Asetusten määrittäminen Microsoft Defender for Endpoint Macissa
Koskee seuraavia:
- Microsoft Defender for Endpoint macOS:ssä
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
Tärkeää
Tässä artikkelissa on ohjeita microsoft Defender for Endpointin asetusten määrittämiseen macOS:ssä yritysorganisaatioissa. Jos haluat määrittää Microsoft Defenderin päätepisteelle macOS:ssä komentorivikäyttöliittymän avulla, katso Resurssit.
Yhteenveto
Yritysorganisaatioissa MacOS:n Microsoft Defender for Endpointia voidaan hallita määritysprofiililla, joka otetaan käyttöön jollakin useista hallintatyökaluista. Suojaustoimintatiimisi hallitsemat asetukset ovat etusijalla laitteessa paikallisesti määritettyihin asetuksiin nähden. Määritysprofiilin kautta määritettyjen asetusten muuttaminen edellyttää eskaloituja oikeuksia, eivätkä ne ole käytettävissä käyttäjille, joilla ei ole järjestelmänvalvojan käyttöoikeuksia.
Tässä artikkelissa kuvataan määritysprofiilin rakenne, annetaan suositeltu profiili, jonka avulla pääset alkuun, ja annetaan ohjeet profiilin käyttöönottoon.
Profiilirakenteen määritys
Määritysprofiili on .plist-tiedosto , joka koostuu avaimen tunnistamista merkinnöistä (jotka ilmaisevat asetuksen nimen), ja sen jälkeen arvosta, joka riippuu mieltymyksen luonteesta. Arvot voivat olla joko yksinkertaisia (kuten numeerinen arvo) tai monimutkaisia, kuten sisäkkäinen asetusluettelo.
Varoitus
Määritysprofiilin asettelu riippuu käyttämästäsi hallintakonsolista. Seuraavissa osioissa on esimerkkejä JAMF:n ja Intunen määritysprofiileista.
Määritysprofiilin ylin taso sisältää tuotteenlaajuiset asetukset ja merkinnät Microsoft Defender for Endpointin alialueille, jotka selitetään tarkemmin seuraavissa osioissa.
Virustentorjuntaohjelman asetukset
Määritysprofiilin AntivirusEngine-osaa käytetään Microsoft Defender for Endpointin virustentorjuntakomponentin asetusten hallintaan.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | antivirusEngine |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
Virustentorjuntaohjelman täytäntöönpanotaso
Määrittää virustentorjuntaohjelman pakotusmieltymyksen. Täytäntöönpanotason määrittämiseen on kolme arvoa:
- Reaaliaikainen (
real_time): Reaaliaikainen suojaus (skannaustiedostot, kun niitä käytetään) on käytössä. - Pyydettäessä (
on_demand): tiedostot skannataan vain pyydettäessä. Tässä:- Reaaliaikainen suojaus on poistettu käytöstä.
- Passiivinen (
passive): Suorittaa virustentorjuntaohjelman passiivitilassa. Tässä:- Reaaliaikainen suojaus on poistettu käytöstä.
- Pyydettäessä suoritettava skannaus on käytössä.
- Automaattinen uhkien korjaaminen on poistettu käytöstä.
- Suojaustietojen päivitykset on otettu käyttöön.
- Tila-valikkokuvake on piilotettu.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | enforcementLevel |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | real_time (oletus) on_demand Passiivinen |
| Kommentit | Käytettävissä Microsoft Defenderin päätepisteen versiossa 101.10.72 tai uudemmissa versioissa. |
Ota käyttöön tai poista käytöstä toiminnan valvonta
Määrittää, onko toiminnan valvonta ja estotoiminto käytössä laitteessa vai ei.
Huomautus
Tämä ominaisuus on käytettävissä vain, kun Real-Time Protection -ominaisuus on käytössä.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | behaviorMonitoring |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | Poistettu käytöstä käytössä (oletus) |
| Kommentit | Käytettävissä Microsoft Defenderin päätepisteen versiossa 101.24042.0002 tai uudemmissa versioissa. |
Määritä tiedoston hajautustoiminto
Ottaa käyttöön tai poistaa käytöstä tiedoston hajautusarvon laskentaominaisuuden. Kun tämä ominaisuus on käytössä, Defender for Endpoint laskee hajautusmerkit tiedostoille, jotka se tarkistaa, jotta vastaavuus ilmaisimen sääntöihin olisi parempi. MacOS:ssä tätä hajautuslaskentaa varten otetaan huomioon vain komentosarja ja Mach-O (32- ja 64-bittinen) tiedostot (moduulin versiosta 1.1.20000.2 tai uudemmasta). Huomaa, että tämän ominaisuuden ottaminen käyttöön voi vaikuttaa laitteen suorituskykyyn. Lisätietoja on artikkelissa: Tiedostojen ilmaisimien luominen.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | enableFileHashComputation |
| Tietotyyppi | Totuusarvo |
| Mahdolliset arvot | epätosi (oletus) Totta |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.86.81 tai uudemmissa versioissa. |
Suorita tarkistus, kun määritelmät on päivitetty
Määrittää, aloitetaanko prosessin tarkistus sen jälkeen, kun laitteeseen on ladattu uusia tietoturvatietopäivityksiä. Tämän asetuksen ottaminen käyttöön käynnistää virustentorjuntatarkistuksen laitteen käynnissä oleissa prosesseissa.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | scanAfterDefinitionUpdate |
| Tietotyyppi | Totuusarvo |
| Mahdolliset arvot | true (oletus) Vääriä |
| Kommentit | Käytettävissä Microsoft Defenderin päätepisteen versiossa 101.41.10 tai uudemmissa versioissa. |
Skannaa arkistot (vain tarvittaessa suoritettavat virustentorjuntatarkistuksia)
Määrittää, skannataanko arkistot pyydettäessä suoritettavan virustentorjuntatarkistuksen aikana.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | scanArchives |
| Tietotyyppi | Totuusarvo |
| Mahdolliset arvot | true (oletus) Vääriä |
| Kommentit | Käytettävissä Microsoft Defenderin päätepisteen versiossa 101.41.10 tai uudemmissa versioissa. |
Rinnakkaisuuden aste pyydettäessä luotaessa
Määrittää pyydettäessä luotavien tarkistusten rinnakkaisuuden asteen. Tämä vastaa tarkistuksen suorittamiseen käytettyjen säikeiden määrää ja vaikuttaa suorittimen käyttöön sekä pyydettäessä suoritettavan tarkistuksen kestoon.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | maximumOnDemandScanThreads |
| Tietotyyppi | Kokonaisluku |
| Mahdolliset arvot | 2 (oletus). Sallitut arvot ovat kokonaislukuja väliltä 1 - 64. |
| Kommentit | Käytettävissä Microsoft Defenderin päätepisteen versiossa 101.41.10 tai uudemmissa versioissa. |
Poissulkemisen yhdistämiskäytäntö
Määritä poissulkemisten yhdistämiskäytäntö. Tämä voi olla yhdistelmä järjestelmänvalvojan määrittämiä ja käyttäjän määrittämiä poissulkemisia (merge) tai vain järjestelmänvalvojan määrittämiä poissulkemisia (admin_only). Tämän asetuksen avulla voidaan rajoittaa paikallisia käyttäjiä määrittämästä omia poissulkemisiaan.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | exclusionsMergePolicy |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | yhdistäminen (oletus) admin_only |
| Kommentit | Käytettävissä Microsoft Defenderin päätepisteen versiossa 100.83.73 tai uudemmissa versioissa. |
Skannauksen poikkeukset
Määritä entiteetit, joita ei voi tarkistaa. Poikkeukset voidaan määrittää täysien polkujen, tunnisteiden tai tiedostonimien mukaan. (Poikkeukset määritetään kohteiden matriisiksi, järjestelmänvalvoja voi määrittää niin monta elementtiä kuin on tarpeen missä tahansa järjestyksessä.)
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | Poikkeukset |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
Poissulkemisen tyyppi
Määritä sisältö, jota ei voi tarkistaa tyypin mukaan.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | $type |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | excludedPath excludedFileExtension excludedFileName |
Ulkoisesti käsiteltävän sisällön polku
Määritä sisältö, jota koko tiedostopolku ei voi tarkistaa.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | Polku |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | kelvolliset polut |
| Kommentit | Käytettävissä vain, jos $type on excludedPath |
Tuetut poissulkemistyypit
Seuraavassa taulukossa esitetään poissulkemistyypit, joita Defender tukee Macin päätepisteelle.
| Syrjäytymisen | Määritelmä | Esimerkkejä |
|---|---|---|
| Tiedostopääte | Kaikki tiedostot, joilla on tunniste, missä tahansa laitteessa | .test |
| Tiedosto | Koko polun tunnistama tietty tiedosto | /var/log/test.log |
| Kansio | Kaikki määritetyn kansion tiedostot (rekursiivisesti) | /var/log/ |
| Prosessi | Tietty prosessi (määritetty joko koko polun tai tiedostonimen mukaan) ja kaikki sen avaamat tiedostot | /bin/cat |
Tärkeää
Edellä mainittujen polkujen on oltava kovia linkkejä, ei symbolisia linkkejä, jotta ne voidaan sulkea onnistuneesti pois. Voit tarkistaa, onko polku symbolinen linkki, suorittamalla komennon file <path-name>.
Tiedoston, kansion ja prosessin poikkeukset tukevat seuraavia yleismerkkejä:
| Yleismerkki | Kuvaus | Esimerkki | Ottelut | Ei täsmää |
|---|---|---|---|---|
| * | Vastaa mitä tahansa merkkien määrää, mukaan lukien ei mitään (huomaa, että kun tätä yleismerkkiä käytetään polun sisällä, se korvaa vain yhden kansion) | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | Vastaa mitä tahansa yksittäistä merkkiä | file?.log |
file1.log |
file123.log |
Polun tyyppi (tiedosto tai hakemisto)
Ilmaisee, viittaako polkuominaisuus tiedostoon tai hakemistoon.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | isDirectory |
| Tietotyyppi | Totuusarvo |
| Mahdolliset arvot | epätosi (oletus) Totta |
| Kommentit | Käytettävissä vain, jos $type on excludedPath |
Tiedostotunniste, joka jätettiin pois tarkistuksesta
Määritä sisältö, jota tiedostotunniste ei voi tarkistaa.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | Tiedostopääte |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | kelvolliset tiedostotunnisteet |
| Kommentit | Käytettävissä vain, jos $type jätetään poisFileExtension |
Tarkistus ei sisällä prosessia
Määritä prosessi, jonka kaikki tiedostotoiminnot eivät ole skannattuja. Prosessi voidaan määrittää joko sen nimen (esimerkiksi cat) tai koko polun (esimerkiksi /bin/cat) perusteella.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | Nimi |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | mikä tahansa merkkijono |
| Kommentit | Käytettävissä vain, jos $type on jätetty poisFileName |
Sallitut uhat
Määritä nimeltä uhat, joita Defender ei estä Macin päätepisteelle. Näiden uhkien suorittaminen sallitaan.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | allowedThreats |
| Tietotyyppi | Merkkijonojen matriisi |
Kiellettyjä uhkatoimintoja
Rajoittaa toimintoja, joita laitteen paikallinen käyttäjä voi suorittaa, kun uhkia havaitaan. Tähän luetteloon sisältyvät toiminnot eivät näy käyttöliittymässä.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | disallowedThreatActions |
| Tietotyyppi | Merkkijonojen matriisi |
| Mahdolliset arvot | salli (rajoittaa käyttäjiä sallimasta uhkia) palauta (rajoittaa käyttäjiä palauttamasta uhkia karanteenista) |
| Kommentit | Käytettävissä Microsoft Defenderin päätepisteen versiossa 100.83.73 tai uudemmissa versioissa. |
Uhkatyyppiasetukset
Määritä, miten Microsoft Defender käsittelee tiettyjä uhkatyyppejä macOS:n päätepisteelle.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | threatTypeSettings |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
Uhkatyyppi
Määritä uhkatyypit.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | Avain |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | potentially_unwanted_application archive_bomb |
Suoritettava toiminto
Määritä, mitä toimintoa suoritetaan, kun edellisessä osiossa määritetyn tyyppinen uhka havaitaan. Valitse seuraavista vaihtoehdoista:
- Valvonta: laitettasi ei ole suojattu tämäntyyppiseltä uhalta, mutta merkintä uhasta kirjataan.
- Lohko: laitteesi on suojattu tämäntyyppiseltä uhalta, ja saat ilmoituksen käyttöliittymässä ja suojauskonsolissa.
- Ei käytössä: laitettasi ei ole suojattu tämäntyyppiseltä uhalta, eikä mitään kirjata lokiin.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | Arvo |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | valvonta (oletus) Estää Pois |
Uhkatyyppiasetusten yhdistämiskäytäntö
Määritä uhkatyyppiasetusten yhdistämiskäytäntö. Tämä voi olla yhdistelmä järjestelmänvalvojan määrittämiä ja käyttäjän määrittämiä asetuksia (merge) tai vain järjestelmänvalvojan määrittämiä asetuksia (admin_only). Tämän asetuksen avulla voidaan rajoittaa paikallisia käyttäjiä määrittämästä omia asetuksiaan eri uhkatyypeille.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | threatTypeSettingsMergePolicy |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | yhdistäminen (oletus) admin_only |
| Kommentit | Käytettävissä Microsoft Defenderin päätepisteen versiossa 100.83.73 tai uudemmissa versioissa. |
Virustentorjuntaohjelman tarkistushistorian säilyttäminen (päivinä)
Määritä, kuinka monta päivää tulokset säilytetään laitteen tarkistushistoriassa. Vanhat tarkistustulokset poistetaan historiasta. Vanhat karanteeniin asetetut tiedostot, jotka myös poistetaan levyltä.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | scanResultsRetentionDays |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | 90 (oletus). Sallitut arvot ovat 1 päivästä 180 päivään. |
| Kommentit | Käytettävissä Microsoft Defenderin päätepisteen versiossa 101.07.23 tai uudemmissa versioissa. |
Virustentorjunnan tarkistushistorian kohteiden enimmäismäärä
Määritä tarkistushistoriassa säilytettävien merkintöjen enimmäismäärä. Merkinnät sisältävät kaikki aiemmin suoritetut pyydettäessä suoritettavat tarkistukset ja kaikki virustentorjuntaohjelman tunnistukset.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | scanHistoryMaximumItems |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | 10000 (oletus). Sallitut arvot ovat 5 000 kohteesta 15 000 kohteeseen. |
| Kommentit | Käytettävissä Microsoft Defenderin päätepisteen versiossa 101.07.23 tai uudemmissa versioissa. |
Pilvipalveluun toimitetut suojausasetukset
Määritä Microsoft Defender for Endpointin pilvipohjaiset suojausominaisuudet macOS:ssä.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | cloudService |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
Pilvipalveluun toimitetun suojauksen ottaminen käyttöön tai poistaminen käytöstä
Määritä, otetaanko pilvipalveluun toimitettu suojaus käyttöön laitteessa vai ei. Jos haluat parantaa palvelusi suojausta, suosittelemme, että pidät tämän ominaisuuden käytössä.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | Käytössä |
| Tietotyyppi | Totuusarvo |
| Mahdolliset arvot | true (oletus) Vääriä |
Diagnostiikkakokoelman taso
Diagnostiikkatietoja käytetään Microsoft Defender for Endpointin pitämiseen turvallisena ja ajan tasalla, ongelmien havaitsemiseen, diagnosointiin ja korjaamiseen sekä tuotteiden parantamiseen. Tämä asetus määrittää Microsoft Defenderin Microsoftille lähettämän diagnostiikkatason.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | diagnosticLevel |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | valinnainen (oletus) Tarvitaan |
Pilvilohkotason määrittäminen
Tämä asetus määrittää, kuinka aggressiivinen Defender for Endpoint on epäilyttävien tiedostojen estämisessä ja skannaamisessa. Jos tämä asetus on käytössä, Defender for Endpoint on aggressiivisempi tunnistettaessa epäilyttäviä tiedostoja, jotka estetään ja skannataan; Muussa tapauksessa se on vähemmän aggressiivinen ja estää ja skannata pienemmällä tiheydellä. Pilvilohkotason määrittämiseen on viisi arvoa:
- Normaali (
normal): Oletusarvoinen estotaso. - Normaali (
moderate): antaa tuomion vain erittäin luotettavan tunnistuksen osalta. - Suuri (
high): Estää tuntemattomia tiedostoja tehokkaasti optimoitaessa suorituskykyä varten (suurempi mahdollisuus estää ei-haitalliset tiedostot). - High Plus (
high_plus): Estää tuntemattomat tiedostot aggressiivisesti ja ottaa käyttöön lisäsuojausmittareita (saattaa vaikuttaa asiakkaan laitteen suorituskykyyn). - Nollatoleranssi (
zero_tolerance): Estää kaikki tuntemattomat ohjelmat.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | cloudBlockLevel |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | normal (oletus) Kohtalainen Korkea high_plus zero_tolerance |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.56.62 tai uudemmissa versioissa. |
Ota käyttöön tai poista käytöstä mallien automaattiset lähetykset
Määrittää, lähetetäänkö Microsoftille epäilyttäviä näytteitä (jotka todennäköisesti sisältävät uhkia). Näytteen lähettämisen hallintaan on kolme tasoa:
- Ei mitään: Microsoftille ei lähetetä epäilyttäviä näytteitä.
- Turvallinen: automaattisesti lähetetään vain epäilyttävät näytteet, jotka eivät sisällä henkilötietoja. Tämä on tämän asetuksen oletusarvo.
- Kaikki: kaikki epäilyttävät näytteet lähetetään Microsoftille.
| Kuvaus | Arvo |
|---|---|
| Näppäin | automaticSampleSubmissionConsent |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | Ei mitään turvallinen (oletus) Kaikki |
Automaattisten suojaustietojen päivitysten ottaminen käyttöön tai poistaminen käytöstä
Määrittää, asennetaanko suojaustietojen päivitykset automaattisesti:
| Jakso | Arvo |
|---|---|
| Näppäin | automaticDefinitionUpdateEnabled |
| Tietotyyppi | Totuusarvo |
| Mahdolliset arvot | true (oletus) Vääriä |
Käyttöliittymäasetukset
Hallitse Microsoft Defender for Endpointin käyttöliittymän asetuksia macOS:ssä.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | userInterface |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
Näytä/piilota tilavalikon kuvake
Määritä, näytetäänkö vai piilotettavako tilavalikon kuvake näytön oikeassa yläkulmassa.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | hideStatusMenuIcon |
| Tietotyyppi | Totuusarvo |
| Mahdolliset arvot | epätosi (oletus) Totta |
Näytä/piilota-vaihtoehto palautteen lähettämiseksi
Määritä, voivatko käyttäjät lähettää palautetta Microsoftille siirtymällä osoitteeseen Help>Send Feedback.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | userInitiatedFeedback |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | käytössä (oletus) Poistettu käytöstä |
| Kommentit | Käytettävissä Microsoft Defenderin päätepisteen versiossa 101.19.61 tai uudemmissa versioissa. |
Microsoft Defenderin kirjautumisen kuluttajaversion hallinta
Määritä, voivatko käyttäjät kirjautua Microsoft Defenderin kuluttajaversioon.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | consumerExperience |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | käytössä (oletus) Poistettu käytöstä |
| Kommentit | Käytettävissä Microsoft Defenderin päätepisteen versiossa 101.60.18 tai uudemmissa versioissa. |
Päätepisteiden tunnistus- ja vastausasetukset
Hallitse Microsoft Defender for Endpointin päätepisteen tunnistuksen ja vastauksen (EDR) komponentin asetuksia macOS:ssä.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | Edr |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
Laitetunnisteet
Määritä tunnisteen nimi ja sen arvo.
- GROUP-tunniste merkitsee laitteen määritetyllä arvolla. Tunniste näkyy laitteen sivun portaalissa, ja sitä voidaan käyttää laitteiden suodattamiseen ja ryhmittelyyn.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | Tunnisteet |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
Tunnisteen tyyppi
Määrittää tunnisteen tyypin
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | Avain |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | GROUP |
Tunnisteen arvo
Määrittää tunnisteen arvon
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | Arvo |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | mikä tahansa merkkijono |
Tärkeää
- Tunnistetyyppiä kohden voidaan määrittää vain yksi arvo.
- Tunnistetyypit ovat yksilöllisiä, eikä niitä saa toistaa samassa määritysprofiilissa.
Ryhmän tunnus
EDR-ryhmän tunnisteet
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | groupIds |
| Tietotyyppi | Merkkijono |
| Kommentit | Ryhmän tunnus |
Peukaloinnin suojaus
Hallitse MacOS:n Microsoft Defender for Endpointin Peukaloinnin suojaus -komponentin asetuksia.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | tamperProtection |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
Täytäntöönpanotaso
Jos peukaloinnin suojaus on käytössä ja jos se on tiukassa tilassa
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | enforcementLevel |
| Tietotyyppi | Merkkijono |
| Kommentit | Yksi käytöstä poistetuista, auditoimista tai lohkoista |
Mahdolliset arvot:
- disabled – Peukalointisuojaus on poistettu käytöstä, hyökkäysten estäminen tai pilvipalveluun raportointi ei ole mahdollista
- audit – Peukalointisuojaus raportoi vain pilvipalveluun yritettiin muuttaa, mutta ei estä niitä
- block – Sekä lohkoihin että raportteihin kohdistuvat hyökkäykset pilvipalveluun luvattomasti
Poisjätöt
Määrittää prosessit, joiden avulla voidaan muuttaa Microsoft Defenderin resurssia harkitsematta peukalointia. Joko polku, teamId tai signeeraustunnus tai niiden yhdistelmä on annettava. Args voidaan antaa lisäksi sallitun prosessin määrittämiseksi tarkemmin.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | Poikkeukset |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
Polku
Prosessin suoritettavan tiedoston tarkka polku.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | Polku |
| Tietotyyppi | Merkkijono |
| Kommentit | Jos kyseessä on shell-komentosarja, se on tarkka polku tulkin binaariin, esim. /bin/zsh. Yleismerkkejä ei sallita. |
Ryhmän tunnus
Applen "Team Id" toimittajalle.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | teamId |
| Tietotyyppi | Merkkijono |
| Kommentit | Esimerkiksi UBF8T346G9 Microsoftille |
Allekirjoitustunnus
Applen "allekirjoitustunnus" paketille.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | signingId |
| Tietotyyppi | Merkkijono |
| Kommentit | Esimerkiksi Ruby-tulkille com.apple.ruby |
Prosessiargumentit
Käytetään yhdessä muiden parametrien kanssa prosessin tunnistamiseen.
| Jakso | Arvo |
|---|---|
| Toimialue | com.microsoft.wdav |
| Näppäin | signingId |
| Tietotyyppi | Merkkijonojen matriisi |
| Kommentit | Jos tämä on määritetty, prosessiargumentin on vastattava tarkalleen kyseisiä argumentteja, kirjainkoko on merkitsevä |
Suositeltu määritysprofiili
Suosittelemme, että otat käyttöön seuraavat määritykset yrityksellesi, jotta voit hyödyntää kaikkia Microsoft Defender for Endpointin tarjoamia suojausominaisuuksia.
Seuraava määritysprofiili (tai JAMF:n tapauksessa ominaisuusluettelo, joka voidaan ladata mukautettujen asetusten määritysprofiiliin) tulee:
- Ota reaaliaikainen suojaus käyttöön (RTP)
- Määritä, miten seuraavia uhkatyyppejä käsitellään:
- Mahdollisesti ei-toivotut sovellukset (PUA) on estetty
- Microsoft Defender tarkastaa arkistopommit (tiedosto, jonka pakkausnopeus on suuri) päätepistelokien osalta.
- Ota käyttöön automaattiset suojaustietopäivitykset
- Pilvipalveluun toimitetun suojauksen käyttöönotto
- Ota käyttöön automaattinen mallien lähettäminen
JAMF:n suositellun määritysprofiilin ominaisuusluettelo
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Intunen suositeltu profiili
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
Täydellinen määritysprofiiliesimerkki
Seuraavat mallit sisältävät merkintöjä kaikkiin tässä asiakirjassa kuvattuihin asetuksiin, ja niitä voidaan käyttää edistyneemmissä skenaarioissa, joissa haluat hallita paremmin Microsoft Defender for Endpointia macOS:ssä.
JAMF:n täyden määritysprofiilin ominaisuusluettelo
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Intunen koko profiili
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
Ominaisuusluettelon vahvistus
Ominaisuusluettelon on oltava kelvollinen .plist-tiedosto . Voit tarkistaa tämän suorittamalla:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
Jos tiedosto on oikein muotoiltu, yllä oleva komento tuottaa OK tuloksen ja palauttaa lopetuskoodin parametrille 0. Muussa tapauksessa näyttöön tulee virhe, joka kuvaa ongelmaa, ja komento palauttaa lopetuskoodin parametrille 1.
Määritysprofiilin käyttöönotto
Kun olet luonut määritysprofiilin yrityksellesi, voit ottaa sen käyttöön yrityksesi käyttämän hallintakonsolin kautta. Seuraavissa osioissa on ohjeet tämän profiilin käyttöönottoon JAMF:n ja Intunen avulla.
JAMF-käyttöönotto
Avaa JAMF-konsolissa Tietokoneiden>määritysprofiilit, siirry haluamaasi määritysprofiiliin ja valitse sitten Mukautetut asetukset. Luo merkintä, jolla on com.microsoft.wdav asetustoimialue, ja lataa aiemmin luotu .plist .
Varoitus
Anna oikea asetustoimialue (com.microsoft.wdav). Muussa tapauksessa Microsoft Defender ei tunnista asetuksia päätepisteelle.
Intunen käyttöönotto
Avaa Laitteiden>määritysprofiilit. Valitse Luo profiili.
Valitse profiilin nimi. Vaihda Platform=macOSprofiilityypiksi=Mallit ja valitse Mallin nimi -osassa Mukautettu. Valitse Määritä.
Tallenna aiemmin luotu .plist muodossa
com.microsoft.wdav.xml.Anna
com.microsoft.wdavmukautetun määritysprofiilin nimi.Avaa määritysprofiili ja lataa tiedosto palvelimeen
com.microsoft.wdav.xml. (Tämä tiedosto on luotu vaiheessa 3.)Valitse OK.
Valitse Hallitse>varauksia. Valitse Sisällytä-välilehdessäMääritä kaikille käyttäjille & Kaikki laitteet.
Varoitus
Anna oikea mukautetun määritysprofiilin nimi. muussa tapauksessa Microsoft Defender ei tunnista näitä päätepisteen asetuksia.
Resurssit
Vihje
Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.