. |
Konfigurace monitorování událostí ptrace
Určuje, zda jsou monitorovány a kontrolovány události ptrace.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.
| Popis | Hodnota |
|---|---|
| Klíč | enableProcessCalls |
| Datový typ | String |
| Možné hodnoty | zakázáno (výchozí) Povoleno |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.68.80 nebo novější. |
Konfigurace monitorování událostí pseudofs
Určuje, zda jsou události pseudofs monitorovány a kontrolovány.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.
| Popis | Hodnota |
|---|---|
| Klíč | enablePseudofsCalls |
| Datový typ | String |
| Možné hodnoty | zakázáno (výchozí) Povoleno |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.68.80 nebo novější. |
Konfigurace monitorování událostí načtení modulu pomocí eBPF
Určuje, jestli se události načtení modulu monitorují pomocí eBPF a kontrolují.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.
| Popis | Hodnota |
|---|---|
| Klíč | enableEbpfModuleLoadEvents |
| Datový typ | String |
| Možné hodnoty | zakázáno (výchozí) Povoleno |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.68.80 nebo novější. |
Hlášení podezřelých událostí av do EDR
Určuje, jestli jsou podezřelé události z antivirové ochrany hlášeny do EDR.
| Popis | Hodnota |
|---|---|
| Klíč | sendLowfiEvents |
| Datový typ | String |
| Možné hodnoty | zakázáno (výchozí) Povoleno |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.23062.0010 nebo novější. |
Konfigurace ochrany sítě
Následující nastavení můžete použít ke konfiguraci pokročilých kontrolních funkcí služby Network Protection, které řídí, jaký provoz bude služba Network Protection kontrolovat.
Poznámka
Aby byly efektivní, musí být zapnutá ochrana sítě. Další informace najdete v tématu Zapnutí ochrany sítě pro Linux.
| Popis | Hodnota |
|---|---|
| Klíč | networkProtection |
| Datový typ | Slovník (vnořená předvolba) |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. |
Konfigurace kontroly PROTOKOLU ICMP
Určuje, zda se události PROTOKOLU ICMP monitorují a kontrolují.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.
| Popis | Hodnota |
|---|---|
| Klíč | disableIcmpInspection |
| Datový typ | Boolean |
| Možné hodnoty | true (výchozí) False |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.23062.0010 nebo novější. |
Doporučený konfigurační profil
Abyste mohli začít, doporučujeme pro váš podnik použít následující konfigurační profil, abyste mohli využívat všechny funkce ochrany, které defender for Endpoint poskytuje.
Následující konfigurační profil:
- Povolení ochrany v reálném čase (RTP)
- Určete, jak se budou zpracovávat následující typy hrozeb:
- Potenciálně nežádoucí aplikace (PUA) jsou blokované
- Archivní bomby (soubor s vysokou mírou komprese) se auditují do protokolů produktu.
- Povolení automatických aktualizací bezpečnostních informací
- Povolení cloudové ochrany
- Povolení automatického odesílání vzorků na
safeúrovni
Ukázkový profil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Příklad úplného konfiguračního profilu
Následující konfigurační profil obsahuje položky pro všechna nastavení popsaná v tomto dokumentu a je možné ho použít pro pokročilejší scénáře, ve kterých potřebujete větší kontrolu nad produktem.
Poznámka
V tomto formátu JSON není možné řídit všechny Microsoft Defender for Endpoint komunikaci pouze nastavením proxy serveru.
Úplný profil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Přidání ID značky nebo skupiny do konfiguračního profilu
Při prvním spuštění mdatp health příkazu bude hodnota značky a ID skupiny prázdná. Pokud chcete do souboru přidat ID značky mdatp_managed.json nebo skupiny, postupujte následovně:
- Otevřete konfigurační profil z cesty
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json. - Přejděte dolů do dolní části souboru, kde se
cloudServicenachází blok. - Přidejte požadovanou značku nebo ID skupiny jako v následujícím příkladu na konec koncové složené závorky pro
cloudService.
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
Poznámka
Za pravou složenou závorku na konci bloku přidejte čárku cloudService . Ujistěte se také, že po přidání bloku ID značky nebo skupiny existují dvě složených závorek (viz výše uvedený příklad). V současné době je GROUPjediným podporovaným názvem klíče pro značky .
Ověření konfiguračního profilu
Konfigurační profil musí být platný soubor ve formátu JSON. Existuje mnoho nástrojů, které se dají použít k ověření. Pokud jste například na zařízení nainstalovali python :
python -m json.tool mdatp_managed.json
Pokud je JSON ve správném formátu, výše uvedený příkaz ho vypíše zpět do terminálu a vrátí ukončovací kód 0. V opačném případě se zobrazí chyba popisující problém a příkaz vrátí ukončovací kód .1
Ověření, že soubor mdatp_managed.json funguje podle očekávání
Pokud chcete ověřit, jestli váš /etc/opt/microsoft/mdatp/managed/mdatp_managed.json funguje správně, měli byste vedle těchto nastavení vidět "[managed]":
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
Poznámka
Aby se změny většiny konfigurací v mdatp_managed.json projevily, není potřeba restartovat proces démon mdatp. Výjimka: Následující konfigurace vyžadují restartování démona, aby se projevilo:
- diagnostika cloudu
- parametry rotace protokolu
Nasazení konfiguračního profilu
Jakmile vytvoříte konfigurační profil pro váš podnik, můžete ho nasadit pomocí nástroje pro správu, který používá váš podnik. Defender for Endpoint v Linuxu načte spravovanou konfiguraci ze souboru /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro