הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- Linux
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender XDR
רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
חשוב
מאמר זה מכיל הוראות כיצד להגדיר העדפות עבור Defender עבור נקודת קצה ב- Linux בסביבות ארגוניות. אם אתה מעוניין לקבוע את תצורת המוצר במכשיר משורת הפקודה, ראה משאבים.
בסביבות ארגוניות, ניתן לנהל את Defender for Endpoint ב- Linux באמצעות פרופיל תצורה. פרופיל זה נפרס מכלי הניהול שתבחר. העדפות המנוהלות על-ידי הארגון מקבלות עדיפות על-פני אלה שקיימות באופן מקומי במכשיר. במילים אחרות, משתמשים בארגון שלך אינם יכולים לשנות את ההעדפות הוגדרו באמצעות פרופיל תצורה זה. אם פריטים שאינם נכללים נוספו באמצעות פרופיל התצורה המנוהלת, ניתן להסיר אותם רק דרך פרופיל התצורה המנוהלת. שורת הפקודה פועלת עבור פריטים שאינם נכללים שנוספו באופן מקומי.
מאמר זה מתאר את המבנה של פרופיל זה (כולל פרופיל מומלץ שניתן להשתמש בו כדי להתחיל בעבודה) והוראות לפריסת הפרופיל.
מבנה פרופיל תצורה
פרופיל התצורה הוא קובץ .json מורכב מערכים המזוהים על-ידי מפתח (המציין את שם ההעדפה), ולאחריו ערך, אשר תלוי באופי ההעדפה. ערכים יכולים להיות פשוטים, כגון ערך מספרי או מורכב, כגון רשימת העדפות מקוננת.
בדרך כלל, עליך להשתמש בכלי ניהול תצורה כדי לדחוף קובץ בשם mdatp_managed.json
במיקום /etc/opt/microsoft/mdatp/managed/
.
הרמה העליונה של פרופיל התצורה כוללת העדפות וערכים עבור אזורי משנה של המוצר, שמוסברים בפירוט רב יותר בסעיפים הבאים.
העדפות מנוע אנטי-וירוס
המקטע antivirusEngine של פרופיל התצורה משמש לניהול ההעדפות של רכיב האנטי-וירוס של המוצר.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | antivirusEngine | מנוע אנטי-וירוס |
סוג נתונים | מילון (העדפה מקוננת) | מקטע מכווץ |
תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. | עיין בסעיפים הבאים לקבלת תיאור של מאפייני המדיניות. |
רמת האכיפה עבור מנוע אנטי-וירוס
מציין את העדפת האכיפה של מנגנון האנטי-וירוס. קיימים שלושה ערכים להגדרת רמת האכיפה:
- (): הגנה
real_time
בזמן אמת (סריקת קבצים בעת שינוי הקבצים) זמינה. - לפי דרישה (
on_demand
): קבצים נסרקים לפי דרישה בלבד. ב:- הגנה בזמן אמת כבויה.
- פאסיבי (
passive
): מפעיל את מנוע האנטי-וירוס במצב פאסיבי. ב:- הגנה בזמן אמת כבויה: האנטי-וירוס של Microsoft Defender אינו מעדכן איומים.
- סריקה לפי דרישה מופעלת: עדיין להשתמש ביכולות הסריקה ב נקודת הקצה.
- תיקון איומים אוטומטי מבוטל: לא יועברו קבצים ומנהל אבטחה צפוי לבצע את הפעולה הנדרשת.
- עדכוני בינת אבטחה מופעלים: התראות יהיו זמינות בדייר מנהלי אבטחה.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | מסגרת אכיפה | רמת אכיפה |
סוג נתונים | מחרוזת | רשימה נפתחת |
ערכים אפשריים | real_time on_demand passive (ברירת מחדל) |
לא נקבעה תצורה זמן אמת OnDemand פאסיבי (ברירת מחדל) |
הערה
זמין ב- Defender עבור נקודת קצה גירסה 101.10.72 ואילך. ברירת המחדל משתנה real_time פאסיבי עבור נקודת קצה גירסה 101.23062.0001 ואילך. מומלץ להשתמש גם סריקות מתוזמנות לפי דרישה.
הפעלה/ביטול של ניטור אופן פעולה
קובע אם יכולת הניטור והחסימה של אופן הפעולה זמינה במכשיר או לא.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | התנהגותמניווט | הפוך ניטור אופן פעולה לזמין |
סוג נתונים | מחרוזת | רשימה נפתחת |
ערכים אפשריים | disabled (ברירת מחדל) |
לא נקבעה תצורה לא זמין (ברירת מחדל) מופעלת |
הערה
זמין ב- Defender עבור נקודת קצה גירסה 101.45.00 ואילך. תכונה זו ישימה רק כאשר Real-Time הגנה מופעלת.
הפעל סריקה לאחר עדכון ההגדרות
מציין אם להפעיל סריקת תהליך לאחר הורדת עדכונים חדשים של בינת אבטחה במכשיר. הפיכת הגדרה זו לזמינה מפעילה סריקת אנטי-וירוס בתהליכים הפועלים של המכשיר.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | scanAfterDefinitionUpdate | הפוך סריקה לזמינה לאחר עדכון הגדרה |
סוג נתונים | בוליאני | רשימה נפתחת |
ערכים אפשריים | true (ברירת מחדל) |
לא נקבעה תצורה לא זמין זמין (ברירת מחדל) |
הערה
זמין ב- Defender עבור נקודת קצה גירסה 101.45.00 ואילך.
תכונה זו פועלת רק כאשר רמת האכיפה מוגדרת ל- real-time
.
סרוק ארכיונים (סריקות אנטי-וירוס לפי דרישה בלבד)
מציין אם לסרוק ארכיונים במהלך סריקות אנטי-וירוס לפי דרישה.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | ארכיון סריקה | אפשר סריקה של ארכיונים |
סוג נתונים | בוליאני | רשימה נפתחת |
ערכים אפשריים | true (ברירת מחדל)
|
לא נקבעה תצורה לא זמין זמין (ברירת מחדל) |
הערה
זמין ב- Microsoft Defender עבור נקודת קצה גירסה 101.45.00 ואילך. קבצי ארכיון לעולם אינם נסרקים במהלך הגנה בזמן אמת. כאשר הקבצים בארכיון מחולצים, הם נסרקים. ניתן להשתמש באפשרות scanArchives כדי לכפות סריקה של ארכיונים רק במהלך סריקה לפי דרישה.
מידת מקביליות לסריקה לפי דרישה
מציין את מידת המקבילות לסריקה לפי דרישה. הדבר תואם למספר הליכי המשנה המשמשים לביצוע הסריקה ומשפיעים על השימוש ב- CPU ומשך הזמן של הסריקה לפי דרישה.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | maximumOnDemandScanThreads | מספר מרבי של שרשורי סריקה לפי דרישה |
סוג נתונים | מספר שלם | החלף מצב & מספר שלם |
ערכים אפשריים | 2 (ברירת מחדל). ערכים מותרים הם מספרים שלמים בין 1 ל- 64. | לא נקבעה תצורה (ברירת המחדל היא כיבוי ברירות מחדל ל- 2) מוגדר (דו-מצבי) למספר שלם בין 1 ל- 64. |
הערה
זמין ב- Microsoft Defender עבור נקודת קצה גירסה 101.45.00 ואילך.
מדיניות מיזוג אי-הכללה
מציין את מדיניות המיזוג עבור פריטים שאינם נכללים. הוא יכול להיות שילוב של אי-הכללות המוגדרות על-ידי מנהל מערכת והוגדרו על-ידי המשתמש (merge
) או רק אי-הכללות המוגדרות על-ידי מנהל מערכת (admin_only
). ניתן להשתמש בהגדרה זו כדי למנוע ממשתמשים מקומיים להגדיר אי-הכללות משלהם.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | exclusionsMergePolicy | מיזוג פריטים שאינם נכללים |
סוג נתונים | מחרוזת | רשימה נפתחת |
ערכים אפשריים | merge (ברירת מחדל)
|
לא נקבעה תצורה מזג (ברירת מחדל) admin_only |
הערה
זמין ב- Defender עבור נקודת קצה גירסה 100.83.73 ואילך.
פריטים שאינם נכללים בסריקה
ישויות שלא נכללו מהסרוקה. נתיבים, סיומות או שמות קבצים יכולים להוסיף אי-הכללות. (פריטים שאינם נכללים מצוינים כמערך של פריטים, מנהל מערכת יכול לציין רכיבים רבים ככל הצורך, בכל סדר.)
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | פריטים שאינם נכללים | פריטים שאינם נכללים בסריקה |
סוג נתונים | מילון (העדפה מקוננת) | רשימת מאפיינים דינאמיים |
תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. |
סוג אי הכללה
מציין את סוג התוכן שלא נכלל בסריקה.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | $type | סוג |
סוג נתונים | מחרוזת | רשימה נפתחת |
ערכים אפשריים | excludedPath
|
נתיב סיומת קובץ שם תהליך |
נתיב לתוכן שלא נכלל
משמש כדי לא לכלול תוכן בסריקה באמצעות נתיב קובץ מלא.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | נתיב | נתיב |
סוג נתונים | מחרוזת | מחרוזת |
ערכים אפשריים | נתיבים חוקיים | נתיבים חוקיים |
תגובות/הערות | ישים רק אם $typeלא כלול ב-Path | המערכת ניגשה בחלון המוקפץ 'ערוך מופע' |
סוג נתיב (קובץ / ספריה)
מציין אם מאפיין הנתיב מפנה לקובץ או למדריך כתובות.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | isDirectory | הוא ספריה |
סוג נתונים | בוליאני | רשימה נפתחת |
ערכים אפשריים | false (ברירת מחדל)
|
מופעלת לא זמין |
תגובות/הערות | ישים רק אם $typeלא כלול ב-Path | המערכת ניגשה בחלון המוקפץ 'ערוך מופע' |
סיומת הקובץ לא נכללה הסריקה
משמש כדי לא לכלול תוכן בסריקה לפי סיומת קובץ.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | סיומת | סיומת קובץ |
סוג נתונים | מחרוזת | מחרוזת |
ערכים אפשריים | סיומות קובץ חוקיות | סיומות קובץ חוקיות |
תגובות/הערות | ישים רק אם $typeלא כוללFileExtension | המערכת ניגשה בחלון המוקפץ 'קביעת תצורה של מופע' |
תהליך שלא נכלל מהסרוקה*
מציין תהליך שעבורו כל פעילות הקבצים אינה נכללת בסריקה. ניתן להוסיף את התהליך לפי שמו (לדוגמה, cat
) או הנתיב המלא (לדוגמה, /bin/cat
).
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | שם | שם קובץ |
סוג נתונים | מחרוזת | מחרוזת |
ערכים אפשריים | מחרוזת כלשהי | מחרוזת כלשהי |
תגובות/הערות | ישים רק אם $typeלא כוללFileName | המערכת ניגשה בחלון המוקפץ 'קביעת תצורה של מופע' |
השתקה של טעינות שאינן של Exec
מציין את אופן הפעולה של RTP בנקודת טעינה המסומנת כ- noexec. קיימים שני ערכים עבור ההגדרה הם:
- בוטלה ההשתקה (
unmute
): ערך ברירת המחדל, כל נקודות הטעינה נסרקים כחלק מ- RTP. - מושתק (
mute
): נקודות טעינה המסומנות כ- noexec אינן נסרקים כחלק מ- RTP, ניתן ליצור נקודות טעינה אלה עבור:- קבצי מסד נתונים בשרתי מסד נתונים לשמירה על קבצי בסיס נתונים.
- שרת הקבצים יכול לשמור נקודות טעינה של קבצי נתונים ללא שימוש באפשרות noexec.
- גיבוי יכול לשמור נקודות טעינה של קבצי נתונים ללא שימוש באפשרות noexec.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | nonExecMountPolicy | השתקת טעינה שאינה מבצעת |
סוג נתונים | מחרוזת | רשימה נפתחת |
ערכים אפשריים | unmute (ברירת מחדל)
|
לא נקבעה תצורה ביטול השתקה (ברירת מחדל) אילם |
הערה
זמין ב- Defender עבור נקודת קצה גירסה 101.85.27 ואילך.
Unmonitor Filesystems
קבע תצורה של מערכות קבצים שלא יהיו מנוטרות/לא נכללות ב- Real Time Protection(RTP). מערכות הקבצים שתצורתן נקבעה מאומתות מול רשימת מערכות הקבצים המותרות של Microsoft Defender. רק לאחר אימות מוצלח, האם מערכת הקבצים תהיה מותרת להיות מנוטרת. מערכות קבצים לא מנוטרות אלה שתצורתן נקבעה עדיין נסרקו באמצעות סריקות מהירות, מלאות ותצוגות מותאמות אישית.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | unmonitoredFilesystems | מערכות קבצים שאינה מנוטרת |
סוג נתונים | מערך של מחרוזות | רשימת מחרוזות דינאמיות |
הערה
המערכת של מערכת הקבצים שתצורתה נקבעה לא תהיה מנוטרת רק אם היא קיימת ברשימת מערכות הקבצים הלא מנוטרות המותרות של Microsoft.
כברירת מחדל, NFS ו- Fuse אינם מנוטרים מסריקה RTP, Quick ו- Full. עם זאת, סריקה מותאמת אישית עדיין יכולה לסרוק אותם. לדוגמה, כדי להסיר NFS מרשימת מערכות הקבצים הלא מנוטרות, עדכן את קובץ התצורה המנוהלת כפי שמוצג להלן. פעולה זו תוסיף באופן אוטומטי NFS לרשימת מערכות הקבצים המנוהצות עבור RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
כדי להסיר הן את NFS והן את הנתיך מרשימת מערכות קבצים שאינה מנוטרת, בצע את הפעולות הבאות
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
הערה
הנה; היא רשימת ברירת המחדל של מערכות קבצים תחת פיקוח עבור RTP: btrfs
, , ecryptfs
ext2
, ext3
, ext4
, fuseblk
, jfs
, overlay
, , reiserfs
ramfs
, tmpfs
, , vfat
, . xfs
אם יש להוסיף מערכת קבצים כלשהי המנוהרת לרשימת מערכות הקבצים שאינה מנוטרת, יש להעריך אותה ולקביעתה על-ידי Microsoft באמצעות תצורת ענן. לאחר מכן, הלקוחות managed_mdatp.json לעדכן מערכת קבצים זו.
קביעת תצורה של תכונת חישוב Hash של קובץ
הופך תכונה של חישוב Hash של קבצים לזמינה או ללא זמינה. כאשר תכונה זו זמינה, Defender for Endpoint מחשב Hash עבור קבצים שהיא סורקת. שים לב שהפעלת תכונה זו עלולה להשפיע על ביצועי המכשיר. לקבלת פרטים נוספים, עיין בנושא: יצירת מחוונים עבור קבצים.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | enableFileHashComputation | הפוך חישוב Hash של קובץ לזמין |
סוג נתונים | בוליאני | רשימה נפתחת |
ערכים אפשריים | false (ברירת מחדל)
|
לא נקבעה תצורה לא זמין (ברירת מחדל) מופעלת |
הערה
זמין ב- Defender עבור נקודת קצה גירסה 101.85.27 ואילך.
איומים מותרים
רשימת איומים (שזוהו על-ידי שמם) שאינם חסומים על-ידי המוצר, וב במקום זאת מורשים לפעול.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | תוקף מותר | איומים מותרים |
סוג נתונים | מערך של מחרוזות | רשימת מחרוזות דינאמיות |
פעולות איומים אסורות
הגבלת הפעולות שהמשתמש המקומי במכשיר יכול לבצע כאשר מזוהים איומים. הפעולות הכלולות ברשימה זו אינן מוצגות בממשק המשתמש.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | לא מותר על-ידי הפעלת פריטים | פעולות איומים אסורות |
סוג נתונים | מערך של מחרוזות | רשימת מחרוזות דינאמיות |
ערכים אפשריים | allow (מגבילה את המשתמשים לאפשר איומים)
|
לאפשר (מגבילה את המשתמשים לאפשר איומים) שחזור (מגביל את המשתמשים לשחזור איומים מהסגר) |
הערה
זמין ב- Defender עבור נקודת קצה גירסה 100.83.73 ואילך.
הגדרות סוג איום
ההעדפה threatTypeSettings במנגנון האנטי-וירוס משמשת לשליטה באופן שבו סוגי איומים מסוימים מטופלים על-ידי המוצר.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | threatTypeSettings | הגדרות סוג איום |
סוג נתונים | מילון (העדפה מקוננת) | רשימת מאפיינים דינאמיים |
תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. | עיין בסעיפים הבאים לקבלת תיאור של המאפיינים הדינאמיים. |
סוג איום
סוג האיום שעבורו תצורת אופן הפעולה נקבעה.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | מפתח | סוג איום |
סוג נתונים | מחרוזת | רשימה נפתחת |
ערכים אפשריים | potentially_unwanted_application
|
potentially_unwanted_application archive_bomb |
פעולה שיש לבצע
פעולה שיש לבצע בעת תיתקל באיום מסוג שצוין בסעיף הקודם. יכול להיות:
- ביקורת: המכשיר אינו מוגן מפני איום מסוג זה, אך נרשם רישום של ערך לגבי האיום. (ברירת מחדל)
- בלוק: המכשיר מוגן מפני איום מסוג זה ואתה תקבל הודעה במסוף האבטחה.
- כבוי: המכשיר אינו מוגן מפני איום מסוג זה ושום דבר לא נרשם.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | ערך | פעולה שיש לבצע |
סוג נתונים | מחרוזת | רשימה נפתחת |
ערכים אפשריים | audit (ברירת מחדל)
|
ביקורת חסימה כבוי |
מדיניות מיזוג הגדרות של סוג איום
מציין את מדיניות המיזוג עבור הגדרות סוג איום. זה יכול להיות שילוב של הגדרות מוגדרות על-ידי מנהל מערכת והגדרות המוגדרות על-ידי המשתמש (merge
) או רק הגדרות מוגדרות על-ידי מנהל מערכת (admin_only
). ניתן להשתמש בהגדרה זו כדי למנוע ממשתמשים מקומיים להגדיר הגדרות משלהם עבור סוגי איומים שונים.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | threatTypeSettingsMergePolicy | מיזוג הגדרות סוג איום |
סוג נתונים | מחרוזת | רשימה נפתחת |
ערכים אפשריים | מיזוג (ברירת מחדל) admin_only |
לא נקבעה תצורה מזג (ברירת מחדל) admin_only |
הערה
זמין ב- Defender עבור נקודת קצה גירסה 100.83.73 ואילך.
שמירת היסטוריה של סריקת אנטי-וירוס (בימים)
ציין את מספר הימים לשמירה של התוצאות בהיסטוריית הסריקה במכשיר. תוצאות הסריקה הקודמות מוסרות מההיסטוריה. קבצים ישנים בהסגר שהוסרו גם מהדיסק.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | scanResultsRetentionDays | שמירת תוצאות סריקה |
סוג נתונים | מחרוזת | מתג דו-מצבי ומספר שלם |
ערכים אפשריים | 90 (ברירת מחדל). הערכים המותרים הם בין יום אחד ל- 180 ימים. | לא נקבעה תצורה (מצב כבוי - ברירת מחדל של 90 יום) התצורה נקבעה (דו-מצבי) והערך המותר הוא 1 עד 180 ימים. |
הערה
זמין ב- Defender עבור נקודת קצה גירסה 101.04.76 ואילך.
מספר מרבי של פריטים בהיסטוריית סריקת האנטי-וירוס
ציין את מספר הערכים המרבי לשמירה בהיסטוריית הסריקה. הערכים כוללים את כל הסריקות לפי דרישה שבוצעו בעבר ואת כל זיהויי האנטי-וירוס.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | scanHistoryMaximumItems | גודל היסטוריית סריקה |
סוג נתונים | מחרוזת | החלף מצב למספר שלם |
ערכים אפשריים | 10000 (ברירת מחדל). הערכים המותרים הם מ- 5000 פריטים עד 15,000 פריטים. | לא נקבעה תצורה (כיבוי דו-מצבי - 10000 ברירת מחדל) מוגדר (דו-מצבי) וערך מותר בין 5000 ל- 15,000 פריטים. |
הערה
זמין ב- Defender עבור נקודת קצה גירסה 101.04.76 ואילך.
אפשרויות סריקה מתקדמות
ניתן לקבוע את התצורה של ההגדרות הבאות כדי לאפשר תכונות סריקה מתקדמות מסוימות.
הערה
הפיכת תכונות אלה לזמינות עלולה להשפיע על ביצועי המכשיר. לפי ההמלצה, מומלץ לשמור את ברירות המחדל.
קביעת תצורה של סריקה של אירועי הרשאות שינוי קובץ
כאשר תכונה זו זמינה, Defender for Endpoint יסרוק קבצים לאחר שינוי ההרשאות שלהם כדי להגדיר את סיביות הביצוע.
הערה
תכונה זו ישימה רק כאשר enableFilePermissionEvents
התכונה זמינה. לקבלת מידע נוסף, ראה סעיף תכונות אופציונליות מתקדמות להלן לקבלת פרטים.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | scanFileModifyPermissions | לא זמין |
סוג נתונים | בוליאני | לא רלוונטי |
ערכים אפשריים | False (ברירת מחדל) נכון |
לא רלוונטי |
הערה
זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך.
קביעת תצורה של סריקה של אירועי שינוי בעלות על קובץ
כאשר תכונה זו זמינה, Defender for Endpoint יסרוק קבצים שעבורם הבעלות השתנתה.
הערה
תכונה זו ישימה רק כאשר enableFileOwnershipEvents
התכונה זמינה. לקבלת מידע נוסף, ראה סעיף תכונות אופציונליות מתקדמות להלן לקבלת פרטים.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | scanFileModifyOwnership | לא זמין |
סוג נתונים | בוליאני | לא רלוונטי |
ערכים אפשריים | False (ברירת מחדל) נכון |
לא רלוונטי |
הערה
זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך.
קביעת תצורה של סריקה של אירועי Socket גולמיים
כאשר תכונה זו זמינה, Defender for Endpoint יסרוק אירועי שקע רשת כגון יצירה של שקעים גולמיים/שקעי מנות או הגדרת אפשרות Socket.
הערה
תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.
תכונה זו ישימה רק כאשר enableRawSocketEvent
התכונה זמינה. לקבלת מידע נוסף, ראה סעיף תכונות אופציונליות מתקדמות להלן לקבלת פרטים.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | scanNetworkSocketEvent | לא זמין |
סוג נתונים | בוליאני | לא רלוונטי |
ערכים אפשריים | False (ברירת מחדל) נכון |
לא רלוונטי |
הערה
זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך.
העדפות הגנה מבוססות ענן
הערך cloudService בפרופיל התצורה משמש לקביעת התצורה של תכונת ההגנה מונחית הענן של המוצר.
הערה
הגנה מבוססת ענן ישימה בכל הגדרות רמת האכיפה (real_time, on_demand, פאסיבי).
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | cloudService | העדפות הגנה מבוססות ענן |
סוג נתונים | מילון (העדפה מקוננת) | מקטע מכווץ |
תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. | עיין בסעיפים הבאים לקבלת תיאור של הגדרות המדיניות. |
הפוך הגנה מבוססת ענן לזמינה /ללא זמינה
קובע אם הגנה מבוססת ענן מופעלת במכשיר או לא. כדי לשפר את אבטחת השירותים שלך, מומלץ להפעיל תכונה זו.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | מופעלת | הפוך הגנה מבוססת ענן לזמינה |
סוג נתונים | בוליאני | רשימה נפתחת |
ערכים אפשריים | true (ברירת מחדל)
|
לא נקבעה תצורה לא זמין זמין (ברירת מחדל) |
רמת איסוף אבחון
נתוני אבחון משמשים כדי לשמור על Defender for Endpoint מאובטח ומתעדכן, לזהות, לאבחן ולפתור בעיות, וגם כדי לבצע שיפורים במוצר. הגדרה זו קובעת את רמת האבחון שנשלחה על-ידי המוצר ל- Microsoft. לקבלת פרטים נוספים, ראה פרטיות עבור Microsoft Defender עבור נקודת קצה ב- Linux.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | אבחוןרמה אחת | רמת איסוף נתוני אבחון |
סוג נתונים | מחרוזת | רשימה נפתחת |
ערכים אפשריים | optional
|
לא נקבעה תצורה אופציונלי (ברירת מחדל) חובה |
קביעת תצורה של רמת חסימת ענן
הגדרה זו קובעת עד כמה אגרסיבית נקודת הקצה של Defender עבור חסימה וסריקה של קבצים חשודים. אם הגדרה זו מופעלת, Defender for Endpoint הוא אגרסיבי יותר בעת זיהוי קבצים חשודים לחסימה וסריקה; אחרת, היא פחות אגרסיבית ולכן חוסמת וסריקה בתדירות נמוכה יותר.
קיימים חמישה ערכים להגדרת רמת חסימת ענן:
- רגיל (
normal
): רמת החסימה המהווה ברירת מחדל. - מתון (
moderate
): מספק את גזר הדין רק לזיהויים בעלי ביטחון גבוה. - גבוהה (
high
): חוסמת באופן אגרסיבי קבצים לא ידועים תוך מיטוב עבור ביצועים (סיכוי גדול יותר לחסום קבצים שאינם מזיקים). - High Plus (
high_plus
): חוסם באופן אגרסיבי קבצים לא ידועים ומ מחיל אמצעי הגנה נוספים (עשוי להשפיע על ביצועי מכשיר הלקוח). - עמידות אפס (
zero_tolerance
): חוסם את כל התוכניות הלא ידועות.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | cloudBlockLevel | קביעת תצורה של רמת חסימת ענן |
סוג נתונים | מחרוזת | רשימה נפתחת |
ערכים אפשריים | normal (ברירת מחדל)
|
לא נקבעה תצורה רגיל (ברירת מחדל) מתון גבוהה High_Plus Zero_Tolerance |
הערה
זמין ב- Defender עבור נקודת קצה גירסה 101.56.62 ואילך.
הפוך שליחת דוגמאות אוטומטית לזמינה /ללא זמינה
קובע אם דוגמאות חשודות (שעשויות להכיל איומים) נשלחות אל Microsoft. קיימות שלוש רמות לשליטה בהגשה לדוגמה:
- ללא: לא נשלחו דוגמאות חשודות ל- Microsoft.
- בטוח: רק דוגמאות חשודות שאינן מכילות מידע המאפשר זיהוי אישי (PII) נשלחות באופן אוטומטי. זהו ערך ברירת המחדל עבור הגדרה זו.
- הכל: כל הדוגמאות החשודות נשלחות ל- Microsoft.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | automaticSampleSubmissionConsent | הפוך שליחת דוגמאות אוטומטית לזמינה |
סוג נתונים | מחרוזת | רשימה נפתחת |
ערכים אפשריים | none
|
לא נקבעה תצורה ללא בטוח (ברירת מחדל) All |
הפיכת עדכוני בינת אבטחה אוטומטיים לזמינים או ללא זמינים
קובע אם עדכוני בינת אבטחה מותקנים באופן אוטומטי:
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | automaticDefinitionUpdateEnabled | עדכוני בינת אבטחה אוטומטיים |
סוג נתונים | בוליאני | רשימה נפתחת |
ערכים אפשריים | true (ברירת מחדל)
|
לא נקבעה תצורה לא זמין זמין (ברירת מחדל) |
תכונות אופציונליות מתקדמות
ניתן לקבוע את התצורה של ההגדרות הבאות כדי להפוך תכונות מתקדמות מסוימות לזמינות.
הערה
הפיכת תכונות אלה לזמינות עלולה להשפיע על ביצועי המכשיר. מומלץ לשמור את ברירות המחדל.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | תכונות | לא זמין |
סוג נתונים | מילון (העדפה מקוננת) | לא רלוונטי |
תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. |
תכונת טעינת מודול
קובע אם המערכת מנטרת אירועים של טעינת מודול (אירועי פתיחת קובץ בספריות משותפות).
הערה
תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | עומס מודול | לא זמין |
סוג נתונים | מחרוזת | לא רלוונטי |
ערכים אפשריים | לא זמין (ברירת מחדל) מופעלת |
לא רלוונטי |
תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 101.68.80 ואילך. |
תצורות חיישנים משלימות
ניתן להשתמש בהגדרות הבאות כדי לקבוע תצורה של תכונות מסוימות של חיישן משלים מתקדם.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | תצורות של תוספתSensor | לא זמין |
סוג נתונים | מילון (העדפה מקוננת) | לא רלוונטי |
תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. |
קביעת תצורה של ניטור אירועי הרשאות שינוי קובץ
קובע אם אירועי הרשאות שינוי קובץ (chmod
) נמצאים בפיקוח.
הערה
כאשר תכונה זו זמינה, Defender for Endpoint ינטר את השינויים שבוצעו בסיביות הקבצים, אך לא יסרוק אירועים אלה. לקבלת מידע נוסף, ראה סעיף תכונות סריקה מתקדמות לקבלת פרטים נוספים.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | enableFilePermissionEvents | לא זמין |
סוג נתונים | מחרוזת | לא רלוונטי |
ערכים אפשריים | לא זמין (ברירת מחדל) מופעלת |
לא רלוונטי |
תגובות/הערות | זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך. |
קביעת תצורה של ניטור אירועי שינוי בעלות על קבצים
קובע אם אירועי בעלות על שינויים בקובץ (מטלות) פיקוח.
הערה
כאשר תכונה זו זמינה, Defender for Endpoint ינטר שינויים בבעלות הקבצים, אך לא יסרוק אירועים אלה. לקבלת מידע נוסף, ראה סעיף תכונות סריקה מתקדמות לקבלת פרטים נוספים.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | enableFileOwnershipEvents | לא זמין |
סוג נתונים | מחרוזת | לא רלוונטי |
ערכים אפשריים | לא זמין (ברירת מחדל) מופעלת |
לא רלוונטי |
תגובות/הערות | זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך. |
קביעת תצורה של ניטור אירועי Socket גולמיים
קובע אם נעשה ניטור של אירועי שקע רשת הכוללים יצירה של שקעים גולמיים/שקעי מנות, או הגדרת אפשרות Socket.
הערה
תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין. כאשר תכונה זו זמינה, Defender for Endpoint ינטר אירועים אלה של שקע רשת, אך לא יסרוק אירועים אלה. לקבלת מידע נוסף, ראה סעיף תכונות סריקה מתקדמות לעיל לקבלת פרטים נוספים.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | enableRawSocketEvent | לא זמין |
סוג נתונים | מחרוזת | לא רלוונטי |
ערכים אפשריים | לא זמין (ברירת מחדל) מופעלת |
לא רלוונטי |
תגובות/הערות | זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך. |
קביעת תצורה של ניטור של אירועי טוען האתחול
קובע אם מנטרים ונסרקים אירועים של טוען האתחול.
הערה
תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | enableBootLoaderCalls | לא זמין |
סוג נתונים | מחרוזת | לא רלוונטי |
ערכים אפשריים | לא זמין (ברירת מחדל) מופעלת |
לא רלוונטי |
תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 101.68.80 ואילך. |
קביעת תצורה של ניטור אירועי ptrace
קובע אם מנטרים ונסרקים אירועי ptrace.
הערה
תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | enableProcessCalls | לא זמין |
סוג נתונים | מחרוזת | לא רלוונטי |
ערכים אפשריים | לא זמין (ברירת מחדל) מופעלת |
לא רלוונטי |
תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 101.68.80 ואילך. |
קביעת תצורה של ניטור של אירועי מדומה
קובע אם אירועי מדומה מנווטרים ונסרקים.
הערה
תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | enablePseudofsCalls | לא זמין |
סוג נתונים | מחרוזת | לא רלוונטי |
ערכים אפשריים | לא זמין (ברירת מחדל) מופעלת |
לא רלוונטי |
תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 101.68.80 ואילך. |
קביעת תצורה של ניטור אירועי טעינת מודול באמצעות eBPF
קובע אם מנטרים אירועי טעינה של מודול באמצעות eBPF וסרוקים.
הערה
תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | enableEbpfModuleLoadEvents | לא זמין |
סוג נתונים | מחרוזת | לא רלוונטי |
ערכים אפשריים | לא זמין (ברירת מחדל) מופעלת |
לא רלוונטי |
תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 101.68.80 ואילך. |
דווח על אירועים חשודים של AV ל- EDR
קובע אם אירועים חשודים מהאנטי-וירוס מדווחים ל- EDR.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | שליחההוהוהוות | לא זמין |
סוג נתונים | מחרוזת | לא רלוונטי |
ערכים אפשריים | לא זמין (ברירת מחדל) מופעלת |
לא רלוונטי |
תגובות/הערות | זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך. |
תצורות הגנת רשת
ניתן להשתמש בהגדרות הבאות כדי לקבוע את התצורה של תכונות מתקדמות של בדיקת הגנת רשת כדי לשלוט בתעבורה שנבדקת על-ידי הגנת הרשת.
הערה
כדי שההגנה על הרשת תהיה יעילה, יש להפעיל אותה. לקבלת מידע נוסף, ראה הפעלת הגנת רשת עבור Linux.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | NetworkProtection | הגנה על הרשת |
סוג נתונים | מילון (העדפה מקוננת) | מקטע מכווץ |
תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. | עיין בסעיפים הבאים לקבלת תיאור של הגדרות המדיניות. |
רמת אכיפה
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | מסגרת אכיפה | רמת אכיפה |
סוג נתונים | מחרוזת | רשימה נפתחת |
ערכים אפשריים | disabled (ברירת מחדל)audit block |
לא נקבעה תצורה לא זמין (ברירת מחדל) ביקורת חסימה |
קביעת תצורה של בדיקת ICMP
קובע אם אירועי ICMP נמצאים בפיקוח ובסריקה.
הערה
תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.
תיאור | ערך JSON | ערך פורטל Defender |
---|---|---|
מפתח | disableIcmpInspection | לא זמין |
סוג נתונים | בוליאני | לא רלוונטי |
ערכים אפשריים | true (ברירת מחדל)
|
לא רלוונטי |
תגובות/הערות | זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך. |
פרופיל תצורה מומלץ
כדי להתחיל, אנו ממליצים על פרופיל התצורה הבא עבור הארגון שלך כדי לנצל את כל תכונות ההגנה שמספק Defender for Endpoint.
פרופיל התצורה הבא:
- הפוך הגנה בזמן אמת (RTP) לזמינה
- ציין כיצד מטפלים בסוגי האיומים הבאים:
- יישומים שעלולים להיות בלתי רצויים (PUA) חסומים
- פצצות ארכיון (קובץ עם קצב דחיסה גבוהה) מביקורות ליומני המוצרים
- הפוך עדכוני בינת אבטחה אוטומטיים לזמינים
- הפוך הגנה מבוססת ענן לזמינה
- הפוך שליחת דוגמאות אוטומטית לזמינה ברמה
safe
פרופיל לדוגמה
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
דוגמה לפרופיל תצורה מלא
פרופיל התצורה הבא מכיל ערכים עבור כל ההגדרות המתוארות במסמך זה, ובאפשרותך להשתמש בו עבור תרחישים מתקדמים יותר שבהם ברצונך לקבל שליטה נוספת על המוצר.
הערה
לא ניתן לשלוט בכל התקשורת של Microsoft Defender for Endpoint רק עם הגדרת Proxy ב- JSON זה.
פרופיל מלא
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
הוספת תגית או מזהה קבוצה לפרופיל התצורה
בעת הפעלת הפקודה mdatp health
בפעם הראשונה, הערך עבור התג ומזהה הקבוצה יהיה ריק. כדי להוסיף לקובץ תגית או מזהה קבוצה mdatp_managed.json
, בצע את השלבים הבאים:
- פתח את פרופיל התצורה מהנתיב
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json
. - עבור אל החלק התחתון של הקובץ, שבו ממוקם
cloudService
הבלוק. - הוסף את התג או מזהה הקבוצה הדרושים כדוגמה הבאה בסוף הסוגר המסולסל הסוגר עבור
cloudService
.
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
הערה
הוסף את פסיק אחרי הסוגר המסולסל הסוגר בסוף הבלוק cloudService
. כמו כן, ודא שקיימים שני סוגריים מסולסלים סוגרים לאחר הוספת בלוק תגית או מזהה קבוצה (עיין בדוגמה לעיל). בשלב זה, שם המפתח הנתמך היחיד עבור תגיות הוא GROUP
.
אימות פרופיל תצורה
פרופיל התצורה חייב להיות קובץ בתבנית JSON חוקי. קיימים כלים רבים שניתן להשתמש בהם כדי לאמת זאת. לדוגמה, אם python
התקנת במכשיר שלך:
python -m json.tool mdatp_managed.json
אם ה- JSON במבנה תקין, הפקודה לעיל תפלט אותו בחזרה למסוף ותחזיר קוד יציאה של 0
. אחרת, מוצגת שגיאה המתארת את הבעיה והפקודה מחזירה קוד יציאה של 1
.
מוודא שהקובץ mdatp_managed.json פועל כצפוי
כדי לוודא ש- /etc/opt/microsoft/mdatp/managed/mdatp_managed.json פועל כראוי, אתה אמור לראות "[managed]" לצד הגדרות אלה:
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
הערה
לא נדרשת הפעלה מחדש של mdatp Daemon כדי שהשינויים ברוב התצורות mdatp_managed.json ייכנסו לתוקף. חריגה: התצורות הבאות דורשות הפעלה מחדש של Daemon כדי להיכנס לתוקף:
- אבחון ענן
- פרמטרים של סיבוב יומן רישום
פריסת פרופיל תצורה
לאחר שתבנת את פרופיל התצורה עבור הארגון שלך, תוכל לפרוס אותו באמצעות כלי הניהול שבו הארגון שלך משתמש. Defender for Endpoint on Linux מקריא את התצורה המנוהלת מקובץ /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.
משוב
https://aka.ms/ContentUserFeedback.
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה:שלח והצג משוב עבור