Jaa

Tunnista ja estä mahdollisesti ei-toivotut sovellukset Linuxin Microsoft Defender for Endpoint avulla

  • Artikkeli

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Linuxin Defender for Endpointin mahdollisesti ei-toivottu sovelluksen (PUA) suojausominaisuus voi tunnistaa ja estää PUA-tiedostoja verkon päätepisteissä.

Näitä sovelluksia ei pidetä viruksina, haittaohjelmina tai muunlaisina uhkina, mutta ne saattavat suorittaa toimintoja päätepisteissä, jotka vaikuttavat haitallisesti niiden suorituskykyyn tai käyttöön. PUA voi viitata myös sovelluksiin, joilla katsotaan olevan huono maine.

Nämä sovellukset voivat lisätä riskiä, että verkkosi saa haittaohjelmatartunnan, aiheuttaa haittaohjelmatartuntoja, joita on vaikeampi tunnistaa, ja ne voivat tuhlata IT-resursseja sovellusten puhdistamiseen.

Miten se toimii?

Defender for Endpoint on Linux voi tunnistaa ja raportoida PUA-tiedostoja. Kun PUA-tiedostot on määritetty estotilassa, ne siirretään karanteeniin.

Kun pua havaitaan päätepisteestä, Defender for Endpoint Linuxissa pitää kirjaa tartuntahistoriasta. Historia voidaan visualisoida Microsoft Defender portaalissa tai komentorivityökalun mdatp kautta. Uhan nimi sisältää sanan "Sovellus".

PUA-suojauksen määrittäminen

PUA-suojaus Defender for Endpoint on Linuxissa voidaan määrittää jollakin seuraavista tavoista:

  • Ei käytössä: PUA-suojaus on poistettu käytöstä.
  • Valvonta: PUA-tiedostot raportoidaan tuotelokeissa, mutta ei Microsoft Defender XDR. Mitään tartuntatietoja ei tallenneta uhkahistoriaan eikä tuote ryhdy toimiin.
  • Lohko: PUA-tiedostot raportoidaan tuotelokeissa ja Microsoft Defender XDR. Tartuntatausta koskeva tieto tallennetaan uhkahistoriaan ja tuote tekee toimet.

Varoitus

OLETUSARVOisesti PUA-suojaus määritetään valvontatilassa .

Voit määrittää, miten PUA-tiedostoja käsitellään komentoriviltä tai hallintakonsolista.

Komentorivityökalun avulla voit määrittää PUA-suojauksen:

Suorita Terminalissa seuraava komento PUA-suojauksen määrittämiseksi:

mdatp threat policy set --type potentially_unwanted_application --action [off|audit|block]

Määritä PUA-suojaus hallintakonsolin avulla:

Voit määrittää pua-suojauksen hallintakonsolissa, kuten Puppet tai Ansible, samalla tavalla kuin muut tuoteasetukset. Lisätietoja on Artikkelissa Defender for Endpointin asetusten määrittäminen LinuxissaUhkatyyppiasetukset.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.