Angiv indstillinger for Microsoft Defender for Endpoint på Linux
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Vigtigt!
Denne artikel indeholder instruktioner til, hvordan du angiver indstillinger for Defender for Endpoint på Linux i virksomhedsmiljøer. Hvis du er interesseret i at konfigurere produktet på en enhed fra kommandolinjen, skal du se Ressourcer.
I virksomhedsmiljøer kan Defender for Endpoint på Linux administreres via en konfigurationsprofil. Denne profil installeres fra det administrationsværktøj, du vælger. Indstillinger, der administreres af virksomheden, har forrang frem for dem, der er angivet lokalt på enheden. Med andre ord kan brugere i din virksomhed ikke ændre indstillinger, der er angivet via denne konfigurationsprofil. Hvis der blev tilføjet udeladelser via den administrerede konfigurationsprofil, kan de kun fjernes via den administrerede konfigurationsprofil. Kommandolinjen fungerer for undtagelser, der er tilføjet lokalt.
I denne artikel beskrives strukturen af denne profil (herunder en anbefalet profil, som du kan bruge til at komme i gang) og instruktioner til, hvordan du installerer profilen.
Struktur for konfigurationsprofil
Konfigurationsprofilen er en .json fil, der består af poster, der er identificeret af en nøgle (som angiver navnet på præferencen) efterfulgt af en værdi, som afhænger af typen af præference. Værdier kan være enkle, f.eks. en numerisk værdi eller komplekse, f.eks. en indlejret liste over indstillinger.
Du vil typisk bruge et værktøj til administration af konfiguration til at pushoverføre en fil med navnet mdatp_managed.json på placeringen /etc/opt/microsoft/mdatp/managed/.
Det øverste niveau i konfigurationsprofilen omfatter indstillinger for hele produktet og poster for underområder af produktet, som forklares mere detaljeret i de næste afsnit.
Indstillinger for antivirusprogram
Afsnittet antivirusEngine i konfigurationsprofilen bruges til at administrere indstillingerne for produktets antiviruskomponent.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | antivirusEngine | Antivirusprogram |
| Datatype | Ordbog (indlejret indstilling) | Skjult sektion |
| Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. | Se følgende afsnit for at få en beskrivelse af politikegenskaberne. |
Håndhævelsesniveau for antivirusprogram
Angiver, hvordan antivirusprogrammet gennemtvinges. Der er tre værdier til angivelse af håndhævelsesniveau:
- Realtid (
real_time): Beskyttelse i realtid (scan filer, når de ændres) er aktiveret. - On-demand (
on_demand): Filer scannes kun efter behov. I denne:- Beskyttelse i realtid er slået fra.
- Passiv (
passive): Kører antivirusprogrammet i passiv tilstand. I denne:- Beskyttelse i realtid er slået fra: Trusler afhjælpes ikke af Microsoft Defender Antivirus.
- Scanning efter behov er slået til: Brug stadig scanningsfunktionerne på slutpunktet.
- Automatisk afhjælpning af trusler er slået fra: Ingen filer flyttes, og sikkerhedsadministratoren forventes at udføre de nødvendige handlinger.
- Opdateringer til sikkerhedsintelligens er slået til: Beskeder vil være tilgængelige på lejeren sikkerhedsadministratorer.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | enforcementLevel | Håndhævelsesniveau |
| Datatype | String | Rulleliste |
| Mulige værdier | real_timeon_demandpassive (standard) |
Ikke konfigureret Realtid OnDemand Passiv (standard) |
Bemærk!
Tilgængelig i Defender for Endpoint version 101.10.72 eller nyere. Standarden ændres fra real_time til passiv for Endpoint version 101.23062.0001 eller nyere. Det anbefales også at bruge planlagte scanninger i henhold til krav.
Aktivér/deaktiver adfærdsovervågning
Bestemmer, om funktionsmådeovervågning og -blokering er aktiveret på enheden eller ej.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | behaviorMonitoring | Aktivér overvågning af funktionsmåde |
| Datatype | String | Rulleliste |
| Mulige værdier | disabled (standard) |
Ikke konfigureret Deaktiveret (standard) Aktiveret |
Bemærk!
Tilgængelig i Defender for Endpoint version 101.45.00 eller nyere. Denne funktion er kun tilgængelig, når funktionen beskyttelse af Real-Time er aktiveret.
Kør en scanning, når definitioner er opdateret
Angiver, om en processcanning skal startes, når nye sikkerhedsintelligensopdateringer er downloadet på enheden. Aktivering af denne indstilling udløser en antivirusscanning på de kørende processer på enheden.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | scanAfterDefinitionUpdate | Aktivér scanning efter definitionsopdatering |
| Datatype | Boolesk | Rulleliste |
| Mulige værdier | true (standard) |
Ikke konfigureret Handicappet Aktiveret (standard) |
Bemærk!
Tilgængelig i Defender for Endpoint version 101.45.00 eller nyere.
Denne funktion fungerer kun, når håndhævelsesniveauet er angivet til real-time.
Scan arkiver (kun antivirusscanninger efter behov)
Angiver, om arkiver skal scannes under antivirusscanninger efter behov.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | scanArchives | Aktivér scanning af arkiver |
| Datatype | Boolesk | Rulleliste |
| Mulige værdier | true (standard)
|
Ikke konfigureret Handicappet Aktiveret (standard) |
Bemærk!
Tilgængelig i Microsoft Defender for Endpoint version 101.45.00 eller nyere. Arkivfiler scannes aldrig under beskyttelse i realtid. Når filerne i et arkiv pakkes ud, scannes de. Indstillingen scanArchives kan kun bruges til at gennemtvinge scanning af arkiver under scanning efter behov.
Graden af parallelitet for scanninger efter behov
Angiver graden af parallelitet for scanninger efter behov. Dette svarer til antallet af tråde, der bruges til at udføre scanningen og påvirker CPU-forbruget, og varigheden af scanningen efter behov.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | maximumOnDemandScanThreads | maksimalt antal scanningstråde efter behov |
| Datatype | Heltal | Skift & heltal til/fra |
| Mulige værdier | 2 (standard). Tilladte værdier er heltal mellem 1 og 64. | Ikke konfigureret (standardindstillingen er som standard angivet til 2) Konfigureret (til/fra) og heltal mellem 1 og 64. |
Bemærk!
Tilgængelig i Microsoft Defender for Endpoint version 101.45.00 eller nyere.
Politik for fletning af udeladelse
Angiver flettepolitikken for udeladelser. Det kan være en kombination af administratordefinerede og brugerdefinerede udeladelser (merge) eller kun administratordefinerede udeladelser (admin_only). Denne indstilling kan bruges til at forhindre lokale brugere i at definere deres egne udeladelser.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | exclusionsMergePolicy | Fletning af udeladelser |
| Datatype | String | Rulleliste |
| Mulige værdier | merge (standard)
|
Ikke konfigureret flet (standard) admin_only |
Bemærk!
Tilgængelig i Defender for Endpoint version 100.83.73 eller nyere.
Scan udeladelser
Enheder, der er blevet udelukket fra scanningen. Udeladelser kan angives af fulde stier, filtypenavne eller filnavne. (Udeladelser er angivet som en matrix af elementer. administratoren kan angive lige så mange elementer, som det er nødvendigt, i vilkårlig rækkefølge).
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | Udelukkelser | Scan udeladelser |
| Datatype | Ordbog (indlejret indstilling) | Liste over dynamiske egenskaber |
| Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. |
Type af udeladelse
Angiver den type indhold, der er udeladt fra scanningen.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | $type | Type |
| Datatype | String | Rulleliste |
| Mulige værdier | excludedPath
|
Sti Filtypenavn Procesnavn |
Sti til udeladt indhold
Bruges til at udelade indhold fra scanningen ved hjælp af hele filstien.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | sti | Sti |
| Datatype | String | String |
| Mulige værdier | gyldige stier | gyldige stier |
| Kommentarer | Gælder kun, hvis $type er udeladtPath | Åbn i pop op til Rediger forekomst |
Stitype (fil/mappe)
Angiver, om stiegenskaben refererer til en fil eller mappe.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | isDirectory | Er mappe |
| Datatype | Boolesk | Rulleliste |
| Mulige værdier | false (standard)
|
Aktiveret Handicappet |
| Kommentarer | Gælder kun, hvis $type er udeladtPath | Åbn i pop op til Rediger forekomst |
Filtypenavnet blev udelukket fra scanningen
Bruges til at udelade indhold fra scanningen med filtypenavnet.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | forlængelse | Filtypenavn |
| Datatype | String | String |
| Mulige værdier | gyldige filtypenavne | gyldige filtypenavne |
| Kommentarer | Gælder kun, hvis $type er udeladtFileExtension | Åbn i pop op-vinduet Konfigurer forekomst |
Processen er udelukket fra scanningen*
Angiver en proces, hvor alle filaktiviteter udelades fra scanning. Processen kan angives enten ved hjælp af dens navn (f.eks. cat) eller hele stien (f.eks. /bin/cat).
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | Navn | Filnavn |
| Datatype | String | String |
| Mulige værdier | en hvilken som helst streng | en hvilken som helst streng |
| Kommentarer | Gælder kun, hvis $type er udeladtFileName | Åbn i pop op-vinduet Konfigurer forekomst |
Slår tilslutninger, der ikke er medlemmer af Exec, fra
Angiver funktionsmåden for RTP på tilslutningspunkt, der er markeret som noexec. Der er to værdier for indstillingen:
- Ikke slået til (
unmute): Standardværdien, alle tilslutningspunkter scannes som en del af RTP. - Slået fra (
mute): Tilslutningspunkter, der er markeret som noexec, scannes ikke som en del af RTP. Disse tilslutningspunkter kan oprettes for:- Databasefiler på databaseservere til opbevaring af databasefiler.
- Filserveren kan bevare datafil-tilslutningspunkter uden nogen eksekueringsmulighed.
- Sikkerhedskopiering kan bevare datafiler med tilslutningspunkter uden nogen eksekueringsmulighed.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | nonExecMountPolicy | ikke-udført tilslutnings mute |
| Datatype | String | Rulleliste |
| Mulige værdier | unmute (standard)
|
Ikke konfigureret slå lyd til (standard) stum |
Bemærk!
Tilgængelig i Defender for Endpoint version 101.85.27 eller nyere.
Fjern overvågning af filsystemer
Konfigurer filsystemerne, så de ikke overvåges/udelades fra realtidsbeskyttelse (RTP). De konfigurerede filsystemer valideres i forhold til Microsoft Defender-listen over tilladte filsystemer. Først efter valideringen er fuldført, kan filsystemet ikke overvåges. Disse konfigurerede filsystemer, der ikke overvåges, scannes stadig af hurtig-, fuld- og brugerdefinerede scanninger.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | unmonitoredFilesystems | Ikke-overvågede filsystemer |
| Datatype | Matrix af strenge | Dynamisk strengliste |
Bemærk!
Det konfigurerede filsystem bliver kun overvåget, hvis det findes på Microsofts liste over tilladte ikke-overvågede filsystemer.
NFS og Fuse overvåges som standard ikke fra RTP-, Quick- og Full-scanninger. De kan dog stadig scannes ved hjælp af en brugerdefineret scanning. Hvis du f.eks. vil fjerne NFS fra listen over ikke-overvågede filsystemer, skal du opdatere den administrerede konfigurationsfil som vist nedenfor. Dette føjer automatisk NFS til listen over overvågede filsystemer til RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Hvis du vil fjerne både NFS og Fuse fra en ikke-overvåget liste over filsystemer, skal du gøre følgende
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Bemærk!
Her; s standardlisten over overvågede filsystemer for RTP: btrfs, , , ext2, ext3, ext4, fuseblk, jfs, overlayramfs, reiserfs, , tmpfs, vfat. xfsecryptfs
Hvis et overvåget filsystem skal føjes til listen over ikke-overvågede filsystemer, skal det evalueres og aktiveres af Microsoft via cloudkonfigurationen. Efter hvilke kunder kan opdatere managed_mdatp.json til at fjerne overvågning af dette filsystem.
Konfigurer funktionen til beregning af filhash
Aktiverer eller deaktiverer funktionen til beregning af filhash. Når denne funktion er aktiveret, beregner Defender for Endpoint hashes for filer, den scanner. Bemærk, at aktivering af denne funktion kan påvirke enhedens ydeevne. Du kan finde flere oplysninger i: Opret indikatorer for filer.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | enableFileHashComputation | Aktivér beregning af filhash |
| Datatype | Boolesk | Rulleliste |
| Mulige værdier | false (standard)
|
Ikke konfigureret Deaktiveret (standard) Aktiveret |
Bemærk!
Tilgængelig i Defender for Endpoint version 101.85.27 eller nyere.
Tilladte trusler
Liste over trusler (identificeret ved deres navn), der ikke er blokeret af produktet, og som i stedet har tilladelse til at køre.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | allowedThreats | Tilladte trusler |
| Datatype | Matrix af strenge | Dynamisk strengliste |
Ikke-tilladte trusselshandlinger
Begrænser de handlinger, som den lokale bruger af en enhed kan foretage, når der registreres trusler. De handlinger, der er inkluderet på denne liste, vises ikke i brugergrænsefladen.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | disallowedThreatActions | Ikke-tilladte trusselshandlinger |
| Datatype | Matrix af strenge | Dynamisk strengliste |
| Mulige værdier | allow (begrænser brugernes mulighed for at tillade trusler)
|
allow (begrænser brugernes mulighed for at tillade trusler) gendannelse (begrænser brugere i at gendanne trusler fra karantænen) |
Bemærk!
Tilgængelig i Defender for Endpoint version 100.83.73 eller nyere.
Indstillinger for trusselstype
Indstillingen threatTypeSettings i antivirusprogrammet bruges til at styre, hvordan visse trusselstyper håndteres af produktet.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | threatTypeSettings | Indstillinger for trusselstype |
| Datatype | Ordbog (indlejret indstilling) | Liste over dynamiske egenskaber |
| Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. | Se følgende afsnit for at få en beskrivelse af de dynamiske egenskaber. |
Trusselstype
Type af trussel, som funktionsmåden er konfigureret for.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | nøgle | Trusselstype |
| Datatype | String | Rulleliste |
| Mulige værdier | potentially_unwanted_application
|
potentially_unwanted_application archive_bomb |
Handling, der skal udføres
Handling, der skal udføres, når der opstår en trussel af den type, der er angivet i foregående afsnit. Kan være:
- Overvågning: Enheden er ikke beskyttet mod denne type trussel, men der logføres en post om truslen. (Standard)
- Blok: Enheden er beskyttet mod denne type trussel, og du får besked i sikkerhedskonsollen.
- Fra: Enheden er ikke beskyttet mod denne type trussel, og der logføres intet.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | værdi | Handling, der skal udføres |
| Datatype | String | Rulleliste |
| Mulige værdier | audit (standard)
|
revision blok af |
Politik for fletning af indstillinger for trusselstype
Angiver flettepolitikken for indstillinger for trusselstyper. Dette kan være en kombination af administratordefinerede og brugerdefinerede indstillinger (merge) eller kun administratordefinerede indstillinger (admin_only). Denne indstilling kan bruges til at begrænse lokale brugere fra at definere deres egne indstillinger for forskellige trusselstyper.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | threatTypeSettingsMergePolicy | Fletning af indstillinger for trusselstype |
| Datatype | String | Rulleliste |
| Mulige værdier | flet (standard) admin_only |
Ikke konfigureret flet (standard) admin_only |
Bemærk!
Tilgængelig i Defender for Endpoint version 100.83.73 eller nyere.
Opbevaring af antivirusscanningshistorik (i dage)
Angiv det antal dage, resultaterne bevares i scanningshistorikken på enheden. Gamle scanningsresultater fjernes fra oversigten. Gamle filer i karantæne, der også er fjernet fra disken.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | scanResultsRetentionDays | Opbevaring af scanningsresultater |
| Datatype | String | Skift til/fra-knap og Heltal |
| Mulige værdier | 90 (standard). Tilladte værdier er fra 1 dag til 180 dage. | Ikke konfigureret (slå fra – 90 dage som standard) Konfigureret (til/fra) og tilladt værdi 1 til 180 dage. |
Bemærk!
Tilgængelig i Defender for Endpoint version 101.04.76 eller nyere.
Maksimalt antal elementer i historikken for antivirusscanning
Angiv det maksimale antal poster, der skal bevares i scanningsoversigten. Poster omfatter alle scanninger efter behov, der er udført tidligere, og alle antivirusregistreringer.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | scanHistoryMaximumItems | Størrelse på scanningsoversigt |
| Datatype | String | Slå til/fra og Heltal |
| Mulige værdier | 10000 (standard). Tilladte værdier er fra 5000 elementer til 15000 elementer. | Ikke konfigureret (til/fra – 10000 som standard) Konfigureret (til/fra) og tilladt værdi fra 5000 til 15.000 elementer. |
Bemærk!
Tilgængelig i Defender for Endpoint version 101.04.76 eller nyere.
Avancerede scanningsindstillinger
Følgende indstillinger kan konfigureres til at aktivere visse avancerede scanningsfunktioner.
Bemærk!
Aktivering af disse funktioner kan påvirke enhedens ydeevne. Det anbefales derfor, at standardindstillingerne bevares.
Konfigurer scanning af hændelser for filænding af tilladelser
Når denne funktion er aktiveret, scanner Defender for Endpoint filer, når deres tilladelser er blevet ændret for at angive udførelsesbitten eller -bit'erne.
Bemærk!
Denne funktion er kun tilgængelig, når funktionen enableFilePermissionEvents er aktiveret. Du kan finde flere oplysninger i afsnittet Avancerede valgfrie funktioner nedenfor for at få flere oplysninger.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | scanFileModifyPermissions | Ikke tilgængelig |
| Datatype | Boolesk | ikke tilgængelig |
| Mulige værdier | false (standard) sand |
ikke tilgængelig |
Bemærk!
Tilgængelig i Defender for Endpoint version 101.23062.0010 eller nyere.
Konfigurer scanning af ejerskabshændelser for filænding
Når denne funktion er aktiveret, scanner Defender for Endpoint de filer, som ejerskabet er ændret for.
Bemærk!
Denne funktion er kun tilgængelig, når funktionen enableFileOwnershipEvents er aktiveret. Du kan finde flere oplysninger i afsnittet Avancerede valgfrie funktioner nedenfor for at få flere oplysninger.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | scanFileModifyOwnership | Ikke tilgængelig |
| Datatype | Boolesk | ikke tilgængelig |
| Mulige værdier | false (standard) sand |
ikke tilgængelig |
Bemærk!
Tilgængelig i Defender for Endpoint version 101.23062.0010 eller nyere.
Konfigurer scanning af rå sokkelhændelser
Når denne funktion er aktiveret, scanner Defender for Endpoint netværks socket-hændelser, f.eks. oprettelse af rå sockets/pakke sockets eller indstilling af socket-indstilling.
Bemærk!
Denne funktion er kun tilgængelig, når overvågning af funktionsmåde er aktiveret.
Denne funktion er kun tilgængelig, når funktionen enableRawSocketEvent er aktiveret. Du kan finde flere oplysninger i afsnittet Avancerede valgfrie funktioner nedenfor for at få flere oplysninger.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | scanNetworkSocketEvent | Ikke tilgængelig |
| Datatype | Boolesk | ikke tilgængelig |
| Mulige værdier | false (standard) sand |
ikke tilgængelig |
Bemærk!
Tilgængelig i Defender for Endpoint version 101.23062.0010 eller nyere.
Indstillinger for skybaseret beskyttelse
Posten cloudService i konfigurationsprofilen bruges til at konfigurere produktets skybaserede beskyttelsesfunktion.
Bemærk!
Cloudbaseret beskyttelse gælder med alle indstillinger for håndhævelsesniveau (real_time, on_demand, passiv).
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | cloudService | Indstillinger for cloudbaseret beskyttelse |
| Datatype | Ordbog (indlejret indstilling) | Skjult sektion |
| Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. | Se følgende afsnit for at få en beskrivelse af politikkens indstillinger. |
Aktivér/deaktiver cloudbaseret beskyttelse
Bestemmer, om skybaseret beskyttelse er aktiveret på enheden eller ej. Hvis du vil forbedre sikkerheden for dine tjenester, anbefaler vi, at du holder denne funktion aktiveret.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | Aktiveret | Aktivér cloudbaseret beskyttelse |
| Datatype | Boolesk | Rulleliste |
| Mulige værdier | true (standard)
|
Ikke konfigureret Handicappet Aktiveret (standard) |
Niveau for indsamling af diagnosticering
Diagnosticeringsdata bruges til at holde Defender for Endpoint sikker og opdateret, registrere, diagnosticere og løse problemer og også foretage produktforbedringer. Denne indstilling bestemmer niveauet af diagnosticering, der sendes af produktet til Microsoft. Du kan finde flere oplysninger under Beskyttelse af personlige oplysninger for Microsoft Defender for Endpoint på Linux.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | diagnosticLevel | Niveau for indsamling af diagnosticeringsdata |
| Datatype | String | Rulleliste |
| Mulige værdier | optional
|
Ikke konfigureret valgfri (standard) Kræves |
Konfigurer niveau for skyblokering
Denne indstilling bestemmer, hvor aggressiv Defender for Endpoint blokerer og scanner mistænkelige filer. Hvis denne indstilling er slået til, er Defender for Endpoint mere aggressiv, når mistænkelige filer skal blokeres og scannes. ellers er den mindre aggressiv og blokerer derfor og scanner med mindre hyppighed.
Der er fem værdier til angivelse af skyblokeringsniveau:
- Normal (
normal): Standardblokeringsniveauet. - Moderat (
moderate): Leverer kun dom for registreringer med høj genkendelsessikkerhed. - Høj (
high): Blokerer aggressivt ukendte filer, mens den optimeres til ydeevne (større chance for at blokere ikke-skadelige filer). - High Plus (
high_plus): Blokerer ukendte filer aggressivt og anvender yderligere beskyttelsesforanstaltninger (kan påvirke klientens enheds ydeevne). - Nultolerance (
zero_tolerance): Blokerer alle ukendte programmer.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | cloudBlockLevel | Konfigurer niveau for skyblokering |
| Datatype | String | Rulleliste |
| Mulige værdier | normal (standard)
|
Ikke konfigureret Normal (standard) Moderat Høj High_Plus Zero_Tolerance |
Bemærk!
Tilgængelig i Defender for Endpoint version 101.56.62 eller nyere.
Aktivér/deaktiver automatiske eksempelindsendelser
Bestemmer, om mistænkelige eksempler (der sandsynligvis indeholder trusler) sendes til Microsoft. Der er tre niveauer til styring af indsendelse af eksempler:
- Ingen: Der sendes ingen mistænkelige eksempler til Microsoft.
- Sikkert: Det er kun mistænkelige eksempler, der ikke indeholder personidentificerbare oplysninger, der sendes automatisk. Dette er standardværdien for denne indstilling.
- Alle: Alle mistænkelige eksempler sendes til Microsoft.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | automaticSampleSubmissionConsent | Aktivér automatiske eksempelindsendelser |
| Datatype | String | Rulleliste |
| Mulige værdier | none
|
Ikke konfigureret Ingen Sikker (standard) Alle |
Aktivér/deaktiver automatiske sikkerhedsintelligensopdateringer
Bestemmer, om sikkerhedsintelligensopdateringer installeres automatisk:
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | automaticDefinitionUpdateEnabled | Automatiske opdateringer til sikkerhedsintelligens |
| Datatype | Boolesk | Rulleliste |
| Mulige værdier | true (standard)
|
Ikke konfigureret Handicappet Aktiveret (standard) |
Avancerede valgfrie funktioner
Følgende indstillinger kan konfigureres til at aktivere visse avancerede funktioner.
Bemærk!
Aktivering af disse funktioner kan påvirke enhedens ydeevne. Det anbefales at beholde standardindstillingerne.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | Funktioner | Ikke tilgængelig |
| Datatype | Ordbog (indlejret indstilling) | ikke tilgængelig |
| Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. |
Funktion til modulindlæsning
Bestemmer, om modulindlæsningshændelser (filåbningshændelser på delte biblioteker) overvåges.
Bemærk!
Denne funktion er kun tilgængelig, når overvågning af funktionsmåde er aktiveret.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | moduleLoad | Ikke tilgængelig |
| Datatype | String | ikke tilgængelig |
| Mulige værdier | deaktiveret (standard) Aktiveret |
ikke tilgængelig |
| Kommentarer | Tilgængelig i Defender for Endpoint version 101.68.80 eller nyere. |
Supplerende sensorkonfigurationer
Følgende indstillinger kan bruges til at konfigurere visse avancerede supplerende sensorfunktioner.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | supplerendeSensorConfigurations | Ikke tilgængelig |
| Datatype | Ordbog (indlejret indstilling) | ikke tilgængelig |
| Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. |
Konfigurer overvågning af hændelser for filænding af tilladelser
Bestemmer, om hændelser for filænding af tilladelser (chmod) overvåges.
Bemærk!
Når denne funktion er aktiveret, overvåger Defender for Endpoint ændringer af udførelsesbittene af filer, men scanner ikke disse hændelser. Du kan finde flere oplysninger i afsnittet Avancerede scanningsfunktioner for at få flere oplysninger.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | enableFilePermissionEvents | Ikke tilgængelig |
| Datatype | String | ikke tilgængelig |
| Mulige værdier | deaktiveret (standard) Aktiveret |
ikke tilgængelig |
| Kommentarer | Tilgængelig i Defender for Endpoint version 101.23062.0010 eller nyere. |
Konfigurer overvågning af ejerskabshændelser for filænding
Bestemmer, om hændelser for ændring af ejerskab (chown) overvåges.
Bemærk!
Når denne funktion er aktiveret, overvåger Defender for Endpoint ændringer af ejerskabet af filer, men scanner ikke disse hændelser. Du kan finde flere oplysninger i afsnittet Avancerede scanningsfunktioner for at få flere oplysninger.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | enableFileOwnershipEvents | Ikke tilgængelig |
| Datatype | String | ikke tilgængelig |
| Mulige værdier | deaktiveret (standard) Aktiveret |
ikke tilgængelig |
| Kommentarer | Tilgængelig i Defender for Endpoint version 101.23062.0010 eller nyere. |
Konfigurer overvågning af rå sokkelhændelser
Bestemmer, om netværkssokkelhændelser, der involverer oprettelse af rå sockets/pakke sockets eller indstilling af socket-indstillinger, overvåges.
Bemærk!
Denne funktion er kun tilgængelig, når overvågning af funktionsmåde er aktiveret. Når denne funktion er aktiveret, overvåger Defender for Endpoint disse hændelser for netværkssokkel, men scanner ikke disse hændelser. Du kan finde flere oplysninger i afsnittet Avancerede scanningsfunktioner ovenfor for at få flere oplysninger.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | enableRawSocketEvent | Ikke tilgængelig |
| Datatype | String | ikke tilgængelig |
| Mulige værdier | deaktiveret (standard) Aktiveret |
ikke tilgængelig |
| Kommentarer | Tilgængelig i Defender for Endpoint version 101.23062.0010 eller nyere. |
Konfigurer overvågning af startindlæsningshændelser
Bestemmer, om startindlæsningshændelser overvåges og scannes.
Bemærk!
Denne funktion er kun tilgængelig, når overvågning af funktionsmåde er aktiveret.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | enableBootLoaderCalls | Ikke tilgængelig |
| Datatype | String | ikke tilgængelig |
| Mulige værdier | deaktiveret (standard) Aktiveret |
ikke tilgængelig |
| Kommentarer | Tilgængelig i Defender for Endpoint version 101.68.80 eller nyere. |
Konfigurer overvågning af ptrace-hændelser
Bestemmer, om ptrace-hændelser overvåges og scannes.
Bemærk!
Denne funktion er kun tilgængelig, når overvågning af funktionsmåde er aktiveret.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | enableProcessCalls | Ikke tilgængelig |
| Datatype | String | ikke tilgængelig |
| Mulige værdier | deaktiveret (standard) Aktiveret |
ikke tilgængelig |
| Kommentarer | Tilgængelig i Defender for Endpoint version 101.68.80 eller nyere. |
Konfigurer overvågning af pseudofs-hændelser
Bestemmer, om pseudofs-hændelser overvåges og scannes.
Bemærk!
Denne funktion er kun tilgængelig, når overvågning af funktionsmåde er aktiveret.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | enablePseudofsCalls | Ikke tilgængelig |
| Datatype | String | ikke tilgængelig |
| Mulige værdier | deaktiveret (standard) Aktiveret |
ikke tilgængelig |
| Kommentarer | Tilgængelig i Defender for Endpoint version 101.68.80 eller nyere. |
Konfigurer overvågning af modulindlæsningshændelser ved hjælp af eBPF
Bestemmer, om modulindlæsningshændelser overvåges ved hjælp af eBPF og scannes.
Bemærk!
Denne funktion er kun tilgængelig, når overvågning af funktionsmåde er aktiveret.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | enableEbpfModuleLoadEvents | Ikke tilgængelig |
| Datatype | String | ikke tilgængelig |
| Mulige værdier | deaktiveret (standard) Aktiveret |
ikke tilgængelig |
| Kommentarer | Tilgængelig i Defender for Endpoint version 101.68.80 eller nyere. |
Rapportér AV-mistænkelige hændelser til EDR
Bestemmer, om mistænkelige hændelser fra Antivirus rapporteres til EDR.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | sendLowfiEvents | Ikke tilgængelig |
| Datatype | String | ikke tilgængelig |
| Mulige værdier | deaktiveret (standard) Aktiveret |
ikke tilgængelig |
| Kommentarer | Tilgængelig i Defender for Endpoint version 101.23062.0010 eller nyere. |
Konfigurationer af netværksbeskyttelse
Følgende indstillinger kan bruges til at konfigurere avancerede funktioner til inspektion af Netværksbeskyttelse for at styre, hvilken trafik der kontrolleres af Network Protection.
Bemærk!
Hvis disse skal være effektive, skal Netværksbeskyttelse være aktiveret. Du kan få flere oplysninger under Slå netværksbeskyttelse til for Linux.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | networkProtection | Netværksbeskyttelse |
| Datatype | Ordbog (indlejret indstilling) | Skjult sektion |
| Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. | Se følgende afsnit for at få en beskrivelse af politikindstillingerne. |
Håndhævelsesniveau
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | enforcementLevel | Håndhævelsesniveau |
| Datatype | String | Rulleliste |
| Mulige værdier | disabled (standard)audit block |
Ikke konfigureret deaktiveret (standard) revision blok |
Konfigurer ICMP-inspektion
Bestemmer, om ICMP-hændelser overvåges og scannes.
Bemærk!
Denne funktion er kun tilgængelig, når overvågning af funktionsmåde er aktiveret.
| Beskrivelse | JSON-værdi | Værdi for Defender-portal |
|---|---|---|
| Nøgle | disableIcmpInspection | Ikke tilgængelig |
| Datatype | Boolesk | ikke tilgængelig |
| Mulige værdier | true (standard)
|
ikke tilgængelig |
| Kommentarer | Tilgængelig i Defender for Endpoint version 101.23062.0010 eller nyere. |
Anbefalet konfigurationsprofil
For at komme i gang anbefaler vi følgende konfigurationsprofil, så din virksomhed kan drage fordel af alle de beskyttelsesfunktioner, som Defender for Endpoint indeholder.
Følgende konfigurationsprofil vil:
- Aktivér beskyttelse i realtid (RTP)
- Angiv, hvordan følgende trusselstyper skal håndteres:
- Potentielt uønskede programmer (PUA) er blokeret
- Arkivbomber (fil med en høj komprimeringshastighed) overvåges til produktloggene
- Aktivér automatiske sikkerhedsintelligensopdateringer
- Aktivér skybaseret beskyttelse
- Aktivér automatisk afsendelse af eksempel på
safeniveau
Eksempelprofil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Eksempel på profil med fuld konfiguration
Følgende konfigurationsprofil indeholder poster for alle indstillinger, der er beskrevet i dette dokument, og kan bruges til mere avancerede scenarier, hvor du vil have mere kontrol over produktet.
Bemærk!
Det er ikke muligt at styre al Microsoft Defender for Endpoint-kommunikation med kun en proxyindstilling i denne JSON.
Fuld profil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Føj mærke- eller gruppe-id'et til konfigurationsprofilen
Når du kører kommandoen mdatp health for første gang, er værdien for mærket og gruppe-id'et tom. Hvis du vil føje kode- eller gruppe-id'et til mdatp_managed.json filen, skal du følge nedenstående trin:
- Åbn konfigurationsprofilen fra stien
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json. - Gå ned til bunden af filen, hvor
cloudServiceblokken er placeret. - Tilføj det påkrævede kode- eller gruppe-id som følgende eksempel i slutningen af den krøllede højreparentes for
cloudService.
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
Bemærk!
Tilføj kommaet efter den krøllede højreparentes i slutningen af cloudService blokken. Sørg også for, at der er to krøllede højreparenteser efter tilføjelse af tag- eller gruppe-id-blok (se ovenstående eksempel). I øjeblikket er GROUPdet eneste understøttede nøglenavn for mærker .
Validering af konfigurationsprofil
Konfigurationsprofilen skal være en gyldig JSON-formateret fil. Der er mange værktøjer, der kan bruges til at bekræfte dette. Hvis du f.eks. har python installeret på din enhed:
python -m json.tool mdatp_managed.json
Hvis JSON er korrekt udformet, sender ovenstående kommando den tilbage til Terminal og returnerer en afslutningskode for 0. Ellers vises en fejl, der beskriver problemet, og kommandoen returnerer en afslutningskode for 1.
Kontrollerer, at den mdatp_managed.json fil fungerer som forventet
Hvis du vil kontrollere, at din /etc/opt/microsoft/mdatp/managed/mdatp_managed.json fungerer korrekt, skal du se "[administreret]" ud for disse indstillinger:
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
Bemærk!
Der kræves ingen genstart af mdatp daemon, for at ændringer af de fleste konfigurationer i mdatp_managed.json kan træde i kraft. Undtagelse: Følgende konfigurationer kræver, at en daemongenstart træder i kraft:
- clouddiagnosticering
- log-rotation-parametre
Udrulning af konfigurationsprofil
Når du har bygget konfigurationsprofilen for din virksomhed, kan du udrulle den via det administrationsværktøj, som din virksomhed bruger. Defender for Endpoint på Linux læser den administrerede konfiguration fra filen /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om