Teilen über


Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter Linux

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Wichtig

Dieser Artikel enthält Anweisungen zum Festlegen von Einstellungen für Defender für Endpunkt unter Linux in Unternehmensumgebungen. Wenn Sie das Produkt auf einem Gerät über die Befehlszeile konfigurieren möchten, finden Sie weitere Informationen unter Ressourcen.

In Unternehmensumgebungen kann Defender für Endpunkt unter Linux über ein Konfigurationsprofil verwaltet werden. Dieses Profil wird über das Verwaltungstool Ihrer Wahl bereitgestellt. Vom Unternehmen verwaltete Einstellungen haben Vorrang vor den lokal auf dem Gerät festgelegten Einstellungen. Anders ausgedrückt: Benutzer in Ihrem Unternehmen können keine Einstellungen ändern, die über dieses Konfigurationsprofil festgelegt werden. Wenn Ausschlüsse über das verwaltete Konfigurationsprofil hinzugefügt wurden, können sie nur über das verwaltete Konfigurationsprofil entfernt werden. Die Befehlszeile funktioniert für Lokal hinzugefügte Ausschlüsse.

In diesem Artikel werden die Struktur dieses Profils (einschließlich eines empfohlenen Profils, das Sie für den Einstieg verwenden können) und Anweisungen zum Bereitstellen des Profils beschrieben.

Struktur des Konfigurationsprofils

Das Konfigurationsprofil ist eine .json Datei, die aus Einträgen besteht, die durch einen Schlüssel identifiziert werden (der den Namen der Einstellung angibt), gefolgt von einem Wert, der von der Art der Einstellung abhängt. Werte können einfach sein, z. B. ein numerischer Wert, oder komplex, z. B. eine geschachtelte Liste von Einstellungen.

In der Regel würden Sie ein Konfigurationsverwaltungstool verwenden, um eine Datei mit dem Namen mdatp_managed.json am Speicherort zu pushen /etc/opt/microsoft/mdatp/managed/.

Die oberste Ebene des Konfigurationsprofils enthält produktweite Präferenzen und Einträge für Teilbereiche des Produkts, die in den nächsten Abschnitten ausführlicher erläutert werden.

Einstellungen der Antiviren-Engine

Der Abschnitt antivirusEngine des Konfigurationsprofils wird verwendet, um die Einstellungen der Antivirenkomponente des Produkts zu verwalten.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel antivirusEngine Antivirus-Engine
Datentyp Wörterbuch (geschachtelte Einstellung) Reduzierter Abschnitt
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. Eine Beschreibung der Richtlinieneigenschaften finden Sie in den folgenden Abschnitten.

Erzwingungsstufe für die Antiviren-Engine

Gibt die Erzwingungspräferenz des Antivirenmoduls an. Es gibt drei Werte zum Festlegen der Erzwingungsstufe:

  • Echtzeitschutz (real_time): Der Echtzeitschutz (Dateien beim Ändern überprüfen) ist aktiviert.
  • On-Demand (on_demand): Dateien werden nur bei Bedarf gescannt. In diesem Fall:
    • Der Echtzeitschutz ist deaktiviert.
    • Definitionsupdates erfolgen nur, wenn eine Überprüfung gestartet wird, auch wenn automaticDefinitionUpdateEnabled im bedarfsgesteuerten Modus auf true festgelegt ist.
  • Passiv (passive): Führt die Antiviren-Engine im passiven Modus aus. In diesem Fall gelten alle folgenden Punkte:
    • Echtzeitschutz ist deaktiviert: Bedrohungen werden nicht durch Microsoft Defender Antivirus behoben.
    • On-Demand-Überprüfung ist aktiviert: Verwenden Sie weiterhin die Scanfunktionen auf dem Endpunkt.
    • Automatische Bedrohungsbehebung ist deaktiviert: Es werden keine Dateien verschoben, und ihr Sicherheitsadministrator muss die erforderlichen Maßnahmen ergreifen.
    • Security Intelligence-Updates sind aktiviert: Warnungen sind im Mandanten des Sicherheitsadministrators verfügbar.
    • Definitionsupdates erfolgen nur, wenn eine Überprüfung gestartet wird, auch wenn automaticDefinitionUpdateEnabled im passiven Modus auf true festgelegt ist.
Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel enforcementLevel Erzwingungsstufe
Datentyp String Dropdown
Mögliche Werte real_time
on_demand
passive (Standard)
Nicht konfiguriert
Echtzeit
OnDemand
Passiv (Standard)

Hinweis

Verfügbar in Defender für Endpunkt-Version 101.10.72 oder höher. Der Standardwert wird in Defender für Endpunkt-Version 101.23062.0001 oder höher von real_timepassive in in geändert. Es wird empfohlen, auch geplante Überprüfungen gemäß den Anforderungen zu verwenden.

Aktivieren/Deaktivieren der Verhaltensüberwachung

Bestimmt, ob die Funktion zur Verhaltensüberwachung und -blockierung auf dem Gerät aktiviert ist oder nicht.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel behaviorMonitoring Aktivieren der Verhaltensüberwachung
Datentyp String Dropdown
Mögliche Werte disabled (Standard)

enabled

Nicht konfiguriert
Deaktiviert (Standard)
Aktiviert

Hinweis

Verfügbar in Defender für Endpunkt-Version 101.45.00 oder höher. Dieses Feature ist nur anwendbar, wenn Echtzeitschutz aktiviert ist.

Ausführen einer Überprüfung nach dem Aktualisieren von Definitionen

Gibt an, ob eine Prozessüberprüfung gestartet werden soll, nachdem neue Security Intelligence-Updates auf das Gerät heruntergeladen wurden. Wenn Sie diese Einstellung aktivieren, wird eine Antivirenüberprüfung für die ausgeführten Prozesse des Geräts ausgelöst.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel scanAfterDefinitionUpdate Aktivieren der Überprüfung nach dem Definitionsupdate
Datentyp Boolesch Dropdown
Mögliche Werte true (Standard)

false

Nicht konfiguriert
Deaktiviert
Aktiviert (Standard)

Hinweis

Verfügbar in Defender für Endpunkt-Version 101.45.00 oder höher. Dieses Feature funktioniert nur, wenn die Erzwingungsstufe auf real-timefestgelegt ist.

Scannen von Archiven (nur bedarfsgesteuerte Antivirenscans)

Gibt an, ob Archive bei bedarfsgesteuerten Antivirenscans überprüft werden sollen.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel scanArchives Aktivieren der Überprüfung von Archiven
Datentyp Boolesch Dropdown
Mögliche Werte true (Standard)

false

Nicht konfiguriert
Deaktiviert
Aktiviert (Standard)

Hinweis

Verfügbar in Microsoft Defender for Endpoint Version 101.45.00 oder höher. Archivdateien werden während des Echtzeitschutzes nie gescannt. Wenn die Dateien in einem Archiv extrahiert werden, werden sie gescannt. Die Option scanArchives kann verwendet werden, um die Überprüfung von Archiven nur während der bedarfsgesteuerten Überprüfung zu erzwingen.

Grad der Parallelität bei bedarfsgesteuerten Scans

Gibt den Grad der Parallelität für bedarfsgesteuerte Scans an. Dies entspricht der Anzahl der Threads, die zum Ausführen der Überprüfung verwendet werden, und wirkt sich auf die CPU-Auslastung und die Dauer der bedarfsgesteuerten Überprüfung aus.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel maximumOnDemandScanThreads Maximale Anzahl von Bei-Bedarf-Überprüfungsthreads
Datentyp Integer Umschalten & Ganzzahl umschalten
Mögliche Werte 2 (Standard). Zulässige Werte sind ganze Zahlen zwischen 1 und 64. Nicht konfiguriert (Standardwert ist 2)
Konfiguriert (umschalten) und ganze Zahl zwischen 1 und 64.

Hinweis

Verfügbar in Microsoft Defender for Endpoint Version 101.45.00 oder höher.

Ausschlusszusammenführungsrichtlinie

Gibt die Mergerichtlinie für Ausschlüsse an. Dabei kann es sich um eine Kombination aus vom Administrator definierten und benutzerdefinierten Ausschlüssen (merge) oder nur aus vom Administrator definierten Ausschlüssen (admin_only) handeln. Vom Administrator definierte (admin_only) sind Ausschlüsse, die von der Defender für Endpunkt-Richtlinie konfiguriert werden. Diese Einstellung kann verwendet werden, um lokale Benutzer daran zu hindern, ihre eigenen Ausschlüsse zu definieren.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel exclusionsMergePolicy Zusammenführen von Ausschlüssen
Datentyp String Dropdown
Mögliche Werte merge (Standard)

admin_only

Nicht konfiguriert
merge (Standard)
admin_only

Hinweis

Verfügbar in Defender für Endpunkt-Version 100.83.73 oder höher. Kann auch Ausschlüsse unter exclusionSettings konfigurieren.

Scanausschlüsse

Entitäten, die von der Überprüfung ausgeschlossen wurden. Ausschlüsse können durch vollständige Pfade, Erweiterungen oder Dateinamen angegeben werden. (Ausschlüsse werden als Array von Elementen angegeben, der Administrator kann beliebig viele Elemente in beliebiger Reihenfolge angeben.)

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel Ausschlüsse Scanausschlüsse
Datentyp Wörterbuch (geschachtelte Einstellung) Liste dynamischer Eigenschaften
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.
Art des Ausschlusses

Gibt den Typ des Inhalts an, der von der Überprüfung ausgeschlossen wird.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel $type Typ
Datentyp String "Drop Down"
Mögliche Werte excludedPath

excludedFileExtension

excludedFileName

Pfad
Dateierweiterung
Prozessname
Pfad zu ausgeschlossenen Inhalten

Wird verwendet, um Inhalte aus der Überprüfung anhand des vollständigen Dateipfads auszuschließen.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel path Pfad
Datentyp String String
Mögliche Werte Gültige Pfade Gültige Pfade
Kommentare Gilt nur, wenn $typeexcludedPath ist Zugriff im Popupfenster "Instance bearbeiten"
Pfadtyp (Datei/Verzeichnis)

Gibt an, ob die path-Eigenschaft auf eine Datei oder ein Verzeichnis verweist.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel isDirectory Is-Verzeichnis
Datentyp Boolesch Dropdown
Mögliche Werte false (Standard)

true

Aktiviert
Deaktiviert
Kommentare Gilt nur, wenn $typeexcludedPath ist Zugriff im Popupfenster "Instance bearbeiten"
Dateierweiterung von der Überprüfung ausgeschlossen

Wird verwendet, um Inhalte von der Dateierweiterung "Scan by" auszuschließen.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel Erweiterung Dateierweiterung
Datentyp String String
Mögliche Werte Gültige Dateierweiterungen Gültige Dateierweiterungen
Kommentare Gilt nur, wenn $typeausgeschlossen IstFileExtension Zugriff im Popupfenster "Instance konfigurieren"
Von der Überprüfung ausgeschlossener Prozess*

Gibt einen Prozess an, für den alle Dateiaktivitäten von der Überprüfung ausgeschlossen werden. Der Prozess kann entweder über seinen Namen (z. B cat. ) oder den vollständigen Pfad (z. B /bin/cat. ) angegeben werden.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel name Dateiname
Datentyp String String
Mögliche Werte beliebige Zeichenfolge beliebige Zeichenfolge
Kommentare Gilt nur, wenn $typeexcludedFileName ist Zugriff im Popupfenster "Instance konfigurieren"

Stummschalten von Nicht-Exec-Einbindungen

Gibt das Verhalten von RTP am Bereitstellungspunkt an, der als noexec gekennzeichnet ist. Es gibt zwei Werte für die Einstellung:

  • Unmuted (unmute): Der Standardwert, bei dem alle Bereitstellungspunkte als Teil von RTP gescannt werden.
  • Stummgeschaltet (mute): Als noexec gekennzeichnete Bereitstellungspunkte werden nicht als Teil von RTP überprüft. Diese Bereitstellungspunkt können für folgendes erstellt werden:
    • Datenbankdateien auf Datenbankservern zum Aufbewahren von Datenbankdateien.
    • Der Dateiserver kann Bereitstellungspunkte für Datendateien mit der Option "noexec" beibehalten.
    • Bei der Sicherung können Bereitstellungspunkte für Datendateien mit der Option "noexec" beibehalten werden.
Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel nonExecMountPolicy non execute mount mute
Datentyp String Dropdown
Mögliche Werte unmute (Standard)

mute

Nicht konfiguriert
Aufheben der Stummschaltung (Standard)
stumm

Hinweis

Verfügbar in Defender für Endpunkt-Version 101.85.27 oder höher.

Aufheben der Überwachung von Dateisystemen

Konfigurieren Sie Dateisysteme so, dass sie nicht überwacht/vom Echtzeitschutz (RTP) ausgeschlossen werden. Die konfigurierten Dateisysteme werden anhand der Liste der zulässigen Dateisysteme Microsoft Defender überprüft. Dateisysteme können nur nach erfolgreicher Validierung überwacht werden. Diese konfigurierten nicht überwachten Dateisysteme werden weiterhin durch schnelle, vollständige und benutzerdefinierte Überprüfungen in Microsoft Defender Antivirus überprüft.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel unmonitoredFilesystems Nicht überwachte Dateisysteme
Datentyp Array aus Zeichenfolgen Dynamische Zeichenfolgenliste

Hinweis

Das konfigurierte Dateisystem wird nur dann nicht überwacht, wenn es in der Liste zulässiger, nicht überwachter Dateisysteme von Microsoft vorhanden ist.

Standardmäßig werden NFS und Fuse von RTP-, Schnell- und Vollständigen Überprüfungen nicht überwacht. Sie können jedoch weiterhin durch einen benutzerdefinierten Scan gescannt werden. Um z. B. NFS aus der Liste der nicht überwachten Dateisysteme zu entfernen, aktualisieren Sie die verwaltete Konfigurationsdatei wie unten dargestellt. Dadurch wird NFS automatisch zur Liste der überwachten Dateisysteme für RTP hinzugefügt.

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["Fuse"]
  }
}

Um sowohl NFS als auch Fuse aus einer nicht überwachten Liste von Dateisystemen zu entfernen, gehen Sie wie folgt vor:

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

Hinweis

Dies ist die Standardliste der überwachten Dateisysteme für RTP: , , , ext2, ext3ext4, fuseblk, overlayjfsvfattmpfsreiserfsramfs. xfsecryptfsbtrfs

Wenn ein überwachtes Dateisystem zur Liste der nicht überwachten Dateisysteme hinzugefügt werden muss, muss es von Microsoft über die Cloudkonfiguration ausgewertet und aktiviert werden. Anschließend können Kunden managed_mdatp.json aktualisieren, um die Überwachung dieses Dateisystems aufzuheben.

Konfigurieren der Dateihashberechnungsfunktion

Aktiviert oder deaktiviert die Dateihashberechnungsfunktion. Wenn dieses Feature aktiviert ist, berechnet Defender für Endpunkt Hashes für Dateien, die überprüft werden. Beachten Sie, dass sich die Aktivierung dieses Features auf die Geräteleistung auswirken kann. Weitere Informationen finden Sie unter Erstellen von Indikatoren für Dateien.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel enableFileHashComputation Aktivieren der Dateihashberechnung
Datentyp Boolesch Dropdown
Mögliche Werte false (Standard)

true

Nicht konfiguriert
Deaktiviert (Standard)
Aktiviert

Hinweis

Verfügbar in Defender für Endpunkt-Version 101.85.27 oder höher.

Zulässige Bedrohungen

Liste der Bedrohungen (identifiziert durch ihren Namen), die vom Produkt nicht blockiert werden und stattdessen ausgeführt werden dürfen.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel allowedThreats Zulässige Bedrohungen
Datentyp Array aus Zeichenfolgen Dynamische Zeichenfolgenliste

Unzulässige Bedrohungsaktionen

Schränkt die Aktionen ein, die der lokale Benutzer eines Geräts ausführen kann, wenn Bedrohungen erkannt werden. Die in dieser Liste enthaltenen Aktionen werden nicht auf der Benutzeroberfläche angezeigt.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel disallowedThreatActions Unzulässige Bedrohungsaktionen
Datentyp Array aus Zeichenfolgen Dynamische Zeichenfolgenliste
Mögliche Werte allow (Verhindert, dass Benutzer Bedrohungen zulassen)

restore (Verhindert, dass Benutzer Bedrohungen aus der Quarantäne wiederherstellen)

allow (verhindert, dass Benutzer Bedrohungen zulassen)

wiederherstellen (schränkt Benutzer an der Wiederherstellung von Bedrohungen aus der Quarantäne ein)

Hinweis

Verfügbar in Defender für Endpunkt-Version 100.83.73 oder höher.

Einstellungen für Bedrohungstypen

Die Einstellung threatTypeSettings in der Antiviren-Engine wird verwendet, um zu steuern, wie bestimmte Bedrohungstypen vom Produkt behandelt werden.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel threatTypeSettings Einstellungen für Bedrohungstypen
Datentyp Wörterbuch (geschachtelte Einstellung) Liste dynamischer Eigenschaften
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. Eine Beschreibung der dynamischen Eigenschaften finden Sie in den folgenden Abschnitten.
Bedrohungstyp

Art der Bedrohung, für die das Verhalten konfiguriert ist.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel Schlüssel Bedrohungstyp
Datentyp String Dropdown
Mögliche Werte potentially_unwanted_application

archive_bomb

potentially_unwanted_application

archive_bomb

Zu ergreifende Maßnahme

Aktion, die ausgeführt werden soll, wenn eine Bedrohung des im vorherigen Abschnitt angegebenen Typs angezeigt wird. Dies kann folgendes sein:

  • Überwachung: Das Gerät ist nicht vor dieser Art von Bedrohung geschützt, aber ein Eintrag zur Bedrohung wird protokolliert. (Standard)
  • Blockieren: Das Gerät ist vor dieser Art von Bedrohung geschützt, und Sie werden in der Sicherheitskonsole benachrichtigt.
  • Aus: Das Gerät ist nicht vor dieser Art von Bedrohung geschützt, und es wird nichts protokolliert.
Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel Wert Zu ergreifende Maßnahme
Datentyp String Dropdown
Mögliche Werte audit (Standard)

block

off

Rechnungsprüfung

Block

Aus

Richtlinie zum Zusammenführen von Bedrohungstypeinstellungen

Gibt die Mergerichtlinie für Bedrohungstypeinstellungen an. Dies kann eine Kombination aus vom Administrator definierten und benutzerdefinierten Einstellungen (merge) oder nur aus vom Administrator definierten Einstellungen (admin_only) sein. Vom Administrator definierte (admin_only) sind Bedrohungstypeinstellungen, die von der Defender für Endpunkt-Richtlinie konfiguriert werden. Diese Einstellung kann verwendet werden, um lokale Benutzer daran zu hindern, ihre eigenen Einstellungen für verschiedene Bedrohungstypen zu definieren.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel threatTypeSettingsMergePolicy Zusammenführen von Bedrohungstypeinstellungen
Datentyp String Dropdown
Mögliche Werte Merge (Standard)

admin_only

Nicht konfiguriert
merge (Standard)
admin_only

Hinweis

Verfügbar in Defender für Endpunkt-Version 100.83.73 oder höher.

Aufbewahrung des Verlaufs der Antivirenüberprüfung (in Tagen)

Geben Sie die Anzahl der Tage an, für die ergebnisse im Scanverlauf auf dem Gerät aufbewahrt werden. Alte Scanergebnisse werden aus dem Verlauf entfernt. Alte unter Quarantäne gestellte Dateien, die ebenfalls vom Datenträger entfernt werden.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel scanResultsRetentionDays Aufbewahrung von Scanergebnissen
Datentyp String Umschalten und Ganze Zahl
Mögliche Werte 90 (Standard). Zulässige Werte liegen zwischen 1 Tag und 180 Tagen. Nicht konfiguriert (umschalten – Standardeinstellung für 90 Tage)
Konfiguriert (umschalten) und zulässiger Wert 1 bis 180 Tage.

Hinweis

Verfügbar in Defender für Endpunkt-Version 101.04.76 oder höher.

Maximale Anzahl von Elementen im Verlauf der Antivirenüberprüfung

Geben Sie die maximale Anzahl von Einträgen an, die im Scanverlauf beibehalten werden sollen. Zu den Einträgen gehören alle in der Vergangenheit durchgeführten bedarfsgesteuerten Überprüfungen sowie alle Antivirenerkennungen.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel scanHistoryMaximumItems Größe des Überprüfungsverlaufs
Datentyp String Umschalten und Ganze Zahl
Mögliche Werte 10000 (Standard). Zulässige Werte reichen von 5000 bis 15.000 Elementen. Nicht konfiguriert (Umschalten aus – Standard 10000)
Konfiguriert (Ein-/Ausschalten) und zulässiger Wert von 5000 bis 15.000 Elementen.

Hinweis

Verfügbar in Defender für Endpunkt-Version 101.04.76 oder höher.

Einstellungen für Ausschlusseinstellungen

Einstellungen für Exlusionseinstellungen befinden sich derzeit in der Vorschauphase.

Hinweis

Globale Ausschlüsse befinden sich derzeit in der öffentlichen Vorschauphase und sind in Defender für Endpunkt ab version 101.23092.0012 oder höher in den Ringen "Insiders Slow" und "Production" verfügbar.

Der exclusionSettings Abschnitt des Konfigurationsprofils wird verwendet, um verschiedene Ausschlüsse für Microsoft Defender for Endpoint für Linux zu konfigurieren.

Beschreibung JSON-Wert
Schlüssel exclusionSettings
Datentyp Wörterbuch (geschachtelte Einstellung)
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.

Hinweis

Bereits konfigurierte Antivirenausschlüsse unter (antivirusEngine) im verwalteten JSON-Code funktionieren unverändert ohne Auswirkungen. Alle neuen Ausschlüsse , einschließlich Antivirenausschlüssen, können unter diesem völlig neuen Abschnitt (exclusionSettings) hinzugefügt werden. Dieser Abschnitt befindet sich außerhalb des (antivirusEngine)-Tags, da es ausschließlich für die Konfiguration aller Arten von Ausschlüssen vorgesehen ist, die in Zukunft verfügbar sein werden. Sie können auch weiterhin (antivirusEngine) zum Konfigurieren von Antivirenausschlüssen verwenden.

Mergerichtlinie

Gibt die Mergerichtlinie für Ausschlüsse an. Es gibt an, ob es sich um eine Kombination aus vom Administrator definierten und benutzerdefinierten Ausschlüssen (merge) oder nur aus vom Administrator definierten Ausschlüssen (admin_only) handeln kann. Diese Einstellung kann verwendet werden, um lokale Benutzer daran zu hindern, ihre eigenen Ausschlüsse zu definieren. Sie gilt für Ausschlüsse aller Bereiche.

Beschreibung JSON-Wert
Schlüssel mergePolicy
Datentyp String
Mögliche Werte Merge (Standard)

admin_only

Kommentare Verfügbar in Defender für Endpunkt Version September 2023 oder höher.

Ausschlüsse

Entitäten, die ausgeschlossen werden müssen, können durch vollständige Pfade, Erweiterungen oder Dateinamen angegeben werden. Jede Ausschlussentität, d. h. entweder der vollständige Pfad, die Erweiterung oder der Dateiname, verfügt über einen optionalen Bereich, der angegeben werden kann. Wenn nicht angegeben, ist der Standardwert des Bereichs in diesem Abschnitt global. (Ausschlüsse werden als Array von Elementen angegeben, der Administrator kann beliebig viele Elemente in beliebiger Reihenfolge angeben.)

Beschreibung JSON-Wert
Schlüssel Ausschlüsse
Datentyp Wörterbuch (geschachtelte Einstellung)
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.
Art des Ausschlusses

Gibt den Typ des Inhalts an, der von der Überprüfung ausgeschlossen wird.

Beschreibung JSON-Wert
Schlüssel $type
Datentyp String
Mögliche Werte excludedPath

excludedFileExtension

excludedFileName

Ausschlussbereiche (optional)

Gibt den Satz von Exlusionsbereichen für ausgeschlossenen Inhalt an. Derzeit werden bereiche epp und globalunterstützt.

Wenn in für einen Ausschluss unter exclusionSettings in der verwalteten Konfiguration nichts angegeben ist, global wird als Bereich betrachtet.

Hinweis

Zuvor konfigurierte Antivirenausschlüsse unter (antivirusEngine) in verwaltetem JSON funktionieren weiterhin, und ihr Bereich wird () berücksichtigtepp, da sie als Antivirenausschlüsse hinzugefügt wurden.

Beschreibung JSON-Wert
Schlüssel Bereiche
Datentyp Satz von Zeichenfolgen
Mögliche Werte Evp

global

Hinweis

Zuvor angewendete Ausschlüsse mit (mdatp_managed.json) oder über die CLI bleiben davon unberührt. Der Bereich für diese Ausschlüsse ist (epp), da sie unter (antivirusEngine) hinzugefügt wurden.

Pfad zu ausgeschlossenen Inhalten

Wird verwendet, um Inhalte aus der Überprüfung anhand des vollständigen Dateipfads auszuschließen.

Beschreibung JSON-Wert
Schlüssel path
Datentyp String
Mögliche Werte Gültige Pfade
Kommentare Gilt nur, wenn $typeexcludedPath ist.
Ein Wildcard wird nicht unterstützt, wenn der Ausschluss global als Bereich gilt.
Pfadtyp (Datei/Verzeichnis)

Gibt an, ob die path-Eigenschaft auf eine Datei oder ein Verzeichnis verweist.

Hinweis

Der Dateipfad muss bereits vorhanden sein, wenn ein Dateiausschluss mit globalem Bereich hinzugefügt wird.

Beschreibung JSON-Wert
Schlüssel isDirectory
Datentyp Boolesch
Mögliche Werte false (Standard)

true

Kommentare Gilt nur, wenn $typeexcludedPath ist.
Ein Wildcard wird nicht unterstützt, wenn der Ausschluss global als Bereich gilt.
Dateierweiterung von der Überprüfung ausgeschlossen

Wird verwendet, um Inhalte von der Dateierweiterung "Scan by" auszuschließen.

Beschreibung JSON-Wert
Schlüssel Erweiterung
Datentyp String
Mögliche Werte Gültige Dateierweiterungen
Kommentare Gilt nur, wenn $typeexcludedFileExtension ist.
Wird nicht unterstützt, wenn der Ausschluss einen globalen Bereich aufweist.
Von der Überprüfung ausgeschlossener Prozess*

Gibt einen Prozess an, für den alle Dateiaktivitäten von der Überprüfung ausgeschlossen werden. Der Prozess kann entweder über seinen Namen (z. B cat. ) oder den vollständigen Pfad (z. B /bin/cat. ) angegeben werden.

Beschreibung JSON-Wert
Schlüssel name
Datentyp String
Mögliche Werte beliebige Zeichenfolge
Kommentare Gilt nur, wenn $typeexcludedFileName ist.
Der Feldhalter- und Prozessname wird nicht unterstützt, wenn der Ausschluss global als Bereich ist, muss der vollständige Pfad angegeben werden.

Erweiterte Scanoptionen

Die folgenden Einstellungen können so konfiguriert werden, dass bestimmte erweiterte Scanfunktionen aktiviert werden.

Hinweis

Die Aktivierung dieser Features kann sich auf die Geräteleistung auswirken. Daher wird empfohlen, die Standardwerte beizubehalten.

Konfigurieren der Überprüfung von Dateiänderberechtigungsereignissen

Wenn dieses Feature aktiviert ist, überprüft Defender für Endpunkt Dateien, wenn ihre Berechtigungen geändert wurden, um die Ausführungsbits festzulegen.

Hinweis

Dieses Feature gilt nur, wenn das enableFilePermissionEvents Feature aktiviert ist. Weitere Informationen finden Sie weiter unten im Abschnitt Erweiterte optionale Features .

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel scanFileModifyPermissions Nicht verfügbar
Datentyp Boolesch n/v
Mögliche Werte false (Standard)

true

n/v

Hinweis

Verfügbar in Defender für Endpunkt-Version 101.23062.0010 oder höher.

Konfigurieren der Überprüfung von Dateibesitzerereignissen

Wenn dieses Feature aktiviert ist, überprüft Defender für Endpunkt Dateien, deren Besitzer sich geändert hat.

Hinweis

Dieses Feature gilt nur, wenn das enableFileOwnershipEvents Feature aktiviert ist. Weitere Informationen finden Sie weiter unten im Abschnitt Erweiterte optionale Features .

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel scanFileModifyOwnership Nicht verfügbar
Datentyp Boolesch n/v
Mögliche Werte false (Standard)

true

n/v

Hinweis

Verfügbar in Defender für Endpunkt-Version 101.23062.0010 oder höher.

Konfigurieren der Überprüfung von unformatierten Socketereignissen

Wenn dieses Feature aktiviert ist, überprüft Defender für Endpunkt Netzwerksocketereignisse wie die Erstellung von unformatierten Sockets/Paketsockets oder das Festlegen der Socketoption.

Hinweis

Dieses Feature gilt nur, wenn die Verhaltensüberwachung aktiviert ist. Dieses Feature gilt nur, wenn das enableRawSocketEvent Feature aktiviert ist. Weitere Informationen finden Sie weiter unten im Abschnitt Erweiterte optionale Features .

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel scanNetworkSocketEvent Nicht verfügbar
Datentyp Boolesch n/v
Mögliche Werte false (Standard)

true

n/v

Hinweis

Verfügbar in Defender für Endpunkt-Version 101.23062.0010 oder höher.

Über die Cloud bereitgestellte Schutzeinstellungen

Der Eintrag cloudService im Konfigurationsprofil wird verwendet, um das cloudgesteuerte Schutzfeature des Produkts zu konfigurieren.

Hinweis

In der Cloud bereitgestellter Schutz gilt für alle Einstellungen der Erzwingungsebene (real_time, on_demand, passiv).

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel cloudService Von der Cloud bereitgestellte Schutzeinstellungen
Datentyp Wörterbuch (geschachtelte Einstellung) Reduzierter Abschnitt
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. In den folgenden Abschnitten finden Sie eine Beschreibung der Richtlinieneinstellungen.

Aktivieren/Deaktivieren des von der Cloud bereitgestellten Schutzes

Bestimmt, ob der von der Cloud bereitgestellte Schutz auf dem Gerät aktiviert ist oder nicht. Um die Sicherheit Ihrer Dienste zu verbessern, empfehlen wir, dieses Feature aktiviert zu lassen.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel aktiviert Aktivieren des von der Cloud bereitgestellten Schutzes
Datentyp Boolesch Dropdown
Mögliche Werte true (Standard)

false

Nicht konfiguriert
Deaktiviert
Aktiviert (Standard)

Sammlungsebene von Diagnosedaten

Diagnosedaten werden verwendet, um Defender für Endpunkt sicher und auf dem neuesten Stand zu halten, Probleme zu erkennen, zu diagnostizieren und zu beheben sowie Produktverbesserungen vorzunehmen. Diese Einstellung bestimmt die Ebene der Diagnose, die vom Produkt an Microsoft gesendet werden. Weitere Informationen finden Sie unter Datenschutz für Microsoft Defender for Endpoint unter Linux.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel diagnosticLevel Erfassungsebene für Diagnosedaten
Datentyp String Dropdown
Mögliche Werte optional

required (Standard)

Nicht konfiguriert
optional (Standard)
erforderlich

Konfigurieren der Cloudblockebene

Diese Einstellung bestimmt, wie aggressiv Defender für Endpunkt beim Blockieren und Scannen verdächtiger Dateien ist. Wenn diese Einstellung aktiviert ist, ist Defender für Endpunkt aggressiver, wenn verdächtige Dateien identifiziert werden, die blockiert und überprüft werden sollen. Andernfalls ist es weniger aggressiv und blockiert und scannt daher mit weniger Häufigkeit.

Es gibt fünf Werte zum Festlegen der Cloudblockebene:

  • Normal (normal): Die Standardblockierungsstufe.
  • Moderate (moderate): Gibt nur für Erkennungen mit hoher Zuverlässigkeit eine Bewertung aus.
  • Hoch (high): Blockiert aggressiv unbekannte Dateien, während die Leistung optimiert wird (höhere Wahrscheinlichkeit, dass nicht schädliche Dateien blockiert werden).
  • High Plus (high_plus): Sperrt unbekannte Dateien aggressiv und wendet zusätzliche Schutzmaßnahmen an (kann sich auf die Leistung des Clientgeräts auswirken).
  • Zero Tolerance (zero_tolerance): Blockiert alle unbekannten Programme.
Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel cloudBlockLevel Konfigurieren der Cloudblockebene
Datentyp String Dropdown
Mögliche Werte normal (Standard)

moderate

high

high_plus

zero_tolerance

Nicht konfiguriert
Normal (Standard)
Mittel
Hoch
High_Plus
Zero_Tolerance

Hinweis

Verfügbar in Defender für Endpunkt-Version 101.56.62 oder höher.

Aktivieren/Deaktivieren automatischer Beispielübermittlungen

Bestimmt, ob verdächtige Stichproben (die wahrscheinlich Bedrohungen enthalten) an Microsoft gesendet werden. Es gibt drei Ebenen für die Steuerung der Beispielübermittlung:

  • Keine: Es werden keine verdächtigen Stichproben an Microsoft übermittelt.
  • Sicher: Nur verdächtige Stichproben, die keine personenbezogenen Informationen (Personally Identifiable Information, PII) enthalten, werden automatisch übermittelt. Dies ist der Standardwert für diese Einstellung.
  • Alle: Alle verdächtigen Stichproben werden an Microsoft übermittelt.
Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel automaticSampleSubmissionConsent Aktivieren automatischer Beispielübermittlungen
Datentyp String Dropdown
Mögliche Werte none

safe (Standard)

all

Nicht konfiguriert
Keine
Sicher (Standard)
Alle

Aktivieren/Deaktivieren automatischer Security Intelligence-Updates

Bestimmt, ob Security Intelligence-Updates automatisch installiert werden:

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel automaticDefinitionUpdateEnabled Automatische Security Intelligence-Updates
Datentyp Boolesch Dropdown
Mögliche Werte true (Standard)

false

Nicht konfiguriert
Deaktiviert
Aktiviert (Standard)

Je nach Erzwingungsstufe werden die automatischen Security Intelligence-Updates unterschiedlich installiert. Im RTP-Modus werden Updates in regelmäßigen Abständen installiert. Im Passiven/On-Demand-Modus werden Updates vor jeder Überprüfung installiert.

Erweiterte optionale Features

Die folgenden Einstellungen können so konfiguriert werden, dass bestimmte erweiterte Features aktiviert werden.

Hinweis

Die Aktivierung dieser Features kann sich auf die Geräteleistung auswirken. Es wird empfohlen, die Standardwerte beizubehalten.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel Funktionen Nicht verfügbar
Datentyp Wörterbuch (geschachtelte Einstellung) n/v
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.

Modulladefeature

Bestimmt, ob Modulladeereignisse (Ereignisse zum Öffnen von Dateien in freigegebenen Bibliotheken) überwacht werden.

Hinweis

Dieses Feature gilt nur, wenn die Verhaltensüberwachung aktiviert ist.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel moduleLoad Nicht verfügbar
Datentyp String n/v
Mögliche Werte deaktiviert (Standard)

aktiviert

n/v
Kommentare Verfügbar in Defender für Endpunkt-Version 101.68.80 oder höher.

Zusätzliche Sensorkonfigurationen

Die folgenden Einstellungen können verwendet werden, um bestimmte erweiterte zusätzliche Sensorfunktionen zu konfigurieren.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel supplementarySensorConfigurations Nicht verfügbar
Datentyp Wörterbuch (geschachtelte Einstellung) n/v
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.
Konfigurieren der Überwachung von Dateiänderberechtigungsereignissen

Bestimmt, ob Dateiänderberechtigungsereignisse (chmod) überwacht werden.

Hinweis

Wenn dieses Feature aktiviert ist, überwacht Defender für Endpunkt Änderungen an den Ausführungsbits von Dateien, überprüft diese Ereignisse jedoch nicht. Weitere Informationen finden Sie im Abschnitt Erweiterte Scanfunktionen .

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel enableFilePermissionEvents Nicht verfügbar
Datentyp String n/v
Mögliche Werte deaktiviert (Standard)

aktiviert

n/v
Kommentare Verfügbar in Defender für Endpunkt-Version 101.23062.0010 oder höher.
Konfigurieren der Überwachung von Dateiänderungsbesitzerereignissen

Bestimmt, ob Dateibesitzerereignisse (File Modify Ownership Events, chown) überwacht werden.

Hinweis

Wenn dieses Feature aktiviert ist, überwacht Defender für Endpunkt Änderungen am Besitz von Dateien, überprüft diese Ereignisse jedoch nicht. Weitere Informationen finden Sie im Abschnitt Erweiterte Scanfunktionen .

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel enableFileOwnershipEvents Nicht verfügbar
Datentyp String n/v
Mögliche Werte deaktiviert (Standard)

aktiviert

n/v
Kommentare Verfügbar in Defender für Endpunkt-Version 101.23062.0010 oder höher.
Konfigurieren der Überwachung von unformatierten Socketereignissen

Bestimmt, ob Netzwerksocketereignisse, die die Erstellung von unformatierten Sockets/Paketsockets oder das Festlegen der Socketoption betreffen, überwacht werden.

Hinweis

Dieses Feature gilt nur, wenn die Verhaltensüberwachung aktiviert ist. Wenn dieses Feature aktiviert ist, überwacht Defender für Endpunkt diese Netzwerksocketereignisse, überprüft diese Ereignisse jedoch nicht. Weitere Informationen finden Sie weiter oben im Abschnitt Erweiterte Scanfunktionen .

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel enableRawSocketEvent Nicht verfügbar
Datentyp String n/v
Mögliche Werte deaktiviert (Standard)

aktiviert

n/v
Kommentare Verfügbar in Defender für Endpunkt-Version 101.23062.0010 oder höher.
Konfigurieren der Überwachung von Startladeprogrammereignissen

Bestimmt, ob Startladeprogrammereignisse überwacht und überprüft werden.

Hinweis

Dieses Feature gilt nur, wenn die Verhaltensüberwachung aktiviert ist.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel enableBootLoaderCalls Nicht verfügbar
Datentyp String n/v
Mögliche Werte deaktiviert (Standard)

aktiviert

n/v
Kommentare Verfügbar in Defender für Endpunkt-Version 101.68.80 oder höher.
Konfigurieren der Überwachung von Ptrace-Ereignissen

Bestimmt, ob Ptrace-Ereignisse überwacht und gescannt werden.

Hinweis

Dieses Feature gilt nur, wenn die Verhaltensüberwachung aktiviert ist.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel enableProcessCalls Nicht verfügbar
Datentyp String n/v
Mögliche Werte deaktiviert (Standard)

aktiviert

n/v
Kommentare Verfügbar in Defender für Endpunkt-Version 101.68.80 oder höher.
Konfigurieren der Überwachung von Pseudofs-Ereignissen

Bestimmt, ob Pseudofs-Ereignisse überwacht und gescannt werden.

Hinweis

Dieses Feature gilt nur, wenn die Verhaltensüberwachung aktiviert ist.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel enablePseudofsCalls Nicht verfügbar
Datentyp String n/v
Mögliche Werte deaktiviert (Standard)

aktiviert

n/v
Kommentare Verfügbar in Defender für Endpunkt-Version 101.68.80 oder höher.
Konfigurieren der Überwachung von Modulladeereignissen mithilfe von eBPF

Bestimmt, ob Modulladeereignisse mithilfe von eBPF überwacht und gescannt werden.

Hinweis

Dieses Feature gilt nur, wenn die Verhaltensüberwachung aktiviert ist.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel enableEbpfModuleLoadEvents Nicht verfügbar
Datentyp String n/v
Mögliche Werte deaktiviert (Standard)

aktiviert

n/v
Kommentare Verfügbar in Defender für Endpunkt-Version 101.68.80 oder höher.

Melden verdächtiger AV-Ereignisse an EDR

Bestimmt, ob verdächtige Ereignisse von Antivirus an EDR gemeldet werden.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel sendLowfiEvents Nicht verfügbar
Datentyp String n/v
Mögliche Werte deaktiviert (Standard)

aktiviert

n/v
Kommentare Verfügbar in Defender für Endpunkt-Version 101.23062.0010 oder höher.

Netzwerkschutzkonfigurationen

Die folgenden Einstellungen können verwendet werden, um erweiterte Netzwerkschutz-Überprüfungsfeatures zu konfigurieren, um zu steuern, welcher Datenverkehr vom Netzwerkschutz überprüft wird.

Hinweis

Damit diese wirksam sind, muss der Netzwerkschutz aktiviert werden. Weitere Informationen finden Sie unter Aktivieren des Netzwerkschutzes für Linux.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel networkProtection Netzwerkschutz
Datentyp Wörterbuch (geschachtelte Einstellung) Reduzierter Abschnitt
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. Eine Beschreibung der Richtlinieneinstellungen finden Sie in den folgenden Abschnitten.

Erzwingungsstufe

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel enforcementLevel Erzwingungsstufe
Datentyp String Dropdown
Mögliche Werte disabled (Standard)
audit
block
Nicht konfiguriert
deaktiviert (Standard)
Rechnungsprüfung
Block

Konfigurieren der ICMP-Inspektion

Bestimmt, ob ICMP-Ereignisse überwacht und überprüft werden.

Hinweis

Dieses Feature gilt nur, wenn die Verhaltensüberwachung aktiviert ist.

Beschreibung JSON-Wert Defender Portal-Wert
Schlüssel disableIcmpInspection Nicht verfügbar
Datentyp Boolesch n/v
Mögliche Werte true (Standard)

false

n/v
Kommentare Verfügbar in Defender für Endpunkt-Version 101.23062.0010 oder höher.

Für den Einstieg empfehlen wir Das folgende Konfigurationsprofil für Ihr Unternehmen, um alle Von Defender für Endpunkt bereitgestellten Schutzfunktionen zu nutzen.

Das folgende Konfigurationsprofil:

  • Aktiviert Echtzeitschutz (RTP)
  • Gibt an, wie die folgenden Bedrohungstypen behandelt werden:
    • Potenziell unerwünschte Anwendungen (PUA) werden blockiert
    • Archivbomben (Dateien mit hoher Komprimierungsrate) werden in den Produktprotokollen überwacht.
  • Aktiviert automatische Security Intelligence-Updates
  • Ermöglicht cloudbasierten Schutz
  • Aktiviert die automatische Stichprobenübermittlung auf Ebene safe

Beispielprofil

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Beispiel für ein vollständiges Konfigurationsprofil

Das folgende Konfigurationsprofil enthält Einträge für alle in diesem Dokument beschriebenen Einstellungen und kann für erweiterte Szenarien verwendet werden, in denen Sie mehr Kontrolle über das Produkt wünschen.

Hinweis

Es ist nicht möglich, die gesamte Microsoft Defender for Endpoint Kommunikation nur mit einer Proxyeinstellung in diesem JSON-Code zu steuern.

Vollständiges Profil

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":false,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefintionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"diabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

Hinzufügen einer Tag- oder Gruppen-ID zum Konfigurationsprofil

Wenn Sie den mdatp health Befehl zum ersten Mal ausführen, ist der Wert für das Tag und die Gruppen-ID leer. Führen Sie die folgenden Schritte aus, um der Datei eine mdatp_managed.json Tag- oder Gruppen-ID hinzuzufügen:

  1. Öffnen Sie das Konfigurationsprofil über den Pfad /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

  2. Wechseln Sie zum Ende der Datei, wo sich der cloudService -Block befindet.

  3. Fügen Sie die erforderliche Tag- oder Gruppen-ID wie im folgenden Beispiel am Ende der schließenden geschweiften Klammer für hinzu cloudService.

    },
    "cloudService": {
     "enabled": true,
     "diagnosticLevel": "optional",
     "automaticSampleSubmissionConsent": "safe",
     "automaticDefinitionUpdateEnabled": true,
     "proxy": "http://proxy.server:port/"
    },
    "edr": {
    "groupIds":"GroupIdExample",
    "tags": [
             {
             "key": "GROUP",
             "value": "Tag"
             }
           ]
       }
    }
    

Hinweis

Fügen Sie das Komma nach der schließenden geschweiften Klammer am Ende des cloudService Blocks hinzu. Stellen Sie außerdem sicher, dass nach dem Hinzufügen des Tags- oder Gruppen-ID-Blocks zwei schließende geschweifte Klammern vorhanden sind (siehe das obige Beispiel). Derzeit ist GROUPder einzige unterstützte Schlüsselname für Tags .

Überprüfung des Konfigurationsprofils

Das Konfigurationsprofil muss eine gültige JSON-formatierte Datei sein. Es gibt viele Tools, die verwendet werden können, um dies zu überprüfen. Wenn Sie beispielsweise auf Ihrem Gerät installiert haben python :

python -m json.tool mdatp_managed.json

Wenn der JSON-Code wohlgeformt ist, gibt der obige Befehl ihn an das Terminal zurück und gibt den Exitcode zurück 0. Andernfalls wird ein Fehler angezeigt, der das Problem beschreibt, und der Befehl gibt den Exitcode zurück 1.

Überprüfen, ob die mdatp_managed.json-Datei wie erwartet funktioniert

Um zu überprüfen, ob /etc/opt/microsoft/mdatp/managed/mdatp_managed.json ordnungsgemäß funktioniert, sollte neben diesen Einstellungen "[managed]" angezeigt werden:

  • cloud_enabled
  • cloud_automatic_sample_submission_consent
  • passive_mode_enabled
  • real_time_protection_enabled
  • automatic_definition_update_enabled

Hinweis

Es ist kein Neustart des mdatp-Daemons erforderlich, damit Änderungen an den meisten Konfigurationen in mdatp_managed.json wirksam werden. Ausnahme: Die folgenden Konfigurationen erfordern einen Neustart des Daemons, damit sie wirksam werden:

  • cloud-diagnostic
  • log-rotation-parameters

Bereitstellung von Konfigurationsprofilen

Nachdem Sie das Konfigurationsprofil für Ihr Unternehmen erstellt haben, können Sie es über das Verwaltungstool bereitstellen, das Ihr Unternehmen verwendet. Defender für Endpunkt unter Linux liest die verwaltete Konfiguration aus der /etc/opt/microsoft/mdatp/managed/mdatp_managed.json Datei.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.