שתף באמצעות

הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- Linux

  • מאמר

חל על:

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

חשוב

מאמר זה מכיל הוראות כיצד להגדיר העדפות עבור Defender עבור נקודת קצה ב- Linux בסביבות ארגוניות. אם אתה מעוניין לקבוע את תצורת המוצר במכשיר משורת הפקודה, ראה משאבים.

בסביבות ארגוניות, ניתן לנהל את Defender for Endpoint ב- Linux באמצעות פרופיל תצורה. פרופיל זה נפרס מכלי הניהול שתבחר. העדפות המנוהלות על-ידי הארגון מקבלות עדיפות על-פני אלה שקיימות באופן מקומי במכשיר. במילים אחרות, משתמשים בארגון שלך אינם יכולים לשנות את ההעדפות הוגדרו באמצעות פרופיל תצורה זה. אם פריטים שאינם נכללים נוספו באמצעות פרופיל התצורה המנוהלת, ניתן להסיר אותם רק דרך פרופיל התצורה המנוהלת. שורת הפקודה פועלת עבור פריטים שאינם נכללים שנוספו באופן מקומי.

מאמר זה מתאר את המבנה של פרופיל זה (כולל פרופיל מומלץ שניתן להשתמש בו כדי להתחיל בעבודה) והוראות לפריסת הפרופיל.

מבנה פרופיל תצורה

פרופיל התצורה הוא קובץ .json מורכב מערכים המזוהים על-ידי מפתח (המציין את שם ההעדפה), ולאחריו ערך, אשר תלוי באופי ההעדפה. ערכים יכולים להיות פשוטים, כגון ערך מספרי או מורכב, כגון רשימת העדפות מקוננת.

בדרך כלל, עליך להשתמש בכלי ניהול תצורה כדי לדחוף קובץ בשם mdatp_managed.json במיקום /etc/opt/microsoft/mdatp/managed/.

הרמה העליונה של פרופיל התצורה כוללת העדפות וערכים עבור אזורי משנה של המוצר, שמוסברים בפירוט רב יותר בסעיפים הבאים.

העדפות מנוע אנטי-וירוס

המקטע antivirusEngine של פרופיל התצורה משמש לניהול ההעדפות של רכיב האנטי-וירוס של המוצר.

תיאור ערך JSON ערך פורטל Defender
מפתח antivirusEngine מנוע אנטי-וירוס
סוג נתונים מילון (העדפה מקוננת) מקטע מכווץ
תגובות/הערות עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. עיין בסעיפים הבאים לקבלת תיאור של מאפייני המדיניות.

רמת האכיפה עבור מנוע אנטי-וירוס

מציין את העדפת האכיפה של מנגנון האנטי-וירוס. קיימים שלושה ערכים להגדרת רמת האכיפה:

  • (): הגנהreal_time בזמן אמת (סריקת קבצים בעת שינוי הקבצים) זמינה.
  • לפי דרישה (on_demand): קבצים נסרקים לפי דרישה בלבד. ב:
    • הגנה בזמן אמת כבויה.
  • פאסיבי (passive): מפעיל את מנוע האנטי-וירוס במצב פאסיבי. ב:
    • הגנה בזמן אמת כבויה: האנטי-וירוס של Microsoft Defender אינו מעדכן איומים.
    • סריקה לפי דרישה מופעלת: עדיין להשתמש ביכולות הסריקה ב נקודת הקצה.
    • תיקון איומים אוטומטי מבוטל: לא יועברו קבצים ומנהל אבטחה צפוי לבצע את הפעולה הנדרשת.
    • עדכוני בינת אבטחה מופעלים: התראות יהיו זמינות בדייר מנהלי אבטחה.
תיאור ערך JSON ערך פורטל Defender
מפתח מסגרת אכיפה רמת אכיפה
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים real_time
on_demand
passive (ברירת מחדל)		 לא נקבעה תצורה
זמן אמת
OnDemand
פאסיבי (ברירת מחדל)

הערה

זמין ב- Defender עבור נקודת קצה גירסה 101.10.72 ואילך. ברירת המחדל משתנה real_time פאסיבי עבור נקודת קצה גירסה 101.23062.0001 ואילך. מומלץ להשתמש גם סריקות מתוזמנות לפי דרישה.

הפעלה/ביטול של ניטור אופן פעולה

קובע אם יכולת הניטור והחסימה של אופן הפעולה זמינה במכשיר או לא.

תיאור ערך JSON ערך פורטל Defender
מפתח התנהגותמניווט הפוך ניטור אופן פעולה לזמין
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים disabled (ברירת מחדל)

enabled

 לא נקבעה תצורה
לא זמין (ברירת מחדל)
מופעלת

הערה

זמין ב- Defender עבור נקודת קצה גירסה 101.45.00 ואילך. תכונה זו ישימה רק כאשר Real-Time הגנה מופעלת.

הפעל סריקה לאחר עדכון ההגדרות

מציין אם להפעיל סריקת תהליך לאחר הורדת עדכונים חדשים של בינת אבטחה במכשיר. הפיכת הגדרה זו לזמינה מפעילה סריקת אנטי-וירוס בתהליכים הפועלים של המכשיר.

תיאור ערך JSON ערך פורטל Defender
מפתח scanAfterDefinitionUpdate הפוך סריקה לזמינה לאחר עדכון הגדרה
סוג נתונים בוליאני רשימה נפתחת
ערכים אפשריים true (ברירת מחדל)

false

 לא נקבעה תצורה
לא זמין
זמין (ברירת מחדל)

הערה

זמין ב- Defender עבור נקודת קצה גירסה 101.45.00 ואילך. תכונה זו פועלת רק כאשר רמת האכיפה מוגדרת ל- real-time.

סרוק ארכיונים (סריקות אנטי-וירוס לפי דרישה בלבד)

מציין אם לסרוק ארכיונים במהלך סריקות אנטי-וירוס לפי דרישה.

תיאור ערך JSON ערך פורטל Defender
מפתח ארכיון סריקה אפשר סריקה של ארכיונים
סוג נתונים בוליאני רשימה נפתחת
ערכים אפשריים true (ברירת מחדל)

false

 לא נקבעה תצורה
לא זמין
זמין (ברירת מחדל)

הערה

זמין ב- Microsoft Defender עבור נקודת קצה גירסה 101.45.00 ואילך. קבצי ארכיון לעולם אינם נסרקים במהלך הגנה בזמן אמת. כאשר הקבצים בארכיון מחולצים, הם נסרקים. ניתן להשתמש באפשרות scanArchives כדי לכפות סריקה של ארכיונים רק במהלך סריקה לפי דרישה.

מידת מקביליות לסריקה לפי דרישה

מציין את מידת המקבילות לסריקה לפי דרישה. הדבר תואם למספר הליכי המשנה המשמשים לביצוע הסריקה ומשפיעים על השימוש ב- CPU ומשך הזמן של הסריקה לפי דרישה.

תיאור ערך JSON ערך פורטל Defender
מפתח maximumOnDemandScanThreads מספר מרבי של שרשורי סריקה לפי דרישה
סוג נתונים מספר שלם החלף מצב & מספר שלם
ערכים אפשריים 2 (ברירת מחדל). ערכים מותרים הם מספרים שלמים בין 1 ל- 64. לא נקבעה תצורה (ברירת המחדל היא כיבוי ברירות מחדל ל- 2)
מוגדר (דו-מצבי) למספר שלם בין 1 ל- 64.

הערה

זמין ב- Microsoft Defender עבור נקודת קצה גירסה 101.45.00 ואילך.

מדיניות מיזוג אי-הכללה

מציין את מדיניות המיזוג עבור פריטים שאינם נכללים. הוא יכול להיות שילוב של אי-הכללות המוגדרות על-ידי מנהל מערכת והוגדרו על-ידי המשתמש (merge) או רק אי-הכללות המוגדרות על-ידי מנהל מערכת (admin_only). ניתן להשתמש בהגדרה זו כדי למנוע ממשתמשים מקומיים להגדיר אי-הכללות משלהם.

תיאור ערך JSON ערך פורטל Defender
מפתח exclusionsMergePolicy מיזוג פריטים שאינם נכללים
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים merge (ברירת מחדל)

admin_only

 לא נקבעה תצורה
מזג (ברירת מחדל)
admin_only

הערה

זמין ב- Defender עבור נקודת קצה גירסה 100.83.73 ואילך.

פריטים שאינם נכללים בסריקה

ישויות שלא נכללו מהסרוקה. נתיבים, סיומות או שמות קבצים יכולים להוסיף אי-הכללות. (פריטים שאינם נכללים מצוינים כמערך של פריטים, מנהל מערכת יכול לציין רכיבים רבים ככל הצורך, בכל סדר.)

תיאור ערך JSON ערך פורטל Defender
מפתח פריטים שאינם נכללים פריטים שאינם נכללים בסריקה
סוג נתונים מילון (העדפה מקוננת) רשימת מאפיינים דינאמיים
תגובות/הערות עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון.
סוג אי הכללה

מציין את סוג התוכן שלא נכלל בסריקה.

תיאור ערך JSON ערך פורטל Defender
מפתח $type סוג
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים excludedPath

excludedFileExtension

excludedFileName

 נתיב
סיומת קובץ
שם תהליך
נתיב לתוכן שלא נכלל

משמש כדי לא לכלול תוכן בסריקה באמצעות נתיב קובץ מלא.

תיאור ערך JSON ערך פורטל Defender
מפתח נתיב נתיב
סוג נתונים מחרוזת מחרוזת
ערכים אפשריים נתיבים חוקיים נתיבים חוקיים
תגובות/הערות ישים רק אם $typeלא כלול ב-Path המערכת ניגשה בחלון המוקפץ 'ערוך מופע'
סוג נתיב (קובץ / ספריה)

מציין אם מאפיין הנתיב מפנה לקובץ או למדריך כתובות.

תיאור ערך JSON ערך פורטל Defender
מפתח isDirectory הוא ספריה
סוג נתונים בוליאני רשימה נפתחת
ערכים אפשריים false (ברירת מחדל)

true

 מופעלת
לא זמין
תגובות/הערות ישים רק אם $typeלא כלול ב-Path המערכת ניגשה בחלון המוקפץ 'ערוך מופע'
סיומת הקובץ לא נכללה הסריקה

משמש כדי לא לכלול תוכן בסריקה לפי סיומת קובץ.

תיאור ערך JSON ערך פורטל Defender
מפתח סיומת סיומת קובץ
סוג נתונים מחרוזת מחרוזת
ערכים אפשריים סיומות קובץ חוקיות סיומות קובץ חוקיות
תגובות/הערות ישים רק אם $typeלא כוללFileExtension המערכת ניגשה בחלון המוקפץ 'קביעת תצורה של מופע'
תהליך שלא נכלל מהסרוקה*

מציין תהליך שעבורו כל פעילות הקבצים אינה נכללת בסריקה. ניתן להוסיף את התהליך לפי שמו (לדוגמה, cat) או הנתיב המלא (לדוגמה, /bin/cat).

תיאור ערך JSON ערך פורטל Defender
מפתח שם שם קובץ
סוג נתונים מחרוזת מחרוזת
ערכים אפשריים מחרוזת כלשהי מחרוזת כלשהי
תגובות/הערות ישים רק אם $typeלא כוללFileName המערכת ניגשה בחלון המוקפץ 'קביעת תצורה של מופע'

השתקה של טעינות שאינן של Exec

מציין את אופן הפעולה של RTP בנקודת טעינה המסומנת כ- noexec. קיימים שני ערכים עבור ההגדרה הם:

  • בוטלה ההשתקה (unmute): ערך ברירת המחדל, כל נקודות הטעינה נסרקים כחלק מ- RTP.
  • מושתק (mute): נקודות טעינה המסומנות כ- noexec אינן נסרקים כחלק מ- RTP, ניתן ליצור נקודות טעינה אלה עבור:
    • קבצי מסד נתונים בשרתי מסד נתונים לשמירה על קבצי בסיס נתונים.
    • שרת הקבצים יכול לשמור נקודות טעינה של קבצי נתונים ללא שימוש באפשרות noexec.
    • גיבוי יכול לשמור נקודות טעינה של קבצי נתונים ללא שימוש באפשרות noexec.
תיאור ערך JSON ערך פורטל Defender
מפתח nonExecMountPolicy השתקת טעינה שאינה מבצעת
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים unmute (ברירת מחדל)

mute

 לא נקבעה תצורה
ביטול השתקה (ברירת מחדל)
אילם

הערה

זמין ב- Defender עבור נקודת קצה גירסה 101.85.27 ואילך.

Unmonitor Filesystems

קבע תצורה של מערכות קבצים שלא יהיו מנוטרות/לא נכללות ב- Real Time Protection(RTP). מערכות הקבצים שתצורתן נקבעה מאומתות מול רשימת מערכות הקבצים המותרות של Microsoft Defender. רק לאחר אימות מוצלח, האם מערכת הקבצים תהיה מותרת להיות מנוטרת. מערכות קבצים לא מנוטרות אלה שתצורתן נקבעה עדיין נסרקו באמצעות סריקות מהירות, מלאות ותצוגות מותאמות אישית.

תיאור ערך JSON ערך פורטל Defender
מפתח unmonitoredFilesystems מערכות קבצים שאינה מנוטרת
סוג נתונים מערך של מחרוזות רשימת מחרוזות דינאמיות

הערה

המערכת של מערכת הקבצים שתצורתה נקבעה לא תהיה מנוטרת רק אם היא קיימת ברשימת מערכות הקבצים הלא מנוטרות המותרות של Microsoft.

כברירת מחדל, NFS ו- Fuse אינם מנוטרים מסריקה RTP, Quick ו- Full. עם זאת, סריקה מותאמת אישית עדיין יכולה לסרוק אותם. לדוגמה, כדי להסיר NFS מרשימת מערכות הקבצים הלא מנוטרות, עדכן את קובץ התצורה המנוהלת כפי שמוצג להלן. פעולה זו תוסיף באופן אוטומטי NFS לרשימת מערכות הקבצים המנוהצות עבור RTP.

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["Fuse"]
  }
}

כדי להסיר הן את NFS והן את הנתיך מרשימת מערכות קבצים שאינה מנוטרת, בצע את הפעולות הבאות

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

הערה

הנה; היא רשימת ברירת המחדל של מערכות קבצים תחת פיקוח עבור RTP: btrfs, , ecryptfsext2, ext3, ext4, fuseblk, jfs, overlay, , reiserfsramfs, tmpfs, , vfat, . xfs

אם יש להוסיף מערכת קבצים כלשהי המנוהרת לרשימת מערכות הקבצים שאינה מנוטרת, יש להעריך אותה ולקביעתה על-ידי Microsoft באמצעות תצורת ענן. לאחר מכן, הלקוחות managed_mdatp.json לעדכן מערכת קבצים זו.

קביעת תצורה של תכונת חישוב Hash של קובץ

הופך תכונה של חישוב Hash של קבצים לזמינה או ללא זמינה. כאשר תכונה זו זמינה, Defender for Endpoint מחשב Hash עבור קבצים שהיא סורקת. שים לב שהפעלת תכונה זו עלולה להשפיע על ביצועי המכשיר. לקבלת פרטים נוספים, עיין בנושא: יצירת מחוונים עבור קבצים.

תיאור ערך JSON ערך פורטל Defender
מפתח enableFileHashComputation הפוך חישוב Hash של קובץ לזמין
סוג נתונים בוליאני רשימה נפתחת
ערכים אפשריים false (ברירת מחדל)

true

 לא נקבעה תצורה
לא זמין (ברירת מחדל)
מופעלת

הערה

זמין ב- Defender עבור נקודת קצה גירסה 101.85.27 ואילך.

איומים מותרים

רשימת איומים (שזוהו על-ידי שמם) שאינם חסומים על-ידי המוצר, וב במקום זאת מורשים לפעול.

תיאור ערך JSON ערך פורטל Defender
מפתח תוקף מותר איומים מותרים
סוג נתונים מערך של מחרוזות רשימת מחרוזות דינאמיות

פעולות איומים אסורות

הגבלת הפעולות שהמשתמש המקומי במכשיר יכול לבצע כאשר מזוהים איומים. הפעולות הכלולות ברשימה זו אינן מוצגות בממשק המשתמש.

תיאור ערך JSON ערך פורטל Defender
מפתח לא מותר על-ידי הפעלת פריטים פעולות איומים אסורות
סוג נתונים מערך של מחרוזות רשימת מחרוזות דינאמיות
ערכים אפשריים allow (מגבילה את המשתמשים לאפשר איומים)

restore (מגבילה את האפשרות של משתמשים לשחזר איומים מהסגר)

 לאפשר (מגבילה את המשתמשים לאפשר איומים)

שחזור (מגביל את המשתמשים לשחזור איומים מהסגר)

הערה

זמין ב- Defender עבור נקודת קצה גירסה 100.83.73 ואילך.

הגדרות סוג איום

ההעדפה threatTypeSettings במנגנון האנטי-וירוס משמשת לשליטה באופן שבו סוגי איומים מסוימים מטופלים על-ידי המוצר.

תיאור ערך JSON ערך פורטל Defender
מפתח threatTypeSettings הגדרות סוג איום
סוג נתונים מילון (העדפה מקוננת) רשימת מאפיינים דינאמיים
תגובות/הערות עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. עיין בסעיפים הבאים לקבלת תיאור של המאפיינים הדינאמיים.
סוג איום

סוג האיום שעבורו תצורת אופן הפעולה נקבעה.

תיאור ערך JSON ערך פורטל Defender
מפתח מפתח סוג איום
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים potentially_unwanted_application

archive_bomb

 potentially_unwanted_application

archive_bomb
פעולה שיש לבצע

פעולה שיש לבצע בעת תיתקל באיום מסוג שצוין בסעיף הקודם. יכול להיות:

  • ביקורת: המכשיר אינו מוגן מפני איום מסוג זה, אך נרשם רישום של ערך לגבי האיום. (ברירת מחדל)
  • בלוק: המכשיר מוגן מפני איום מסוג זה ואתה תקבל הודעה במסוף האבטחה.
  • כבוי: המכשיר אינו מוגן מפני איום מסוג זה ושום דבר לא נרשם.
תיאור ערך JSON ערך פורטל Defender
מפתח ערך פעולה שיש לבצע
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים audit (ברירת מחדל)

block

off

 ביקורת

חסימה

כבוי

מדיניות מיזוג הגדרות של סוג איום

מציין את מדיניות המיזוג עבור הגדרות סוג איום. זה יכול להיות שילוב של הגדרות מוגדרות על-ידי מנהל מערכת והגדרות המוגדרות על-ידי המשתמש (merge) או רק הגדרות מוגדרות על-ידי מנהל מערכת (admin_only). ניתן להשתמש בהגדרה זו כדי למנוע ממשתמשים מקומיים להגדיר הגדרות משלהם עבור סוגי איומים שונים.

תיאור ערך JSON ערך פורטל Defender
מפתח threatTypeSettingsMergePolicy מיזוג הגדרות סוג איום
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים מיזוג (ברירת מחדל)

admin_only

 לא נקבעה תצורה
מזג (ברירת מחדל)
admin_only

הערה

זמין ב- Defender עבור נקודת קצה גירסה 100.83.73 ואילך.

שמירת היסטוריה של סריקת אנטי-וירוס (בימים)

ציין את מספר הימים לשמירה של התוצאות בהיסטוריית הסריקה במכשיר. תוצאות הסריקה הקודמות מוסרות מההיסטוריה. קבצים ישנים בהסגר שהוסרו גם מהדיסק.

תיאור ערך JSON ערך פורטל Defender
מפתח scanResultsRetentionDays שמירת תוצאות סריקה
סוג נתונים מחרוזת מתג דו-מצבי ומספר שלם
ערכים אפשריים 90 (ברירת מחדל). הערכים המותרים הם בין יום אחד ל- 180 ימים. לא נקבעה תצורה (מצב כבוי - ברירת מחדל של 90 יום)
התצורה נקבעה (דו-מצבי) והערך המותר הוא 1 עד 180 ימים.

הערה

זמין ב- Defender עבור נקודת קצה גירסה 101.04.76 ואילך.

מספר מרבי של פריטים בהיסטוריית סריקת האנטי-וירוס

ציין את מספר הערכים המרבי לשמירה בהיסטוריית הסריקה. הערכים כוללים את כל הסריקות לפי דרישה שבוצעו בעבר ואת כל זיהויי האנטי-וירוס.

תיאור ערך JSON ערך פורטל Defender
מפתח scanHistoryMaximumItems גודל היסטוריית סריקה
סוג נתונים מחרוזת החלף מצב למספר שלם
ערכים אפשריים 10000 (ברירת מחדל). הערכים המותרים הם מ- 5000 פריטים עד 15,000 פריטים. לא נקבעה תצורה (כיבוי דו-מצבי - 10000 ברירת מחדל)
מוגדר (דו-מצבי) וערך מותר בין 5000 ל- 15,000 פריטים.

הערה

זמין ב- Defender עבור נקודת קצה גירסה 101.04.76 ואילך.

אפשרויות סריקה מתקדמות

ניתן לקבוע את התצורה של ההגדרות הבאות כדי לאפשר תכונות סריקה מתקדמות מסוימות.

הערה

הפיכת תכונות אלה לזמינות עלולה להשפיע על ביצועי המכשיר. לפי ההמלצה, מומלץ לשמור את ברירות המחדל.

קביעת תצורה של סריקה של אירועי הרשאות שינוי קובץ

כאשר תכונה זו זמינה, Defender for Endpoint יסרוק קבצים לאחר שינוי ההרשאות שלהם כדי להגדיר את סיביות הביצוע.

הערה

תכונה זו ישימה רק כאשר enableFilePermissionEvents התכונה זמינה. לקבלת מידע נוסף, ראה סעיף תכונות אופציונליות מתקדמות להלן לקבלת פרטים.

תיאור ערך JSON ערך פורטל Defender
מפתח scanFileModifyPermissions לא זמין
סוג נתונים בוליאני לא רלוונטי
ערכים אפשריים False (ברירת מחדל)

נכון

 לא רלוונטי

הערה

זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך.

קביעת תצורה של סריקה של אירועי שינוי בעלות על קובץ

כאשר תכונה זו זמינה, Defender for Endpoint יסרוק קבצים שעבורם הבעלות השתנתה.

הערה

תכונה זו ישימה רק כאשר enableFileOwnershipEvents התכונה זמינה. לקבלת מידע נוסף, ראה סעיף תכונות אופציונליות מתקדמות להלן לקבלת פרטים.

תיאור ערך JSON ערך פורטל Defender
מפתח scanFileModifyOwnership לא זמין
סוג נתונים בוליאני לא רלוונטי
ערכים אפשריים False (ברירת מחדל)

נכון

 לא רלוונטי

הערה

זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך.

קביעת תצורה של סריקה של אירועי Socket גולמיים

כאשר תכונה זו זמינה, Defender for Endpoint יסרוק אירועי שקע רשת כגון יצירה של שקעים גולמיים/שקעי מנות או הגדרת אפשרות Socket.

הערה

תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין. תכונה זו ישימה רק כאשר enableRawSocketEvent התכונה זמינה. לקבלת מידע נוסף, ראה סעיף תכונות אופציונליות מתקדמות להלן לקבלת פרטים.

תיאור ערך JSON ערך פורטל Defender
מפתח scanNetworkSocketEvent לא זמין
סוג נתונים בוליאני לא רלוונטי
ערכים אפשריים False (ברירת מחדל)

נכון

 לא רלוונטי

הערה

זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך.

העדפות הגנה מבוססות ענן

הערך cloudService בפרופיל התצורה משמש לקביעת התצורה של תכונת ההגנה מונחית הענן של המוצר.

הערה

הגנה מבוססת ענן ישימה בכל הגדרות רמת האכיפה (real_time, on_demand, פאסיבי).

תיאור ערך JSON ערך פורטל Defender
מפתח cloudService העדפות הגנה מבוססות ענן
סוג נתונים מילון (העדפה מקוננת) מקטע מכווץ
תגובות/הערות עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. עיין בסעיפים הבאים לקבלת תיאור של הגדרות המדיניות.

הפוך הגנה מבוססת ענן לזמינה /ללא זמינה

קובע אם הגנה מבוססת ענן מופעלת במכשיר או לא. כדי לשפר את אבטחת השירותים שלך, מומלץ להפעיל תכונה זו.

תיאור ערך JSON ערך פורטל Defender
מפתח מופעלת הפוך הגנה מבוססת ענן לזמינה
סוג נתונים בוליאני רשימה נפתחת
ערכים אפשריים true (ברירת מחדל)

false

 לא נקבעה תצורה
לא זמין
זמין (ברירת מחדל)

רמת איסוף אבחון

נתוני אבחון משמשים כדי לשמור על Defender for Endpoint מאובטח ומתעדכן, לזהות, לאבחן ולפתור בעיות, וגם כדי לבצע שיפורים במוצר. הגדרה זו קובעת את רמת האבחון שנשלחה על-ידי המוצר ל- Microsoft. לקבלת פרטים נוספים, ראה פרטיות עבור Microsoft Defender עבור נקודת קצה ב- Linux.

תיאור ערך JSON ערך פורטל Defender
מפתח אבחוןרמה אחת רמת איסוף נתוני אבחון
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים optional

required (ברירת מחדל)

 לא נקבעה תצורה
אופציונלי (ברירת מחדל)
חובה

קביעת תצורה של רמת חסימת ענן

הגדרה זו קובעת עד כמה אגרסיבית נקודת הקצה של Defender עבור חסימה וסריקה של קבצים חשודים. אם הגדרה זו מופעלת, Defender for Endpoint הוא אגרסיבי יותר בעת זיהוי קבצים חשודים לחסימה וסריקה; אחרת, היא פחות אגרסיבית ולכן חוסמת וסריקה בתדירות נמוכה יותר.

קיימים חמישה ערכים להגדרת רמת חסימת ענן:

  • רגיל (normal): רמת החסימה המהווה ברירת מחדל.
  • מתון (moderate): מספק את גזר הדין רק לזיהויים בעלי ביטחון גבוה.
  • גבוהה (high): חוסמת באופן אגרסיבי קבצים לא ידועים תוך מיטוב עבור ביצועים (סיכוי גדול יותר לחסום קבצים שאינם מזיקים).
  • High Plus (high_plus): חוסם באופן אגרסיבי קבצים לא ידועים ומ מחיל אמצעי הגנה נוספים (עשוי להשפיע על ביצועי מכשיר הלקוח).
  • עמידות אפס (zero_tolerance): חוסם את כל התוכניות הלא ידועות.
תיאור ערך JSON ערך פורטל Defender
מפתח cloudBlockLevel קביעת תצורה של רמת חסימת ענן
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים normal (ברירת מחדל)

moderate

high

high_plus

zero_tolerance

 לא נקבעה תצורה
רגיל (ברירת מחדל)
מתון
גבוהה
High_Plus
Zero_Tolerance

הערה

זמין ב- Defender עבור נקודת קצה גירסה 101.56.62 ואילך.

הפוך שליחת דוגמאות אוטומטית לזמינה /ללא זמינה

קובע אם דוגמאות חשודות (שעשויות להכיל איומים) נשלחות אל Microsoft. קיימות שלוש רמות לשליטה בהגשה לדוגמה:

  • ללא: לא נשלחו דוגמאות חשודות ל- Microsoft.
  • בטוח: רק דוגמאות חשודות שאינן מכילות מידע המאפשר זיהוי אישי (PII) נשלחות באופן אוטומטי. זהו ערך ברירת המחדל עבור הגדרה זו.
  • הכל: כל הדוגמאות החשודות נשלחות ל- Microsoft.
תיאור ערך JSON ערך פורטל Defender
מפתח automaticSampleSubmissionConsent הפוך שליחת דוגמאות אוטומטית לזמינה
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים none

safe (ברירת מחדל)

all

 לא נקבעה תצורה
ללא
בטוח (ברירת מחדל)
All

הפיכת עדכוני בינת אבטחה אוטומטיים לזמינים או ללא זמינים

קובע אם עדכוני בינת אבטחה מותקנים באופן אוטומטי:

תיאור ערך JSON ערך פורטל Defender
מפתח automaticDefinitionUpdateEnabled עדכוני בינת אבטחה אוטומטיים
סוג נתונים בוליאני רשימה נפתחת
ערכים אפשריים true (ברירת מחדל)

false

 לא נקבעה תצורה
לא זמין
זמין (ברירת מחדל)

תכונות אופציונליות מתקדמות

ניתן לקבוע את התצורה של ההגדרות הבאות כדי להפוך תכונות מתקדמות מסוימות לזמינות.

הערה

הפיכת תכונות אלה לזמינות עלולה להשפיע על ביצועי המכשיר. מומלץ לשמור את ברירות המחדל.

תיאור ערך JSON ערך פורטל Defender
מפתח תכונות לא זמין
סוג נתונים מילון (העדפה מקוננת) לא רלוונטי
תגובות/הערות עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון.

תכונת טעינת מודול

קובע אם המערכת מנטרת אירועים של טעינת מודול (אירועי פתיחת קובץ בספריות משותפות).

הערה

תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.

תיאור ערך JSON ערך פורטל Defender
מפתח עומס מודול לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים לא זמין (ברירת מחדל)

מופעלת

 לא רלוונטי
תגובות/הערות זמין ב- Defender עבור נקודת קצה גירסה 101.68.80 ואילך.

תצורות חיישנים משלימות

ניתן להשתמש בהגדרות הבאות כדי לקבוע תצורה של תכונות מסוימות של חיישן משלים מתקדם.

תיאור ערך JSON ערך פורטל Defender
מפתח תצורות של תוספתSensor לא זמין
סוג נתונים מילון (העדפה מקוננת) לא רלוונטי
תגובות/הערות עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון.
קביעת תצורה של ניטור אירועי הרשאות שינוי קובץ

קובע אם אירועי הרשאות שינוי קובץ (chmod) נמצאים בפיקוח.

הערה

כאשר תכונה זו זמינה, Defender for Endpoint ינטר את השינויים שבוצעו בסיביות הקבצים, אך לא יסרוק אירועים אלה. לקבלת מידע נוסף, ראה סעיף תכונות סריקה מתקדמות לקבלת פרטים נוספים.

תיאור ערך JSON ערך פורטל Defender
מפתח enableFilePermissionEvents לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים לא זמין (ברירת מחדל)

מופעלת

 לא רלוונטי
תגובות/הערות זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך.
קביעת תצורה של ניטור אירועי שינוי בעלות על קבצים

קובע אם אירועי בעלות על שינויים בקובץ (מטלות) פיקוח.

הערה

כאשר תכונה זו זמינה, Defender for Endpoint ינטר שינויים בבעלות הקבצים, אך לא יסרוק אירועים אלה. לקבלת מידע נוסף, ראה סעיף תכונות סריקה מתקדמות לקבלת פרטים נוספים.

תיאור ערך JSON ערך פורטל Defender
מפתח enableFileOwnershipEvents לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים לא זמין (ברירת מחדל)

מופעלת

 לא רלוונטי
תגובות/הערות זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך.
קביעת תצורה של ניטור אירועי Socket גולמיים

קובע אם נעשה ניטור של אירועי שקע רשת הכוללים יצירה של שקעים גולמיים/שקעי מנות, או הגדרת אפשרות Socket.

הערה

תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין. כאשר תכונה זו זמינה, Defender for Endpoint ינטר אירועים אלה של שקע רשת, אך לא יסרוק אירועים אלה. לקבלת מידע נוסף, ראה סעיף תכונות סריקה מתקדמות לעיל לקבלת פרטים נוספים.

תיאור ערך JSON ערך פורטל Defender
מפתח enableRawSocketEvent לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים לא זמין (ברירת מחדל)

מופעלת

 לא רלוונטי
תגובות/הערות זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך.
קביעת תצורה של ניטור של אירועי טוען האתחול

קובע אם מנטרים ונסרקים אירועים של טוען האתחול.

הערה

תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.

תיאור ערך JSON ערך פורטל Defender
מפתח enableBootLoaderCalls לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים לא זמין (ברירת מחדל)

מופעלת

 לא רלוונטי
תגובות/הערות זמין ב- Defender עבור נקודת קצה גירסה 101.68.80 ואילך.
קביעת תצורה של ניטור אירועי ptrace

קובע אם מנטרים ונסרקים אירועי ptrace.

הערה

תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.

תיאור ערך JSON ערך פורטל Defender
מפתח enableProcessCalls לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים לא זמין (ברירת מחדל)

מופעלת

 לא רלוונטי
תגובות/הערות זמין ב- Defender עבור נקודת קצה גירסה 101.68.80 ואילך.
קביעת תצורה של ניטור של אירועי מדומה

קובע אם אירועי מדומה מנווטרים ונסרקים.

הערה

תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.

תיאור ערך JSON ערך פורטל Defender
מפתח enablePseudofsCalls לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים לא זמין (ברירת מחדל)

מופעלת

 לא רלוונטי
תגובות/הערות זמין ב- Defender עבור נקודת קצה גירסה 101.68.80 ואילך.
קביעת תצורה של ניטור אירועי טעינת מודול באמצעות eBPF

קובע אם מנטרים אירועי טעינה של מודול באמצעות eBPF וסרוקים.

הערה

תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.

תיאור ערך JSON ערך פורטל Defender
מפתח enableEbpfModuleLoadEvents לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים לא זמין (ברירת מחדל)

מופעלת

 לא רלוונטי
תגובות/הערות זמין ב- Defender עבור נקודת קצה גירסה 101.68.80 ואילך.

דווח על אירועים חשודים של AV ל- EDR

קובע אם אירועים חשודים מהאנטי-וירוס מדווחים ל- EDR.

תיאור ערך JSON ערך פורטל Defender
מפתח שליחההוהוהוות לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים לא זמין (ברירת מחדל)

מופעלת

 לא רלוונטי
תגובות/הערות זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך.

תצורות הגנת רשת

ניתן להשתמש בהגדרות הבאות כדי לקבוע את התצורה של תכונות מתקדמות של בדיקת הגנת רשת כדי לשלוט בתעבורה שנבדקת על-ידי הגנת הרשת.

הערה

כדי שההגנה על הרשת תהיה יעילה, יש להפעיל אותה. לקבלת מידע נוסף, ראה הפעלת הגנת רשת עבור Linux.

תיאור ערך JSON ערך פורטל Defender
מפתח NetworkProtection הגנה על הרשת
סוג נתונים מילון (העדפה מקוננת) מקטע מכווץ
תגובות/הערות עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. עיין בסעיפים הבאים לקבלת תיאור של הגדרות המדיניות.

רמת אכיפה

תיאור ערך JSON ערך פורטל Defender
מפתח מסגרת אכיפה רמת אכיפה
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים disabled (ברירת מחדל)
audit
block		 לא נקבעה תצורה
לא זמין (ברירת מחדל)
ביקורת
חסימה

קביעת תצורה של בדיקת ICMP

קובע אם אירועי ICMP נמצאים בפיקוח ובסריקה.

הערה

תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.

תיאור ערך JSON ערך פורטל Defender
מפתח disableIcmpInspection לא זמין
סוג נתונים בוליאני לא רלוונטי
ערכים אפשריים true (ברירת מחדל)

false

 לא רלוונטי
תגובות/הערות זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך.

כדי להתחיל, אנו ממליצים על פרופיל התצורה הבא עבור הארגון שלך כדי לנצל את כל תכונות ההגנה שמספק Defender for Endpoint.

פרופיל התצורה הבא:

  • הפוך הגנה בזמן אמת (RTP) לזמינה
  • ציין כיצד מטפלים בסוגי האיומים הבאים:
    • יישומים שעלולים להיות בלתי רצויים (PUA) חסומים
    • פצצות ארכיון (קובץ עם קצב דחיסה גבוהה) מביקורות ליומני המוצרים
  • הפוך עדכוני בינת אבטחה אוטומטיים לזמינים
  • הפוך הגנה מבוססת ענן לזמינה
  • הפוך שליחת דוגמאות אוטומטית לזמינה ברמה safe

פרופיל לדוגמה

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

דוגמה לפרופיל תצורה מלא

פרופיל התצורה הבא מכיל ערכים עבור כל ההגדרות המתוארות במסמך זה, ובאפשרותך להשתמש בו עבור תרחישים מתקדמים יותר שבהם ברצונך לקבל שליטה נוספת על המוצר.

הערה

לא ניתן לשלוט בכל התקשורת של Microsoft Defender for Endpoint רק עם הגדרת Proxy ב- JSON זה.

פרופיל מלא

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "behaviorMonitoring": "enabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "exclusions":[
         {
            "$type":"excludedPath",
            "isDirectory":false,
            "path":"/var/log/system.log<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/run<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/home/*/git<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedFileExtension",
            "extension":".pdf<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedFileName",
            "name":"cat<EXAMPLE DO NOT USE>"
         }
      ],
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

הוספת תגית או מזהה קבוצה לפרופיל התצורה

בעת הפעלת הפקודה mdatp health בפעם הראשונה, הערך עבור התג ומזהה הקבוצה יהיה ריק. כדי להוסיף לקובץ תגית או מזהה קבוצה mdatp_managed.json , בצע את השלבים הבאים:

  1. פתח את פרופיל התצורה מהנתיב /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
  2. עבור אל החלק התחתון של הקובץ, שבו ממוקם cloudService הבלוק.
  3. הוסף את התג או מזהה הקבוצה הדרושים כדוגמה הבאה בסוף הסוגר המסולסל הסוגר עבור cloudService.
  },
  "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
},
"edr": {
  "groupIds":"GroupIdExample",
  "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
}

הערה

הוסף את פסיק אחרי הסוגר המסולסל הסוגר בסוף הבלוק cloudService . כמו כן, ודא שקיימים שני סוגריים מסולסלים סוגרים לאחר הוספת בלוק תגית או מזהה קבוצה (עיין בדוגמה לעיל). בשלב זה, שם המפתח הנתמך היחיד עבור תגיות הוא GROUP.

אימות פרופיל תצורה

פרופיל התצורה חייב להיות קובץ בתבנית JSON חוקי. קיימים כלים רבים שניתן להשתמש בהם כדי לאמת זאת. לדוגמה, אם python התקנת במכשיר שלך:

python -m json.tool mdatp_managed.json

אם ה- JSON במבנה תקין, הפקודה לעיל תפלט אותו בחזרה למסוף ותחזיר קוד יציאה של 0. אחרת, מוצגת שגיאה המתארת את הבעיה והפקודה מחזירה קוד יציאה של 1.

מוודא שהקובץ mdatp_managed.json פועל כצפוי

כדי לוודא ש- /etc/opt/microsoft/mdatp/managed/mdatp_managed.json פועל כראוי, אתה אמור לראות "[managed]" לצד הגדרות אלה:

  • cloud_enabled
  • cloud_automatic_sample_submission_consent
  • passive_mode_enabled
  • real_time_protection_enabled
  • automatic_definition_update_enabled

הערה

לא נדרשת הפעלה מחדש של mdatp Daemon כדי שהשינויים ברוב התצורות mdatp_managed.json ייכנסו לתוקף. חריגה: התצורות הבאות דורשות הפעלה מחדש של Daemon כדי להיכנס לתוקף:

  • אבחון ענן
  • פרמטרים של סיבוב יומן רישום

פריסת פרופיל תצורה

לאחר שתבנת את פרופיל התצורה עבור הארגון שלך, תוכל לפרוס אותו באמצעות כלי הניהול שבו הארגון שלך משתמש. Defender for Endpoint on Linux מקריא את התצורה המנוהלת מקובץ /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.