Angiv indstillinger for Microsoft Defender for Endpoint på Linux
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Vigtigt!
Dette emne indeholder instruktioner til, hvordan du angiver indstillinger for Defender for Endpoint på Linux i virksomhedsmiljøer. Hvis du er interesseret i at konfigurere produktet på en enhed fra kommandolinjen, skal du se Ressourcer.
I virksomhedsmiljøer kan Defender for Endpoint på Linux administreres via en konfigurationsprofil. Denne profil installeres fra det administrationsværktøj, du vælger. Indstillinger, der administreres af virksomheden, har forrang frem for dem, der er angivet lokalt på enheden. Med andre ord kan brugere i din virksomhed ikke ændre indstillinger, der er angivet via denne konfigurationsprofil. Hvis der blev tilføjet udeladelser via den administrerede konfigurationsprofil, kan de kun fjernes via den administrerede konfigurationsprofil. Kommandolinjen fungerer for undtagelser, der er tilføjet lokalt.
I denne artikel beskrives strukturen af denne profil (herunder en anbefalet profil, som du kan bruge til at komme i gang) og instruktioner til, hvordan du installerer profilen.
Struktur for konfigurationsprofil
Konfigurationsprofilen er en .json fil, der består af poster, der er identificeret af en nøgle (som angiver navnet på præferencen) efterfulgt af en værdi, som afhænger af typen af præference. Værdier kan være enkle, f.eks. en numerisk værdi eller komplekse, f.eks. en indlejret liste over indstillinger.
Du vil typisk bruge et værktøj til administration af konfiguration til at pushoverføre en fil med navnet mdatp_managed.json
på placeringen /etc/opt/microsoft/mdatp/managed/
.
Det øverste niveau i konfigurationsprofilen omfatter indstillinger for hele produktet og poster for underområder af produktet, som forklares mere detaljeret i de næste afsnit.
Indstillinger for antivirusprogram
Afsnittet antivirusEngine i konfigurationsprofilen bruges til at administrere indstillingerne for produktets antiviruskomponent.
Beskrivelse | Værdi |
---|---|
Tast | antivirusEngine |
Datatype | Ordbog (indlejret indstilling) |
Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. |
Håndhævelsesniveau for antivirusprogram
Angiver, hvordan antivirusprogrammet gennemtvinges. Der er tre værdier til angivelse af håndhævelsesniveau:
- Realtid (
real_time
): Beskyttelse i realtid (scan filer, når de ændres) er aktiveret. - On-demand (
on_demand
): Filer scannes kun efter behov. I denne:- Beskyttelse i realtid er slået fra.
- Passiv (
passive
): Kører antivirusprogrammet i passiv tilstand. I denne:- Beskyttelse i realtid er slået fra: Trusler afhjælpes ikke af Microsoft Defender Antivirus.
- Scanning efter behov er slået til: Brug stadig scanningsfunktionerne på slutpunktet.
- Automatisk afhjælpning af trusler er slået fra: Ingen filer flyttes, og sikkerhedsadministratoren forventes at udføre de nødvendige handlinger.
- Opdateringer til sikkerhedsintelligens er slået til: Beskeder vil være tilgængelige på lejeren sikkerhedsadministratorer.
Beskrivelse | Værdi |
---|---|
Tast | enforcementLevel |
Datatype | String |
Mulige værdier | real_time on_demand passive (standard) |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.10.72 eller nyere. Standarden ændres fra real_time til passiv for Endpoint version 101.23062.0001 eller nyere. |
Aktivér/deaktiver adfærdsovervågning
Bestemmer, om funktionsmådeovervågning og -blokering er aktiveret på enheden eller ej.
Bemærk!
Denne funktion er kun tilgængelig, når funktionen beskyttelse af Real-Time er aktiveret.
Beskrivelse | Værdi |
---|---|
Tast | behaviorMonitoring |
Datatype | String |
Mulige værdier | deaktiveret (standard) Aktiveret |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.45.00 eller nyere. |
Kør en scanning, når definitioner er opdateret
Angiver, om en processcanning skal startes, når nye sikkerhedsintelligensopdateringer er downloadet på enheden. Aktivering af denne indstilling udløser en antivirusscanning på de kørende processer på enheden.
Beskrivelse | Værdi |
---|---|
Tast | scanAfterDefinitionUpdate |
Datatype | Boolesk |
Mulige værdier | true (standard) Falsk |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.45.00 eller nyere. |
Scan arkiver (kun antivirusscanninger efter behov)
Angiver, om arkiver skal scannes under antivirusscanninger efter behov.
Bemærk!
Arkivfiler scannes aldrig under beskyttelse i realtid. Når filerne i et arkiv pakkes ud, scannes de. Indstillingen scanArchives kan kun bruges til at gennemtvinge scanning af arkiver under scanning efter behov.
Beskrivelse | Værdi |
---|---|
Tast | scanArchives |
Datatype | Boolesk |
Mulige værdier | true (standard) Falsk |
Kommentarer | Tilgængelig i Microsoft Defender for Endpoint version 101.45.00 eller nyere. |
Graden af parallelitet for scanninger efter behov
Angiver graden af parallelitet for scanninger efter behov. Dette svarer til antallet af tråde, der bruges til at udføre scanningen og påvirker CPU-forbruget, og varigheden af scanningen efter behov.
Beskrivelse | Værdi |
---|---|
Tast | maximumOnDemandScanThreads |
Datatype | Heltal |
Mulige værdier | 2 (standard). Tilladte værdier er heltal mellem 1 og 64. |
Kommentarer | Tilgængelig i Microsoft Defender for Endpoint version 101.45.00 eller nyere. |
Politik for fletning af udeladelse
Angiver flettepolitikken for udeladelser. Det kan være en kombination af administratordefinerede og brugerdefinerede udeladelser (merge
) eller kun administratordefinerede udeladelser (admin_only
). Denne indstilling kan bruges til at forhindre lokale brugere i at definere deres egne udeladelser.
Beskrivelse | Værdi |
---|---|
Tast | exclusionsMergePolicy |
Datatype | String |
Mulige værdier | flet (standard) admin_only |
Kommentarer | Tilgængelig i Defender for Endpoint version 100.83.73 eller nyere. |
Scan udeladelser
Enheder, der er blevet udelukket fra scanningen. Udeladelser kan angives af fulde stier, filtypenavne eller filnavne. (Udeladelser er angivet som en matrix af elementer. administratoren kan angive lige så mange elementer, som det er nødvendigt, i vilkårlig rækkefølge).
Beskrivelse | Værdi |
---|---|
Tast | Udelukkelser |
Datatype | Ordbog (indlejret indstilling) |
Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. |
Type af udeladelse
Angiver den type indhold, der er udeladt fra scanningen.
Beskrivelse | Værdi |
---|---|
Tast | $type |
Datatype | String |
Mulige værdier | excludedPath excludedFileExtension excludedFileName |
Sti til udeladt indhold
Bruges til at udelade indhold fra scanningen ved hjælp af hele filstien.
Beskrivelse | Værdi |
---|---|
Tast | Sti |
Datatype | String |
Mulige værdier | gyldige stier |
Kommentarer | Gælder kun, hvis $type er udeladtPath |
Stitype (fil/mappe)
Angiver, om stiegenskaben refererer til en fil eller mappe.
Beskrivelse | Værdi |
---|---|
Tast | isDirectory |
Datatype | Boolesk |
Mulige værdier | false (standard) Sandt |
Kommentarer | Gælder kun, hvis $type er udeladtPath |
Filtypenavnet blev udelukket fra scanningen
Bruges til at udelade indhold fra scanningen med filtypenavnet.
Beskrivelse | Værdi |
---|---|
Tast | Udvidelse |
Datatype | String |
Mulige værdier | gyldige filtypenavne |
Kommentarer | Gælder kun, hvis $type er udeladtFileExtension |
Processen er udelukket fra scanningen*
Angiver en proces, hvor alle filaktiviteter udelades fra scanning. Processen kan angives enten ved hjælp af dens navn (f.eks. cat
) eller hele stien (f.eks. /bin/cat
).
Beskrivelse | Værdi |
---|---|
Tast | Navn |
Datatype | String |
Mulige værdier | en hvilken som helst streng |
Kommentarer | Gælder kun, hvis $type er udeladtFileName |
Slår tilslutninger, der ikke er medlemmer af Exec, fra
Angiver funktionsmåden for RTP på tilslutningspunkt, der er markeret som noexec. Der er to værdier for indstillingen:
- Ikke slået til (
unmute
): Standardværdien, alle tilslutningspunkter scannes som en del af RTP. - Slået fra (
mute
): Tilslutningspunkter, der er markeret som noexec, scannes ikke som en del af RTP. Disse tilslutningspunkter kan oprettes for:- Databasefiler på databaseservere til opbevaring af databasefiler.
- Filserveren kan bevare datafil-tilslutningspunkter uden nogen eksekueringsmulighed.
- Sikkerhedskopiering kan bevare datafiler med tilslutningspunkter uden nogen eksekueringsmulighed.
Beskrivelse | Værdi |
---|---|
Tast | nonExecMountPolicy |
Datatype | String |
Mulige værdier | slå lyd til (standard) Mute |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.85.27 eller nyere. |
Fjern overvågning af filsystemer
Konfigurer filsystemerne, så de ikke overvåges/udelades fra realtidsbeskyttelse (RTP). De konfigurerede filsystemer valideres i forhold til Microsoft Defender liste over tilladte filsystemer. Først efter valideringen er fuldført, kan filsystemet ikke overvåges. Disse konfigurerede filsystemer, der ikke overvåges, scannes stadig af hurtig-, fuld- og brugerdefinerede scanninger.
Beskrivelse | Værdi |
---|---|
Tast | unmonitoredFilesystems |
Datatype | Matrix af strenge |
Kommentarer | Det konfigurerede filsystem bliver kun overvåget, hvis det findes på Microsofts liste over tilladte ikke-overvågede filsystemer. |
NFS og Fuse overvåges som standard ikke fra RTP-, Quick- og Full-scanninger. De kan dog stadig scannes ved hjælp af en brugerdefineret scanning. Hvis du f.eks. vil fjerne NFS fra listen over ikke-overvågede filsystemer, skal du opdatere den administrerede konfigurationsfil som vist nedenfor. Dette føjer automatisk NFS til listen over overvågede filsystemer til RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Hvis du vil fjerne både NFS og Fuse fra en ikke-overvåget liste over filsystemer, skal du gøre følgende
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Bemærk!
Nedenfor er standardlisten over overvågede filsystemer til RTP -
[btrfs, ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, reiserfs, tmpfs, vfat, xfs]
Hvis et overvåget filsystem skal føjes til listen over ikke-overvågede filsystemer, skal det evalueres og aktiveres af Microsoft via cloudkonfigurationen. Efter hvilke kunder kan opdatere managed_mdatp.json til at fjerne overvågning af dette filsystem.
Konfigurer funktionen til beregning af filhash
Aktiverer eller deaktiverer funktionen til beregning af filhash. Når denne funktion er aktiveret, beregner Defender for Endpoint hashes for filer, den scanner. Bemærk, at aktivering af denne funktion kan påvirke enhedens ydeevne. Du kan finde flere oplysninger under: Create indikatorer for filer.
Beskrivelse | Værdi |
---|---|
Tast | enableFileHashComputation |
Datatype | Boolesk |
Mulige værdier | false (standard) Sandt |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.85.27 eller nyere. |
Tilladte trusler
Liste over trusler (identificeret ved deres navn), der ikke er blokeret af produktet, og som i stedet har tilladelse til at køre.
Beskrivelse | Værdi |
---|---|
Tast | allowedThreats |
Datatype | Matrix af strenge |
Ikke-tilladte trusselshandlinger
Begrænser de handlinger, som den lokale bruger af en enhed kan foretage, når der registreres trusler. De handlinger, der er inkluderet på denne liste, vises ikke i brugergrænsefladen.
Beskrivelse | Værdi |
---|---|
Tast | disallowedThreatActions |
Datatype | Matrix af strenge |
Mulige værdier | allow (begrænser brugernes mulighed for at tillade trusler) gendannelse (begrænser brugere i at gendanne trusler fra karantænen) |
Kommentarer | Tilgængelig i Defender for Endpoint version 100.83.73 eller nyere. |
Indstillinger for trusselstype
Indstillingen threatTypeSettings i antivirusprogrammet bruges til at styre, hvordan visse trusselstyper håndteres af produktet.
Beskrivelse | Værdi |
---|---|
Tast | threatTypeSettings |
Datatype | Ordbog (indlejret indstilling) |
Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. |
Trusselstype
Type af trussel, som funktionsmåden er konfigureret for.
Beskrivelse | Værdi |
---|---|
Tast | Nøglen |
Datatype | String |
Mulige værdier | potentially_unwanted_application archive_bomb |
Handling, der skal udføres
Handling, der skal udføres, når der opstår en trussel af den type, der er angivet i foregående afsnit. Kan være:
- Overvågning: Enheden er ikke beskyttet mod denne type trussel, men der logføres en post om truslen.
- Blok: Enheden er beskyttet mod denne type trussel, og du får besked i sikkerhedskonsollen.
- Fra: Enheden er ikke beskyttet mod denne type trussel, og der logføres intet.
Beskrivelse | Værdi |
---|---|
Tast | Værdi |
Datatype | String |
Mulige værdier | audit (standard) Blok Ud |
Politik for fletning af indstillinger for trusselstype
Angiver flettepolitikken for indstillinger for trusselstyper. Dette kan være en kombination af administratordefinerede og brugerdefinerede indstillinger (merge
) eller kun administratordefinerede indstillinger (admin_only
). Denne indstilling kan bruges til at begrænse lokale brugere fra at definere deres egne indstillinger for forskellige trusselstyper.
Beskrivelse | Værdi |
---|---|
Tast | threatTypeSettingsMergePolicy |
Datatype | String |
Mulige værdier | flet (standard) admin_only |
Kommentarer | Tilgængelig i Defender for Endpoint version 100.83.73 eller nyere. |
Opbevaring af antivirusscanningshistorik (i dage)
Angiv det antal dage, resultaterne bevares i scanningshistorikken på enheden. Gamle scanningsresultater fjernes fra oversigten. Gamle filer i karantæne, der også er fjernet fra disken.
Beskrivelse | Værdi |
---|---|
Tast | scanResultsRetentionDays |
Datatype | String |
Mulige værdier | 90 (standard). Tilladte værdier er fra 1 dag til 180 dage. |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.04.76 eller nyere. |
Maksimalt antal elementer i historikken for antivirusscanning
Angiv det maksimale antal poster, der skal bevares i scanningsoversigten. Poster omfatter alle scanninger efter behov, der er udført tidligere, og alle antivirusregistreringer.
Beskrivelse | Værdi |
---|---|
Tast | scanHistoryMaximumItems |
Datatype | String |
Mulige værdier | 10000 (standard). Tilladte værdier er fra 5000 elementer til 15000 elementer. |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.04.76 eller nyere. |
Avancerede scanningsindstillinger
Følgende indstillinger kan konfigureres til at aktivere visse avancerede scanningsfunktioner.
Bemærk!
Aktivering af disse funktioner kan påvirke enhedens ydeevne. Det anbefales derfor, at standardindstillingerne bevares.
Konfigurer scanning af hændelser for filænding af tilladelser
Når denne funktion er aktiveret, scanner Defender for Endpoint filer, når deres tilladelser er blevet ændret for at angive udførelsesbitten eller -bit'erne.
Bemærk!
Denne funktion er kun tilgængelig, når funktionen enableFilePermissionEvents
er aktiveret. Du kan finde flere oplysninger i afsnittet Avancerede valgfrie funktioner nedenfor for at få flere oplysninger.
Beskrivelse | Værdi |
---|---|
Tast | scanFileModifyPermissions |
Datatype | Boolesk |
Mulige værdier | false (standard) Sandt |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.23062.0010 eller nyere. |
Konfigurer scanning af ejerskabshændelser for filænding
Når denne funktion er aktiveret, scanner Defender for Endpoint de filer, som ejerskabet er ændret for.
Bemærk!
Denne funktion er kun tilgængelig, når funktionen enableFileOwnershipEvents
er aktiveret. Du kan finde flere oplysninger i afsnittet Avancerede valgfrie funktioner nedenfor for at få flere oplysninger.
Beskrivelse | Værdi |
---|---|
Tast | scanFileModifyOwnership |
Datatype | Boolesk |
Mulige værdier | false (standard) Sandt |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.23062.0010 eller nyere. |
Konfigurer scanning af rå sokkelhændelser
Når denne funktion er aktiveret, scanner Defender for Endpoint netværks socket-hændelser, f.eks. oprettelse af rå sockets/pakke sockets eller indstilling af socket-indstilling.
Bemærk!
Denne funktion er kun tilgængelig, når overvågning af funktionsmåde er aktiveret.
Bemærk!
Denne funktion er kun tilgængelig, når funktionen enableRawSocketEvent
er aktiveret. Du kan finde flere oplysninger i afsnittet Avancerede valgfrie funktioner nedenfor for at få flere oplysninger.
Beskrivelse | Værdi |
---|---|
Tast | scanNetworkSocketEvent |
Datatype | Boolesk |
Mulige værdier | false (standard) Sandt |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.23062.0010 eller nyere. |
Indstillinger for skybaseret beskyttelse
Posten cloudService i konfigurationsprofilen bruges til at konfigurere produktets skybaserede beskyttelsesfunktion.
Bemærk!
Cloudbaseret beskyttelse gælder med alle indstillinger for håndhævelsesniveau (real_time, on_demand, passiv).
Beskrivelse | Værdi |
---|---|
Tast | cloudService |
Datatype | Ordbog (indlejret indstilling) |
Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. |
Aktivér/deaktiver cloudbaseret beskyttelse
Bestemmer, om skybaseret beskyttelse er aktiveret på enheden eller ej. Hvis du vil forbedre sikkerheden for dine tjenester, anbefaler vi, at du holder denne funktion aktiveret.
Beskrivelse | Værdi |
---|---|
Tast | Aktiveret |
Datatype | Boolesk |
Mulige værdier | true (standard) Falsk |
Niveau for indsamling af diagnosticering
Diagnosticeringsdata bruges til at holde Defender for Endpoint sikker og opdateret, registrere, diagnosticere og løse problemer og også foretage produktforbedringer. Denne indstilling bestemmer niveauet af diagnosticering, der sendes af produktet til Microsoft.
Beskrivelse | Værdi |
---|---|
Tast | diagnosticLevel |
Datatype | String |
Mulige værdier | Valgfri påkrævet (standard) |
Konfigurer niveau for skyblokering
Denne indstilling bestemmer, hvor aggressiv Defender for Endpoint blokerer og scanner mistænkelige filer. Hvis denne indstilling er slået til, er Defender for Endpoint mere aggressiv, når mistænkelige filer skal blokeres og scannes. ellers er den mindre aggressiv og blokerer derfor og scanner med mindre hyppighed.
Der er fem værdier til angivelse af skyblokeringsniveau:
- Normal (
normal
): Standardblokeringsniveauet. - Moderat (
moderate
): Leverer kun dom for registreringer med høj genkendelsessikkerhed. - Høj (
high
): Blokerer aggressivt ukendte filer, mens den optimeres til ydeevne (større chance for at blokere ikke-skadelige filer). - High Plus (
high_plus
): Blokerer ukendte filer aggressivt og anvender yderligere beskyttelsesforanstaltninger (kan påvirke klientens enheds ydeevne). - Nultolerance (
zero_tolerance
): Blokerer alle ukendte programmer.
Beskrivelse | Værdi |
---|---|
Tast | cloudBlockLevel |
Datatype | String |
Mulige værdier | normal (standard) Moderat Høj high_plus zero_tolerance |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.56.62 eller nyere. |
Aktivér/deaktiver automatiske eksempelindsendelser
Bestemmer, om mistænkelige eksempler (der sandsynligvis indeholder trusler) sendes til Microsoft. Der er tre niveauer til styring af indsendelse af eksempler:
- Ingen: Der sendes ingen mistænkelige eksempler til Microsoft.
- Sikkert: Det er kun mistænkelige eksempler, der ikke indeholder personidentificerbare oplysninger, der sendes automatisk. Dette er standardværdien for denne indstilling.
- Alle: Alle mistænkelige eksempler sendes til Microsoft.
Beskrivelse | Værdi |
---|---|
Tast | automaticSampleSubmissionConsent |
Datatype | String |
Mulige værdier | Ingen safe (standard) Alle |
Aktivér/deaktiver automatiske sikkerhedsintelligensopdateringer
Bestemmer, om sikkerhedsintelligensopdateringer installeres automatisk:
Beskrivelse | Værdi |
---|---|
Tast | automaticDefinitionUpdateEnabled |
Datatype | Boolesk |
Mulige værdier | true (standard) Falsk |
Avancerede valgfrie funktioner
Følgende indstillinger kan konfigureres til at aktivere visse avancerede funktioner.
Bemærk!
Aktivering af disse funktioner kan påvirke enhedens ydeevne. Det anbefales at beholde standardindstillingerne.
Beskrivelse | Værdi |
---|---|
Tast | Funktioner |
Datatype | Ordbog (indlejret indstilling) |
Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. |
Funktion til modulindlæsning
Bestemmer, om modulindlæsningshændelser (filåbningshændelser på delte biblioteker) overvåges.
Bemærk!
Denne funktion er kun tilgængelig, når overvågning af funktionsmåde er aktiveret.
Beskrivelse | Værdi |
---|---|
Tast | moduleLoad |
Datatype | String |
Mulige værdier | deaktiveret (standard) Aktiveret |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.68.80 eller nyere. |
Supplerende sensorkonfigurationer
Følgende indstillinger kan bruges til at konfigurere visse avancerede supplerende sensorfunktioner.
Beskrivelse | Værdi |
---|---|
Tast | supplerendeSensorConfigurations |
Datatype | Ordbog (indlejret indstilling) |
Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. |
Konfigurer overvågning af hændelser for filænding af tilladelser
Bestemmer, om hændelser for filænding af tilladelser (chmod
) overvåges.
Bemærk!
Når denne funktion er aktiveret, overvåger Defender for Endpoint ændringer af udførelsesbittene af filer, men scanner ikke disse hændelser. Du kan finde flere oplysninger i afsnittet Avancerede scanningsfunktioner for at få flere oplysninger.
Beskrivelse | Værdi |
---|---|
Tast | enableFilePermissionEvents |
Datatype | String |
Mulige værdier | deaktiveret (standard) Aktiveret |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.23062.0010 eller nyere. |
Konfigurer overvågning af ejerskabshændelser for filænding
Bestemmer, om hændelser for ændring af ejerskab (chown) overvåges.
Bemærk!
Når denne funktion er aktiveret, overvåger Defender for Endpoint ændringer af ejerskabet af filer, men scanner ikke disse hændelser. Du kan finde flere oplysninger i afsnittet Avancerede scanningsfunktioner for at få flere oplysninger.
Beskrivelse | Værdi |
---|---|
Tast | enableFileOwnershipEvents |
Datatype | String |
Mulige værdier | deaktiveret (standard) Aktiveret |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.23062.0010 eller nyere. |
Konfigurer overvågning af rå sokkelhændelser
Bestemmer, om netværkssokkelhændelser, der involverer oprettelse af rå sockets/pakke sockets eller indstilling af socket-indstillinger, overvåges.
Bemærk!
Denne funktion er kun tilgængelig, når overvågning af funktionsmåde er aktiveret.
Bemærk!
Når denne funktion er aktiveret, overvåger Defender for Endpoint disse hændelser for netværkssokkel, men scanner ikke disse hændelser. Du kan finde flere oplysninger i afsnittet Avancerede scanningsfunktioner ovenfor for at få flere oplysninger.
Beskrivelse | Værdi |
---|---|
Tast | enableRawSocketEvent |
Datatype | String |
Mulige værdier | deaktiveret (standard) Aktiveret |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.23062.0010 eller nyere. |
Konfigurer overvågning af startindlæsningshændelser
Bestemmer, om startindlæsningshændelser overvåges og scannes.
Bemærk!
Denne funktion er kun tilgængelig, når overvågning af funktionsmåde er aktiveret.
Beskrivelse | Værdi |
---|---|
Tast | enableBootLoaderCalls |
Datatype | String |
Mulige værdier | deaktiveret (standard) Aktiveret |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.68.80 eller nyere. |
Konfigurer overvågning af ptrace-hændelser
Bestemmer, om ptrace-hændelser overvåges og scannes.
Bemærk!
Denne funktion er kun tilgængelig, når overvågning af funktionsmåde er aktiveret.
Beskrivelse | Værdi |
---|---|
Tast | enableProcessCalls |
Datatype | String |
Mulige værdier | deaktiveret (standard) Aktiveret |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.68.80 eller nyere. |
Konfigurer overvågning af pseudofs-hændelser
Bestemmer, om pseudofs-hændelser overvåges og scannes.
Bemærk!
Denne funktion er kun tilgængelig, når overvågning af funktionsmåde er aktiveret.
Beskrivelse | Værdi |
---|---|
Tast | enablePseudofsCalls |
Datatype | String |
Mulige værdier | deaktiveret (standard) Aktiveret |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.68.80 eller nyere. |
Konfigurer overvågning af modulindlæsningshændelser ved hjælp af eBPF
Bestemmer, om modulindlæsningshændelser overvåges ved hjælp af eBPF og scannes.
Bemærk!
Denne funktion er kun tilgængelig, når overvågning af funktionsmåde er aktiveret.
Beskrivelse | Værdi |
---|---|
Tast | enableEbpfModuleLoadEvents |
Datatype | String |
Mulige værdier | deaktiveret (standard) Aktiveret |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.68.80 eller nyere. |
Rapportér AV-mistænkelige hændelser til EDR
Bestemmer, om mistænkelige hændelser fra Antivirus rapporteres til EDR.
Beskrivelse | Værdi |
---|---|
Tast | sendLowfiEvents |
Datatype | String |
Mulige værdier | deaktiveret (standard) Aktiveret |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.23062.0010 eller nyere. |
Konfigurationer af netværksbeskyttelse
Følgende indstillinger kan bruges til at konfigurere avancerede funktioner til inspektion af Netværksbeskyttelse for at styre, hvilken trafik der kontrolleres af Network Protection.
Bemærk!
Hvis disse skal være effektive, skal Netværksbeskyttelse være aktiveret. Du kan få flere oplysninger under Slå netværksbeskyttelse til for Linux.
Beskrivelse | Værdi |
---|---|
Tast | networkProtection |
Datatype | Ordbog (indlejret indstilling) |
Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. |
Konfigurer ICMP-inspektion
Bestemmer, om ICMP-hændelser overvåges og scannes.
Bemærk!
Denne funktion er kun tilgængelig, når overvågning af funktionsmåde er aktiveret.
Beskrivelse | Værdi |
---|---|
Tast | disableIcmpInspection |
Datatype | Boolesk |
Mulige værdier | true (standard) Falsk |
Kommentarer | Tilgængelig i Defender for Endpoint version 101.23062.0010 eller nyere. |
Anbefalet konfigurationsprofil
For at komme i gang anbefaler vi følgende konfigurationsprofil, så din virksomhed kan drage fordel af alle de beskyttelsesfunktioner, som Defender for Endpoint indeholder.
Følgende konfigurationsprofil vil:
- Aktivér beskyttelse i realtid (RTP)
- Angiv, hvordan følgende trusselstyper skal håndteres:
- Potentielt uønskede programmer (PUA) er blokeret
- Arkivbomber (fil med en høj komprimeringshastighed) overvåges til produktloggene
- Aktivér automatiske sikkerhedsintelligensopdateringer
- Aktivér skybaseret beskyttelse
- Aktivér automatisk afsendelse af eksempel på
safe
niveau
Eksempelprofil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Eksempel på profil med fuld konfiguration
Følgende konfigurationsprofil indeholder poster for alle indstillinger, der er beskrevet i dette dokument, og kan bruges til mere avancerede scenarier, hvor du vil have mere kontrol over produktet.
Bemærk!
Det er ikke muligt at styre al Microsoft Defender for Endpoint kommunikation med en proxyindstilling i denne JSON.
Fuld profil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Føj mærke- eller gruppe-id'et til konfigurationsprofilen
Når du kører kommandoen mdatp health
for første gang, er værdien for mærket og gruppe-id'et tom. Hvis du vil føje kode- eller gruppe-id'et til mdatp_managed.json
filen, skal du følge nedenstående trin:
- Åbn konfigurationsprofilen fra stien
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json
. - Gå ned til bunden af filen, hvor
cloudService
blokken er placeret. - Tilføj det påkrævede kode- eller gruppe-id som følgende eksempel i slutningen af den krøllede højreparentes for
cloudService
.
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
Bemærk!
Tilføj kommaet efter den krøllede højreparentes i slutningen af cloudService
blokken. Sørg også for, at der er to krøllede højreparenteser efter tilføjelse af tag- eller gruppe-id-blok (se ovenstående eksempel). I øjeblikket er GROUP
det eneste understøttede nøglenavn for mærker .
Validering af konfigurationsprofil
Konfigurationsprofilen skal være en gyldig JSON-formateret fil. Der er mange værktøjer, der kan bruges til at bekræfte dette. Hvis du f.eks. har python
installeret på din enhed:
python -m json.tool mdatp_managed.json
Hvis JSON er korrekt udformet, sender ovenstående kommando den tilbage til Terminal og returnerer en afslutningskode for 0
. Ellers vises en fejl, der beskriver problemet, og kommandoen returnerer en afslutningskode for 1
.
Kontrollerer, at den mdatp_managed.json fil fungerer som forventet
Hvis du vil kontrollere, at din /etc/opt/microsoft/mdatp/managed/mdatp_managed.json fungerer korrekt, skal du se "[administreret]" ud for disse indstillinger:
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
Bemærk!
Der kræves ingen genstart af mdatp daemon, for at ændringer af de fleste konfigurationer i mdatp_managed.json kan træde i kraft. Undtagelse: Følgende konfigurationer kræver, at en daemongenstart træder i kraft:
- clouddiagnosticering
- log-rotation-parametre
Udrulning af konfigurationsprofil
Når du har bygget konfigurationsprofilen for din virksomhed, kan du udrulle den via det administrationsværktøj, som din virksomhed bruger. Defender for Endpoint på Linux læser den administrerede konfiguration fra filen /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under:Indsend og få vist feedback om