Jaa


Asetusten määrittäminen Microsoft Defender for Endpoint Linuxissa

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tärkeää

Tässä artikkelissa on ohjeita defenderin asetusten määrittämiseen Linuxin päätepisteelle yritysympäristöissä. Jos olet kiinnostunut tuotteen määrittämisestä laitteessa komentoriviltä, katso Resurssit.

Yritysympäristöissä Defender for Endpointia Linuxissa voidaan hallita määritysprofiilin kautta. Tämä profiili otetaan käyttöön valitsemastasi hallintatyökalusta. Yrityksen hallitsemat asetukset ovat etusijalla laitteessa paikallisesti asetettuihin asetuksiin nähden. Toisin sanoen yrityksesi käyttäjät eivät voi muuttaa asetuksia, jotka on määritetty tämän määritysprofiilin kautta. Jos poikkeuksia on lisätty hallitun määritysprofiilin kautta, ne voidaan poistaa vain hallitun määritysprofiilin kautta. Komentorivi toimii paikallisesti lisättyjen poissulkemisten kanssa.

Tässä artikkelissa kuvataan tämän profiilin rakenne (mukaan lukien suositeltu profiili, jonka avulla pääset alkuun) sekä ohjeet profiilin käyttöönottoon.

Profiilirakenteen määritys

Määritysprofiili on .json -tiedosto, joka koostuu avaimen tunnistamista merkinnöistä (jotka ilmaisevat asetuksen nimen), ja sen jälkeen arvosta, joka riippuu mieltymyksen luonteesta. Arvot voivat olla yksinkertaisia, kuten numeerinen arvo, tai monimutkaisia, kuten sisäkkäinen asetusluettelo.

Yleensä käytät määritystenhallintatyökalua työntämään tiedoston, jonka nimi mdatp_managed.json on sijainnissa /etc/opt/microsoft/mdatp/managed/.

Määritysprofiilin ylätaso sisältää tuotteen kattavat asetukset ja merkinnät tuotteen alialueille, jotka selitetään tarkemmin seuraavissa osioissa.

Virustentorjuntaohjelman asetukset

Määritysprofiilin AntivirusEngine-osaa käytetään tuotteen virustentorjuntakomponentin asetusten hallintaan.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin antivirusEngine Virustentorjuntaohjelma
Tietotyyppi Sanasto (sisäkkäinen asetus) Kutistettu osa
Kommentit Seuraavissa osissa on kuvaus sanaston sisällöstä. Seuraavista osioista saat kuvauksen käytännön ominaisuuksista.

Virustentorjuntaohjelman täytäntöönpanotaso

Määrittää virustentorjuntaohjelman pakotusmieltymyksen. Täytäntöönpanotason määrittämiseen on kolme arvoa:

  • Reaaliaikainen (real_time): Reaaliaikainen suojaus (tarkistustiedostot muokattaessa) on käytössä.
  • Pyydettäessä (on_demand): tiedostot skannataan vain pyydettäessä. Tässä:
    • Reaaliaikainen suojaus on poistettu käytöstä.
  • Passiivinen (passive): Suorittaa virustentorjuntaohjelman passiivitilassa. Tässä:
    • Reaaliaikainen suojaus on poistettu käytöstä: Microsoft Defenderin virustentorjunta ei korjaa uhkia.
    • Pyydettäessä suoritettava skannaus on käytössä: Käytä yhä päätepisteen tarkistusominaisuuksia.
    • Automaattinen uhkien korjaaminen on poistettu käytöstä: Tiedostoja ei siirretä ja suojauksen järjestelmänvalvojan odotetaan ryhtyvän tarvittaviin toimiin.
    • Suojaustietojen päivitykset on otettu käyttöön: Ilmoitukset ovat käytettävissä suojauksen järjestelmänvalvojien vuokraajassa.
Kuvaus JSON-arvo Defender Portal -arvo
Näppäin enforcementLevel Pakotustaso
Tietotyyppi Merkkijono Avattavasta
Mahdolliset arvot real_time
on_demand
passive (oletus)
Ei määritetty
Reaaliaikainen
OnDemand
Passiivinen (oletus)

Huomautus

Käytettävissä Defender for Endpoint -versiossa 101.10.72 tai uudemmissa versioissa. Oletusarvo muutetaan real_time passiiviseksi päätepisteen versiossa 101.23062.0001 tai uudemmissa versioissa. On suositeltavaa käyttää myös ajoitettuja skannauksia tarpeen mukaan.

Ota käyttöön tai poista käytöstä toiminnan valvonta

Määrittää, onko toiminnan valvonta ja estotoiminto käytössä laitteessa vai ei.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin behaviorMonitoring Ota käyttöön toiminnan valvonta
Tietotyyppi Merkkijono Avattavasta
Mahdolliset arvot disabled (oletus)

enabled

Ei määritetty
Poistettu käytöstä (oletus)
Käytössä

Huomautus

Käytettävissä Defender for Endpoint -versiossa 101.45.00 tai uudemmissa versioissa. Tämä ominaisuus on käytettävissä vain, kun Real-Time Protection -ominaisuus on käytössä.

Suorita tarkistus, kun määritelmät on päivitetty

Määrittää, aloitetaanko prosessin tarkistus sen jälkeen, kun laitteeseen on ladattu uusia tietoturvatietopäivityksiä. Tämän asetuksen ottaminen käyttöön käynnistää virustentorjuntatarkistuksen laitteen käynnissä oleissa prosesseissa.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin scanAfterDefinitionUpdate Ota skannaus käyttöön määritelmäpäivityksen jälkeen
Tietotyyppi Totuusarvo Avattavasta
Mahdolliset arvot true (oletus)

false

Ei määritetty
Vammainen
Käytössä (oletus)

Huomautus

Käytettävissä Defender for Endpoint -versiossa 101.45.00 tai uudemmissa versioissa. Tämä ominaisuus toimii vain, kun pakotustasoksi real-timeon määritetty .

Skannaa arkistot (vain tarvittaessa suoritettavat virustentorjuntatarkistuksia)

Määrittää, skannataanko arkistot pyydettäessä suoritettavan virustentorjuntatarkistuksen aikana.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin scanArchives Arkistojen tarkistuksen ottaminen käyttöön
Tietotyyppi Totuusarvo Avattavasta
Mahdolliset arvot true (oletus)

false

Ei määritetty
Vammainen
Käytössä (oletus)

Huomautus

Käytettävissä Microsoft Defenderin päätepisteen versiossa 101.45.00 tai uudemmissa versioissa. Arkistotiedostoja ei koskaan skannata reaaliaikaisesti suojauksen aikana. Kun arkistossa olevat tiedostot puretaan, ne tarkistetaan. ScanArchives-vaihtoehtoa voidaan käyttää arkistojen skannauksen pakottamiseen vain pyydettäessä suoritettavan tarkistuksen aikana.

Rinnakkaisuuden aste pyydettäessä luotaessa

Määrittää pyydettäessä luotavien tarkistusten rinnakkaisuuden asteen. Tämä vastaa tarkistuksen suorittamiseen käytettyjen säikeiden määrää ja vaikuttaa suorittimen käyttöön sekä pyydettäessä suoritettavan tarkistuksen kestoon.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin maximumOnDemandScanThreads suurin pyydettäessä suoritettavat skannaussäikeet
Tietotyyppi Kokonaisluku Vaihda valitsinta & kokonaisluku
Mahdolliset arvot 2 (oletus). Sallitut arvot ovat kokonaislukuja väliltä 1 - 64. Ei määritetty (oletusasetusten oletusarvo on 2)
Määritetty (käytössä) ja kokonaisluku väliltä 1 - 64.

Huomautus

Käytettävissä Microsoft Defenderin päätepisteen versiossa 101.45.00 tai uudemmissa versioissa.

Poissulkemisen yhdistämiskäytäntö

Määrittää poissulkemisten yhdistämiskäytännön. Se voi olla yhdistelmä järjestelmänvalvojan määrittämiä ja käyttäjän määrittämiä poissulkemisia (merge) tai vain järjestelmänvalvojan määrittämiä poissulkemisia (admin_only). Tämän asetuksen avulla voidaan rajoittaa paikallisia käyttäjiä määrittämästä omia poissulkemisiaan.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin exclusionsMergePolicy Poissulkemisten yhdistäminen
Tietotyyppi Merkkijono Avattavasta
Mahdolliset arvot merge (oletus)

admin_only

Ei määritetty
yhdistäminen (oletus)
admin_only

Huomautus

Käytettävissä Defender for Endpoint -versiossa 100.83.73 tai uudemmissa versioissa.

Skannauksen poikkeukset

Entiteetit, jotka on jätetty pois tarkistuksesta. Poikkeukset voidaan määrittää täysien polkujen, tunnisteiden tai tiedostonimien mukaan. (Poikkeukset määritetään kohteiden matriisiksi, järjestelmänvalvoja voi määrittää niin monta elementtiä kuin on tarpeen missä tahansa järjestyksessä.)

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin Poikkeukset Skannauksen poikkeukset
Tietotyyppi Sanasto (sisäkkäinen asetus) Dynaamisten ominaisuuksien luettelo
Kommentit Seuraavissa osissa on kuvaus sanaston sisällöstä.
Poissulkemisen tyyppi

Määrittää tarkistuksesta pois jätetyn sisällön tyypin.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin $type Kirjoita
Tietotyyppi Merkkijono Avattavasta
Mahdolliset arvot excludedPath

excludedFileExtension

excludedFileName

Polku
Tiedostopääte
Prosessin nimi
Ulkoisesti käsiteltävän sisällön polku

Käytetään sisällön pois jättämiseen tarkistuksesta koko tiedostopolun mukaan.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin polku Polku
Tietotyyppi Merkkijono Merkkijono
Mahdolliset arvot kelvolliset polut kelvolliset polut
Kommentit Käytettävissä vain, jos $type on excludedPath Käytettävissä Muokkaa esiintymää - ponnahdusikkunassa
Polun tyyppi (tiedosto tai hakemisto)

Ilmaisee, viittaako polkuominaisuus tiedostoon tai hakemistoon.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin isDirectory On hakemisto
Tietotyyppi Totuusarvo Avattavasta
Mahdolliset arvot false (oletus)

true

Käytössä
Vammainen
Kommentit Käytettävissä vain, jos $type on excludedPath Käytettävissä Muokkaa esiintymää - ponnahdusikkunassa
Tiedostotunniste, joka jätettiin pois tarkistuksesta

Käytetään sisällön pois jättämiseen tarkistuksesta tiedostotunnisteen mukaan.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin laajennus Tiedostopääte
Tietotyyppi Merkkijono Merkkijono
Mahdolliset arvot kelvolliset tiedostotunnisteet kelvolliset tiedostotunnisteet
Kommentit Käytettävissä vain, jos $type jätetään poisFileExtension Käytettävissä Esiintymän määrittäminen - ponnahdusikkunassa
Prosessi, joka jätettiin pois tarkistuksesta*

Määrittää prosessin, jossa kaikki tiedostotoiminnot eivät ole skannattuja. Prosessi voidaan määrittää joko sen nimen (esimerkiksi cat) tai koko polun (esimerkiksi /bin/cat) perusteella.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin Nimi Tiedoston nimi
Tietotyyppi Merkkijono Merkkijono
Mahdolliset arvot mikä tahansa merkkijono mikä tahansa merkkijono
Kommentit Käytettävissä vain, jos $type on jätetty poisFileName Käytettävissä Esiintymän määrittäminen - ponnahdusikkunassa

Muiden kuin exec-asennusten mykistys

Määrittää RTP:n toiminnan noexec-merkinnällä merkityssä käyttöönottopisteessä. Asetukselle on kaksi arvoa:

  • Vaipaton (unmute): Oletusarvo, kaikki käyttöönottopisteet tarkistetaan osana RTP:tä.
  • Vaimennettu (mute): noexec-merkinnällä merkittyjä käyttöönottopisteitä ei skannata osana RTP:tä. Nämä käyttöönottopisteet voidaan luoda seuraaville:
    • Tietokantatiedostot tietokantapalvelimien tietokantatiedostojen säilyttämistä varten.
    • Tiedostopalvelin voi säilyttää datatiedostojen käyttöönottopisteet noexec-asetuksella.
    • Varmuuskopioi voi säilyttää datatiedostojen käyttöönottopisteet noexec-asetuksella.
Kuvaus JSON-arvo Defender Portal -arvo
Näppäin nonExecMountPolicy ei suoritettava käyttöönotto mykistys
Tietotyyppi Merkkijono Avattavasta
Mahdolliset arvot unmute (oletus)

mute

Ei määritetty
poista vaimennus (oletus)
mykistää

Huomautus

Käytettävissä Defender for Endpoint -versiossa 101.85.27 tai uudemmissa versioissa.

Unmonitor Filesystems

Määritä, että tiedostojärjestelmiä ei valvota tai että ne jätetään pois reaaliaikaisen suojauksen (RTP) käytöstä. Määritetyt tiedostojärjestelmät vahvistetaan Microsoft Defenderin sallittujen tiedostojärjestelmien luettelon mukaan. Vain onnistuneen vahvistuksen jälkeen, sallitaanko tiedostojärjestelmän valvominen. Nopeat, täydet ja mukautetut tarkistukset tarkistavat edelleen nämä määritetyt valvomattomat tiedostojärjestelmät.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin unmonitoredFilesystems Valvomattomat tiedostojärjestelmät
Tietotyyppi Merkkijonojen matriisi Dynaamisen merkkijonon luettelo

Huomautus

Määritettyä tiedostojärjestelmää ei valvota vain, jos se on Microsoftin sallittujen valvomattomien tiedostojärjestelmien luettelossa.

Oletusarvon mukaan NFS ja Fuse eivät ole valvottuja RTP-, Quick- ja Full scans -toiminnoista. Ne voidaan kuitenkin yhä skannata mukautetulla tarkistuksella. Jos haluat esimerkiksi poistaa NFS:n valvomattomien tiedostojärjestelmien luettelosta, päivitä hallittu määritystiedosto alla kuvatulla tavalla. Tämä lisää automaattisesti NFS:n RTP:n valvottujen tiedostojärjestelmien luetteloon.

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["Fuse"]
  }
}

Jos haluat poistaa sekä NFS: n että Sulakkeen valvomattomasta tiedostojärjestelmien luettelosta, toimi seuraavasti

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

Huomautus

Täällä; on RTP:n valvottujen tiedostojärjestelmien oletusluettelo: btrfs, , ecryptfs, ext2, ext3, ext4, fuseblk, , jfs, overlay, ramfs, tmpfsreiserfsvfatxfs, .

Jos valvottu tiedostojärjestelmä on lisättävä valvomattomien tiedostojärjestelmien luetteloon, Microsoftin on arvioitava ja otettava se käyttöön pilvimäärityksen kautta. Sen jälkeen asiakkaat voivat päivittää managed_mdatp.json kyseisen tiedostojärjestelmän valvomattomaksi.

Määritä tiedoston hajautustoiminto

Ottaa käyttöön tai poistaa käytöstä tiedoston hajautusarvon laskentaominaisuuden. Kun tämä ominaisuus on käytössä, Defender for Endpoint laskee hajautuksia skannatuille tiedostoille. Huomaa, että tämän ominaisuuden ottaminen käyttöön voi vaikuttaa laitteen suorituskykyyn. Lisätietoja on artikkelissa: Tiedostojen ilmaisimien luominen.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin enableFileHashComputation Ota tiedoston hajautuslaskenta käyttöön
Tietotyyppi Totuusarvo Avattavasta
Mahdolliset arvot false (oletus)

true

Ei määritetty
Poistettu käytöstä (oletus)
Käytössä

Huomautus

Käytettävissä Defender for Endpoint -versiossa 101.85.27 tai uudemmissa versioissa.

Sallitut uhat

Niiden uhkien luettelo (jotka tunnistetaan niiden nimen mukaan), joita tuote ei estä ja joiden suorittamisen sallitaan sen sijaan.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin allowedThreats Sallitut uhat
Tietotyyppi Merkkijonojen matriisi Dynaamisen merkkijonon luettelo

Kiellettyjä uhkatoimintoja

Rajoittaa toimintoja, joita laitteen paikallinen käyttäjä voi suorittaa, kun uhkia havaitaan. Tähän luetteloon sisältyvät toiminnot eivät näy käyttöliittymässä.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin disallowedThreatActions Kiellettyjä uhkatoimintoja
Tietotyyppi Merkkijonojen matriisi Dynaamisen merkkijonon luettelo
Mahdolliset arvot allow (rajoittaa käyttäjiä sallimasta uhkia)

restore (rajoittaa käyttäjiä palauttamasta uhkia karanteenista)

salli (rajoittaa käyttäjiä sallimasta uhkia)

palauta (rajoittaa käyttäjiä palauttamasta uhkia karanteenista)

Huomautus

Käytettävissä Defender for Endpoint -versiossa 100.83.73 tai uudemmissa versioissa.

Uhkatyyppiasetukset

Virustentorjuntaohjelman threatTypeSettings-asetuksen avulla hallitaan, miten tuote käsittelee tiettyjä uhkatyyppejä.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin threatTypeSettings Uhkatyyppiasetukset
Tietotyyppi Sanasto (sisäkkäinen asetus) Dynaamisten ominaisuuksien luettelo
Kommentit Seuraavissa osissa on kuvaus sanaston sisällöstä. Seuraavissa osissa on dynaamisten ominaisuuksien kuvaus.
Uhkatyyppi

Uhkatyyppi, jolle toiminta on määritetty.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin avain Uhkatyyppi
Tietotyyppi Merkkijono Avattavasta
Mahdolliset arvot potentially_unwanted_application

archive_bomb

potentially_unwanted_application

archive_bomb

Suoritettava toiminto

Toiminto, joka suoritetaan, kun kohtaat edellisessä osiossa määritetyn lajin uhan. Voi olla:

  • Valvonta: Laitetta ei ole suojattu tämäntyyppiseltä uhalta, mutta merkintä uhasta kirjataan. (Oletus)
  • Lohko: Laite on suojattu tämäntyyppiseltä uhalta, ja saat ilmoituksen suojauskonsolissa.
  • Pois käytöstä: Laitetta ei ole suojattu tämäntyyppiseltä uhalta, eikä mitään kirjata.
Kuvaus JSON-arvo Defender Portal -arvo
Näppäin arvo Suoritettava toiminto
Tietotyyppi Merkkijono Avattavasta
Mahdolliset arvot audit (oletus)

block

off

tilintarkastus

estää

pois

Uhkatyyppiasetusten yhdistämiskäytäntö

Määrittää uhkatyyppiasetusten yhdistämiskäytännön. Tämä voi olla yhdistelmä järjestelmänvalvojan määrittämiä ja käyttäjän määrittämiä asetuksia (merge) tai vain järjestelmänvalvojan määrittämiä asetuksia (admin_only). Tämän asetuksen avulla voidaan rajoittaa paikallisia käyttäjiä määrittämästä omia asetuksiaan eri uhkatyypeille.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin threatTypeSettingsMergePolicy Uhkatyyppiasetusten yhdistäminen
Tietotyyppi Merkkijono Avattavasta
Mahdolliset arvot yhdistäminen (oletus)

admin_only

Ei määritetty
yhdistäminen (oletus)
admin_only

Huomautus

Käytettävissä Defender for Endpoint -versiossa 100.83.73 tai uudemmissa versioissa.

Virustentorjuntaohjelman tarkistushistorian säilyttäminen (päivinä)

Määritä, kuinka monta päivää tulokset säilytetään laitteen tarkistushistoriassa. Vanhat tarkistustulokset poistetaan historiasta. Vanhat karanteeniin asetetut tiedostot, jotka myös poistetaan levyltä.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin scanResultsRetentionDays Skannaa tulosten säilytys
Tietotyyppi Merkkijono Vaihtokytkin ja kokonaisluku
Mahdolliset arvot 90 (oletus). Sallitut arvot ovat 1 päivästä 180 päivään. Ei määritetty (pois käytöstä - oletus 90 päivää)
Määritetty (käytössä/ käytössä) ja sallittu arvo 1 - 180 päivää.

Huomautus

Käytettävissä Defender for Endpoint -versiossa 101.04.76 tai uudemmissa versioissa.

Virustentorjunnan tarkistushistorian kohteiden enimmäismäärä

Määritä tarkistushistoriassa säilytettävien merkintöjen enimmäismäärä. Merkinnät sisältävät kaikki aiemmin suoritetut pyydettäessä suoritettavat tarkistukset ja kaikki virustentorjuntaohjelman tunnistukset.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin scanHistoryMaximumItems Skannaushistorian koko
Tietotyyppi Merkkijono Vaihda ja kokonaisluku
Mahdolliset arvot 10000 (oletus). Sallitut arvot ovat 5 000 kohteesta 15 000 kohteeseen. Ei määritetty (pois käytöstä - oletus 10000)
Määritetty (käytössä/ käytössä) ja sallittu arvo 5000 – 15 000 kohdetta.

Huomautus

Käytettävissä Defender for Endpoint -versiossa 101.04.76 tai uudemmissa versioissa.

Tarkistuksen lisäasetukset

Seuraavat asetukset voidaan määrittää ottamaan käyttöön tietyt kehittyneet skannausominaisuudet.

Huomautus

Näiden ominaisuuksien ottaminen käyttöön voi vaikuttaa laitteen suorituskykyyn. Siksi on suositeltavaa säilyttää oletusarvot.

Tiedoston muokkausoikeuksien tapahtumien tarkistuksen määrittäminen

Kun tämä ominaisuus on käytössä, Defender for Endpoint tarkistaa tiedostot, kun niiden käyttöoikeuksia on muutettu suoritusbittien määrittämiseksi.

Huomautus

Tämä ominaisuus on käytettävissä vain, enableFilePermissionEvents kun ominaisuus on käytössä. Lisätietoja on alla olevassa Valinnaisten lisäominaisuuksien osiossa.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin scanFileModifyPermissions Ei käytettävissä
Tietotyyppi Totuusarvo Ei käytettävissä
Mahdolliset arvot epätosi (oletus)

tosi

Ei käytettävissä

Huomautus

Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmissa versioissa.

Tiedoston omistajuustapahtumien tarkistuksen määrittäminen

Kun tämä ominaisuus on käytössä, Defender for Endpoint tarkistaa tiedostot, joiden omistajuus on muuttunut.

Huomautus

Tämä ominaisuus on käytettävissä vain, enableFileOwnershipEvents kun ominaisuus on käytössä. Lisätietoja on alla olevassa Valinnaisten lisäominaisuuksien osiossa.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin scanFileModifyOwnership Ei käytettävissä
Tietotyyppi Totuusarvo Ei käytettävissä
Mahdolliset arvot epätosi (oletus)

tosi

Ei käytettävissä

Huomautus

Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmissa versioissa.

Raakavastaketapahtumien tarkistuksen määrittäminen

Kun tämä ominaisuus on käytössä, Defender for Endpoint tarkistaa verkkovastakkeiden tapahtumat, kuten raakavastakkeiden tai pakettivastakkeiden luomisen tai vastakkeen määrittämisen vaihtoehdon.

Huomautus

Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä. Tämä ominaisuus on käytettävissä vain, enableRawSocketEvent kun ominaisuus on käytössä. Lisätietoja on alla olevassa Valinnaisten lisäominaisuuksien osiossa.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin scanNetworkSocketEvent Ei käytettävissä
Tietotyyppi Totuusarvo Ei käytettävissä
Mahdolliset arvot epätosi (oletus)

tosi

Ei käytettävissä

Huomautus

Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmissa versioissa.

Pilvipalveluun toimitetut suojausasetukset

Määritysprofiilin cloudService-merkintää käytetään määrittämään tuotteen pilvipohjainen suojausominaisuus.

Huomautus

Pilvipalveluun toimitettua suojausta voidaan soveltaa kaikkiin pakotustason asetuksiin (real_time, on_demand, passiivinen).

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin cloudService Pilvipalveluun toimitetut suojausasetukset
Tietotyyppi Sanasto (sisäkkäinen asetus) Kutistettu osa
Kommentit Seuraavissa osissa on kuvaus sanaston sisällöstä. Seuraavista osioista saat kuvauksen käytännön asetuksista.

Pilvipalveluun toimitetun suojauksen ottaminen käyttöön tai poistaminen käytöstä

Määrittää, onko pilvipalveluun toimitettu suojaus käytössä laitteessa vai ei. Jos haluat parantaa palvelusi suojausta, suosittelemme, että pidät tämän ominaisuuden käytössä.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin Käytössä Pilvipalveluun toimitetun suojauksen käyttöönotto
Tietotyyppi Totuusarvo Avattavasta
Mahdolliset arvot true (oletus)

false

Ei määritetty
Vammainen
Käytössä (oletus)

Diagnostiikkakokoelman taso

Diagnostiikkatietoja käytetään pitämään Defender for Endpoint suojattuna ja ajan tasalla, tunnistamaan, diagnosoimaan ja korjaamaan ongelmia sekä tekemään myös tuoteparannuksia. Tämä asetus määrittää tuotteen Microsoftille lähettämän diagnostiikkatason. Lisätietoja on artikkelissa Linux-päätepisteen Microsoft Defender for Endpointin tietosuoja.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin diagnosticLevel Diagnostiikkatietojen keräystaso
Tietotyyppi Merkkijono Avattavasta
Mahdolliset arvot optional

required (oletus)

Ei määritetty
valinnainen (oletus)
pakollinen

Pilvilohkotason määrittäminen

Tämä asetus määrittää, kuinka aggressiivinen Defender for Endpoint on epäilyttävien tiedostojen estämisessä ja skannaamisessa. Jos tämä asetus on käytössä, Defender for Endpoint on aggressiivisempi tunnistettaessa epäilyttäviä tiedostoja, jotka estetään ja skannataan; Muussa tapauksessa se on vähemmän aggressiivinen ja estää ja skannaa pienemmällä tiheydellä.

Pilvilohkotason määrittämiseen on viisi arvoa:

  • Normaali (normal): Oletusarvoinen estotaso.
  • Normaali (moderate): antaa tuomion vain erittäin luotettavan tunnistuksen osalta.
  • Suuri (high): Estää tuntemattomia tiedostoja tehokkaasti optimoitaessa suorituskykyä varten (suurempi mahdollisuus estää ei-haitalliset tiedostot).
  • High Plus (high_plus): Estää tuntemattomat tiedostot aggressiivisesti ja ottaa käyttöön lisäsuojausmittareita (saattaa vaikuttaa asiakkaan laitteen suorituskykyyn).
  • Nollatoleranssi (zero_tolerance): Estää kaikki tuntemattomat ohjelmat.
Kuvaus JSON-arvo Defender Portal -arvo
Näppäin cloudBlockLevel Pilvilohkotason määrittäminen
Tietotyyppi Merkkijono Avattavasta
Mahdolliset arvot normal (oletus)

moderate

high

high_plus

zero_tolerance

Ei määritetty
Normaali (oletus)
Kohtalainen
Korkea
High_Plus
Zero_Tolerance

Huomautus

Käytettävissä Defender for Endpoint -versiossa 101.56.62 tai uudemmissa versioissa.

Ota käyttöön tai poista käytöstä mallien automaattiset lähetykset

Määrittää, lähetetäänkö Microsoftille epäilyttäviä näytteitä (jotka todennäköisesti sisältävät uhkia). Näytteen lähettämisen hallintaan on kolme tasoa:

  • Ei mitään: Microsoftille ei lähetetä epäilyttäviä näytteitä.
  • Turvallinen: automaattisesti lähetetään vain epäilyttävät näytteet, jotka eivät sisällä henkilötietoja. Tämä on tämän asetuksen oletusarvo.
  • Kaikki: kaikki epäilyttävät näytteet lähetetään Microsoftille.
Kuvaus JSON-arvo Defender Portal -arvo
Näppäin automaticSampleSubmissionConsent Ota käyttöön automaattiset mallilähetykset
Tietotyyppi Merkkijono Avattavasta
Mahdolliset arvot none

safe (oletus)

all

Ei määritetty
Ei mitään
Turvallinen (oletus)
Kaikki

Automaattisten suojaustietojen päivitysten ottaminen käyttöön tai poistaminen käytöstä

Määrittää, asennetaanko suojaustietojen päivitykset automaattisesti:

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin automaticDefinitionUpdateEnabled Automaattiset suojaustietojen päivitykset
Tietotyyppi Totuusarvo Avattavasta
Mahdolliset arvot true (oletus)

false

Ei määritetty
Vammainen
Käytössä (oletus)

Valinnaiset lisäominaisuudet

Seuraavat asetukset voidaan määrittää ottamaan käyttöön tiettyjä lisäominaisuuksia.

Huomautus

Näiden ominaisuuksien ottaminen käyttöön voi vaikuttaa laitteen suorituskykyyn. Oletusarvot kannattaa säilyttää.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin Ominaisuuksia Ei käytettävissä
Tietotyyppi Sanasto (sisäkkäinen asetus) Ei käytettävissä
Kommentit Seuraavissa osissa on kuvaus sanaston sisällöstä.

Moduulin latausominaisuus

Määrittää, valvotaanko moduulin lataustapahtumia (jaettujen kirjastojen tiedoston avaamistapahtumia).

Huomautus

Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin moduleLoad Ei käytettävissä
Tietotyyppi Merkkijono Ei käytettävissä
Mahdolliset arvot poistettu käytöstä (oletus)

Käytössä

Ei käytettävissä
Kommentit Käytettävissä Defender for Endpoint -versiossa 101.68.80 tai uudemmissa versioissa.

Lisätunnistinmääritykset

Seuraavia asetuksia voidaan käyttää tiettyjen lisätunnistinominaisuuksien määrittämiseen.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin supplementarySensorConfigurations Ei käytettävissä
Tietotyyppi Sanasto (sisäkkäinen asetus) Ei käytettävissä
Kommentit Seuraavissa osissa on kuvaus sanaston sisällöstä.
Määritä tiedoston muokkausoikeuksien tapahtumien valvonta

Määrittää, valvotaanko tiedoston muokkaamisen käyttöoikeustapahtumia (chmod).

Huomautus

Kun tämä ominaisuus on käytössä, Defender for Endpoint valvoo tiedostojen suoritusbittien muutoksia, mutta ei tarkista näitä tapahtumia. Lisätietoja on kohdassa Kehittyneet skannausominaisuudet .

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin enableFilePermissionEvents Ei käytettävissä
Tietotyyppi Merkkijono Ei käytettävissä
Mahdolliset arvot poistettu käytöstä (oletus)

Käytössä

Ei käytettävissä
Kommentit Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmissa versioissa.
Määritä tiedoston omistajuustapahtumien valvonta

Määrittää, valvotaanko tiedoston omistajuustapahtumia (chown).

Huomautus

Kun tämä ominaisuus on käytössä, Defender for Endpoint valvoo tiedostojen omistajuuteen tehtyjä muutoksia, mutta ei tarkista näitä tapahtumia. Lisätietoja on kohdassa Kehittyneet skannausominaisuudet .

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin enableFileOwnershipEvents Ei käytettävissä
Tietotyyppi Merkkijono Ei käytettävissä
Mahdolliset arvot poistettu käytöstä (oletus)

Käytössä

Ei käytettävissä
Kommentit Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmissa versioissa.
Raakavastaketapahtumien seurannan määrittäminen

Määrittää, valvotaanko verkkovastakkeen tapahtumia, joihin liittyy raakavastakkeiden tai pakettivastakkeiden luominen tai vastakeasetuksen määrittäminen.

Huomautus

Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä. Kun tämä ominaisuus on käytössä, Defender for Endpoint valvoo näitä verkkovastakkeen tapahtumia, mutta ei tarkista näitä tapahtumia. Lisätietoja on yllä olevassa osiossa Kehittyneet skannausominaisuudet .

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin enableRawSocketEvent Ei käytettävissä
Tietotyyppi Merkkijono Ei käytettävissä
Mahdolliset arvot poistettu käytöstä (oletus)

Käytössä

Ei käytettävissä
Kommentit Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmissa versioissa.
Käynnistyksen lataustapahtumien seurannan määrittäminen

Määrittää, valvotaanko ja tarkistetaanko käynnistyksen lataustapahtumia.

Huomautus

Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin enableBootLoaderCalls Ei käytettävissä
Tietotyyppi Merkkijono Ei käytettävissä
Mahdolliset arvot poistettu käytöstä (oletus)

Käytössä

Ei käytettävissä
Kommentit Käytettävissä Defender for Endpoint -versiossa 101.68.80 tai uudemmissa versioissa.
Jäljitystapahtumien seurannan määrittäminen

Määrittää, valvotaanko ja tarkistetaanko jäljitystapahtumia.

Huomautus

Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin enableProcessCalls Ei käytettävissä
Tietotyyppi Merkkijono Ei käytettävissä
Mahdolliset arvot poistettu käytöstä (oletus)

Käytössä

Ei käytettävissä
Kommentit Käytettävissä Defender for Endpoint -versiossa 101.68.80 tai uudemmissa versioissa.
Pseudofs-tapahtumien seurannan määrittäminen

Määrittää, valvotaanko ja skannataanko pseudofs-tapahtumia.

Huomautus

Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin enablePseudofsCalls Ei käytettävissä
Tietotyyppi Merkkijono Ei käytettävissä
Mahdolliset arvot poistettu käytöstä (oletus)

Käytössä

Ei käytettävissä
Kommentit Käytettävissä Defender for Endpoint -versiossa 101.68.80 tai uudemmissa versioissa.
Määritä moduulin lataustapahtumien valvonta eBPF:n avulla

Määrittää, valvotaanko moduulin lataustapahtumia eBPF:n avulla ja tarkistetaanko ne.

Huomautus

Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin enableEbpfModuleLoadEvents Ei käytettävissä
Tietotyyppi Merkkijono Ei käytettävissä
Mahdolliset arvot poistettu käytöstä (oletus)

Käytössä

Ei käytettävissä
Kommentit Käytettävissä Defender for Endpoint -versiossa 101.68.80 tai uudemmissa versioissa.

Ilmoita AV:n epäilyttävistä tapahtumista EDR:lle

Määrittää, raportoidaanko virustentorjunnan epäilyttävistä tapahtumista EDR:lle.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin sendLowfiEvents Ei käytettävissä
Tietotyyppi Merkkijono Ei käytettävissä
Mahdolliset arvot poistettu käytöstä (oletus)

Käytössä

Ei käytettävissä
Kommentit Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmissa versioissa.

Verkon suojausmääritykset

Seuraavia asetuksia voidaan käyttää verkon suojauksen lisätarkastusominaisuuksien määrittämiseen sen hallitsemiseksi, mitä liikennettä verkon suojaus tutkii.

Huomautus

Jotta ne olisivat tehokkaita, verkon suojaus on otettava käyttöön. Lisätietoja on kohdassa Linux-verkon suojauksen ottaminen käyttöön.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin networkProtection Verkon suojaus
Tietotyyppi Sanasto (sisäkkäinen asetus) Kutistettu osa
Kommentit Seuraavissa osissa on kuvaus sanaston sisällöstä. Seuraavista osioista saat kuvauksen käytäntöasetuksista.

Pakotustaso

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin enforcementLevel Pakotustaso
Tietotyyppi Merkkijono Avattavasta
Mahdolliset arvot disabled (oletus)
audit
block
Ei määritetty
poistettu käytöstä (oletus)
tilintarkastus
estää

ICMP-tarkastuksen määrittäminen

Määrittää, valvotaanko ja tarkistetaanko ICMP-tapahtumia.

Huomautus

Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.

Kuvaus JSON-arvo Defender Portal -arvo
Näppäin disableIcmpInspection Ei käytettävissä
Tietotyyppi Totuusarvo Ei käytettävissä
Mahdolliset arvot true (oletus)

false

Ei käytettävissä
Kommentit Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmissa versioissa.

Jotta pääset alkuun, suosittelemme seuraavaa määritysprofiilia yrityksellesi, jotta voit hyödyntää kaikkia Defender for Endpointin tarjoamia suojausominaisuuksia.

Seuraava määritysprofiili:

  • Ota reaaliaikainen suojaus käyttöön (RTP)
  • Määritä, miten seuraavia uhkatyyppejä käsitellään:
    • Mahdollisesti ei-toivotut sovellukset (PUA) on estetty
    • Tuotelokeihin valvotaan arkistopommeja (tiedosto, jonka pakkausnopeus on suuri)
  • Ota käyttöön automaattiset suojaustietopäivitykset
  • Pilvipalveluun toimitetun suojauksen käyttöönotto
  • Ota käyttöön automaattinen mallien safe lähettäminen tasolla

Malliprofiili

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Täydellinen määritysprofiiliesimerkki

Seuraava määritysprofiili sisältää merkinnät kaikista tässä asiakirjassa kuvatuista asetuksista, ja sitä voidaan käyttää vaativammissa tilanteissa, joissa haluat hallita tuotetta tarkemmin.

Huomautus

Kaikkia Microsoft Defender for Endpoint -tietoliikennettä ei voi hallita vain välityspalvelinasetuksella tässä JSON-tiedostossa.

Koko profiili

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "behaviorMonitoring": "enabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "exclusions":[
         {
            "$type":"excludedPath",
            "isDirectory":false,
            "path":"/var/log/system.log<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/run<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/home/*/git<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedFileExtension",
            "extension":".pdf<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedFileName",
            "name":"cat<EXAMPLE DO NOT USE>"
         }
      ],
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Tunnisteen tai ryhmän tunnuksen lisääminen määritysprofiiliin

Kun suoritat komennon mdatp health ensimmäistä kertaa, tunnisteen ja ryhmätunnuksen arvo on tyhjä. Jos haluat lisätä tiedostoon tunnisteen mdatp_managed.json tai ryhmän tunnuksen, toimi seuraavasti:

  1. Avaa määritysprofiili polusta /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
  2. Siirry tiedoston alaosaan, jossa cloudService lohko sijaitsee.
  3. Lisää pakollinen tunniste tai ryhmän tunnus seuraavassa esimerkissä kohteen oikean aaltosulkeen cloudServiceloppuun.
  },
  "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
},
"edr": {
  "groupIds":"GroupIdExample",
  "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
}

Huomautus

Lisää pilkku lohkon lopussa olevan oikean aaltosulkeen cloudService jälkeen. Varmista myös, että tunniste- tai ryhmätunnuslohkon lisäämisen jälkeen on kaksi suljetta (katso yllä oleva esimerkki). Tällä hetkellä tunnisteiden ainoa tuettu avaimen nimi on GROUP.

Määritysprofiilin vahvistus

Määritysprofiilin on oltava kelvollinen JSON-muotoiltu tiedosto. On monia työkaluja, joiden avulla voit tarkistaa tämän. Jos olet python esimerkiksi asentanut sen laitteeseesi:

python -m json.tool mdatp_managed.json

Jos JSON on oikein muotoiltu, yllä oleva komento tulostaa sen takaisin Päätteeseen ja palauttaa lopetuskoodin parametrille 0. Muussa tapauksessa näyttöön tulee virhe, joka kuvaa ongelmaa, ja komento palauttaa lopetuskoodin parametrille 1.

Tarkistetaan, että mdatp_managed.json tiedosto toimii odotetulla tavalla

Jos haluat varmistaa, että /etc/opt/microsoft/mdatp/managed/mdatp_managed.json toimii oikein, näiden asetusten vieressä pitäisi näkyä "[managed]":

  • cloud_enabled
  • cloud_automatic_sample_submission_consent
  • passive_mode_enabled
  • real_time_protection_enabled
  • automatic_definition_update_enabled

Huomautus

Mdatp-daemonin uudelleenkäynnistystä ei tarvita, jotta muutokset useimmissa mdatp_managed.json kokoonpanoissa tulevat voimaan. Poikkeus: Seuraavat määritykset edellyttävät, että daemon-uudelleenkäynnistys tulee voimaan:

  • pilvidiagnostiikka
  • log-rotation-parameters

Määritysprofiilin käyttöönotto

Kun olet luonut määritysprofiilin yrityksellesi, voit ottaa sen käyttöön yrityksesi käyttämällä hallintatyökalulla. Defender for Endpoint on Linux lukee hallitun määrityksen tiedostosta /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.