שתף באמצעות

קביעת תצורה של הגדרות אבטחה Microsoft Defender עבור נקודת קצה ב- Linux

  • חל על: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Microsoft Defender עבור נקודת קצה ב- Linux כולל אנטי-וירוס, הגנה למניעת תוכנות זדוניות, זיהוי נקודות קצה ויכולות תגובה. מאמר זה מסכם הגדרות אבטחה חשובות כדי לקבוע את תצורתן וכולל קישורים למשאבים אחרים.

הגדרות תיאור
1. קבע תצורה של גילוי Proxy סטטי. קביעת תצורה של Proxy סטטי עוזרת להבטיח שמדידת השימוש תישלח ותסייע במניעת זמן קצוב לרשת. בצע משימה זו במהלך ולאחר התקנת Defender for Endpoint.

לקבלת מידע נוסף, ראה קביעת תצורה Microsoft Defender עבור נקודת קצה ב- Linux לגילוי Proxy סטטי.
2. קבע את תצורת סריקות האנטי-וירוס שלך. באפשרותך לתזמן סריקות אנטי-וירוס אוטומטיות באמצעות Anacron או Crontab.

לקבלת מידע נוסף, עיין במאמרים הבאים:
3. קבע את תצורת הגדרות האבטחה ומדיניות האבטחה שלך. באפשרותך להשתמש בפורטל האבטחה של Microsoft Defender (Defender for Endpoint Security Settings Management) או בפרופיל תצורה (.jsonקובץ) כדי לקבוע את תצורת Defender for Endpoint ב- Linux. לחלופין, באפשרותך להשתמש בשורת הפקודה כדי לקבוע את התצורה של הגדרות מסוימות.

לקבלת מידע נוסף, עיין במאמרים הבאים:
4. קביעת תצורה ואימתה של אי-הכללות (לפי הצורך) באפשרותך לא לכלול קבצים, תיקיות, תהליכים וקבצים מסוימים שפתחת באמצעות Defender for Endpoint ב- Linux. אי-הכללות כלליות חלות על הגנה בזמן אמת (RTP), ניטור אופן פעולה (BM) וזיהוי ותגובה של נקודות קצה (EDR), ובכך מפסיקים את כל זיהויי האנטי-וירוס המשויכים, התראות EDR וניראות של הפריט שלא נכלל.

למידע נוסף, ראה קביעת תצורה ואימות של פריטים לא כלולים עבור Microsoft Defender עבור נקודת קצה ב- Linux.
5. קבע את תצורת חיישן מבוסס ה- eBPF. מסנן המנות המורחב של Berkeley (eBPF) עבור Microsoft Defender עבור נקודת קצה ב Linux 101.23082.0006 זמין באופן אוטומטי עבור כל הלקוחות כברירת מחדל עבור גירסאות סוכן ואילך. הוא מספק נתוני אירועים משלימים עבור Linux ההפעלה שלך, והוא מסייע בהפחתת האפשרות להתנגשויות בין יישומים.

לקבלת מידע נוסף, ראה שימוש בחיישנים מבוססי eBPF Microsoft Defender עבור נקודת קצה ב- Linux.
6. קביעת התצורה של עדכון בינת אבטחה לא מקוונת (לפי הצורך) עדכון בינת אבטחה לא מקוון מאפשר לך להגדיר עדכוני בינת Linux עבור שרתים בעלי חשיפה מוגבלת או ללא חשיפה לאינטרנט. באפשרותך להגדיר שרת אירוח מקומי ("שרת שיקוף") שניתן להתחבר לענן של Microsoft כדי להוריד את החתימות. נקודות Linux נוספות יכולות למשוך את העדכונים משרת המראות במרווח זמן מוגדר מראש.

לקבלת מידע נוסף, ראה קביעת התצורה של עדכון בינת אבטחה לא Microsoft Defender עבור נקודת קצה באתר Linux.
7. פרוס עדכונים. Microsoft מפרסמת באופן קבוע עדכוני תוכנה כדי לשפר את הביצועים, האבטחה ולספק תכונות חדשות.

לקבלת מידע נוסף, ראה פריסת עדכונים עבור Microsoft Defender עבור נקודת קצה ב- Linux.
8. קביעת תצורה של הגנת רשת (תצוגה מקדימה) הגנה על רשת עוזרת למנוע ממשתמשים להשתמש בכל יישום כדי לגשת לתחום מסוכן שעשוי לארח הונאות דיוג, ניצול לרעה ותוכן זדוני אחר באינטרנט.

לקבלת מידע נוסף, ראה הגנת רשת עבור Linux.

חשוב

אם ברצונך להפעיל פתרונות אבטחה מרובים זה לצד זה, ראה שיקולים עבור ביצועים, תצורה ותמיכה.

ייתכן שכבר הגדרת אי-הכללות של אבטחה הדדית עבור מכשירים שצורתם Microsoft Defender עבור נקודת קצה. אם עדיין עליך להגדיר אי-הכללה הדדית כדי להימנע מהתנגשויות, ראה הוספת Microsoft Defender עבור נקודת קצה לרשימת אי-ההכללה עבור הפתרון הקיים שלך.

אפשרויות לקביעת תצורה של הגדרות אבטחה

כדי לקבוע את תצורת הגדרות האבטחה ב- Defender for Endpoint ב- Linux, יש לך שתי אפשרויות עיקריות:

  • שימוש בפורטל Microsoft Defender (ניהול הגדרות אבטחה של נקודות קצה של Defender for Endpoint)

    או

  • שימוש בפרופיל תצורה

באפשרותך להשתמש בשורת הפקודה כדי לקבוע תצורה של הגדרות ספציפיות, לאסוף אבחון, להפעיל סריקות ועוד. לקבלת מידע נוסף, ראה Linux הבאים: קביעת תצורה באמצעות שורת הפקודה.

ניהול הגדרות אבטחה של Defender for Endpoint

באפשרותך לקבוע את התצורה של Defender for Endpoint ב- Linux בפורטל Microsoft Defender ב- (https://security.microsoft.com) באמצעות Defender for Endpoint Security Settings Management. לקבלת מידע נוסף, כולל אופן היצירה, העריכה והאמת של מדיניות אבטחה, ראה שימוש בניהול הגדרות Microsoft Defender עבור נקודת קצה אבטחה לניהול Microsoft Defender אנטי-וירוס.

פרופיל תצורה

באפשרותך לקבוע הגדרות ב- Defender for Endpoint Linux באמצעות פרופיל תצורה המשתמש בקובץ.json. לאחר שתגדיר את הפרופיל שלך, תוכל לפרוס אותו באמצעות כלי הניהול שתבחר. העדפות המנוהלות על-ידי הארגון מקבלות עדיפות על-פני העדפות הוגדרו באופן מקומי במכשיר.

במילים אחרות, משתמשים בארגון שלך אינם יכולים לשנות את ההעדפות הוגדרו באמצעות פרופיל תצורה זה. אם פריטים שאינם נכללים נוספו באמצעות פרופיל התצורה המנוהלת, ניתן להסיר אותם רק דרך פרופיל התצורה המנוהלת. שורת הפקודה פועלת עבור פריטים שאינם נכללים שנוספו באופן מקומי.

מאמר זה מתאר את המבנה של פרופיל זה (כולל פרופיל מומלץ שניתן להשתמש בו כדי להתחיל בעבודה) והוראות לפריסת הפרופיל.

מבנה פרופיל תצורה

פרופיל התצורה .json הוא קובץ המורכב מערכים המזוהים על-ידי מפתח (אשר מציין את שם ההעדפה), ולאחריו ערך, אשר תלוי באופי ההעדפה. ערכים יכולים להיות פשוטים (לדוגמה, ערך מספרי) או מורכבים (לדוגמה, רשימת העדפות מקוננת).

בדרך כלל, עליך להשתמש בכלי ניהול תצורה כדי לדחוף קובץ בשם mdatp_managed.json למיקום /etc/opt/microsoft/mdatp/managed/.

הרמה העליונה של פרופיל התצורה כוללת העדפות וערכים עבור אזורי משנה של המוצר, שמוסברים בפירוט רב יותר בסעיפים הבאים.

מקטע זה כולל שתי דוגמאות של פרופיל תצורה:

  • פרופיל לדוגמה שסייע לך להתחיל בעבודה עם ההגדרות המומלצות.
  • דוגמה לפרופיל תצורה מלא עבור ארגונים ה רוצים שליטה פרטנית יותר על הגדרות האבטחה.

כדי להתחיל, מומלץ להשתמש בפרופיל לדוגמה הראשון עבור הארגון שלך. לקבלת שליטה פרטנית יותר, באפשרותך להשתמש במקום זאת בדוגמה המלאה של פרופיל התצורה .

פרופיל לדוגמה

פרופיל התצורה הבא עוזר לך לנצל תכונות הגנה חשובות ב- Defender for Endpoint ב- Linux. הפרופיל כולל את התצורה הבאה:

  • הפוך הגנה בזמן אמת (RTP) לזמינה.
  • ציין כיצד מטפלים בסוגי האיומים הבאים:
    • יישומים שעלולים להיות בלתי רצויים (PUA) חסומים.
    • ארכיון (קובץ עם קצב דחיסה גבוה) מביקורת ליומני המוצר.
  • הפוך עדכוני בינת אבטחה אוטומטיים לזמינים.
  • הפוך הגנה מבוססת ענן לזמינה.
  • הפוך שליחת דוגמאות אוטומטית לזמינה safe ברמה.
{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}
דוגמה לפרופיל תצורה מלא

פרופיל התצורה הבא מכיל ערכים עבור כל ההגדרות המתוארות במאמר זה, ובאפשרותך להשתמש בו עבור תרחישים מתקדמים יותר שבהם אתה מעוניין בשליטה נוספת.

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":true,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefinitionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"disabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

הגדרות אנטי-וירוס, נגד תוכנות זדוניות ו- EDR ב- Defender for Endpoint Linux

בין אם אתה משתמש בפרופיל תצורה (קובץ .json) או בפורטל Microsoft Defender (ניהול הגדרות אבטחה), באפשרותך לקבוע את תצורת ההגדרות של אנטי-וירוס, נגד תוכנות זדוניות ו- EDR ב- Defender for Endpoint ב- Linux. הסעיפים הבאים מתארים היכן וכיצד לקבוע את תצורת ההגדרות שלך.

העדפות מנוע אנטי-וירוס

המקטע antivirusEngine של פרופיל התצורה מנהל את ההעדפות של רכיב האנטי-וירוס של המוצר.

תיאור ערך JSON ערך פורטל Defender
מפתח antivirusEngine מנוע אנטי-וירוס
סוג נתונים מילון (העדפה מקוננת) מקטע מכווץ

עיין בסעיףי המשנה הבאים לקבלת תיאור של תוכן המילון וממאפיינים של מדיניות.

רמת האכיפה עבור אנטי Microsoft Defender וירוס

מציין את העדפת האכיפה של מנגנון האנטי-וירוס. קיימים שלושה ערכים להגדרת רמת האכיפה:

  • (): הגנהreal_time בזמן אמת (סריקת קבצים בעת שינוי הקבצים) זמינה.

  • לפי דרישה (on_demand): Files סרוקים לפי דרישה בלבד:

    • ההגנה בזמן אמת כבויה.
    • עדכוני הגדרות מתרחשים רק בעת הפעלת סריקה, גם automaticDefinitionUpdateEnabled אם היא מוגדרת true למצב לפי דרישה.

  • פאסיבי (passive): מפעיל את מנוע האנטי-וירוס במצב פאסיבי:

    • ההגנה בזמן אמת כבויה. Microsoft Defender האנטי-וירוס אינו מעדכן איומים.
    • סריקה לפי דרישה מופעלת. יכולות הסריקה עדיין זמינות במכשיר.
    • תיקון איומים אוטומטי כבוי. לא מועברים קבצים ומנהל האבטחה שלך צפוי לבצע פעולה נדרשת.
    • עדכוני בינת אבטחה מופעלים. התראות זמינות בארגון של מנהל האבטחה.
    • עדכוני הגדרה מתרחשים רק בעת הפעלת סריקה, גם אם automaticDefinitionUpdateEnabled היא מוגדרת ל- true.
    • זיהוי נקודת קצה ותגובה (EDR) מופעלים. פלט הפקודה mdatp health במכשיר מוצג עבור engine not loaded המאפיין engine_load_version . המנוע קשור אנטי-וירוס, לא EDR.

הערה

  • זמין בגירסת Defender for Endpoint 101.10.72 ואילך.
  • בגירסה 101.23062.0001 ואילך, ערך ברירת המחדל הוא passive. בגירסאות קודמות, ברירת המחדל היתה real_time.
  • כמו כן, מומלץ להשתמש סריקות מתוזמנות לפי דרישה.

הפיכת ניטור אופן פעולה לזמין או ללא זמין (אם RTP זמין)

חשוב

תכונה זו פועלת רק כאשר רמת האכיפה היא real-time.

מציין אם יכולת הניטור והחסימה של אופן הפעולה זמינה או לא זמינה במכשיר.

תיאור ערך JSON ערך פורטל Defender
מפתח התנהגותמניווט הפוך ניטור אופן פעולה לזמין
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים disabled (ברירת מחדל)
enabled		 לא נקבעה תצורה
לא זמין (ברירת מחדל)
מופעלת

הערה

זמין בגירסת Defender for Endpoint 101.45.00 ואילך.

הפעל סריקה לאחר עדכון ההגדרות

חשוב

תכונה זו פועלת רק כאשר רמת האכיפה מוגדרת ל- real-time.

מציין אם להפעיל סריקת תהליך לאחר הורדת עדכונים חדשים של בינת אבטחה במכשיר. הפיכת הגדרה זו לזמינה מפעילה סריקת אנטי-וירוס בתהליכים הפועלים של המכשיר.

תיאור ערך JSON ערך פורטל Defender
מפתח scanAfterDefinitionUpdate הפוך סריקה לזמינה לאחר עדכון הגדרה
סוג נתונים בוליאני רשימה נפתחת
ערכים אפשריים true (ברירת מחדל)
false		 Not configured
Disabled
Enabled (ברירת מחדל)

הערה

זמין בגירסת Defender for Endpoint 101.45.00 ואילך.

סרוק ארכיונים (סריקות אנטי-וירוס לפי דרישה בלבד)

מציין אם לסרוק ארכיונים במהלך סריקות אנטי-וירוס לפי דרישה.

תיאור ערך JSON ערך פורטל Defender
מפתח scanArchives אפשר סריקה של ארכיונים
סוג נתונים בוליאני רשימה נפתחת
ערכים אפשריים true (ברירת מחדל)
false		 לא נקבעה תצורה
לא זמין
זמין (ברירת מחדל)

הערה

  • זמין בגירסה Microsoft Defender עבור נקודת קצה 101.45.00 ואילך.
  • ארכיון קבצים לא נסרקים אף פעם במהלך RTP. Files בארכיון נסרקים לאחר חילוץ. האפשרות scanArchives כופה סריקה בארכיון במהלך סריקות לפי דרישה בלבד.

מידת מקביליות לסריקה לפי דרישה

מציין את מידת המקבילות לסריקה לפי דרישה. הגדרה זו תואמת למספר הליכי המשנה של המעבד המשמשים את הסריקה. הגדרה זו משפיעה על השימוש ב- CPU ועל משך הסריקות לפי דרישה.

תיאור ערך JSON ערך פורטל Defender
מפתח maximumOnDemandScanThreads מספר מרבי של שרשורי סריקה לפי דרישה
סוג נתונים מספר שלם החלף מצב & מספר שלם
ערכים אפשריים 2 (ברירת מחדל). ערכים מותרים הם מספרים שלמים בין ל 1 - 64. Not Configured (הלחצן הדו-מצבי ברירת מחדל מבוטל ל- 2)
Configured (דו-מצבי פעיל) ואת המספר השלם בין ל 1 - 64.

הערה

זמין בגירסה Microsoft Defender עבור נקודת קצה 101.45.00 ואילך.

מדיניות מיזוג אי-הכללה

הערה

אנו ממליצים לקבוע תצורה של פריטים שאינם נכללים ומדיניות המיזוג ב- exclusionSettings. גישה זו מאפשרת לך להגדיר ולהגדיר eppglobal אי-הכללות בטווח עם פריט יחיד mergePolicy. ההגדרות בסעיף זה חלות רק על פריטים שאינם epp נכללים אלא אם מדיניות המיזוג היא exclusionSettingsadmin_only.

מציין אם להשתמש בפריטים שאינם נכללים על-ידי המשתמש במכשיר. ערכים חוקיים הם:

  • admin_only: השתמש רק בפריטים שאינם נכללים המוגדרים על-ידי מנהל מערכת המוגדרים על-ידי מדיניות Defender for Endpoint. השתמש בערך זה כדי למנוע ממשתמשים להגדיר פריטים שאינם נכללים בעצמם.
  • merge: השתמש בשילוב של אי-הכללות המוגדרות על-ידי מנהל מערכת ופריטים שאינם מוגדרים על-ידי המשתמש.
תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח exclusionsMergePolicy מיזוג פריטים שאינם נכללים
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים merge (ברירת מחדל)
admin_only		 Not configured
merge (ברירת מחדל)
admin_only

הערה

זמין בגירסת Defender for Endpoint 100.83.73 ואילך.

פריטים שאינם נכללים בסריקה

ישויות שלא נכללו הסריקות. ציין אי-הכללות כמערך של פריטים. מנהלי מערכת יכולים לציין רכיבים רבים ככל הנדרש, בכל סדר. ציין אי-הכללות באמצעות נתיבים, סיומות או שמות קבצים מלאים.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח exclusions פריטים שאינם נכללים בסריקה
סוג נתונים מילון (העדפה מקוננת) רשימת מאפיינים דינאמיים

עיין בסעיףי המשנה הבאים לקבלת תיאור של תוכן המילון.

סוג אי הכללה

מציין את סוג התוכן שלא נכלל בסריקה.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח $type סוג
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים excludedPath
excludedFileExtension
excludedFileName		 נתיב
סיומת קובץ
שם תהליך

נתיב לתוכן שלא נכלל

אל תכלול תוכן בסריקה באמצעות נתיב קובץ מלא.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח נתיב נתיב
סוג נתונים מחרוזת מחרוזת
ערכים אפשריים נתיבים חוקיים נתיבים חוקיים
תגובות/הערות ישים רק אם $type הוא excludedPath המערכת ניגשה בחלון המוקפץ 'ערוך מופע'

סוג נתיב (קובץ / ספריה)

מציין אם מאפיין הנתיב מפנה לקובץ או למדריך כתובות.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח isDirectory הוא ספריה
סוג נתונים בוליאני רשימה נפתחת
ערכים אפשריים false (ברירת מחדל)
true		 Enabled
Disabled
תגובות/הערות ישים רק אם $type הוא excludedPath המערכת ניגשה בחלון המוקפץ 'ערוך מופע'

סיומת הקובץ לא נכללה הסריקה

אל תכלול תוכן בסריקה באמצעות סיומת הקובץ.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח סיומת סיומת קובץ
סוג נתונים מחרוזת מחרוזת
ערכים אפשריים סיומות קובץ חוקיות סיומות קובץ חוקיות
תגובות/הערות ישים רק אם $type הוא excludedFileExtension המערכת ניגשה בחלון המוקפץ 'קביעת תצורה של מופע'

תהליך שלא נכלל מהסרוקה

מציין תהליך שעבורו כל פעילות הקבצים אינה נכללת בסריקה. באפשרותך לציין את התהליך לפי שם (לדוגמה, cat) או נתיב מלא (לדוגמה, /bin/cat).

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח שם שם קובץ
סוג נתונים מחרוזת מחרוזת
ערכים אפשריים מחרוזת כלשהי מחרוזת כלשהי
תגובות/הערות ישים רק אם $type הוא excludedFileName המערכת ניגשה בחלון המוקפץ 'קביעת תצורה של מופע'

הרכבה ללאxec מושתקת

מציין את אופן הפעולה של RTP בנקודות טעינה המסומנות כ- noexec. ערכים חוקיים הם:

  • בוטלה ההשתקה (unmute): כל נקודות הטעינה נסרקים כחלק מ- RTP. ערך זה הוא ברירת המחדל.
  • מושתק (): נקודותmute טעינה המסומנות כאינן noexec סרוקות כחלק מ- RTP.
    • שרתי מסדי נתונים יכולים לשמור קובץ מסד נתונים.
    • שרתי קבצים יכולים לשמור נקודות טעינה של קבצי נתונים.
    • הגיבוי יכול לשמור נקודות טעינה של קבצי נתונים.
תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח nonExecMountPolicy non execute mount mute
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים unmute (ברירת מחדל)
mute		 Not configured
unmute (ברירת מחדל)
mute

הערה

זמין בגירסת Defender for Endpoint 101.85.27 ואילך.

מערכות קבצים לא מוגפות

מציין את מערכות הקבצים שאינן נטרות על-ידי RTP (לא נכללו ממנו). מערכות הקבצים שצוינו עדיין נסרקו באמצעות סריקה מהירה, מלאה וסריקה מותאמת אישית ב- Microsoft Defender אנטי-וירוס.

בעת הוספה או הסרה של מערכת קבצים מהרשימה שאינה מנוטרת, Microsoft מאמתת את זכאותך של מערכת הקבצים לניטור על-ידי RTP (הוסר מהרשימה) או אינה מבצעת ניטור על-ידי RTP (נוסף לרשימה).

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח unmonitoredFilesystems מערכות קבצים שאינה מנוטרת
סוג נתונים מערך של מחרוזות רשימת מחרוזות דינאמיות

  • כברירת מחדל, RTP עוקב אחר מערכות הקבצים הבאות:

    • btrfs
    • ecryptfs
    • ext2
    • ext3
    • ext4
    • fuseblk
    • jfs
    • overlay
    • ramfs
    • reiserfs
    • tmpfs
    • vfat
    • xfs

  • כברירת מחדל, RTP אינו מנוטר על-ידי מערכות הקבצים הבאות:

    • cifs*
    • fuse
    • nfs
    • nfs4*
    • smb*

    מערכות קבצים אלה גם ניתחו על-ידי סריקות מהירות ותצוגות מלאות, אך הן ניתנות לסריקה באמצעות סריקות מותאמות אישית.

    * בשלב זה, ניטור RTP של מערכת קבצים זו נמצא בגירסת Preview.

לדוגמה, כדי להסיר ולהסיר מרשימת מערכות הקבצים הלא מנוטרות (nfsnfs4 כלומר, nfsnfs4 RTP מנוטר לאחר האימות), עדכן את קובץ התצורה המנוהלת בערך הבא:

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["cifs","fuse","smb"]
  }
}

כדי להסיר את כל הערכים מרשימת מערכות הקבצים הלא מנוטרות, השתמש בערך הבא:

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

קביעת תצורה של תכונת חישוב Hash של קובץ

הופך חישוב Hash של קבצים לזמין או ללא זמין עבור קבצים שנסרקו על-ידי Defender for Endpoint. הפעלת תכונה זו עשויה להשפיע על ביצועי המכשיר. לקבלת מידע נוסף, ראה יצירת מחוונים עבור קבצים.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח enableFileHashComputation הפוך חישוב Hash של קובץ לזמין
סוג נתונים בוליאני רשימה נפתחת
ערכים אפשריים false (ברירת מחדל)
true		 Not configured
Disabled (ברירת מחדל)
Enabled

הערה

זמין בגירסת Defender for Endpoint 101.85.27 ואילך.

איומים מותרים

מציין את שמות האיומים שאינם חסומים על-ידי Defender for Endpoint. במקום זאת, איומים אלה מורשים לפעול.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח allowedThreats איומים מותרים
סוג נתונים מערך של מחרוזות רשימת מחרוזות דינאמיות

פעולות איומים אסורות

הגבלת הפעולות המותרות על-ידי משתמש המכשיר כאשר זוהו איומים. הפעולות הכלולות ברשימה זו אינן מוצגות בממשק המשתמש.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח disallowedThreatActions פעולות איומים אסורות
סוג נתונים מערך של מחרוזות רשימת מחרוזות דינאמיות
ערכים אפשריים allow (מגבילה את המשתמשים לאפשר איומים)
restore (מגבילה את האפשרות של משתמשים לשחזר איומים מהסגר)		 allow (מגבילה את המשתמשים לאפשר איומים)
restore (מגבילה את האפשרות של משתמשים לשחזר איומים מהסגר)

הערה

זמין בגירסת Defender for Endpoint 100.83.73 ואילך.

הגדרות סוג איום

שלוט באופן שבו סוגי איומים מסוימים מטופלים.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח threatTypeSettings הגדרות סוג איום
סוג נתונים מילון (העדפה מקוננת) רשימת מאפיינים דינאמיים

עיין בסעיףי המשנה הבאים לקבלת תיאור של תוכן המילון.

סוג איום

מציין את סוג האיום.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח מפתח סוג איום
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים potentially_unwanted_application
archive_bomb		 potentially_unwanted_application
archive_bomb

פעולה שיש לבצע

מציין את הפעולה כאשר סוגי האיומים שצוינו קודם לכן מזוהים. ערכים חוקיים הם:

  • ביקורת: המכשיר אינו מוגן מפני איום מסוג זה, אך נרשם רישום של ערך לגבי האיום. ערך זה הוא ברירת המחדל.
  • בלוק: המכשיר מוגן מפני איום מסוג זה ואתה תקבל הודעה בפורטל Microsoft Defender שלך.
  • כבוי: המכשיר אינו מוגן מפני איום מסוג זה ושום דבר לא נרשם.
תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח ערך פעולה שיש לבצע
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים audit (ברירת מחדל)
block
off		 audit
block
כבוי

מדיניות מיזוג הגדרות של סוג איום

מציין אם להשתמש בהגדרות סוג איום המוגדרות על-ידי המשתמש במכשיר. ערכים חוקיים הם:

  • admin_only: השתמש רק בהגדרות סוג איום המוגדרות על-ידי מנהל מערכת. השתמש בערך זה כדי למנוע ממשתמשים להגדיר את הגדרות סוג האיום שלהם.
  • merge: השתמש בשילוב של הגדרות סוג איום המוגדרות על-ידי מנהל מערכת והגדרות סוג איום המוגדרות על-ידי המשתמש.
תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח threatTypeSettingsMergePolicy מיזוג הגדרות סוג איום
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים merge (ברירת מחדל)
admin_only		 Not configured
merge (ברירת מחדל)
admin_only

הערה

זמין בגירסת Defender for Endpoint 100.83.73 ואילך.

שמירת היסטוריה של סריקת אנטי-וירוס (בימים)

ציין את מספר הימים לשמירה של התוצאות בהיסטוריית הסריקה במכשיר. תוצאות הסריקה הקודמות מוסרות מההיסטוריה. קבצים ישנים בהסגר מוסרים גם הם מהדיסק.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח scanResultsRetentionDays שמירת תוצאות סריקה
סוג נתונים מחרוזת מתג דו-מצבי ומספר שלם
ערכים אפשריים 90 (ברירת מחדל). ערכים חוקיים הם 1 עד 180 ימים. Not configured (החלף מצב כבוי; ברירת מחדל של 90 יום)

Configured (דו-מצבי מופעל) והערך המותר הוא 1 עד 180 ימים.

הערה

זמין בגירסת Defender for Endpoint 101.04.76 ואילך.

מספר מרבי של פריטים בהיסטוריית סריקת האנטי-וירוס

ציין את מספר הערכים המרבי לשמירה בהיסטוריית הסריקה. הערכים כוללים את כל הסריקות לפי דרישה ואת כל זיהויי האנטי-וירוס.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח scanHistoryMaximumItems גודל היסטוריית סריקה
סוג נתונים מחרוזת החלף מצב למספר שלם
ערכים אפשריים 10000 (ברירת מחדל). הערכים המותרים הם מפריטים 5000 לפריטים 15000 . לא נקבעה תצורה (כיבוי דו-מצבי - 10000 ברירת מחדל)
Configured (דו-מצבי מופעל) וערך מותר בין 5000 ל- 15,000 פריטים.

הערה

זמין בגירסת Defender for Endpoint 101.04.76 ואילך.

העדפות הגדרת אי הכללה

הערה

אי-הכללות כלליות זמינות בגירסת נקודת הקצה של Defender for 101.24092.0001 ואילך.

המקטע exclusionSettings של פרופיל התצורה קובע תצורה של אי-הכללות שונות עבור Microsoft Defender עבור נקודת קצה עבור Linux.

תיאור ערך JSON
מפתח exclusionSettings
סוג נתונים מילון (העדפה מקוננת)

עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון.|

הערה

  • אי-הכללות אנטי-וירוס שתצורתן נקבעה בעבר במקטע antivirusEngine ב- JSON מנוהל ימשיכו לפעול.
  • באפשרותך לציין אי-הכללות של אנטי-וירוס במקטע זה או antivirusEngineבמקטע ) . עליך להוסיף את כל סוגי אי-ההכללה האחרים במקטע זה, exclusionSettings מכיוון שהסעיף מיועד לארח באופן מרכזי את כל סוגי ההכללה.

מיזוג מדיניות

מדיניות מיזוג אי-הכללה

מציין אם להשתמש בפריטים שאינם נכללים על-ידי המשתמש במכשיר. ערכים חוקיים הם:

  • admin_only: השתמש רק בפריטים שאינם נכללים המוגדרים על-ידי מנהל מערכת המוגדרים על-ידי מדיניות Defender for Endpoint. השתמש בערך זה כדי למנוע ממשתמשים להגדיר פריטים שאינם נכללים בעצמם.
  • merge: השתמש בשילוב של אי-הכללות המוגדרות על-ידי מנהל מערכת ופריטים שאינם מוגדרים על-ידי המשתמש.

הגדרה זו חלה על אי-הכללות של כל הטווחים.

תיאור ערך JSON
מפתח mergePolicy
סוג נתונים מחרוזת
ערכים אפשריים merge (ברירת מחדל)
admin_only

הערה

זמין ב- Defender for Endpoint גירסה בספטמבר 2023 ואילך.

פריטים לא כלולים

ישויות שלא נכללו הסריקות. ציין אי-הכללות כמערך של פריטים. מנהלי מערכת יכולים לציין רכיבים רבים ככל הנדרש, בכל סדר. ציין אי-הכללות באמצעות נתיבים, סיומות או שמות קבצים מלאים. עבור כל אי הכללה, באפשרותך לציין טווח. טווח ברירת המחדל הוא כללי.

תיאור ערך JSON
מפתח exclusions
סוג נתונים מילון (העדפה מקוננת)

עיין בסעיףי המשנה הבאים לקבלת תיאור של תוכן המילון.

סוג אי הכללה

מציין את סוג התוכן שלא נכלל בסריקה.

תיאור ערך JSON
מפתח $type
סוג נתונים מחרוזת
ערכים אפשריים excludedPath
excludedFileExtension
excludedFileName

טווח אי-הכללה (אופציונלי)

מציין את טווח אי-ההכללה של תוכן שלא נכלל. ערכים חוקיים הם:

  • epp
  • global

אם לא תציין טווח אי-הכללה בתצורה מנוהלת, נעשה global שימוש בערך.

הערה

אי-הכללות של אנטי-וירוס שתצורתן antivirusEngine נקבעה בעבר תחת JSON epp מנוהל ימשיכו לפעול עם הטווח מכיוון שהיו antivirusEngine במקטע.

תיאור ערך JSON
מפתח טווחי
סוג נתונים קבוצת מחרוזות
ערכים אפשריים epp
global

הערה

אי הכללות שהוחלו בעבר באמצעות (mdatp_managed.json) או על-ידי CLI לא יושפעו. הטווח עבור פריטים שאינם נכללים אלה epp הוא מכיוון שהם היו antivirusEngine במקטע.

נתיב לתוכן שלא נכלל

אל תכלול תוכן בסריקה באמצעות נתיב קובץ מלא.

תיאור ערך JSON
מפתח נתיב
סוג נתונים מחרוזת
ערכים אפשריים נתיבים חוקיים
תגובות/הערות ישים רק אם $typeלא כלול ב-Path.
תווים כלליים אינם נתמכים אם לפריטים שאינם נכללים יש טווח כללי.

סוג נתיב (קובץ / ספריה)

מציין אם מאפיין הנתיב מפנה לקובץ או למדריך כתובות.

הערה

נתיב הקובץ חייב להיות קיים כבר אם אתה מוסיף קובץ שלא ייכלל בטווח global .

תיאור ערך JSON
מפתח isDirectory
סוג נתונים בוליאני
ערכים אפשריים false (ברירת מחדל)
true
תגובות/הערות ישים רק אם $typeלא כלול ב-Path.
תווים כלליים אינם נתמכים אם לפריטים שאינם נכללים יש טווח כללי.

סיומת הקובץ לא נכללה הסריקה

אל תכלול תוכן בסריקה לפי סיומת קובץ.

תיאור ערך JSON
מפתח סיומת
סוג נתונים מחרוזת
ערכים אפשריים סיומות קובץ חוקיות
תגובות/הערות ישים רק אם $typeלא כוללFileExtension.
אין תמיכה אם לפריטים שאינם נכללים יש טווח כללי.

תהליך שלא נכלל מהסרוקה

אל תכלול את כל פעילות הקבצים בתהליך בסריקה. ערכים חוקיים הם:

  • שם תהליך. לדוגמה: cat
  • נתיב מלא. לדוגמה: /bin/cat
תיאור ערך JSON
מפתח שם
סוג נתונים מחרוזת
ערכים אפשריים מחרוזת כלשהי
תגובות/הערות ישים רק אם $typeלא כוללFileName.
תווים כלליים ושמות בתהליך אינם נתמכים אם לפריטים שאינם נכללים יש טווח כללי.
עליך לספק את הנתיב המלא.

אפשרויות סריקה מתקדמות

באפשרותך לקבוע את התצורה של ההגדרות הבאות כדי לאפשר תכונות סריקה מתקדמות מסוימות.

חשוב

הפיכת תכונות אלה לזמינות עשויה להשפיע על ביצועי המכשיר. אנו ממליצים על ערכי ברירת המחדל, אלא אם המומלץ אחרת על-ידי התמיכה של Microsoft.

קביעת תצורה של סריקה של אירועי הרשאות שינוי קובץ

מציין אם Defender for Endpoint סורק קבצים כאשר ההרשאות שלהם השתנו כדי להגדיר את הסיביות שבוצעו.

הערה

להגדרה זו יש משמעות רק כאשר enableFilePermissionEvents היא זמינה. לקבלת מידע נוסף, עיין בסעיף תכונות אופציונליות מתקדמות בהמשך מאמר זה.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח scanFileModifyPermissions לא זמין
סוג נתונים בוליאני לא רלוונטי
ערכים אפשריים false (ברירת מחדל)
true		 לא רלוונטי

הערה

זמין בגירסת Defender for Endpoint 101.23062.0010 ואילך.

קביעת תצורה של סריקה של אירועי שינוי בעלות על קובץ

מציין אם Defender for Endpoint סורק קבצים עם בעלות שהשתנתה.

הערה

להגדרה זו יש משמעות רק כאשר enableFileOwnershipEvents היא זמינה. לקבלת מידע נוסף, עיין בסעיף תכונות אופציונליות מתקדמות בהמשך מאמר זה.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח scanFileModifyOwnership לא זמין
סוג נתונים בוליאני לא רלוונטי
ערכים אפשריים false (ברירת מחדל)
true		 לא רלוונטי

הערה

זמין בגירסת Defender for Endpoint 101.23062.0010 ואילך.

קביעת תצורה של סריקה של אירועי Socket גולמיים

מציין אם Defender for Endpoint סורק אירועי שקע רשת. לדוגמה:

  • יוצר שקעים גולמיים /שקעי מנות.
  • הגדרת אפשרויות שקע.

הערה

  • להגדרה זו יש משמעות רק כאשר ניטור אופן הפעולה זמין.
  • להגדרה זו יש משמעות רק כאשר enableRawSocketEvent היא זמינה. לקבלת מידע נוסף, עיין בסעיף תכונות אופציונליות מתקדמות בהמשך מאמר זה.
תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח scanNetworkSocketEvent לא זמין
סוג נתונים בוליאני לא רלוונטי
ערכים אפשריים false (ברירת מחדל)
true		 לא רלוונטי

הערה

זמין בגירסת Defender for Endpoint 101.23062.0010 ואילך.

העדפות הגנה מבוססות ענן

הערך cloudService בפרופיל התצורה קובע את התצורה של תכונת ההגנה מונחית הענן.

הערה

הגנה מבוססת ענן ישימה בכל הגדרות רמת האכיפה (real_time, on_demandאו passive).

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח cloudService העדפות הגנה מבוססות ענן
סוג נתונים מילון (העדפה מקוננת) מקטע מכווץ

עיין בסעיףי המשנה הבאים לקבלת תיאור של תוכן המילון והגדרות המדיניות.

הפיכת הגנה מבוססת ענן לזמינה או ללא זמינה

ציין אם הגנה מבוססת ענן זמינה במכשיר. כדי לשפר את האבטחה, מומלץ להפעיל תכונה זו.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח enabled הפוך הגנה מבוססת ענן לזמינה
סוג נתונים בוליאני רשימה נפתחת
ערכים אפשריים true (ברירת מחדל)
false		 לא נקבעה תצורה
לא זמין
זמין (ברירת מחדל)

רמת איסוף אבחון

ציין את רמת מידע האבחון שנשלח ל- Microsoft. לקבלת מידע נוסף, ראה פרטיות Microsoft Defender עבור נקודת קצה ב- Linux.

נתוני אבחון משמשים כדי לשמור על Defender for Endpoint מאובטח ומתעדכן, לזהות, לאבחן ולפתור בעיות, וגם כדי לבצע שיפורים במוצר.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח diagnosticLevel רמת איסוף נתוני אבחון
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים optional
required (ברירת מחדל)		 Not configured
optional (ברירת מחדל)
required

קביעת תצורה של רמת חסימת ענן

ציין את האגרסיביות של Defender for Endpoint בחסימה וסריקה של קבצים חשודים. ערכים חוקיים הם:

  • רגיל (normal): הערך הוא ברירת המחדל.
  • מתון (moderate): ספק גזרי דין רק לזיהויים בעלי רמת מהימנות גבוהה.
  • גבוהה (high): חסימה אגרסיבית של קבצים לא ידועים בעת מיטוב עבור ביצועים. לערך זה יש סיכוי גדול יותר לחסום קבצים לא מזיקים.
  • High Plus (high_plus): חסום באופן אגרסיבי קבצים לא ידועים והחל אמצעי הגנה נוספים. ערך זה עשוי להשפיע על ביצועי התקן הלקוח.
  • עמידות אפסית (zero_tolerance): חסום את כל התוכניות הלא ידועות.

אם הגדרה זו מופעלת, Defender for Endpoint הוא אגרסיבי יותר בעת זיהוי קבצים חשודים שיש לחסום ולסרוק. אחרת, הוא פחות אגרסיבי ולכן חוסם וסריקה בתדירות נמוכה יותר.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח cloudBlockLevel קביעת תצורה של רמת חסימת ענן
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים normal (ברירת מחדל)
moderate
high
high_plus
zero_tolerance		 Not configured
Normal (ברירת מחדל)
Moderate
High
High_Plus
Zero_Tolerance

הערה

זמין בגירסת Defender for Endpoint 101.56.62 ואילך.

הפיכת שליחת דוגמאות אוטומטית לזמינה או ללא זמינה

מציין אם דוגמאות חשודות (עשויות להכיל איומים) נשלחות אל Microsoft. ערכים חוקיים הם:

  • ללא: לא נשלחו דוגמאות חשודות ל- Microsoft.
  • בטוח: רק דוגמאות חשודות שאינן מכילות מידע אישי נשלחות באופן אוטומטי. ערך זה הוא ברירת המחדל.
  • הכל: כל הדוגמאות החשודות נשלחות ל- Microsoft.
תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח automaticSampleSubmissionConsent הפוך שליחת דוגמאות אוטומטית לזמינה
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים none
safe (ברירת מחדל)
all		 Not configured
None
Safe (ברירת מחדל)
All

הפיכת עדכוני בינת אבטחה אוטומטיים לזמינים או ללא זמינים

מציין אם עדכוני בינת אבטחה מותקנים באופן אוטומטי.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח automaticDefinitionUpdateEnabled עדכוני בינת אבטחה אוטומטיים
סוג נתונים בוליאני רשימה נפתחת
ערכים אפשריים true (ברירת מחדל)
false		 Not configured
Disabled
Enabled (ברירת מחדל)

בהתאם לרמת האכיפה, עדכוני בינת האבטחה האוטומטית מותקנים באופן שונה. במצב RTP, עדכונים מותקנים מעת לעת. במצב פאסיבי או לפי דרישה, עדכונים מותקנים לפני כל סריקה.

תכונות אופציונליות מתקדמות

השתמש בהגדרות הבאות כדי להפוך תכונות אופציונליות מתקדמות מסוימות לזמינות.

חשוב

הפיכת תכונות אלה לזמינות עשויה להשפיע על ביצועי המכשיר. אנו ממליצים על ערכי ברירת המחדל, אלא אם כן התמיכה של Microsoft ממליצה אחרת.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח תכונות לא זמין
סוג נתונים מילון (העדפה מקוננת) לא רלוונטי

עיין בסעיףי המשנה הבאים לקבלת תיאור של תוכן המילון.

תכונת טעינת מודול

מציין אם אירועי טעינת מודול (אירועי פתיחת קובץ בספריות משותפות) נמצאים בפיקוח.

הערה

להגדרה זו יש משמעות רק כאשר ניטור אופן הפעולה זמין.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח moduleLoad לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים disabled (ברירת מחדל)
enabled		 לא רלוונטי

הערה

זמין בגירסת Defender for Endpoint 101.68.80 ואילך.

תכונת 'תיקון קובץ נגוע'

מציין אם תהליכים נגועים הפתוחים או נטענים קבצים נגועים מקבלים תיקון במצב RTP.

הערה

תהליכים אלה אינם מופיעים ברשימת האיומים משום שהם אינם זדוניים. התהליכים מופסקים רק מכיוון שהם טעון את קובץ האיומים בזיכרון.

תיאור ערך JSON ערך פורטל Defender
מפתח remediateInfectedFile לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים לא זמין (ברירת מחדל)
מופעלת		 לא רלוונטי

הערה

זמין בגירסת Defender for Endpoint 101.24122.0001 ואילך.

תצורות חיישנים משלימות

השתמש בהגדרות הבאות כדי לקבוע את התצורה של תכונות מסוימות של חיישן משלים מתקדם.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח supplementarySensorConfigurations לא זמין
סוג נתונים מילון (העדפה מקוננת) לא רלוונטי

עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון.

קביעת תצורה של ניטור אירועי הרשאות שינוי קובץ

מציין אם אירועי הרשאות שינוי קובץ (chmod) נמצאים בפיקוח.

הערה

כאשר תכונה זו זמינה, Defender for Endpoint מנטר שינויים בסיביות הקבצים שבוצעו, אך אינו סורק אירועים אלה. לקבלת מידע נוסף, עיין בסעיף תכונות סריקה מתקדמות.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח enableFilePermissionEvents לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים disabled (ברירת מחדל)
enabled		 לא רלוונטי

הערה

זמין בגירסת Defender for Endpoint 101.23062.0010 ואילך.

קביעת תצורה של ניטור אירועי שינוי בעלות על קבצים

מציין אם אירועי בעלות על שינוי קובץ (chown) נמצאים בפיקוח.

הערה

כאשר תכונה זו זמינה, Defender for Endpoint מנטר את השינויים בבעלות על קבצים, אך אינו סורק אירועים אלה. לקבלת מידע נוסף, עיין בתכונות הסריקה המתקדמות.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח enableFileOwnershipEvents לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים disabled (ברירת מחדל)
enabled		 לא רלוונטי

הערה

זמין בגירסת Defender for Endpoint 101.23062.0010 ואילך.

קביעת תצורה של ניטור אירועי Socket גולמיים

מציין אם נעשה ניטור של אירועי שקע רשת הכוללים יצירה של שקעים גולמיים/שקעי מנות, או הגדרת אפשרות Socket.

הערה

  • תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.
  • כאשר תכונה זו זמינה, Defender for Endpoint מנטר אירועים אלה של שקע רשת, אך אינו סורק אירועים אלה. לקבלת מידע נוסף, ראה סעיף תכונות סריקה מתקדמות.
תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח enableRawSocketEvent לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים disabled (ברירת מחדל)
enabled		 לא רלוונטי

הערה

זמין בגירסת Defender for Endpoint 101.23062.0010 ואילך.|

קביעת תצורה של ניטור של אירועי טוען האתחול

מציין אם מנטרים ונסרקים אירועים של טוען האתחול.

הערה

להגדרה זו יש משמעות רק כאשר ניטור אופן הפעולה זמין.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח enableBootLoaderCalls לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים disabled (ברירת מחדל)
enabled		 לא רלוונטי

הערה

זמין בגירסת Defender for Endpoint 101.68.80 ואילך.

קביעת תצורה של ניטור אירועי ptrace

מציין אם מנטרים ונסרקים אירועי ptrace.

הערה

תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח enableProcessCalls לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים disabled (ברירת מחדל)
enabled		 לא רלוונטי

הערה

זמין בגירסת Defender for Endpoint 101.68.80 ואילך.

קביעת תצורה של ניטור של אירועי מדומה

מציין אם אירועי מדומה מנווטרים ונסרקים.

הערה

תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח enablePseudofsCalls לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים disabled (ברירת מחדל)
enabled		 לא רלוונטי

הערה

זמין בגירסת Defender for Endpoint 101.68.80 ואילך.

קביעת תצורה של ניטור אירועי טעינת מודול באמצעות eBPF

מציין אם אירועי טעינת מודולים מנטרים על-ידי eBPF ונסרקים.

הערה

תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח enableEbpfModuleLoadEvents לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים disabled (ברירת מחדל)
enabled		 לא רלוונטי

הערה

זמין בגירסת Defender for Endpoint 101.68.80 ואילך.

קביעת תצורה של ניטור אירועים פתוחים מערכות קבצים ספציפיות באמצעות eBPF

מציין אם אירועים פתוחים מ- procfs פיקוח על-ידי eBPF.

הערה

תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח enableOtherFsOpenEvents לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים disabled (ברירת מחדל)
enabled		 לא רלוונטי

הערה

זמין בגירסת Defender for Endpoint 101.24072.0001 ואילך.

קביעת תצורה של העשרת אירועים במקור באמצעות eBPF

מציין אם אירועים מועשרים במטה-נתונים במקור ב- eBPF.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח enableEbpfSourceEnrichment לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים disabled (ברירת מחדל)
enabled		 לא רלוונטי

הערה

זמין בגירסת Defender for Endpoint 101.24072.0001 ואילך.

הפוך מטמון של מנוע אנטי-וירוס לזמין

מציין אם מטה-נתונים של אירועים שנסרקו על-ידי מנגנון האנטי-וירוס מאוחסנים במטמון.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח enableAntivirusEngineCache לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים disabled (ברירת מחדל)
enabled		 לא רלוונטי

הערה

זמין בגירסת Defender for Endpoint 101.24072.0001 ואילך.

דווח על אירועי אנטי-וירוס חשודים ל- EDR

מציין אם אירועים חשודים מהאנטי-וירוס מדווחים ל- EDR.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח sendLowfiEvents לא זמין
סוג נתונים מחרוזת לא רלוונטי
ערכים אפשריים disabled (ברירת מחדל)
enabled		 לא רלוונטי

הערה

זמין בגירסת Defender for Endpoint 101.23062.0010 ואילך.

תצורות הגנת רשת

הערה

  • בשלב זה, תכונה זו נמצאת בתצוגה מקדימה.
  • להגדרות אלה יש משמעות רק כאשר 'הגנת רשת' מופעלת. לקבלת מידע נוסף, ראה הפעלת הגנת רשת עבור Linux.

השתמש בהגדרות הבאות כדי לקבוע את התצורה של תכונות בדיקת הגנת רשת מתקדמות השלוטות בתעבורה שבדיקת הגנת הרשת בודקת.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח networkProtection הגנה על הרשת
סוג נתונים מילון (העדפה מקוננת) מקטע מכווץ

עיין בסעיףי המשנה הבאים לקבלת תיאור של תוכן המילון.

רמת אכיפה

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח enforcementLevel רמת אכיפה
סוג נתונים מחרוזת רשימה נפתחת
ערכים אפשריים disabled (ברירת מחדל)
audit
block		 Not configured
disabled (ברירת מחדל)
audit
block

קביעת תצורה של בדיקת ICMP

מציין אם אירועי ICMP מנטרים ונסרקים.

הערה

תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.

תיאור ערך JSON Microsoft Defender הפורטל שלך
מפתח disableIcmpInspection לא זמין
סוג נתונים בוליאני לא רלוונטי
ערכים אפשריים true (ברירת מחדל)
false		 לא רלוונטי

הערה

זמין בגירסת Defender for Endpoint 101.23062.0010 ואילך.

הוספת תגית או מזהה קבוצה לפרופיל התצורה

כאשר אתה מפעיל לראשונה את mdatp health הפקודה, הערכים של מזהי התגים והקבוצה ריקים. כדי להוסיף תגית או מזהה קבוצה לקובץ mdatp_managed.json , בצע את הפעולות הבאות:

  1. פתח את פרופיל התצורה מהנתיב /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

  2. בבלוק cloudService בחלק התחתון של הקובץ, cloudService הוסף את התגית או מזהה הקבוצה הדרושים בסוף הסוגר המסולסל הסוגר עבור הבלוק, כפי שמוצג בדוגמה הבאה.

    },
"cloudService": {
 "enabled": true,
 "diagnosticLevel": "optional",
 "automaticSampleSubmissionConsent": "safe",
 "automaticDefinitionUpdateEnabled": true,
 "proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   }
}

    הערה

    • הוסף פסיק לאחר הסוגר המסולסל הסוגר בסוף הבלוק cloudService .
    • ודא שיש שני סוגריים מסולסלים סוגרים לאחר הוספה tags או groupIds בלוקים כפי שמוצג בדוגמה.
    • בשלב זה, שם המפתח הנתמך היחיד עבור תגיות הוא GROUP.

אימות פרופיל תצורה

פרופיל התצורה חייב להיות קובץ בתבנית JSON חוקי. כלים רבים זמינים עבורך לאימות פרופיל התצורה. לדוגמה, הפעל את הפקודה הבאה אם python התקנת במכשיר שלך:

python -m json.tool mdatp_managed.json

אם הקובץ מעוצב כראוי, הפקודה מחזירה את קוד היציאה 0. אחרת, מוצגות שגיאות והפקודה מחזירה את קוד היציאה 1.

מוודא שהקובץ mdatp_managed.json פועל כצפוי

כדי לוודא שההגדרות /etc/opt/microsoft/mdatp/managed/mdatp_managed.json שלך פועלות כראוי, אתה אמור לראות [managed] לצד הגדרות אלה:

  • cloud_enabled
  • cloud_automatic_sample_submission_consent
  • passive_mode_enabled
  • real_time_protection_enabled
  • automatic_definition_update_enabled

עצה

עבור רוב התצורות mdatp_managed.jsonב- , אין צורך להפעיל מחדש את שרת ה- Daemon של mdatp. התצורות הבאות דורשות הפעלה מחדש של Daemon כדי להיכנס לתוקף:

  • cloud-diagnostic
  • log-rotation-parameters

פריסת פרופיל תצורה

לאחר שתיצור את פרופיל התצורה עבור הארגון שלך, תוכל לפרוס אותו באמצעות כלי הניהול הנוכחיים שלך. Defender for Endpoint on Linux מקריא את התצורה המנוהלת מ- /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

  • Last updated on