Konfigurieren von Sicherheitseinstellungen und -richtlinien für Microsoft Defender for Endpoint unter Linux
Gilt für:
- Microsoft Defender for Endpoint für Server
- Microsoft Defender für Server Plan 1 oder Plan 2
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Übersicht über zu konfigurierende Einstellungen und Richtlinien
Microsoft Defender for Endpoint unter Linux umfasst Antiviren-, Antischadsoftware-, Endpunkterkennungs- und Reaktionsfunktionen. In diesem Artikel werden wichtige Zu konfigurierende Einstellungen mit Links zu zusätzlichen Ressourcen zusammengefasst.
| Einstellungen | Beschreibung |
|---|---|
| 1. Konfigurieren Sie die statische Proxyermittlung. | Die Konfiguration eines statischen Proxys trägt dazu bei, dass Telemetriedaten übermittelt werden, und hilft dabei, Netzwerktimeouts zu vermeiden. Führen Sie diese Aufgabe während und nach der Installation von Defender für Endpunkt aus. Informationen zur statischen Proxyermittlung finden Sie unter Konfigurieren von Microsoft Defender for Endpoint unter Linux. |
| 2. Konfigurieren Sie Ihre Antivirenscans. | Sie können automatische Antivirenscans mithilfe von Anacron oder Crontab planen. Lesen Sie die folgenden Artikel: - Verwenden von Anacron zum Planen einer Antivirenüberprüfung in Microsoft Defender for Endpoint unter Linux - Verwenden von Crontab zum Planen einer Antivirenüberprüfung in Microsoft Defender for Endpoint unter Linux |
| 3. Konfigurieren Sie Ihre Sicherheitseinstellungen und -richtlinien. | Sie können das Microsoft Defender-Portal (Defender for Endpoint Security Settings Management) oder ein Konfigurationsprofil (.json Datei) verwenden, um Defender für Endpunkt unter Linux zu konfigurieren. Wenn Sie möchten, können Sie auch die Befehlszeile verwenden, um bestimmte Einstellungen zu konfigurieren. Lesen Sie die folgenden Artikel: - Verwaltung von Sicherheitseinstellungen in Defender für Endpunkt - Konfigurationsprofil - Befehlszeile |
| 4. Konfigurieren und Überprüfen von Ausschlüssen (nach Bedarf) | Sie können bestimmte Dateien, Ordner, Prozesse und geöffnete Dateien aus Defender für Endpunkt unter Linux ausschließen. Globale Ausschlüsse gelten für Echtzeitschutz (Real-Time Protection, RTP), Verhaltensüberwachung (BEHAVIOR Monitoring, BM) und Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR), wodurch alle zugehörigen Antivirenerkennungen, EDR-Warnungen und Sichtbarkeit für das ausgeschlossene Element beendet werden. Weitere Informationen finden Sie unter Konfigurieren und Überprüfen von Ausschlüssen für Microsoft Defender for Endpoint unter Linux. |
| 5. Konfigurieren Sie den eBPF-basierten Sensor. | Der erweiterte Berkeley-Paketfilter (eBPF) für Microsoft Defender for Endpoint unter Linux ist für alle Kunden standardmäßig für Agent-Versionen 101.23082.0006 und höher automatisch aktiviert. Es stellt ergänzende Ereignisdaten für Linux-Betriebssysteme bereit und hilft, die Wahrscheinlichkeit von Konflikten zwischen Anwendungen zu reduzieren. Weitere Informationen finden Sie unter Verwenden eines eBPF-basierten Sensors für Microsoft Defender for Endpoint unter Linux. |
| 6. Konfigurieren des Offline-Security Intelligence-Updates (nach Bedarf) | Mit dem Offline-Security Intelligence-Update können Sie Security Intelligence-Updates für Linux-Server konfigurieren, die nur eingeschränkt oder gar nicht im Internet verfügbar sind. Sie können einen lokalen Hostingserver ("Spiegel Server") einrichten, der eine Verbindung mit der Microsoft-Cloud herstellen kann, um die Signaturen herunterzuladen. Andere Linux-Endpunkte können die Updates in einem vordefinierten Intervall von Ihrem Spiegel Server abrufen. Weitere Informationen finden Sie unter Konfigurieren des Offline-Security Intelligence-Updates für Microsoft Defender for Endpoint unter Linux. |
| 7. Bereitstellen von Updates. | Microsoft veröffentlicht regelmäßig Softwareupdates zur Verbesserung von Leistung und Sicherheit oder zur Bereitstellung neuer Features. Weitere Informationen finden Sie unter Bereitstellen von Updates für Microsoft Defender for Endpoint unter Linux. |
| 8. Konfigurieren des Netzwerkschutzes (Vorschau) | Der Netzwerkschutz verhindert, dass Mitarbeiter anwendungen verwenden, um auf gefährliche Domänen zuzugreifen, die Phishing-Betrugsversuche, Exploits und andere schädliche Inhalte im Internet hosten könnten. Weitere Informationen finden Sie unter Netzwerkschutz für Linux. |
Optionen zum Konfigurieren von Sicherheitsrichtlinien und -einstellungen
Um Ihre Sicherheitsrichtlinien und Einstellungen für Defender für Endpunkt unter Linux zu konfigurieren, haben Sie zwei Standard Optionen:
- Verwenden Sie das Microsoft Defender-Portal (Defender for Endpoint Security Settings Management), oder
- Verwenden eines Konfigurationsprofils
Wenn Sie ihre Sicherheitseinstellungen lieber über die Befehlszeile konfigurieren möchten, können Sie damit bestimmte Einstellungen konfigurieren, Diagnose sammeln, Überprüfungen ausführen und vieles mehr. Weitere Informationen finden Sie unter Ressourcen.
Verwaltung von Sicherheitseinstellungen in Defender für Endpunkt
Sie können Defender für Endpunkt unter Linux im Microsoft Defender-Portal (https://security.microsoft.com) über die Als Sicherheitseinstellungsverwaltung bezeichnete Funktion konfigurieren. Weitere Informationen, z. B. zum Erstellen, Bearbeiten und Überprüfen Ihrer Sicherheitsrichtlinien, finden Sie unter Verwenden Microsoft Defender for Endpoint Sicherheitseinstellungsverwaltung zum Verwalten von Microsoft Defender Antivirus.
Konfigurationsprofil
Sie können Defender für Endpunkt unter Linux über ein Konfigurationsprofil konfigurieren, das eine .json Datei verwendet. Nachdem Sie Ihr Profil eingerichtet haben, können Sie es mit dem Verwaltungstool Ihrer Wahl bereitstellen. Vom Unternehmen verwaltete Einstellungen haben Vorrang vor den lokal auf dem Gerät festgelegten Einstellungen. Anders ausgedrückt: Benutzer in Ihrem Unternehmen können keine Einstellungen ändern, die über dieses Konfigurationsprofil festgelegt werden. Wenn Ausschlüsse über das verwaltete Konfigurationsprofil hinzugefügt wurden, können sie nur über das verwaltete Konfigurationsprofil entfernt werden. Die Befehlszeile funktioniert für Lokal hinzugefügte Ausschlüsse.
In diesem Artikel werden die Struktur dieses Profils (einschließlich eines empfohlenen Profils, das Sie für den Einstieg verwenden können) und Anweisungen zum Bereitstellen des Profils beschrieben.
Struktur des Konfigurationsprofils
Das Konfigurationsprofil ist eine .json Datei, die aus Einträgen besteht, die durch einen Schlüssel identifiziert werden (der den Namen der Einstellung angibt), gefolgt von einem Wert, der von der Art der Einstellung abhängt. Werte können einfach sein, z. B. ein numerischer Wert, oder komplex, z. B. eine geschachtelte Liste von Einstellungen.
In der Regel würden Sie ein Konfigurationsverwaltungstool verwenden, um eine Datei mit dem Namen mdatp_managed.json am Speicherort zu pushen /etc/opt/microsoft/mdatp/managed/.
Die oberste Ebene des Konfigurationsprofils enthält produktweite Präferenzen und Einträge für Teilbereiche des Produkts, die in den nächsten Abschnitten ausführlicher erläutert werden.
Empfohlenes Konfigurationsprofil
Dieser Abschnitt enthält zwei Beispiele für Konfigurationsprofile:
- Beispielprofil , das Ihnen bei den ersten Schritten mit empfohlenen Einstellungen hilft.
- Vollständiges Konfigurationsprofilbeispiel für Organisationen, die eine präzisere Kontrolle über Sicherheitseinstellungen wünschen.
Für den Einstieg empfehlen wir die Verwendung des ersten Beispielprofils für Ihre organization. Für eine präzisere Steuerung können Sie stattdessen das vollständige Konfigurationsprofilbeispiel verwenden.
Beispielprofil
Es hilft Ihnen, wichtige Schutzfunktionen zu nutzen, die Defender für Endpunkt für Linux bietet. Das folgende Konfigurationsprofil:
- Aktiviert Echtzeitschutz (RTP)
- Gibt an, wie die folgenden Bedrohungstypen behandelt werden:
- Potenziell unerwünschte Anwendungen (PUA) werden blockiert
- Archiv Bomben (Datei mit hoher Komprimierungsrate) werden in den Produktprotokollen überwacht.
- Aktiviert automatische Security Intelligence-Updates
- Ermöglicht cloudbasierten Schutz
- Aktiviert die automatische Stichprobenübermittlung auf Ebene
safe
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Beispiel für ein vollständiges Konfigurationsprofil
Das folgende Konfigurationsprofil enthält Einträge für alle in diesem Dokument beschriebenen Einstellungen und kann für erweiterte Szenarien verwendet werden, in denen Sie mehr Kontrolle über das Produkt wünschen.
Hinweis
Es ist nicht möglich, die gesamte Microsoft Defender for Endpoint Kommunikation nur mit einer Proxyeinstellung in diesem JSON-Code zu steuern.
{
"antivirusEngine":{
"enforcementLevel":"passive",
"behaviorMonitoring": "disabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"enableFileHashComputation": false,
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
],
"scanFileModifyPermissions":false,
"scanFileModifyOwnership":false,
"scanNetworkSocketEvent":false,
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate":"disabled"
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
"definitionUpdatesInterval":28800
},
"features":{
"moduleLoad":"disabled",
"supplementarySensorConfigurations":{
"enableFilePermissionEvents":"disabled",
"enableFileOwnershipEvents":"disabled",
"enableRawSocketEvent":"disabled",
"enableBootLoaderCalls":"disabled",
"enableProcessCalls":"disabled",
"enablePseudofsCalls":"diabled",
"enableEbpfModuleLoadEvents":"disabled",
"sendLowfiEvents":"disabled"
},
"ebpfSupplementaryEventProvider":"enabled",
"offlineDefinitionUpdateVerifySig": "disabled"
},
"networkProtection":{
"enforcementLevel":"disabled",
"disableIcmpInspection":true
},
"edr":{
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Antiviren-, Antischadsoftware- und EDR-Einstellungen in Defender für Endpunkt unter Linux
Unabhängig davon, ob Sie ein Konfigurationsprofil (.json-Datei) oder das Microsoft Defender-Portal (Verwaltung von Sicherheitseinstellungen) verwenden, können Sie Ihre Antiviren-, Antischadsoftware- und EDR-Einstellungen in Defender für Endpunkt für Linux konfigurieren. In den folgenden Abschnitten wird beschrieben, wo und wie Sie Ihre Einstellungen konfigurieren.
Einstellungen der Antiviren-Engine
Der Abschnitt antivirusEngine des Konfigurationsprofils wird verwendet, um die Einstellungen der Antivirenkomponente des Produkts zu verwalten.
| Beschreibung | JSON-Wert | Wert des Defender-Portals |
|---|---|---|
| Key | antivirusEngine |
Antivirus-Engine |
| Datentyp | Wörterbuch (geschachtelte Einstellung) | Reduzierter Abschnitt |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. | Eine Beschreibung der Richtlinieneigenschaften finden Sie in den folgenden Abschnitten. |
Erzwingungsstufe für Microsoft Defender Antivirus
Gibt die Erzwingungspräferenz des Antivirenmoduls an. Es gibt drei Werte zum Festlegen der Erzwingungsstufe:
Echtzeitschutz (
real_time): Der Echtzeitschutz (Dateien beim Ändern überprüfen) ist aktiviert.On-Demand (
on_demand): Dateien werden nur bei Bedarf gescannt. In diesem Fall:- Der Echtzeitschutz ist deaktiviert.
- Definitionsupdates erfolgen nur, wenn eine Überprüfung gestartet wird, auch wenn
automaticDefinitionUpdateEnabledim bedarfsgesteuerten Modus auftruefestgelegt ist.
Passiv (
passive): Führt die Antiviren-Engine im passiven Modus aus. In diesem Fall gelten alle folgenden Punkte:- Echtzeitschutz ist deaktiviert: Bedrohungen werden nicht durch Microsoft Defender Antivirus behoben.
- On-Demand-Überprüfung ist aktiviert: Verwenden Sie weiterhin die Scanfunktionen auf dem Endpunkt.
- Automatische Bedrohungsbehebung ist deaktiviert: Es werden keine Dateien verschoben, und ihr Sicherheitsadministrator muss die erforderlichen Maßnahmen ergreifen.
- Security Intelligence-Updates sind aktiviert: Warnungen sind im Mandanten des Sicherheitsadministrators verfügbar.
- Definitionsupdates erfolgen nur, wenn eine Überprüfung gestartet wird, auch wenn
automaticDefinitionUpdateEnabledim passiven Modus auftruefestgelegt ist.
Hinweis
Verfügbar in Defender für Endpunkt-Version 101.10.72 oder höher. Der Standardwert wird in Defender für Endpunkt-Version 101.23062.0001 oder höher von real_timepassive in in geändert.
Es wird empfohlen, auch geplante Überprüfungen gemäß den Anforderungen zu verwenden.
Aktivieren oder Deaktivieren der Verhaltensüberwachung (wenn RTP aktiviert ist)
Wichtig
Dieses Feature funktioniert nur, wenn die Erzwingungsstufe auf real-timefestgelegt ist.
Bestimmt, ob die Funktion zur Verhaltensüberwachung und -blockierung auf dem Gerät aktiviert ist oder nicht.
| Beschreibung | JSON-Wert | Wert des Defender-Portals |
|---|---|---|
| Key | behaviorMonitoring | Aktivieren der Verhaltensüberwachung |
| Datentyp | String | Dropdown |
| Mögliche Werte |
disabled (Standard)enabled |
Nicht konfiguriert Deaktiviert (Standard) Aktiviert |
Hinweis
Verfügbar in Defender für Endpunkt-Version 101.45.00 oder höher.
Ausführen einer Überprüfung nach dem Aktualisieren von Definitionen
Wichtig
Dieses Feature funktioniert nur, wenn die Erzwingungsstufe auf real-timefestgelegt ist.
Gibt an, ob eine Prozessüberprüfung gestartet werden soll, nachdem neue Security Intelligence-Updates auf das Gerät heruntergeladen wurden. Wenn Sie diese Einstellung aktivieren, wird eine Antivirenüberprüfung für die ausgeführten Prozesse des Geräts ausgelöst.
| Beschreibung | JSON-Wert | Wert des Defender-Portals |
|---|---|---|
| Key | scanAfterDefinitionUpdate |
Aktivieren der Überprüfung nach dem Definitionsupdate |
| Datentyp | Boolesch | Dropdown |
| Mögliche Werte |
true (Standard)false |
Not configuredDisabledEnabled (Standard) |
Hinweis
Verfügbar in Defender für Endpunkt-Version 101.45.00 oder höher.
Scannen von Archiven (nur bedarfsgesteuerte Antivirenscans)
Gibt an, ob Archive bei bedarfsgesteuerten Antivirenscans überprüft werden sollen.
| Beschreibung | JSON-Wert | Wert des Defender-Portals |
|---|---|---|
| Key | scanArchives |
Aktivieren der Überprüfung von Archiven |
| Datentyp | Boolesch | Dropdown |
| Mögliche Werte |
true (Standard)false |
Nicht konfiguriert Deaktiviert Aktiviert (Standard) |
Hinweis
Verfügbar in Microsoft Defender for Endpoint Version 101.45.00 oder höher.
Archiv Dateien werden während des Echtzeitschutzes nie überprüft. Wenn die Dateien in einem Archiv extrahiert werden, werden sie gescannt. Die Option scanArchives kann verwendet werden, um die Überprüfung von Archiven nur während der bedarfsgesteuerten Überprüfung zu erzwingen.
Grad der Parallelität bei bedarfsgesteuerten Scans
Gibt den Grad der Parallelität für bedarfsgesteuerte Scans an. Dies entspricht der Anzahl der Threads, die zum Ausführen der Überprüfung verwendet werden, und wirkt sich auf die CPU-Auslastung und die Dauer der bedarfsgesteuerten Überprüfung aus.
| Beschreibung | JSON-Wert | Wert des Defender-Portals |
|---|---|---|
| Key | maximumOnDemandScanThreads |
Maximale Anzahl von Bei-Bedarf-Überprüfungsthreads |
| Datentyp | Integer | Umschalten & Ganzzahl umschalten |
| Mögliche Werte |
2 (Standard). Zulässige Werte sind ganze Zahlen zwischen 1 und 64. |
Not Configured (Standardeinstellung ist standardmäßig auf 2)Configured (umschalten) und ganze Zahl zwischen 1 und 64. |
Hinweis
Verfügbar in Microsoft Defender for Endpoint Version 101.45.00 oder höher.
Ausschlusszusammenführungsrichtlinie
Gibt die Mergerichtlinie für Ausschlüsse an. Dabei kann es sich um eine Kombination aus vom Administrator definierten und benutzerdefinierten Ausschlüssen (merge) oder nur aus vom Administrator definierten Ausschlüssen (admin_only) handeln. Vom Administrator definierte (admin_only) sind Ausschlüsse, die von der Defender für Endpunkt-Richtlinie konfiguriert werden. Diese Einstellung kann verwendet werden, um lokale Benutzer daran zu hindern, ihre eigenen Ausschlüsse zu definieren.
Wie unter antivirusEngine gilt diese Richtlinie nur für epp Ausschlüsse, es sei denn mergePolicy , unter exclusionSettings ist als (admin_only) konfiguriert.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | exclusionsMergePolicy |
Zusammenführen von Ausschlüssen |
| Datentyp | String | Dropdown |
| Mögliche Werte |
merge (Standard)admin_only |
Not configuredmerge (Standard)admin_only |
Hinweis
Verfügbar in Defender für Endpunkt-Version 100.83.73 oder höher.
Es wird empfohlen, Ausschlüsse und die Mergerichtlinie unter exclusionSettings zu konfigurieren. Dadurch können Sie sowohl den Ausschluss als auch eppglobal den Bereich mit einem einzelnen mergePolicykonfigurieren.
Scanausschlüsse
Entitäten, die von der Überprüfung ausgeschlossen wurden. Ausschlüsse können durch vollständige Pfade, Erweiterungen oder Dateinamen angegeben werden. (Ausschlüsse werden als Array von Elementen angegeben, der Administrator kann beliebig viele Elemente in beliebiger Reihenfolge angeben.)
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | exclusions |
Scanausschlüsse |
| Datentyp | Wörterbuch (geschachtelte Einstellung) | Liste dynamischer Eigenschaften |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Art des Ausschlusses
Gibt den Typ des Inhalts an, der von der Überprüfung ausgeschlossen wird.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | $type |
Typ |
| Datentyp | String | "Drop Down" |
| Mögliche Werte | excludedPath excludedFileExtension excludedFileName |
Pfad Dateierweiterung Prozessname |
Pfad zu ausgeschlossenen Inhalten
Wird verwendet, um Inhalte aus der Überprüfung anhand des vollständigen Dateipfads auszuschließen.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | path | Pfad |
| Datentyp | String | String |
| Mögliche Werte | Gültige Pfade | Gültige Pfade |
| Kommentare | Gilt nur, wenn $typeexcludedPath |
Zugriff im Popupfenster "Instance bearbeiten" |
Pfadtyp (Datei/Verzeichnis)
Gibt an, ob die path-Eigenschaft auf eine Datei oder ein Verzeichnis verweist.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | isDirectory |
Is-Verzeichnis |
| Datentyp | Boolesch | Dropdown |
| Mögliche Werte |
false (Standard)true |
EnabledDisabled |
| Kommentare | Gilt nur, wenn $typeexcludedPath ist | Zugriff im Popupfenster "Instance bearbeiten" |
Dateierweiterung von der Überprüfung ausgeschlossen
Wird verwendet, um Inhalte von der Dateierweiterung "Scan by" auszuschließen.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | Erweiterung | Dateierweiterung |
| Datentyp | String | String |
| Mögliche Werte | Gültige Dateierweiterungen | Gültige Dateierweiterungen |
| Kommentare | Gilt nur, wenn $typeausgeschlossen IstFileExtension | Zugriff im Popupfenster "Instance konfigurieren" |
Von der Überprüfung ausgeschlossener Prozess
Gibt einen Prozess an, für den alle Dateiaktivitäten von der Überprüfung ausgeschlossen werden. Der Prozess kann entweder über seinen Namen (z. B cat. ) oder den vollständigen Pfad (z. B /bin/cat. ) angegeben werden.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | name | Dateiname |
| Datentyp | String | String |
| Mögliche Werte | beliebige Zeichenfolge | beliebige Zeichenfolge |
| Kommentare | Gilt nur, wenn $typeexcludedFileName ist | Zugriff im Popupfenster "Instance konfigurieren" |
Stummschalten von Nicht-Exec-Einbindungen
Gibt das Verhalten von RTP auf dem Bereitstellungspunkt an, der als noexecmarkiert ist. Es gibt zwei Werte für die Einstellung:
- Unmuted (
unmute): Der Standardwert, bei dem alle Bereitstellungspunkte als Teil von RTP gescannt werden. - Stummgeschaltet (
mute): Einbindungspunkte, die alsnoexecmarkiert sind, werden nicht als Teil von RTP überprüft. Diese Bereitstellungspunkte können für folgendes erstellt werden:- Datenbankdateien auf Datenbankservern zum Aufbewahren von Datenbankdateien.
- Dateiserver können Datendatei-Einbindungspunkte mit
noexecder Option beibehalten. - Bei der Sicherung können Datendatei-Einbindungspunkte mit
noexecder Option beibehalten werden.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | nonExecMountPolicy |
non execute mount mute |
| Datentyp | String | Dropdown |
| Mögliche Werte |
unmute (Standard)mute |
Not configured unmute (Standard)mute |
Hinweis
Verfügbar in Defender für Endpunkt-Version 101.85.27 oder höher.
Aufheben der Überwachung von Dateisystemen
Konfigurieren Sie Dateisysteme so, dass sie nicht überwacht/vom Echtzeitschutz (RTP) ausgeschlossen werden. Die konfigurierten Dateisysteme werden anhand der Liste der zulässigen Dateisysteme Microsoft Defender überprüft. Dateisysteme können nur nach erfolgreicher Validierung überwacht werden. Diese konfigurierten nicht überwachten Dateisysteme werden weiterhin durch schnelle, vollständige und benutzerdefinierte Überprüfungen in Microsoft Defender Antivirus überprüft.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | unmonitoredFilesystems |
Nicht überwachte Dateisysteme |
| Datentyp | Array aus Zeichenfolgen | Dynamische Zeichenfolgenliste |
Hinweis
Das konfigurierte Dateisystem wird nur dann nicht überwacht, wenn es in der Liste zulässiger, nicht überwachter Dateisysteme von Microsoft vorhanden ist.
Standardmäßig werden NFS und Fuse von RTP-, Schnell- und Vollständigen Überprüfungen nicht überwacht. Sie können jedoch weiterhin durch einen benutzerdefinierten Scan gescannt werden. Um z. B. NFS aus der Liste der nicht überwachten Dateisysteme zu entfernen, aktualisieren Sie die verwaltete Konfigurationsdatei wie unten dargestellt. Dadurch wird NFS automatisch zur Liste der überwachten Dateisysteme für RTP hinzugefügt.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Um sowohl NFS als auch Fuse aus einer nicht überwachten Liste von Dateisystemen zu entfernen, verwenden Sie den folgenden Codeausschnitt:
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Hinweis
Dies ist die Standardliste der überwachten Dateisysteme für RTP: btrfs, ecryptfs, , ext2, ext4ext3, fuseblk, jfs, overlay, reiserfsvfatramfstmpfs, und xfs.
Wenn ein überwachtes Dateisystem der Liste der nicht überwachten Dateisysteme hinzugefügt werden muss, muss es von Microsoft über die Cloudkonfiguration ausgewertet und aktiviert werden. Anschließend können Kunden managed_mdatp.json aktualisieren, um die Überwachung dieses Dateisystems aufzuheben.
Konfigurieren der Dateihashberechnungsfunktion
Aktiviert oder deaktiviert die Dateihashberechnungsfunktion. Wenn dieses Feature aktiviert ist, berechnet Defender für Endpunkt Hashes für Dateien, die überprüft werden. Beachten Sie, dass sich die Aktivierung dieses Features auf die Geräteleistung auswirken kann. Weitere Informationen finden Sie unter Erstellen von Indikatoren für Dateien.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | enableFileHashComputation |
Aktivieren der Dateihashberechnung |
| Datentyp | Boolesch | Dropdown |
| Mögliche Werte |
false (Standard)true |
Not configuredDisabled (Standard)Enabled |
Hinweis
Verfügbar in Defender für Endpunkt-Version 101.85.27 oder höher.
Zulässige Bedrohungen
Liste der Bedrohungen (identifiziert durch ihren Namen), die vom Produkt nicht blockiert werden und stattdessen ausgeführt werden dürfen.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | allowedThreats |
Zulässige Bedrohungen |
| Datentyp | Array aus Zeichenfolgen | Dynamische Zeichenfolgenliste |
Unzulässige Bedrohungsaktionen
Schränkt die Aktionen ein, die der lokale Benutzer eines Geräts ausführen kann, wenn Bedrohungen erkannt werden. Die in dieser Liste enthaltenen Aktionen werden nicht auf der Benutzeroberfläche angezeigt.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | disallowedThreatActions |
Unzulässige Bedrohungsaktionen |
| Datentyp | Array aus Zeichenfolgen | Dynamische Zeichenfolgenliste |
| Mögliche Werte |
allow (Verhindert, dass Benutzer Bedrohungen zulassen)restore (Verhindert, dass Benutzer Bedrohungen aus der Quarantäne wiederherstellen) |
allow (Verhindert, dass Benutzer Bedrohungen zulassen)restore (Verhindert, dass Benutzer Bedrohungen aus der Quarantäne wiederherstellen) |
Hinweis
Verfügbar in Defender für Endpunkt-Version 100.83.73 oder höher.
Einstellungen für Bedrohungstypen
Die Einstellung threatTypeSettings in der Antiviren-Engine wird verwendet, um zu steuern, wie bestimmte Bedrohungstypen vom Produkt behandelt werden.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | threatTypeSettings |
Einstellungen für Bedrohungstypen |
| Datentyp | Wörterbuch (geschachtelte Einstellung) | Liste dynamischer Eigenschaften |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. | Eine Beschreibung der dynamischen Eigenschaften finden Sie in den folgenden Abschnitten. |
Bedrohungstyp
Art der Bedrohung, für die das Verhalten konfiguriert ist.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | Schlüssel | Bedrohungstyp |
| Datentyp | String | Dropdown |
| Mögliche Werte | potentially_unwanted_application archive_bomb |
potentially_unwanted_application archive_bomb |
Zu ergreifende Maßnahme
Aktion, die ausgeführt werden soll, wenn eine Bedrohung des im vorherigen Abschnitt angegebenen Typs angezeigt wird. Dies kann folgendes sein:
- Überwachung: Das Gerät ist nicht vor dieser Art von Bedrohung geschützt, aber ein Eintrag zur Bedrohung wird protokolliert. (Standard)
- Blockieren: Das Gerät ist vor dieser Art von Bedrohung geschützt, und Sie werden im Microsoft Defender-Portal benachrichtigt.
- Aus: Das Gerät ist nicht vor dieser Art von Bedrohung geschützt, und es wird nichts protokolliert.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | Wert | Zu ergreifende Maßnahme |
| Datentyp | String | Dropdown |
| Mögliche Werte |
audit (Standard)block off |
audit block Aus |
Richtlinie zum Zusammenführen von Bedrohungstypeinstellungen
Gibt die Mergerichtlinie für Bedrohungstypeinstellungen an. Dies kann eine Kombination aus vom Administrator definierten und benutzerdefinierten Einstellungen (merge) oder nur aus vom Administrator definierten Einstellungen (admin_only) sein. Vom Administrator definierte (admin_only) sind Bedrohungstypeinstellungen, die von der Defender für Endpunkt-Richtlinie konfiguriert werden. Diese Einstellung kann verwendet werden, um lokale Benutzer daran zu hindern, ihre eigenen Einstellungen für verschiedene Bedrohungstypen zu definieren.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | threatTypeSettingsMergePolicy |
Zusammenführen von Bedrohungstypeinstellungen |
| Datentyp | String | Dropdown |
| Mögliche Werte |
merge (Standard)admin_only |
Not configuredmerge (Standard)admin_only |
Hinweis
Verfügbar in Defender für Endpunkt-Version 100.83.73 oder höher.
Aufbewahrung des Verlaufs der Antivirenüberprüfung (in Tagen)
Geben Sie die Anzahl der Tage an, für die ergebnisse im Scanverlauf auf dem Gerät aufbewahrt werden. Alte Scanergebnisse werden aus dem Verlauf entfernt. Alte unter Quarantäne gestellte Dateien, die ebenfalls vom Datenträger entfernt werden.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | scanResultsRetentionDays |
Aufbewahrung von Scanergebnissen |
| Datentyp | String | Umschalten und Ganze Zahl |
| Mögliche Werte |
90 (Standard). Zulässige Werte liegen zwischen 1 Tag und 180 Tagen. |
Not configured (umschalten – Standardeinstellung für 90 Tage)Configured (umschalten) und zulässiger Wert 1 bis 180 Tage. |
Hinweis
Verfügbar in Defender für Endpunkt-Version 101.04.76 oder höher.
Maximale Anzahl von Elementen im Verlauf der Antivirenüberprüfung
Geben Sie die maximale Anzahl von Einträgen an, die im Scanverlauf beibehalten werden sollen. Zu den Einträgen gehören alle in der Vergangenheit durchgeführten bedarfsgesteuerten Überprüfungen sowie alle Antivirenerkennungen.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | scanHistoryMaximumItems |
Größe des Überprüfungsverlaufs |
| Datentyp | String | Umschalten und Ganze Zahl |
| Mögliche Werte |
10000 (Standard). Zulässige Werte sind von 5000 Elementen zu 15000 Elementen. |
Nicht konfiguriert (Umschalten aus – Standard 10000)Configured (umschalten) und zulässiger Wert zwischen 5000 und 15.000 Elementen. |
Hinweis
Verfügbar in Defender für Endpunkt-Version 101.04.76 oder höher.
Einstellungen für Ausschlusseinstellungen
Die Einstellungen für Ausschlusseinstellungen befinden sich derzeit in der Vorschauphase.
Hinweis
Globale Ausschlüsse befinden sich derzeit in der öffentlichen Vorschauphase und sind in Defender für Endpunkt ab version 101.23092.0012 oder höher in den Ringen "Insiders Slow" und "Production" verfügbar.
Der exclusionSettings Abschnitt des Konfigurationsprofils wird verwendet, um verschiedene Ausschlüsse für Microsoft Defender for Endpoint für Linux zu konfigurieren.
| Beschreibung | JSON-Wert |
|---|---|
| Key | exclusionSettings |
| Datentyp | Wörterbuch (geschachtelte Einstellung) |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Hinweis
Bereits konfigurierte Antivirenausschlüsse unter (antivirusEngine) im verwalteten JSON-Code funktionieren unverändert ohne Auswirkungen. Alle neuen Ausschlüsse , einschließlich Antivirenausschlüssen, können unter diesem völlig neuen Abschnitt (exclusionSettings) hinzugefügt werden. Dieser Abschnitt befindet sich außerhalb des (antivirusEngine)-Tags, da es ausschließlich für die Konfiguration aller Arten von Ausschlüssen vorgesehen ist, die in Zukunft verfügbar sein werden. Sie können auch weiterhin (antivirusEngine) zum Konfigurieren von Antivirenausschlüssen verwenden.
Mergerichtlinie
Gibt die Mergerichtlinie für Ausschlüsse an. Es gibt an, ob es sich um eine Kombination aus vom Administrator definierten und benutzerdefinierten Ausschlüssen (merge) oder nur aus vom Administrator definierten Ausschlüssen (admin_only) handeln kann. Diese Einstellung kann verwendet werden, um lokale Benutzer daran zu hindern, ihre eigenen Ausschlüsse zu definieren. Sie gilt für Ausschlüsse aller Bereiche.
| Beschreibung | JSON-Wert |
|---|---|
| Key | mergePolicy |
| Datentyp | String |
| Mögliche Werte |
merge (Standard)admin_only |
| Kommentare | Verfügbar in Defender für Endpunkt Version September 2023 oder höher. |
Ausschlüsse
Entitäten, die ausgeschlossen werden müssen, können durch vollständige Pfade, Erweiterungen oder Dateinamen angegeben werden. Jede Ausschlussentität, d. h. entweder der vollständige Pfad, die Erweiterung oder der Dateiname, verfügt über einen optionalen Bereich, der angegeben werden kann. Wenn nicht angegeben, ist der Standardwert des Bereichs in diesem Abschnitt global. (Ausschlüsse werden als Array von Elementen angegeben, der Administrator kann beliebig viele Elemente in beliebiger Reihenfolge angeben.)
| Beschreibung | JSON-Wert |
|---|---|
| Key | exclusions |
| Datentyp | Wörterbuch (geschachtelte Einstellung) |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Art des Ausschlusses
Gibt den Typ des Inhalts an, der von der Überprüfung ausgeschlossen wird.
| Beschreibung | JSON-Wert |
|---|---|
| Key | $type |
| Datentyp | String |
| Mögliche Werte | excludedPathexcludedFileExtension excludedFileName |
Ausschlussbereich (optional)
Gibt den Satz von Ausschlussbereichen des ausgeschlossenen Inhalts an. Derzeit werden bereiche epp und globalunterstützt.
Wenn in für einen Ausschluss unter exclusionSettings in der verwalteten Konfiguration nichts angegeben ist, global wird als Bereich betrachtet.
Hinweis
Zuvor konfigurierte Antivirenausschlüsse unter (antivirusEngine) in verwaltetem JSON funktionieren weiterhin, und ihr Bereich wird () berücksichtigtepp, da sie als Antivirenausschlüsse hinzugefügt wurden.
| Beschreibung | JSON-Wert |
|---|---|
| Key | Bereiche |
| Datentyp | Satz von Zeichenfolgen |
| Mögliche Werte | epp global |
Hinweis
Zuvor angewendete Ausschlüsse mit (mdatp_managed.json) oder über die CLI bleiben davon unberührt. Der Bereich für diese Ausschlüsse ist (epp), da sie unter (antivirusEngine) hinzugefügt wurden.
Pfad zu ausgeschlossenen Inhalten
Wird verwendet, um Inhalte aus der Überprüfung anhand des vollständigen Dateipfads auszuschließen.
| Beschreibung | JSON-Wert |
|---|---|
| Key | path |
| Datentyp | String |
| Mögliche Werte | Gültige Pfade |
| Kommentare | Gilt nur, wenn $typeexcludedPath ist. Ein Wildcard wird nicht unterstützt, wenn der Ausschluss global als Bereich gilt. |
Pfadtyp (Datei/Verzeichnis)
Gibt an, ob die path-Eigenschaft auf eine Datei oder ein Verzeichnis verweist.
Hinweis
Der Dateipfad muss bereits vorhanden sein, wenn ein Dateiausschluss mit globalem Bereich hinzugefügt wird.
| Beschreibung | JSON-Wert |
|---|---|
| Key | isDirectory |
| Datentyp | Boolesch |
| Mögliche Werte |
false (Standard)true |
| Kommentare | Gilt nur, wenn $typeexcludedPath ist. Ein Wildcard wird nicht unterstützt, wenn der Ausschluss global als Bereich gilt. |
Dateierweiterung von der Überprüfung ausgeschlossen
Wird verwendet, um Inhalte von der Dateierweiterung "Scan by" auszuschließen.
| Beschreibung | JSON-Wert |
|---|---|
| Key | Erweiterung |
| Datentyp | String |
| Mögliche Werte | Gültige Dateierweiterungen |
| Kommentare | Gilt nur, wenn $typeexcludedFileExtension ist. Wird nicht unterstützt, wenn der Ausschluss einen globalen Bereich aufweist. |
Von der Überprüfung ausgeschlossener Prozess
Gibt einen Prozess an, für den alle Dateiaktivitäten von der Überprüfung ausgeschlossen werden. Der Prozess kann entweder über seinen Namen (z. B cat. ) oder den vollständigen Pfad (z. B /bin/cat. ) angegeben werden.
| Beschreibung | JSON-Wert |
|---|---|
| Key | name |
| Datentyp | String |
| Mögliche Werte | beliebige Zeichenfolge |
| Kommentare | Gilt nur, wenn $typeexcludedFileName ist. Der Feldhalter- und Prozessname wird nicht unterstützt, wenn der Ausschluss global als Bereich ist, muss der vollständige Pfad angegeben werden. |
Erweiterte Scanoptionen
Die folgenden Einstellungen können so konfiguriert werden, dass bestimmte erweiterte Scanfunktionen aktiviert werden.
Wichtig
Die Aktivierung dieser Features kann sich auf die Geräteleistung auswirken. Daher wird empfohlen, die Standardwerte beizubehalten, sofern nicht von Microsoft-Support anders empfohlen.
Konfigurieren der Überprüfung von Dateiänderberechtigungsereignissen
Wenn dieses Feature aktiviert ist, überprüft Defender für Endpunkt Dateien, wenn ihre Berechtigungen geändert wurden, um die Ausführungsbits festzulegen.
Hinweis
Dieses Feature gilt nur, wenn das enableFilePermissionEvents Feature aktiviert ist. Weitere Informationen finden Sie weiter unten im Abschnitt Erweiterte optionale Features .
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | scanFileModifyPermissions |
Nicht verfügbar |
| Datentyp | Boolesch | n/v |
| Mögliche Werte |
false (Standard)true |
n/v |
Hinweis
Verfügbar in Defender für Endpunkt-Version 101.23062.0010 oder höher.
Konfigurieren der Überprüfung von Dateibesitzerereignissen
Wenn dieses Feature aktiviert ist, überprüft Defender für Endpunkt Dateien, deren Besitzer sich geändert hat.
Hinweis
Dieses Feature gilt nur, wenn das enableFileOwnershipEvents Feature aktiviert ist. Weitere Informationen finden Sie weiter unten im Abschnitt Erweiterte optionale Features .
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | scanFileModifyOwnership |
Nicht verfügbar |
| Datentyp | Boolesch | n/v |
| Mögliche Werte |
false (Standard)true |
n/v |
Hinweis
Verfügbar in Defender für Endpunkt-Version 101.23062.0010 oder höher.
Konfigurieren der Überprüfung von unformatierten Socketereignissen
Wenn dieses Feature aktiviert ist, überprüft Defender für Endpunkt Netzwerksocketereignisse wie die Erstellung von unformatierten Sockets/Paketsockets oder das Festlegen der Socketoption.
Hinweis
Dieses Feature gilt nur, wenn die Verhaltensüberwachung aktiviert ist.
Dieses Feature gilt nur, wenn das enableRawSocketEvent Feature aktiviert ist. Weitere Informationen finden Sie weiter unten im Abschnitt Erweiterte optionale Features .
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | scanNetworkSocketEvent |
Nicht verfügbar |
| Datentyp | Boolesch | n/v |
| Mögliche Werte |
false (Standard)true |
n/v |
Hinweis
Verfügbar in Defender für Endpunkt-Version 101.23062.0010 oder höher.
Über die Cloud bereitgestellte Schutzeinstellungen
Der Eintrag cloudService im Konfigurationsprofil wird verwendet, um das cloudgesteuerte Schutzfeature des Produkts zu konfigurieren.
Hinweis
In der Cloud bereitgestellter Schutz gilt für alle Einstellungen der Erzwingungsebene (real_time, on_demand, passiv).
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | cloudService |
Von der Cloud bereitgestellte Schutzeinstellungen |
| Datentyp | Wörterbuch (geschachtelte Einstellung) | Reduzierter Abschnitt |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. | In den folgenden Abschnitten finden Sie eine Beschreibung der Richtlinieneinstellungen. |
Aktivieren oder Deaktivieren des von der Cloud bereitgestellten Schutzes
Bestimmt, ob der von der Cloud bereitgestellte Schutz auf dem Gerät aktiviert ist oder nicht. Um die Sicherheit Ihrer Dienste zu verbessern, empfehlen wir, dieses Feature aktiviert zu lassen.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | enabled |
Aktivieren des von der Cloud bereitgestellten Schutzes |
| Datentyp | Boolesch | Dropdown |
| Mögliche Werte |
true (Standard)false |
Nicht konfiguriert Deaktiviert Aktiviert (Standard) |
Sammlungsebene von Diagnosedaten
Diagnosedaten werden verwendet, um Defender für Endpunkt sicher und auf dem neuesten Stand zu halten, Probleme zu erkennen, zu diagnostizieren und zu beheben sowie Produktverbesserungen vorzunehmen. Diese Einstellung bestimmt die Ebene der Diagnose, die vom Produkt an Microsoft gesendet werden. Weitere Informationen finden Sie unter Datenschutz für Microsoft Defender for Endpoint unter Linux.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | diagnosticLevel |
Erfassungsebene für Diagnosedaten |
| Datentyp | String | Dropdown |
| Mögliche Werte | optional required (Standard) |
Not configuredoptional (Standard)required |
Konfigurieren der Cloudblockebene
Diese Einstellung bestimmt, wie aggressiv Defender für Endpunkt beim Blockieren und Scannen verdächtiger Dateien ist. Wenn diese Einstellung aktiviert ist, ist Defender für Endpunkt aggressiver, wenn verdächtige Dateien identifiziert werden, die blockiert und überprüft werden sollen. Andernfalls ist es weniger aggressiv und blockiert und scannt daher mit weniger Häufigkeit.
Es gibt fünf Werte zum Festlegen der Cloudblockebene:
- Normal (
normal): Die Standardblockierungsstufe. - Moderate (
moderate): Gibt nur für Erkennungen mit hoher Zuverlässigkeit eine Bewertung aus. - Hoch (
high): Blockiert aggressiv unbekannte Dateien, während die Leistung optimiert wird (höhere Wahrscheinlichkeit, dass nicht schädliche Dateien blockiert werden). - High Plus (
high_plus): Sperrt unbekannte Dateien aggressiv und wendet zusätzliche Schutzmaßnahmen an (kann sich auf die Leistung des Clientgeräts auswirken). - Zero Tolerance (
zero_tolerance): Blockiert alle unbekannten Programme.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | cloudBlockLevel |
Konfigurieren der Cloudblockebene |
| Datentyp | String | Dropdown |
| Mögliche Werte |
normal (Standard)moderate high high_plus zero_tolerance |
Not configuredNormal (Standard)Moderate High High_Plus Zero_Tolerance |
Hinweis
Verfügbar in Defender für Endpunkt-Version 101.56.62 oder höher.
Aktivieren oder Deaktivieren von automatischen Beispielübermittlungen
Bestimmt, ob verdächtige Stichproben (die wahrscheinlich Bedrohungen enthalten) an Microsoft gesendet werden. Es gibt drei Ebenen für die Steuerung der Beispielübermittlung:
- Keine: Es werden keine verdächtigen Stichproben an Microsoft übermittelt.
- Sicher: Nur verdächtige Stichproben, die keine personenbezogenen Informationen (Personally Identifiable Information, PII) enthalten, werden automatisch übermittelt. Dies ist der Standardwert für diese Einstellung.
- Alle: Alle verdächtigen Stichproben werden an Microsoft übermittelt.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | automaticSampleSubmissionConsent |
Aktivieren automatischer Beispielübermittlungen |
| Datentyp | String | Dropdown |
| Mögliche Werte | none safe (Standard)all |
Not configuredNoneSafe (Standard)All |
Aktivieren oder Deaktivieren automatischer Security Intelligence-Updates
Bestimmt, ob Security Intelligence-Updates automatisch installiert werden:
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | automaticDefinitionUpdateEnabled |
Automatische Security Intelligence-Updates |
| Datentyp | Boolesch | Dropdown |
| Mögliche Werte |
true (Standard)false |
Not configuredDisabledEnabled (Standard) |
Je nach Erzwingungsstufe werden die automatischen Security Intelligence-Updates unterschiedlich installiert. Im RTP-Modus werden Updates in regelmäßigen Abständen installiert. Im Passiven/On-Demand-Modus werden Updates vor jeder Überprüfung installiert.
Erweiterte optionale Features
Die folgenden Einstellungen können so konfiguriert werden, dass bestimmte erweiterte Features aktiviert werden.
Wichtig
Die Aktivierung dieser Features kann sich auf die Geräteleistung auswirken. Es wird empfohlen, die Standardwerte beizubehalten, sofern nicht von Microsoft-Support anders empfohlen.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | Funktionen | Nicht verfügbar |
| Datentyp | Wörterbuch (geschachtelte Einstellung) | n/v |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Modulladefeature
Bestimmt, ob Modulladeereignisse (Ereignisse zum Öffnen von Dateien in freigegebenen Bibliotheken) überwacht werden.
Hinweis
Dieses Feature gilt nur, wenn die Verhaltensüberwachung aktiviert ist.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | moduleLoad |
Nicht verfügbar |
| Datentyp | String | n/v |
| Mögliche Werte |
disabled (Standard)enabled |
n/v |
| Kommentare | Verfügbar in Defender für Endpunkt-Version 101.68.80 oder höher. |
Feature "Infizierte Datei beheben"
Bestimmt, ob infizierte Prozesse, die eine infizierte Datei öffnen oder laden, wiederhergestellt werden.
Hinweis
Wenn diese Option aktiviert ist, werden die Prozesse, die infizierte Dateien öffnen oder laden, im RTP-Modus wiederhergestellt. Diese Prozesse werden nicht in der Bedrohungsliste angezeigt, da sie nicht böswillig sind, sondern nur beendet werden, weil sie die Bedrohungsdatei in den Arbeitsspeicher laden.
| Beschreibung | JSON-Wert | Defender Portal-Wert |
|---|---|---|
| Key | remediateInfectedFile | Nicht verfügbar |
| Datentyp | String | n/v |
| Mögliche Werte | deaktiviert (Standard) aktiviert |
n/v |
| Kommentare | Verfügbar in Defender für Endpunkt-Version 101.24122.0001 oder höher. |
Zusätzliche Sensorkonfigurationen
Die folgenden Einstellungen können verwendet werden, um bestimmte erweiterte zusätzliche Sensorfunktionen zu konfigurieren.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | supplementarySensorConfigurations |
Nicht verfügbar |
| Datentyp | Wörterbuch (geschachtelte Einstellung) | n/v |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Konfigurieren der Überwachung von Dateiänderberechtigungsereignissen
Bestimmt, ob Dateiänderberechtigungsereignisse (chmod) überwacht werden.
Hinweis
Wenn dieses Feature aktiviert ist, überwacht Defender für Endpunkt Änderungen an den Ausführungsbits von Dateien, überprüft diese Ereignisse jedoch nicht. Weitere Informationen finden Sie im Abschnitt Erweiterte Scanfunktionen .
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | enableFilePermissionEvents |
Nicht verfügbar |
| Datentyp | String | n/v |
| Mögliche Werte |
disabled (Standard)enabled |
n/v |
| Kommentare | Verfügbar in Defender für Endpunkt-Version 101.23062.0010 oder höher. |
Konfigurieren der Überwachung von Dateiänderungsbesitzerereignissen
Bestimmt, ob Dateibesitzerereignisse (chown) überwacht werden.
Hinweis
Wenn dieses Feature aktiviert ist, überwacht Defender für Endpunkt Änderungen am Besitz von Dateien, überprüft diese Ereignisse jedoch nicht. Weitere Informationen finden Sie im Abschnitt Erweiterte Scanfunktionen .
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | enableFileOwnershipEvents |
Nicht verfügbar |
| Datentyp | String | n/v |
| Mögliche Werte |
disabled (Standard)enabled |
n/v |
| Kommentare | Verfügbar in Defender für Endpunkt-Version 101.23062.0010 oder höher. |
Konfigurieren der Überwachung von unformatierten Socketereignissen
Bestimmt, ob Netzwerksocketereignisse, die die Erstellung von unformatierten Sockets/Paketsockets oder das Festlegen der Socketoption betreffen, überwacht werden.
Hinweis
Dieses Feature gilt nur, wenn die Verhaltensüberwachung aktiviert ist. Wenn dieses Feature aktiviert ist, überwacht Defender für Endpunkt diese Netzwerksocketereignisse, überprüft diese Ereignisse jedoch nicht. Weitere Informationen finden Sie weiter oben im Abschnitt Erweiterte Scanfunktionen .
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | enableRawSocketEvent |
Nicht verfügbar |
| Datentyp | String | n/v |
| Mögliche Werte |
disabled (Standard)enabled |
n/v |
| Kommentare | Verfügbar in Defender für Endpunkt-Version 101.23062.0010 oder höher. |
Konfigurieren der Überwachung von Startladeprogrammereignissen
Bestimmt, ob Startladeprogrammereignisse überwacht und überprüft werden.
Hinweis
Dieses Feature gilt nur, wenn die Verhaltensüberwachung aktiviert ist.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | enableBootLoaderCalls |
Nicht verfügbar |
| Datentyp | String | n/v |
| Mögliche Werte |
disabled (Standard)enabled |
n/v |
| Kommentare | Verfügbar in Defender für Endpunkt-Version 101.68.80 oder höher. |
Konfigurieren der Überwachung von Ptrace-Ereignissen
Bestimmt, ob Ptrace-Ereignisse überwacht und gescannt werden.
Hinweis
Dieses Feature gilt nur, wenn die Verhaltensüberwachung aktiviert ist.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | enableProcessCalls |
Nicht verfügbar |
| Datentyp | String | n/v |
| Mögliche Werte |
disabled (Standard)enabled |
n/v |
| Kommentare | Verfügbar in Defender für Endpunkt-Version 101.68.80 oder höher. |
Konfigurieren der Überwachung von Pseudofs-Ereignissen
Bestimmt, ob Pseudofs-Ereignisse überwacht und gescannt werden.
Hinweis
Dieses Feature gilt nur, wenn die Verhaltensüberwachung aktiviert ist.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | enablePseudofsCalls |
Nicht verfügbar |
| Datentyp | String | n/v |
| Mögliche Werte |
disabled (Standard)enabled |
n/v |
| Kommentare | Verfügbar in Defender für Endpunkt-Version 101.68.80 oder höher. |
Konfigurieren der Überwachung von Modulladeereignissen mithilfe von eBPF
Bestimmt, ob Modulladeereignisse mithilfe von eBPF überwacht und gescannt werden.
Hinweis
Dieses Feature gilt nur, wenn die Verhaltensüberwachung aktiviert ist.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | enableEbpfModuleLoadEvents |
Nicht verfügbar |
| Datentyp | String | n/v |
| Mögliche Werte |
disabled (Standard)enabled |
n/v |
| Kommentare | Verfügbar in Defender für Endpunkt-Version 101.68.80 oder höher. |
Konfigurieren der Überwachung von offenen Ereignissen aus bestimmten Dateisystemen mithilfe von eBPF
Bestimmt, ob offene Ereignisse von procfs von eBPF überwacht werden.
Hinweis
Dieses Feature gilt nur, wenn die Verhaltensüberwachung aktiviert ist.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | enableOtherFsOpenEvents |
Nicht verfügbar |
| Datentyp | String | n/v |
| Mögliche Werte |
disabled (Standard)enabled |
n/v |
| Kommentare | Verfügbar in Defender für Endpunkt-Version 101.24072.0001 oder höher. |
Konfigurieren der Quellanreicherung von Ereignissen mithilfe von eBPF
Bestimmt, ob Ereignisse an der Quelle in eBPF mit Metadaten angereichert werden.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | enableEbpfSourceEnrichment |
Nicht verfügbar |
| Datentyp | String | n/v |
| Mögliche Werte |
disabled (Standard)enabled |
n/v |
| Kommentare | Verfügbar in Defender für Endpunkt-Version 101.24072.0001 oder höher. |
Aktivieren des Caches der Antiviren-Engine
Bestimmt, ob Metadaten von Ereignissen, die von der Antiviren-Engine überprüft werden, zwischengespeichert werden oder nicht.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | enableAntivirusEngineCache |
Nicht verfügbar |
| Datentyp | String | n/v |
| Mögliche Werte |
disabled (Standard)enabled |
n/v |
| Kommentare | Verfügbar in Defender für Endpunkt-Version 101.24072.0001 oder höher. |
Melden verdächtiger AV-Ereignisse an EDR
Bestimmt, ob verdächtige Ereignisse von Antivirus an EDR gemeldet werden.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | sendLowfiEvents |
Nicht verfügbar |
| Datentyp | String | n/v |
| Mögliche Werte |
disabled (Standard)enabled |
n/v |
| Kommentare | Verfügbar in Defender für Endpunkt-Version 101.23062.0010 oder höher. |
Netzwerkschutzkonfigurationen
Hinweis
Dies ist eine Vorschaufunktion. Damit diese wirksam sind, muss der Netzwerkschutz aktiviert werden. Weitere Informationen finden Sie unter Aktivieren des Netzwerkschutzes für Linux.
Die folgenden Einstellungen können verwendet werden, um erweiterte Netzwerkschutz-Überprüfungsfeatures zu konfigurieren, um zu steuern, welcher Datenverkehr vom Netzwerkschutz überprüft wird.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | networkProtection |
Netzwerkschutz |
| Datentyp | Wörterbuch (geschachtelte Einstellung) | Reduzierter Abschnitt |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. | Eine Beschreibung der Richtlinieneinstellungen finden Sie in den folgenden Abschnitten. |
Erzwingungsstufe
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | enforcementLevel |
Erzwingungsstufe |
| Datentyp | String | Dropdown |
| Mögliche Werte |
disabled (Standard)audit block |
Not configureddisabled (Standard)auditblock |
Konfigurieren der ICMP-Inspektion
Bestimmt, ob ICMP-Ereignisse überwacht und überprüft werden.
Hinweis
Dieses Feature gilt nur, wenn die Verhaltensüberwachung aktiviert ist.
| Beschreibung | JSON-Wert | Microsoft Defender Portalwert |
|---|---|---|
| Key | disableIcmpInspection |
Nicht verfügbar |
| Datentyp | Boolesch | n/v |
| Mögliche Werte |
true (Standard)false |
n/v |
| Kommentare | Verfügbar in Defender für Endpunkt-Version 101.23062.0010 oder höher. |
Hinzufügen einer Tag- oder Gruppen-ID zum Konfigurationsprofil
Wenn Sie den mdatp health Befehl zum ersten Mal ausführen, ist der Wert für das Tag und die Gruppen-ID leer. Führen Sie die folgenden Schritte aus, um der Datei eine mdatp_managed.json Tag- oder Gruppen-ID hinzuzufügen:
Öffnen Sie das Konfigurationsprofil über den Pfad
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json.Wechseln Sie zum Ende der Datei, wo sich der
cloudService-Block befindet.Fügen Sie die erforderliche Tag- oder Gruppen-ID wie im folgenden Beispiel am Ende der schließenden geschweiften Klammer für hinzu
cloudService.}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }Hinweis
Fügen Sie das Komma nach der schließenden geschweiften Klammer am Ende des
cloudServiceBlocks hinzu. Stellen Sie außerdem sicher, dass nach dem Hinzufügen des Tags- oder Gruppen-ID-Blocks zwei schließende geschweifte Klammern vorhanden sind (siehe das obige Beispiel). Derzeit istGROUPder einzige unterstützte Schlüsselname für Tags .
Überprüfung des Konfigurationsprofils
Das Konfigurationsprofil muss eine gültige JSON-formatierte Datei sein. Es gibt viele Tools, die verwendet werden können, um dies zu überprüfen. Wenn Sie beispielsweise auf Ihrem Gerät installiert haben python :
python -m json.tool mdatp_managed.json
Wenn der JSON-Code wohlgeformt ist, gibt der obige Befehl ihn an das Terminal zurück und gibt den Exitcode zurück 0. Andernfalls wird ein Fehler angezeigt, der das Problem beschreibt, und der Befehl gibt den Exitcode zurück 1.
Überprüfen, ob die mdatp_managed.json-Datei wie erwartet funktioniert
Um zu überprüfen, ob Ihr /etc/opt/microsoft/mdatp/managed/mdatp_managed.json ordnungsgemäß funktioniert, sollte neben diesen Einstellungen "[verwaltet]" angezeigt werden:
cloud_enabledcloud_automatic_sample_submission_consentpassive_mode_enabledreal_time_protection_enabledautomatic_definition_update_enabled
Hinweis
Es ist kein Neustart des mdatp-Daemons erforderlich, damit Änderungen an den meisten Konfigurationen in mdatp_managed.json wirksam werden.
Ausnahme: Die folgenden Konfigurationen erfordern einen Neustart des Daemons, damit sie wirksam werden:
cloud-diagnosticlog-rotation-parameters
Bereitstellung von Konfigurationsprofilen
Nachdem Sie das Konfigurationsprofil für Ihr Unternehmen erstellt haben, können Sie es über das Verwaltungstool bereitstellen, das Ihr Unternehmen verwendet. Defender für Endpunkt unter Linux liest die verwaltete Konfiguration aus /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.