Configurer les paramètres de sécurité dans Microsoft Defender pour point de terminaison sur Linux

Configurer vos paramètres de sécurité

Microsoft Defender pour point de terminaison sur Linux inclut des fonctionnalités antivirus, de protection contre les programmes malveillants, de détection de point de terminaison et de réponse. Cet article récapitule les paramètres de sécurité importants à configurer et inclut des liens vers d’autres ressources.

Paramètres	Description
1. Configurer la découverte de proxy statique.	La configuration d’un proxy statique permet de s’assurer que les données de télémétrie sont envoyées et d’éviter les délais d’expiration du réseau. Effectuez cette tâche pendant et après l’installation de Defender pour point de terminaison. Pour plus d’informations, consultez Configurer Microsoft Defender pour point de terminaison sur Linux pour la découverte de proxy statique.
2. Configurez vos analyses antivirus.	Vous pouvez planifier des analyses antivirus automatiques à l’aide d’Anacron ou de Crontab. Si vous souhaitez en savoir plus, consultez les articles suivants : Utiliser Anacron pour planifier une analyse antivirus dans Microsoft Defender pour point de terminaison sur Linux Utiliser Crontab pour planifier une analyse antivirus dans Microsoft Defender pour point de terminaison sur Linux
3. Configurez vos paramètres et stratégies de sécurité.	Vous pouvez utiliser le portail Microsoft Defender (Gestion des paramètres de sécurité De Defender pour point de terminaison) ou un profil de configuration (.jsonfichier) pour configurer Defender pour point de terminaison sur Linux. Vous pouvez également utiliser la ligne de commande pour configurer certains paramètres. Si vous souhaitez en savoir plus, consultez les articles suivants : Gestion des paramètres de sécurité de Defender pour point de terminaison Profil de configuration Ligne de commande
4. Configurer et valider les exclusions (le cas échéant)	Vous pouvez exclure certains fichiers, dossiers, processus et fichiers ouverts par processus de Defender pour point de terminaison sur Linux. Les exclusions globales s’appliquent à la protection en temps réel (RTP), à la surveillance du comportement (BM) et à la détection et à la réponse des points de terminaison (EDR), arrêtant ainsi toutes les détections antivirus associées, les alertes EDR et la visibilité de l’élément exclu. Pour plus d’informations, consultez Configurer et valider les exclusions pour Microsoft Defender pour point de terminaison sur Linux.
5. Configurez le capteur eBPF.	Le filtre de paquets Berkeley étendu (eBPF) pour Microsoft Defender pour point de terminaison sur Linux est automatiquement activé pour tous les clients par défaut pour les versions de l’agent et les versions 101.23082.0006 ultérieures. Il fournit des données d’événement supplémentaires pour les systèmes d’exploitation Linux et contribue à réduire le risque de conflits entre les applications. Pour plus d’informations, consultez Utiliser un capteur eBPF pour Microsoft Defender pour point de terminaison sur Linux.
6. Configurer la mise à jour du renseignement de sécurité hors connexion (le cas échéant)	La mise à jour du renseignement de sécurité hors connexion vous permet de configurer les mises à jour du renseignement de sécurité pour les serveurs Linux avec une exposition limitée ou inexistante à Internet. Vous pouvez configurer un serveur d’hébergement local (« serveur miroir ») qui peut se connecter au cloud Microsoft pour télécharger les signatures. D’autres points de terminaison Linux peuvent extraire les mises à jour de votre serveur miroir à un intervalle prédéfini. Pour plus d’informations, consultez Configurer la mise à jour du renseignement de sécurité hors connexion pour Microsoft Defender pour point de terminaison sur Linux.
7. Déployer des mises à jour.	Microsoft publie régulièrement des mises à jour logicielles pour améliorer les performances, la sécurité et fournir de nouvelles fonctionnalités. Pour plus d’informations, consultez Déployer des mises à jour pour Microsoft Defender pour point de terminaison sur Linux.
8. Configurer la protection réseau (préversion)	La protection réseau permet d’empêcher les utilisateurs d’utiliser n’importe quelle application pour accéder à des domaines dangereux susceptibles d’héberger des escroqueries par hameçonnage, des attaques et d’autres contenus malveillants sur Internet. Pour plus d’informations, consultez Protection réseau pour Linux.

Importante

Si vous souhaitez exécuter plusieurs solutions de sécurité côte à côte, consultez Considérations relatives aux performances, à la configuration et à la prise en charge.

Vous avez peut-être déjà configuré des exclusions de sécurité mutuelle pour les appareils intégrés à Microsoft Defender pour point de terminaison. Si vous devez toujours définir des exclusions mutuelles pour éviter les conflits, consultez Ajouter Microsoft Defender pour point de terminaison à la liste d’exclusions de votre solution existante.

Options de configuration des paramètres de sécurité

Pour configurer vos paramètres de sécurité dans Defender pour point de terminaison sur Linux, vous avez deux options principales :

• Utiliser le portail Microsoft Defender (Gestion des paramètres de sécurité de Defender pour point de terminaison)

  ou

• Utiliser un profil de configuration

Vous pouvez utiliser la ligne de commande pour configurer des paramètres spécifiques, collecter des diagnostics, exécuter des analyses, etc. Pour plus d’informations, consultez Ressources Linux : Configurer à l’aide de la ligne de commande.

Gestion des paramètres de sécurité de Defender pour point de terminaison

Vous pouvez configurer Defender pour point de terminaison sur Linux dans le portail Microsoft Defender à l’adresse (https://security.microsoft.com) à l’aide de La gestion des paramètres de sécurité de Defender pour point de terminaison. Pour plus d’informations, notamment sur la création, la modification et la vérification des stratégies de sécurité, consultez Utiliser Microsoft Defender pour point de terminaison gestion des paramètres de sécurité pour gérer Microsoft Defender Antivirus.

Profil de configuration

Vous pouvez configurer les paramètres dans Defender pour point de terminaison sur Linux via un profil de configuration qui utilise un .json fichier. Après avoir configuré votre profil, vous pouvez le déployer à l’aide de l’outil de gestion de votre choix. Les préférences gérées par l’entreprise sont prioritaires sur les préférences définies localement sur l’appareil.

En d’autres termes, les utilisateurs de votre entreprise ne peuvent pas modifier les préférences définies via ce profil de configuration. Si des exclusions ont été ajoutées via le profil de configuration managé, elles ne peuvent être supprimées que via le profil de configuration managé. La ligne de commande fonctionne pour les exclusions ajoutées localement.

Cet article décrit la structure de ce profil (y compris un profil recommandé que vous pouvez utiliser pour commencer) et des instructions sur la façon de déployer le profil.

Structure du profil de configuration

Le profil de configuration est un .json fichier qui se compose d’entrées identifiées par une clé (qui indique le nom de la préférence), suivie d’une valeur, qui dépend de la nature de la préférence. Les valeurs peuvent être simples (par exemple, une valeur numérique) ou complexes (par exemple, une liste imbriquée de préférences).

En règle générale, vous utilisez un outil de gestion de la configuration pour envoyer (push) un fichier nommé mdatp_managed.json à l’emplacement /etc/opt/microsoft/mdatp/managed/.

Le niveau supérieur du profil de configuration inclut les préférences et les entrées à l’échelle du produit pour les sous-zones du produit, qui sont expliquées plus en détail dans les sections suivantes.

Profil de configuration recommandé

Cette section comprend deux exemples de profils de configuration :

• Exemple de profil pour vous aider à bien démarrer avec les paramètres recommandés.
• Exemple de profil de configuration complet pour les organisations qui souhaitent un contrôle plus précis sur les paramètres de sécurité.

Pour commencer, nous vous recommandons d’utiliser le premier exemple de profil pour votre organization. Pour un contrôle plus précis, vous pouvez utiliser l’exemple de profil de configuration complet à la place.

Exemple de profil

Le profil de configuration suivant vous permet de tirer parti des fonctionnalités de protection importantes de Defender pour point de terminaison sur Linux. Le profil inclut la configuration suivante :

• Activer la protection en temps réel (RTP).
• Spécifiez la façon dont les types de menaces suivants sont gérés :
  • Les applications potentiellement indésirables (PUA) sont bloquées.
  • Archive bombes (fichier avec un taux de compression élevé) sont auditées dans les journaux du produit.
• Activer les mises à jour automatiques du renseignement de sécurité.
• Activez la protection fournie par le cloud.
• Activez l’envoi automatique d’exemples au safe niveau.

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Exemple de profil de configuration complet

Le profil de configuration suivant contient des entrées pour tous les paramètres décrits dans cet article et peut être utilisé pour les scénarios plus avancés où vous souhaitez davantage de contrôle.

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":false,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefinitionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"diabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

Paramètres antivirus, anti-programme malveillant et EDR dans Defender pour point de terminaison sur Linux

Que vous utilisiez un profil de configuration (fichier .json) ou le portail Microsoft Defender (Gestion des paramètres de sécurité), vous pouvez configurer vos paramètres antivirus, anti-programme malveillant et EDR dans Defender pour point de terminaison sur Linux. Les sections suivantes décrivent où et comment configurer vos paramètres.

Préférences du moteur antivirus

La section antivirusEngine du profil de configuration gère les préférences du composant antivirus du produit.

Description	Valeur JSON	Valeur du portail Defender
Clé	antivirusEngine	Moteur antivirus
Type de données	Dictionnaire (préférence imbriquée)	Section réduite

Consultez les sous-sections suivantes pour obtenir une description du contenu du dictionnaire et des propriétés de stratégie.

Niveau d’application pour Microsoft Defender Antivirus

Spécifie la préférence d’application du moteur antivirus. Il existe trois valeurs pour définir le niveau d’application :

• En temps réel (real_time) : la protection en temps réel (analyser les fichiers à mesure qu’ils sont modifiés) est activée.

• À la demande (on_demand) : les fichiers sont analysés uniquement à la demande :

  • La protection en temps réel est désactivée.
  • Les mises à jour de définition se produisent uniquement au démarrage d’une analyse, même si automaticDefinitionUpdateEnabled est défini sur en mode à true la demande.

• Passif (passive) : exécute le moteur antivirus en mode passif :

  • La protection en temps réel est désactivée. Microsoft Defender Antivirus ne corrige pas les menaces.
  • L’analyse à la demande est activée. Les fonctionnalités d’analyse sont toujours disponibles sur l’appareil.
  • La correction automatique des menaces est désactivée. Aucun fichier n’est déplacé et votre administrateur de sécurité est censé prendre les mesures nécessaires.
  • Les mises à jour du renseignement de sécurité sont activées. Les alertes sont disponibles dans le organization de l’administrateur de la sécurité.
  • Les mises à jour de définition se produisent uniquement au démarrage d’une analyse, même si automaticDefinitionUpdateEnabled a la valeur true.
  • La détection et la réponse des points de terminaison (EDR) sont activées. La sortie de la mdatp health commande sur l’appareil s’affiche engine not loaded pour la engine_load_version propriété . Le moteur est lié à l’antivirus, et non à l’EDR.

Remarque

• Disponible dans Defender pour point de terminaison version 101.10.72 ou ultérieure.
• Dans la version 101.23062.0001 ou une version ultérieure, la valeur par défaut est passive. Dans les versions précédentes, la valeur par défaut était real_time.
• Nous vous recommandons également d’utiliser des analyses planifiées en fonction des besoins.

Activer ou désactiver la surveillance du comportement (si RTP est activé)

Importante

Cette fonctionnalité fonctionne uniquement lorsque le niveau d’application est real-time.

Spécifie si la fonctionnalité de surveillance et de blocage du comportement est activée ou désactivée sur l’appareil.

Description	Valeur JSON	Valeur du portail Defender
Clé	behaviorMonitoring	Activer la surveillance du comportement
Type de données	String	Liste déroulante
Valeurs possibles	disabled (par défaut) enabled	Non configuré Désactivé (par défaut) Activé

Remarque

Disponible dans Defender pour point de terminaison version 101.45.00 ou ultérieure.

Exécuter une analyse après la mise à jour des définitions

Importante

Cette fonctionnalité fonctionne uniquement lorsque le niveau d’application est défini sur real-time.

Spécifie s’il faut démarrer une analyse de processus après le téléchargement de nouvelles mises à jour du renseignement de sécurité sur l’appareil. L’activation de ce paramètre déclenche une analyse antivirus sur les processus en cours d’exécution de l’appareil.

Description	Valeur JSON	Valeur du portail Defender
Clé	scanAfterDefinitionUpdate	Activer l’analyse après la mise à jour de définition
Type de données	Booléen	Liste déroulante
Valeurs possibles	true (par défaut) false	Not configured Disabled Enabled (Par défaut)

Remarque

Disponible dans Defender pour point de terminaison version 101.45.00 ou ultérieure.

Archives d’analyse (analyses antivirus à la demande uniquement)

Spécifie s’il faut analyser les archives pendant les analyses antivirus à la demande.

Description	Valeur JSON	Valeur du portail Defender
Clé	scanArchives	Activer l’analyse des archives
Type de données	Booléen	Liste déroulante
Valeurs possibles	true (par défaut) false	Non configuré Désactivé Activé (par défaut)

Remarque

• Disponible dans Microsoft Defender pour point de terminaison version 101.45.00 ou ultérieure.
• Archive fichiers ne sont jamais analysés pendant rtp. Les fichiers de l’archive sont analysés une fois que vous les avez extraits. L’option scanArchives force l’analyse d’archive pendant les analyses à la demande uniquement.

Degré de parallélisme pour les analyses à la demande

Spécifie le degré de parallélisme pour les analyses à la demande. Ce paramètre correspond au nombre de threads de processeur utilisés par l’analyse. Ce paramètre affecte l’utilisation du processeur et la durée des analyses à la demande.

Description	Valeur JSON	Valeur du portail Defender
Clé	maximumOnDemandScanThreads	nombre maximal de threads d’analyse à la demande
Type de données	Entier	Basculer le commutateur & entier
Valeurs possibles	2 (valeur par défaut). Les valeurs autorisées sont des entiers compris entre 1 et 64.	Not Configured (La valeur par défaut 2du bouton bascule est ) Configured (activer) et entier entre 1 et 64.

Remarque

Disponible dans Microsoft Defender pour point de terminaison version 101.45.00 ou ultérieure.

Stratégie de fusion d’exclusion

Remarque

Nous vous recommandons de configurer les exclusions et la stratégie de fusion dans exclusionSettings. Cette approche vous permet de configurer epp et global d’étendre les exclusions avec un seul mergePolicy. Les paramètres de cette section s’appliquent uniquement aux epp exclusions , sauf si la stratégie de fusion dans exclusionSettings est admin_only.

Spécifie s’il faut utiliser des exclusions définies par l’utilisateur sur l’appareil. Les valeurs valides sont les suivantes :

• admin_only: utilisez uniquement les exclusions définies par l’administrateur configurées par la stratégie Defender pour point de terminaison. Utilisez cette valeur pour empêcher les utilisateurs de définir leurs propres exclusions.
• merge: utilisez une combinaison d’exclusions définies par l’administrateur et définies par l’utilisateur.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	exclusionsMergePolicy	Fusion des exclusions
Type de données	String	Liste déroulante
Valeurs possibles	merge (par défaut) admin_only	Not configured merge (Par défaut) admin_only

Remarque

Disponible dans Defender pour point de terminaison version 100.83.73 ou ultérieure.

Exclusions d’analyse

Entités exclues des analyses. Vous spécifiez des exclusions sous la forme d’un tableau d’éléments. Les administrateurs peuvent spécifier autant d’éléments que nécessaire, dans n’importe quel ordre. Vous spécifiez des exclusions à l’aide de chemins d’accès complets, d’extensions ou de noms de fichiers.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	exclusions	Exclusions d’analyse
Type de données	Dictionnaire (préférence imbriquée)	Liste des propriétés dynamiques

Consultez les sous-sections suivantes pour obtenir une description du contenu du dictionnaire.

Type d’exclusion

Spécifie le type de contenu exclu des analyses.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	$type	Type
Type de données	String	Élément déroulant
Valeurs possibles	excludedPath excludedFileExtension excludedFileName	Chemin Extension de fichier Nom du processus

Chemin d’accès au contenu exclu

Exclure le contenu de l’analyse par chemin d’accès de fichier complet.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	chemin	Chemin
Type de données	String	Chaîne
Valeurs possibles	chemins d’accès valides	chemins d’accès valides
Commentaires	Applicable uniquement si $type est excludedPath	Accessible dans la fenêtre contextuelle Modifier instance

Type de chemin d’accès (fichier/répertoire)

Spécifie si la propriété path fait référence à un fichier ou à un répertoire.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	isDirectory	Répertoire Is
Type de données	Booléen	Liste déroulante
Valeurs possibles	false (par défaut) true	Enabled Disabled
Commentaires	Applicable uniquement si $type est excludedPath	Accessible dans la fenêtre contextuelle Modifier instance

Extension de fichier exclue de l’analyse

Exclure le contenu de l’analyse par extension de fichier.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	Extension	Extension de fichier
Type de données	String	Chaîne
Valeurs possibles	extensions de fichier valides	extensions de fichier valides
Commentaires	Applicable uniquement si $type est excludedFileExtension	Accessible dans la fenêtre contextuelle Configurer instance

Processus exclu de l’analyse

Spécifie un processus pour lequel toute l’activité de fichier est exclue de l’analyse. Vous pouvez spécifier le processus par son nom (par exemple, cat) ou le chemin d’accès complet (par exemple, /bin/cat).

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	nom	Nom de fichier
Type de données	String	Chaîne
Valeurs possibles	n’importe quelle chaîne	n’importe quelle chaîne
Commentaires	Applicable uniquement si $type est excludedFileName	Accessible dans la fenêtre contextuelle Configurer instance

Désactivation des montages non exécutifs

Spécifie le comportement de RTP sur les points de montage marqués comme noexec. Les valeurs valides sont les suivantes :

• Non activé (unmute) : tous les points de montage sont analysés dans le cadre de RTP. Cette valeur est la valeur par défaut.
• Désactivé (mute) : les points de montage marqués comme noexec ne sont pas analysés dans le cadre de RTP.
  • Les serveurs de base de données peuvent conserver le fichier de base de données.
  • Les serveurs de fichiers peuvent conserver des points de montage de fichiers de données.
  • La sauvegarde peut conserver des points de montage de fichiers de données.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	nonExecMountPolicy	non execute mount mute
Type de données	String	Liste déroulante
Valeurs possibles	unmute (par défaut) mute	Not configured unmute (Par défaut) mute

Remarque

Disponible dans Defender pour point de terminaison version 101.85.27 ou ultérieure.

Annuler la surveillance des systèmes de fichiers

Spécifie les systèmes de fichiers qui ne sont pas surveillés par (sont exclus de) RTP. Les systèmes de fichiers spécifiés sont toujours analysés par des analyses rapides, complètes et personnalisées dans Microsoft Defender Antivirus.

Lorsque vous ajoutez ou supprimez un système de fichiers de la liste non supervisée, Microsoft valide l’éligibilité du système de fichiers à la surveillance par RTP (supprimé de la liste) ou aucune surveillance par RTP (ajouté à la liste).

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	unmonitoredFilesystems	Systèmes de fichiers non supervisés
Type de données	Tableau de chaînes	Liste de chaînes dynamiques

• Par défaut, les systèmes de fichiers suivants sont surveillés par RTP :

  • btrfs
  • ecryptfs
  • ext2
  • ext3
  • ext4
  • fuseblk
  • jfs
  • overlay
  • ramfs
  • reiserfs
  • tmpfs
  • vfat
  • xfs

• Par défaut, les systèmes de fichiers suivants ne sont pas supervisés par RTP :

  • cifs^*
  • fuse
  • nfs
  • nfs4^*
  • smb^*

  Ces systèmes de fichiers ne sont également pas surveillés par les analyses rapides et complètes, mais peuvent être analysés par des analyses personnalisées.

  ^* Actuellement, la surveillance RTP de ce système de fichiers est en préversion.

Par exemple, pour supprimer nfs et nfs4 de la liste des systèmes de fichiers non supervisés (ce qui signifie nfs et nfs4 sont surveillés par RTP après validation), mettez à jour le fichier de configuration managé avec l’entrée suivante :

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["cifs","fuse","smb"]
  }
}

Pour supprimer toutes les entrées de la liste des systèmes de fichiers non supervisés, utilisez l’entrée suivante :

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

Configurer la fonctionnalité de calcul de hachage de fichier

Active ou désactive le calcul de hachage de fichier pour les fichiers analysés par Defender pour point de terminaison. L’activation de cette fonctionnalité peut affecter les performances de l’appareil. Pour plus d’informations, consultez Créer des indicateurs pour les fichiers.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	enableFileHashComputation	Activer le calcul de hachage de fichier
Type de données	Booléen	Liste déroulante
Valeurs possibles	false (par défaut) true	Not configured Disabled (par défaut) Enabled

Remarque

Disponible dans Defender pour point de terminaison version 101.85.27 ou ultérieure.

Menaces autorisées

Spécifie les noms des menaces qui ne sont pas bloquées par Defender pour point de terminaison. Au lieu de cela, ces menaces sont autorisées à s’exécuter.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	allowedThreats	Menaces autorisées
Type de données	Tableau de chaînes	Liste de chaînes dynamiques

Actions de menace non autorisées

Limite les actions autorisées par l’utilisateur de l’appareil lorsque des menaces sont détectées. Les actions incluses dans cette liste ne sont pas affichées dans l’interface utilisateur.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	disallowedThreatActions	Actions de menace non autorisées
Type de données	Tableau de chaînes	Liste de chaînes dynamiques
Valeurs possibles	allow (empêche les utilisateurs d’autoriser les menaces) restore (empêche les utilisateurs de restaurer les menaces à partir de la quarantaine)	allow (empêche les utilisateurs d’autoriser les menaces) restore (empêche les utilisateurs de restaurer les menaces à partir de la quarantaine)

Remarque

Disponible dans Defender pour point de terminaison version 100.83.73 ou ultérieure.

Paramètres des types de menaces

Contrôler la façon dont certains types de menaces sont gérés.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	threatTypeSettings	Paramètres des types de menaces
Type de données	Dictionnaire (préférence imbriquée)	Liste des propriétés dynamiques

Consultez les sous-sections suivantes pour obtenir une description du contenu du dictionnaire.

Type de menace

Spécifie le type de menace.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	clé	Type de menace
Type de données	String	Liste déroulante
Valeurs possibles	potentially_unwanted_application archive_bomb	potentially_unwanted_application archive_bomb

Mesures à prendre

Spécifie l’action lorsque les types de menaces précédemment spécifiés sont détectés. Les valeurs valides sont les suivantes :

• Audit : l’appareil n’est pas protégé contre ce type de menace, mais une entrée concernant la menace est journalisée. Il s’agit de la valeur Par défaut.
• Bloquer : l’appareil est protégé contre ce type de menace et vous êtes averti dans le portail Microsoft Defender.
• Désactivé : l’appareil n’est pas protégé contre ce type de menace et rien n’est journalisé.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	valeur	Mesures à prendre
Type de données	String	Liste déroulante
Valeurs possibles	audit (par défaut) block off	audit block inactif

Stratégie de fusion des paramètres de type de menace

Spécifie s’il faut utiliser les paramètres de type de menace définis par l’utilisateur sur l’appareil. Les valeurs valides sont les suivantes :

• admin_only: utilisez uniquement les paramètres de type de menace définis par l’administrateur. Utilisez cette valeur pour empêcher les utilisateurs de définir leurs propres paramètres de type de menace.
• merge: utilisez une combinaison de paramètres de type de menace définis par l’administrateur et définis par l’utilisateur.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	threatTypeSettingsMergePolicy	Fusion des paramètres des types de menaces
Type de données	String	Liste déroulante
Valeurs possibles	merge (par défaut) admin_only	Not configured merge (Par défaut) admin_only

Remarque

Disponible dans Defender pour point de terminaison version 100.83.73 ou ultérieure.

Rétention de l’historique d’analyse antivirus (en jours)

Spécifiez le nombre de jours pendant lesquels les résultats sont conservés dans l’historique d’analyse sur l’appareil. Les anciens résultats de l’analyse sont supprimés de l’historique. Les anciens fichiers mis en quarantaine sont également supprimés du disque.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	scanResultsRetentionDays	Rétention des résultats de l’analyse
Type de données	String	Basculer le commutateur et l’entier
Valeurs possibles	90 (valeur par défaut). Les valeurs valides sont comprises entre 1 et 180 jours.	Not configured (désactivation ; valeur par défaut de 90 jours) Configured (activer) et valeur autorisée de 1 à 180 jours.

Remarque

Disponible dans Defender pour point de terminaison version 101.04.76 ou ultérieure.

Nombre maximal d’éléments dans l’historique d’analyse antivirus

Spécifiez le nombre maximal d’entrées à conserver dans l’historique d’analyse. Les entrées incluent toutes les analyses à la demande et toutes les détections antivirus.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	scanHistoryMaximumItems	Taille de l’historique d’analyse
Type de données	String	Bascule et entier
Valeurs possibles	10000 (valeur par défaut). Les valeurs autorisées sont comprises entre 5000 les éléments 15000 et les éléments.	Non configuré (désactivation de 10 000 par défaut) Configured (activer) et la valeur autorisée de 5000 à 15 000 éléments.

Remarque

Disponible dans Defender pour point de terminaison version 101.04.76 ou ultérieure.

Préférences de paramètre d’exclusion

Remarque

Les exclusions globales sont disponibles dans Defender pour point de terminaison version 101.24092.0001 ou ultérieure.

La exclusionSettings section du profil de configuration configure différentes exclusions pour Microsoft Defender pour point de terminaison pour Linux.

Description	Valeur JSON
Clé	exclusionSettings
Type de données	Dictionnaire (préférence imbriquée)

Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire.|

Remarque

• Les exclusions d’antivirus précédemment configurées dans la section antivirusEngine dans json managé continuent de fonctionner.
• Vous pouvez spécifier des exclusions antivirus dans cette section ou dans la antivirusEnginesection ) . Vous devez ajouter tous les autres types d’exclusion dans cette section, car la exclusionSettings section est conçue pour héberger de manière centralisée tous les types d’exclusion.

Stratégie de fusion

Stratégie de fusion d’exclusion

Spécifie s’il faut utiliser des exclusions définies par l’utilisateur sur l’appareil. Les valeurs valides sont les suivantes :

• admin_only: utilisez uniquement les exclusions définies par l’administrateur configurées par la stratégie Defender pour point de terminaison. Utilisez cette valeur pour empêcher les utilisateurs de définir leurs propres exclusions.
• merge: utilisez une combinaison d’exclusions définies par l’administrateur et définies par l’utilisateur.

Ce paramètre s’applique aux exclusions de toutes les étendues.

Description	Valeur JSON
Clé	mergePolicy
Type de données	Chaîne
Valeurs possibles	merge (par défaut) admin_only

Remarque

Disponible dans Defender pour point de terminaison version 2023 ou ultérieure.

Exclusions

Entités exclues des analyses. Vous spécifiez des exclusions sous la forme d’un tableau d’éléments. Les administrateurs peuvent spécifier autant d’éléments que nécessaire, dans n’importe quel ordre. Vous spécifiez des exclusions à l’aide de chemins d’accès complets, d’extensions ou de noms de fichiers. Pour chaque exclusion, vous pouvez spécifier une étendue. L’étendue par défaut est globale.

Description	Valeur JSON
Clé	exclusions
Type de données	Dictionnaire (préférence imbriquée)

Consultez les sous-sections suivantes pour obtenir une description du contenu du dictionnaire.

Type d’exclusion

Spécifie le type de contenu exclu des analyses.

Description	Valeur JSON
Clé	$type
Type de données	Chaîne
Valeurs possibles	excludedPath excludedFileExtension excludedFileName

Étendue de l’exclusion (facultatif)

Spécifie l’étendue d’exclusion du contenu exclu. Les valeurs valides sont les suivantes :

• epp
• global

Si vous ne spécifiez pas d’étendue d’exclusion dans la configuration managée, la valeur global est utilisée.

Remarque

Les exclusions antivirus précédemment configurées sous antivirusEngine dans json managé continuent de fonctionner avec l’étendue epp , car elles se trouvaient dans la antivirusEngine section .

Description	Valeur JSON
Clé	scopes
Type de données	Ensemble de chaînes
Valeurs possibles	epp global

Remarque

Les exclusions précédemment appliquées à l’aide de (mdatp_managed.json) ou par l’interface CLI ne sont pas affectées. La portée de ces exclusions est qu’elles epp se trouvaient dans la antivirusEngine section .

Chemin d’accès au contenu exclu

Exclure le contenu des analyses par chemin d’accès de fichier complet.

Description	Valeur JSON
Clé	chemin
Type de données	Chaîne
Valeurs possibles	chemins d’accès valides
Commentaires	Applicable uniquement si $type est excludedPath. Les caractères génériques ne sont pas pris en charge si l’exclusion a une étendue globale.

Type de chemin d’accès (fichier/répertoire)

Spécifie si la propriété path fait référence à un fichier ou à un répertoire.

Remarque

Le chemin d’accès au fichier doit déjà exister si vous ajoutez une exclusion de fichier avec global une étendue.

Description	Valeur JSON
Clé	isDirectory
Type de données	Valeur booléenne
Valeurs possibles	false (par défaut) true
Commentaires	Applicable uniquement si $type est excludedPath. Les caractères génériques ne sont pas pris en charge si l’exclusion a une étendue globale.

Extension de fichier exclue de l’analyse

Exclure le contenu des analyses par extension de fichier.

Description	Valeur JSON
Clé	Extension
Type de données	Chaîne
Valeurs possibles	extensions de fichier valides
Commentaires	Applicable uniquement si $type est excluFileExtension. Non pris en charge si l’exclusion a une étendue globale.

Processus exclu de l’analyse

Exclure toutes les activités de fichier d’un processus des analyses. Les valeurs valides sont les suivantes :

• Nom du processus. Par exemple : cat.
• Chemin d’accès complet. Par exemple : /bin/cat.

Description	Valeur JSON
Clé	nom
Type de données	Chaîne
Valeurs possibles	n’importe quelle chaîne
Commentaires	Applicable uniquement si $type est excluFileName. Les caractères génériques et les noms de processus ne sont pas pris en charge si l’exclusion a une étendue globale. Vous devez fournir le chemin d’accès complet.

Options d’analyse avancées

Vous pouvez configurer les paramètres suivants pour activer certaines fonctionnalités d’analyse avancées.

Importante

L’activation de ces fonctionnalités peut affecter les performances de l’appareil. Nous avons recommandé les valeurs par défaut, sauf indication contraire par Support Microsoft.

Configurer l’analyse des événements d’autorisations de modification de fichier

Spécifie si Defender pour point de terminaison analyse les fichiers lorsque leurs autorisations ont changé pour définir les bits exécutés.

Remarque

Ce paramètre n’est significatif que lorsque enableFilePermissionEvents est activé. Pour plus d’informations, consultez la section Fonctionnalités facultatives avancées plus loin dans cet article.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	scanFileModifyPermissions	Non disponible
Type de données	Booléen	s/o
Valeurs possibles	false (par défaut) true	s/o

Remarque

Disponible dans Defender pour point de terminaison version 101.23062.0010 ou ultérieure.

Configurer l’analyse des événements de modification de propriété de fichier

Spécifie si Defender pour point de terminaison analyse les fichiers dont la propriété a changé.

Remarque

Ce paramètre n’est significatif que lorsque enableFileOwnershipEvents est activé. Pour plus d’informations, consultez la section Fonctionnalités facultatives avancées plus loin dans cet article.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	scanFileModifyOwnership	Non disponible
Type de données	Booléen	s/o
Valeurs possibles	false (par défaut) true	s/o

Remarque

Disponible dans Defender pour point de terminaison version 101.23062.0010 ou ultérieure.

Configurer l’analyse des événements de socket bruts

Spécifie si Defender pour point de terminaison analyse les événements de socket réseau. Par exemple :

• Création de sockets bruts/sockets de paquets.
• Définition des options de socket.

Remarque

• Ce paramètre n’est significatif que lorsque l’analyse du comportement est activée.
• Ce paramètre n’est significatif que lorsque enableRawSocketEvent est activé. Pour plus d’informations, consultez la section Fonctionnalités facultatives avancées plus loin dans cet article.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	scanNetworkSocketEvent	Non disponible
Type de données	Booléen	s/o
Valeurs possibles	false (par défaut) true	s/o

Remarque

Disponible dans Defender pour point de terminaison version 101.23062.0010 ou ultérieure.

Préférences de protection fournies par le cloud

L’entrée cloudService dans le profil de configuration configure la fonctionnalité de protection pilotée par le cloud.

Remarque

La protection fournie par le cloud s’applique à tous les paramètres au niveau de l’application (real_time, on_demandou passive).

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	cloudService	Préférences de protection fournies par le cloud
Type de données	Dictionnaire (préférence imbriquée)	Section réduite

Consultez les sous-sections suivantes pour obtenir une description du contenu du dictionnaire et des paramètres de stratégie.

Activer ou désactiver la protection fournie par le cloud

Spécifiez si la protection fournie par le cloud est activée sur l’appareil. Pour améliorer la sécurité, nous vous recommandons de garder cette fonctionnalité activée.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	enabled	Activer la protection fournie par le cloud
Type de données	Booléen	Liste déroulante
Valeurs possibles	true (par défaut) false	Non configuré Désactivé Activé (par défaut)

Niveau de collecte de diagnostics

Spécifiez le niveau des informations de diagnostic envoyées à Microsoft. Pour plus d’informations, consultez Confidentialité pour Microsoft Defender pour point de terminaison sur Linux.

Les données de diagnostic sont utilisées pour assurer la sécurité et la mise à jour de Defender pour point de terminaison, détecter, diagnostiquer et résoudre les problèmes, et apporter des améliorations au produit.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	diagnosticLevel	Niveau de collecte des données de diagnostic
Type de données	String	Liste déroulante
Valeurs possibles	optional required (par défaut)	Not configured optional (Par défaut) required

Configurer le niveau de bloc cloud

Spécifiez l’agressivité de Defender pour point de terminaison dans le blocage et l’analyse des fichiers suspects. Les valeurs valides sont les suivantes :

• Normal (normal) : la valeur est la valeur par défaut.
• Modéré (moderate) : prononcez des verdicts uniquement pour les détections à haut niveau de confiance.
• Élevé (high) : bloquez de manière agressive les fichiers inconnus tout en optimisant les performances. Cette valeur a plus de chances de bloquer les fichiers non partagés.
• Plus élevé (high_plus) : bloquez de manière agressive les fichiers inconnus et appliquez des mesures de protection supplémentaires. Cette valeur peut affecter les performances des appareils clients.
• Tolérance zéro (zero_tolerance) : bloquer tous les programmes inconnus.

Si ce paramètre est activé, Defender pour point de terminaison est plus agressif lors de l’identification des fichiers suspects à bloquer et analyser. Sinon, il est moins agressif et donc bloque et analyse avec moins de fréquence.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	cloudBlockLevel	Configurer le niveau de bloc cloud
Type de données	String	Liste déroulante
Valeurs possibles	normal (par défaut) moderate high high_plus zero_tolerance	Not configured Normal (par défaut) Moderate High High_Plus Zero_Tolerance

Remarque

Disponible dans Defender pour point de terminaison version 101.56.62 ou ultérieure.

Activer ou désactiver les envois d’exemples automatiques

Spécifie si les échantillons suspects (susceptibles de contenir des menaces) sont envoyés à Microsoft. Les valeurs valides sont les suivantes :

• Aucun : aucun échantillon suspect n’est envoyé à Microsoft.
• Sécurisé : seuls les échantillons suspects qui ne contiennent pas d’informations personnelles sont automatiquement envoyés. Cette valeur est la valeur par défaut.
• Tout : tous les échantillons suspects sont envoyés à Microsoft.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	automaticSampleSubmissionConsent	Activer les envois automatiques d’exemples
Type de données	String	Liste déroulante
Valeurs possibles	none safe (par défaut) all	Not configured None Safe (Par défaut) All

Activer ou désactiver les mises à jour automatiques du renseignement de sécurité

Spécifie si les mises à jour du renseignement de sécurité sont installées automatiquement.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	automaticDefinitionUpdateEnabled	Mises à jour automatiques de la veille de sécurité
Type de données	Booléen	Liste déroulante
Valeurs possibles	true (par défaut) false	Not configured Disabled Enabled (Par défaut)

Selon le niveau d’application, les mises à jour automatiques du renseignement de sécurité sont installées différemment. En mode RTP, les mises à jour sont installées régulièrement. En mode passif ou à la demande, les mises à jour sont installées avant chaque analyse.

Fonctionnalités facultatives avancées

Utilisez les paramètres suivants pour activer certaines fonctionnalités facultatives avancées.

Importante

L’activation de ces fonctionnalités peut affecter les performances de l’appareil. Nous recommandons les valeurs par défaut, sauf indication contraire par Support Microsoft.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	fonctionnalités	Non disponible
Type de données	Dictionnaire (préférence imbriquée)	n/a

Consultez les sous-sections suivantes pour obtenir une description du contenu du dictionnaire.

Fonctionnalité de chargement de module

Spécifie si les événements de chargement de module (événements d’ouverture de fichier sur les bibliothèques partagées) sont surveillés.

Remarque

Ce paramètre n’est significatif que lorsque l’analyse du comportement est activée.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	moduleLoad	Non disponible
Type de données	String	n/a
Valeurs possibles	disabled (par défaut) enabled	n/a

Remarque

Disponible dans Defender pour point de terminaison version 101.68.80 ou ultérieure.

Corriger la fonctionnalité de fichier infecté

Spécifie si les processus infectés qui ouvrent ou chargent des fichiers infectés sont corrigés en mode RTP.

Remarque

Ces processus n’apparaissent pas dans la liste des menaces, car ils ne sont pas malveillants. Les processus sont arrêtés uniquement parce qu’ils ont chargé le fichier de menace en mémoire.

Description	Valeur JSON	Valeur du portail Defender
Clé	remediateInfectedFile	Non disponible
Type de données	String	n/a
Valeurs possibles	disabled (par défaut) activé	n/a

Remarque

Disponible dans Defender pour point de terminaison version 101.24122.0001 ou ultérieure.

Configurations de capteur supplémentaires

Utilisez les paramètres suivants pour configurer certaines fonctionnalités de capteur supplémentaires avancées.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	supplementarySensorConfigurations	Non disponible
Type de données	Dictionnaire (préférence imbriquée)	n/a

Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire.

Configurer la surveillance des événements de modification des autorisations de fichier

Spécifie si les événements d’autorisations de modification de fichier (chmod) sont surveillés.

Remarque

Lorsque cette fonctionnalité est activée, Defender pour point de terminaison surveille les modifications apportées aux bits de fichiers exécutés, mais n’analyse pas ces événements. Pour plus d’informations, consultez la section Fonctionnalités d’analyse avancées .

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	enableFilePermissionEvents	Non disponible
Type de données	String	n/a
Valeurs possibles	disabled (par défaut) enabled	n/a

Remarque

Disponible dans Defender pour point de terminaison version 101.23062.0010 ou ultérieure.

Configurer la surveillance des événements de modification de propriété de fichier

Spécifie si les événements de modification de propriété de fichier (chown) sont surveillés.

Remarque

Lorsque cette fonctionnalité est activée, Defender pour point de terminaison surveille les modifications apportées à la propriété des fichiers, mais n’analyse pas ces événements. Pour plus d’informations, consultez fonctionnalités d’analyse avancées.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	enableFileOwnershipEvents	Non disponible
Type de données	String	n/a
Valeurs possibles	disabled (par défaut) enabled	n/a

Remarque

Disponible dans Defender pour point de terminaison version 101.23062.0010 ou ultérieure.

Configurer la surveillance des événements de socket bruts

Spécifie si les événements de socket réseau impliquant la création de sockets bruts/sockets de paquets ou la définition d’une option de socket sont surveillés.

Remarque

• Cette fonctionnalité s’applique uniquement lorsque l’analyse du comportement est activée.
• Lorsque cette fonctionnalité est activée, Defender pour point de terminaison surveille ces événements de socket réseau, mais n’analyse pas ces événements. Pour plus d’informations, consultez la section Fonctionnalités d’analyse avancées .

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	enableRawSocketEvent	Non disponible
Type de données	String	n/a
Valeurs possibles	disabled (par défaut) enabled	n/a

Remarque

Disponible dans Defender pour point de terminaison version 101.23062.0010 ou ultérieure.|

Configurer la surveillance des événements du chargeur de démarrage

Spécifie si les événements du chargeur de démarrage sont surveillés et analysés.

Remarque

Ce paramètre n’est significatif que lorsque l’analyse du comportement est activée.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	enableBootLoaderCalls	Non disponible
Type de données	String	n/a
Valeurs possibles	disabled (par défaut) enabled	n/a

Remarque

Disponible dans Defender pour point de terminaison version 101.68.80 ou ultérieure.

Configurer la surveillance des événements ptrace

Spécifie si les événements ptrace sont surveillés et analysés.

Remarque

Cette fonctionnalité s’applique uniquement lorsque l’analyse du comportement est activée.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	enableProcessCalls	Non disponible
Type de données	String	n/a
Valeurs possibles	disabled (par défaut) enabled	n/a

Remarque

Disponible dans Defender pour point de terminaison version 101.68.80 ou ultérieure.

Configurer la surveillance des événements pseudofs

Spécifie si les événements pseudofs sont surveillés et analysés.

Remarque

Cette fonctionnalité s’applique uniquement lorsque l’analyse du comportement est activée.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	enablePseudofsCalls	Non disponible
Type de données	String	n/a
Valeurs possibles	disabled (par défaut) enabled	n/a

Remarque

Disponible dans Defender pour point de terminaison version 101.68.80 ou ultérieure.

Configurer la surveillance des événements de chargement de module à l’aide d’eBPF

Spécifie si les événements de chargement de module sont surveillés par eBPF et analysés.

Remarque

Cette fonctionnalité s’applique uniquement lorsque l’analyse du comportement est activée.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	enableEbpfModuleLoadEvents	Non disponible
Type de données	String	n/a
Valeurs possibles	disabled (par défaut) enabled	n/a

Remarque

Disponible dans Defender pour point de terminaison version 101.68.80 ou ultérieure.

Configurer la surveillance des événements ouverts à partir de systèmes de fichiers spécifiques à l’aide d’eBPF

Spécifie si les événements ouverts à partir de procfs sont surveillés par eBPF.

Remarque

Cette fonctionnalité s’applique uniquement lorsque l’analyse du comportement est activée.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	enableOtherFsOpenEvents	Non disponible
Type de données	String	n/a
Valeurs possibles	disabled (par défaut) enabled	n/a

Remarque

Disponible dans Defender pour point de terminaison version 101.24072.0001 ou ultérieure.

Configurer l’enrichissement à la source des événements à l’aide d’eBPF

Spécifie si les événements sont enrichis avec des métadonnées à la source dans eBPF.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	enableEbpfSourceEnrichment	Non disponible
Type de données	String	n/a
Valeurs possibles	disabled (par défaut) enabled	n/a

Remarque

Disponible dans Defender pour point de terminaison version 101.24072.0001 ou ultérieure.

Activer le cache du moteur antivirus

Spécifie si les métadonnées des événements analysés par le moteur antivirus sont mises en cache.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	enableAntivirusEngineCache	Non disponible
Type de données	String	n/a
Valeurs possibles	disabled (par défaut) enabled	n/a

Remarque

Disponible dans Defender pour point de terminaison version 101.24072.0001 ou ultérieure.

Signaler des événements antivirus suspects à EDR

Spécifie si les événements suspects de l’antivirus sont signalés à EDR.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	sendLowfiEvents	Non disponible
Type de données	String	n/a
Valeurs possibles	disabled (par défaut) enabled	n/a

Remarque

Disponible dans Defender pour point de terminaison version 101.23062.0010 ou ultérieure.

Configurations de protection réseau

Remarque

• Actuellement, cette fonctionnalité est en préversion.
• Ces paramètres sont significatifs uniquement lorsque la protection réseau est activée. Pour plus d’informations, consultez Activer la protection réseau pour Linux.

Utilisez les paramètres suivants pour configurer les fonctionnalités avancées d’inspection de la protection réseau qui contrôlent le trafic inspecté par la protection réseau.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	networkProtection	Protection réseau
Type de données	Dictionnaire (préférence imbriquée)	Section réduite

Consultez les sous-sections suivantes pour obtenir une description du contenu du dictionnaire.

Niveau d’application

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	enforcementLevel	Niveau d’application
Type de données	String	Liste déroulante
Valeurs possibles	disabled (par défaut) audit block	Not configured disabled (par défaut) audit block

Configurer l’inspection ICMP

Spécifie si les événements ICMP sont surveillés et analysés.

Remarque

Cette fonctionnalité s’applique uniquement lorsque l’analyse du comportement est activée.

Description	Valeur JSON	valeur du portail Microsoft Defender
Clé	disableIcmpInspection	Non disponible
Type de données	Booléen	n/a
Valeurs possibles	true (par défaut) false	n/a

Remarque

Disponible dans Defender pour point de terminaison version 101.23062.0010 ou ultérieure.

Ajouter une étiquette ou un ID de groupe au profil de configuration

Lorsque vous exécutez la commande pour la mdatp health première fois, les valeurs de balise et d’ID de groupe sont vides. Pour ajouter une balise ou un ID de groupe au mdatp_managed.json fichier, procédez comme suit :

1. Ouvrez le profil de configuration à partir du chemin d’accès /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

2. Dans le cloudService bloc situé en bas du fichier, ajoutez la balise ou l’ID de groupe requis à la fin du crochet fermant pour le cloudService bloc, comme indiqué dans l’exemple suivant.

   },
   "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
   },
   "edr": {
   "groupIds":"GroupIdExample",
   "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
   }
   

   Remarque

   • Ajoutez une virgule après le crochet fermant à la fin du cloudService bloc.
   • Vérifiez qu’il existe deux accolades fermants après l’ajout tags de blocs ou groupIds comme indiqué dans l’exemple.
   • Actuellement, le seul nom de clé pris en charge pour les balises est GROUP.

Validation du profil de configuration

Le profil de configuration doit être un fichier au format JSON valide. De nombreux outils sont disponibles pour vérifier le profil de configuration. Par exemple, exécutez la commande suivante si vous avez python installé sur votre appareil :

python -m json.tool mdatp_managed.json

Si le fichier est correctement mis en forme, la commande retourne le code 0de sortie . Sinon, des erreurs s’affichent et la commande retourne le code 1de sortie .

Vérification que le fichier mdatp_managed.json fonctionne comme prévu

Pour vérifier que votre /etc/opt/microsoft/mdatp/managed/mdatp_managed.json fonctionne correctement, vous devez voir [managed] en regard de ces paramètres :

• cloud_enabled
• cloud_automatic_sample_submission_consent
• passive_mode_enabled
• real_time_protection_enabled
• automatic_definition_update_enabled

Conseil

Pour la plupart des configurations dans mdatp_managed.json, vous n’avez pas besoin de redémarrer le démon mdatp. Les configurations suivantes nécessitent un redémarrage du démon pour prendre effet :

• cloud-diagnostic
• log-rotation-parameters

Déploiement du profil de configuration

Après avoir créé le profil de configuration pour votre organization, vous pouvez le déployer à l’aide de vos outils de gestion actuels. Defender pour point de terminaison sur Linux lit la configuration managée à partir de /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.