הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- macOS
חל על:
- Microsoft Defender עבור נקודת קצה ב- macOS
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
חשוב
מאמר זה מכיל הוראות כיצד להגדיר העדפות עבור Microsoft Defender עבור נקודת קצה ב- macOS בארגונים ארגוניים. כדי לקבוע את התצורה של Microsoft Defender עבור נקודת קצה ב- macOS באמצעות ממשק שורת הפקודה, ראה משאבים.
סיכום
בארגונים ארגוניים, ניתן לנהל את Microsoft Defender for Endpoint ב- macOS באמצעות פרופיל תצורה שנפרס באמצעות אחד מכמה כלי ניהול. העדפות המנוהלות על-ידי צוות פעולות האבטחה שלך מקבלות עדיפות על-פני העדפות הוגדרו באופן מקומי במכשיר. שינוי ההעדפות המוגדרות באמצעות פרופיל התצורה דורש הרשאות הסלמה שאינו זמין עבור משתמשים ללא הרשאות ניהול.
מאמר זה מתאר את המבנה של פרופיל התצורה, כולל פרופיל מומלץ שניתן להשתמש בו כדי להתחיל בעבודה ומספק הוראות לפריסת הפרופיל.
מבנה פרופיל תצורה
פרופיל התצורה הוא קובץ .plist המורכב מערכים המזוהים על-ידי מפתח (המציין את שם ההעדפה), ולאחריו ערך, אשר תלוי באופי ההעדפה. ערכים יכולים להיות פשוטים (כגון ערך מספרי) או מורכבים, כגון רשימה מקוננת של העדפות.
זהירות
הפריסה של פרופיל התצורה תלויה במסוף הניהול שבו אתה משתמש. הסעיפים הבאים מכילים דוגמאות של פרופילי תצורה עבור JAMF ו- Intune.
הרמה העליונה של פרופיל התצורה כוללת העדפות וערכים עבור אזורי משנה של Microsoft Defender עבור נקודת קצה, שמוסברים בפירוט רב יותר בסעיפים הבאים.
העדפות מנוע אנטי-וירוס
המקטע antivirusEngine של פרופיל התצורה משמש לניהול ההעדפות של רכיב האנטי-וירוס של Microsoft Defender for Endpoint.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | antivirusEngine |
סוג נתונים | מילון (העדפה מקוננת) |
תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. |
רמת האכיפה עבור מנוע אנטי-וירוס
מציין את העדפת האכיפה של מנגנון האנטי-וירוס. קיימים שלושה ערכים להגדרת רמת האכיפה:
- (): הגנה
real_time
בזמן אמת (סריקת קבצים בעת הגישה אליהם) זמינה. - לפי דרישה (
on_demand
): קבצים נסרקים לפי דרישה בלבד. ב:- הגנה בזמן אמת כבויה.
- פאסיבי (
passive
): מפעיל את מנוע האנטי-וירוס במצב פאסיבי. ב:- הגנה בזמן אמת כבויה.
- סריקה לפי דרישה מופעלת.
- תיקון איומים אוטומטי מבוטל.
- עדכוני בינת אבטחה מופעלים.
- סמל תפריט המצב מוסתר.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | מסגרת אכיפה |
סוג נתונים | מחרוזת |
ערכים אפשריים | real_time (ברירת מחדל) on_demand פסיבי |
תגובות/הערות | זמין ב- Microsoft Defender עבור נקודת קצה גירסה 101.10.72 ואילך. |
הפעלה/ביטול של ניטור אופן פעולה
קובע אם יכולת הניטור והחסימה של אופן הפעולה זמינה במכשיר או לא.
הערה
תכונה זו ישימה רק כאשר Real-Time הגנה מופעלת.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | התנהגותמניווט |
סוג נתונים | מחרוזת |
ערכים אפשריים | לא זמין זמין (ברירת מחדל) |
תגובות/הערות | זמין ב- Microsoft Defender עבור נקודת קצה גירסה 101.24042.0002 ואילך. |
קביעת תצורה של תכונת חישוב Hash של קובץ
הופך תכונה של חישוב Hash של קבצים לזמינה או ללא זמינה. כאשר תכונה זו זמינה, Defender for Endpoint מחשב Hash עבור קבצים שהיא סורקת כדי לאפשר התאמה טובה יותר כנגד כללי המחוון. ב- macOS, רק קבצי ה- Script ו- Mach-O (32 ו- 64 סיביות) נחשבים לחישוב Hash זה (מגירסה 1.1.20000.2 ואילך של מנוע). שים לב שהפעלת תכונה זו עלולה להשפיע על ביצועי המכשיר. לקבלת פרטים נוספים, עיין בנושא: יצירת מחוונים עבור קבצים.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | enableFileHashComputation |
סוג נתונים | בוליאני |
ערכים אפשריים | False (ברירת מחדל) נכון |
תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 101.86.81 ואילך. |
הפעל סריקה לאחר עדכון ההגדרות
מציין אם להפעיל סריקת תהליך לאחר הורדת עדכונים חדשים של בינת אבטחה במכשיר. הפיכת הגדרה זו לזמינה מפעילה סריקת אנטי-וירוס בתהליכים הפועלים של המכשיר.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | scanAfterDefinitionUpdate |
סוג נתונים | בוליאני |
ערכים אפשריים | true (ברירת מחדל) False |
תגובות/הערות | זמין ב- Microsoft Defender עבור נקודת קצה גירסה 101.41.10 ואילך. |
סרוק ארכיונים (סריקות אנטי-וירוס לפי דרישה בלבד)
מציין אם לסרוק ארכיונים במהלך סריקות אנטי-וירוס לפי דרישה.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | ארכיון סריקה |
סוג נתונים | בוליאני |
ערכים אפשריים | true (ברירת מחדל) False |
תגובות/הערות | זמין ב- Microsoft Defender עבור נקודת קצה גירסה 101.41.10 ואילך. |
מידת מקביליות לסריקה לפי דרישה
מציין את מידת המקבילות לסריקה לפי דרישה. הדבר תואם למספר הליכי המשנה המשמשים לביצוע הסריקה ומשפיע על השימוש ב- CPU, וכן משך הזמן של הסריקה לפי דרישה.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | maximumOnDemandScanThreads |
סוג נתונים | מספר שלם |
ערכים אפשריים | 2 (ברירת מחדל). ערכים מותרים הם מספרים שלמים בין 1 ל- 64. |
תגובות/הערות | זמין ב- Microsoft Defender עבור נקודת קצה גירסה 101.41.10 ואילך. |
מדיניות מיזוג אי-הכללה
ציין את מדיניות המיזוג עבור פריטים שאינם נכללים. זה יכול להיות שילוב של אי-הכללות המוגדרות על-ידי מנהל מערכת והוגדרו על-ידי המשתמש (merge
), או רק אי-הכללות המוגדרות על-ידי מנהל מערכת (admin_only
). ניתן להשתמש בהגדרה זו כדי למנוע ממשתמשים מקומיים להגדיר אי-הכללות משלהם.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | exclusionsMergePolicy |
סוג נתונים | מחרוזת |
ערכים אפשריים | מיזוג (ברירת מחדל) admin_only |
תגובות/הערות | זמין ב- Microsoft Defender עבור נקודת קצה גירסה 100.83.73 ואילך. |
פריטים שאינם נכללים בסריקה
ציין ישויות שנסרק אינן נכללות בתהליך סריקה. נתיבים, סיומות או שמות קבצים יכולים להוסיף אי-הכללות. (פריטים שאינם נכללים מצוינים כמערך של פריטים, מנהל מערכת יכול לציין רכיבים רבים ככל הצורך, בכל סדר.)
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | פריטים שאינם נכללים |
סוג נתונים | מילון (העדפה מקוננת) |
תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. |
סוג אי הכללה
ציין תוכן שלא ייכלל בסרוק לפי סוג.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | $type |
סוג נתונים | מחרוזת |
ערכים אפשריים | excludedPath excludedFileExtension excludedFileName |
נתיב לתוכן שלא נכלל
ציין תוכן שלא ייכלל בסרוק באמצעות נתיב קובץ מלא.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | נתיב |
סוג נתונים | מחרוזת |
ערכים אפשריים | נתיבים חוקיים |
תגובות/הערות | ישים רק אם $typeלא כלול ב-Path |
סוגי אי-הכללה נתמכים
הטבלה הבאה מציגה את סוגי ההכללה הנתמכים על-ידי Defender for Endpoint ב- Mac.
הדרה | הגדרה | דוגמאות |
---|---|---|
סיומת קובץ | כל הקבצים עם ההרחבה, בכל מקום במכשיר | .test |
קובץ | קובץ ספציפי המזוהה באמצעות הנתיב המלא | /var/log/test.log |
התיקיה | כל הקבצים תחת התיקיה שצוינה (רקורסיבית) | /var/log/ |
תהליך | תהליך ספציפי (שצוין על-ידי הנתיב המלא או שם הקובץ) וכל הקבצים שנפתחו על-ידיו | /bin/cat |
חשוב
הנתיבים לעיל חייבים להיות קישורים קשיחים, ולא קישורים סמליים, כדי שלא ייכללו בהצלחה. באפשרותך לבדוק אם נתיב הוא קישור סמלי על-ידי הפעלת file <path-name>
.
פריטים שאינם נכללים בקובץ, בתיקיה ובתהליך תומכים בתווים הכלליים הבאים:
בתווים כלליים | תיאור | דוגמה | תואם | אינו תואם |
---|---|---|---|---|
* | התאמה למספר כלשהו של תווים, כולל ללא (שים לב כי כאשר תו כללי זה נמצא בשימוש בתוך נתיב, הוא יחליף תיקיה אחת בלבד) | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
? | התאמה לכל תו בודד | file?.log |
file1.log |
file123.log |
סוג נתיב (קובץ / ספריה)
ציין אם מאפיין הנתיב מפנה לקובץ או למדריך כתובות.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | isDirectory |
סוג נתונים | בוליאני |
ערכים אפשריים | False (ברירת מחדל) נכון |
תגובות/הערות | ישים רק אם $typeלא כלול ב-Path |
סיומת הקובץ לא נכללה הסריקה
ציין תוכן שלא ייכלל בסרוק באמצעות סיומת הקובץ.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | סיומת |
סוג נתונים | מחרוזת |
ערכים אפשריים | סיומות קובץ חוקיות |
תגובות/הערות | ישים רק אם $typeלא כוללFileExtension |
תהליך שלא נכלל מהסרוקה
ציין תהליך שעבורו כל פעילות הקבצים אינה נכללת בסריקה. ניתן להוסיף את התהליך לפי שמו (לדוגמה, cat
) או הנתיב המלא (לדוגמה, /bin/cat
).
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | שם |
סוג נתונים | מחרוזת |
ערכים אפשריים | מחרוזת כלשהי |
תגובות/הערות | ישים רק אם $typeלא כוללFileName |
איומים מותרים
ציין איומים לפי שם שאינם חסומים על-ידי Defender for Endpoint ב- Mac. איומים אלה יורשו לפעול.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | תוקף מותר |
סוג נתונים | מערך של מחרוזות |
פעולות איומים אסורות
הגבלת הפעולות שהמשתמש המקומי במכשיר יכול לבצע כאשר מזוהים איומים. הפעולות הכלולות ברשימה זו אינן מוצגות בממשק המשתמש.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | לא מותר על-ידי הפעלת פריטים |
סוג נתונים | מערך של מחרוזות |
ערכים אפשריים | לאפשר (מגבילה את המשתמשים לאפשר איומים) שחזור (מגביל את המשתמשים לשחזור איומים מהסגר) |
תגובות/הערות | זמין ב- Microsoft Defender עבור נקודת קצה גירסה 100.83.73 ואילך. |
הגדרות סוג איום
ציין כיצד סוגי איומים מסוימים מטופלים על-ידי Microsoft Defender for Endpoint ב- macOS.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | threatTypeSettings |
סוג נתונים | מילון (העדפה מקוננת) |
תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. |
סוג איום
ציין סוגי איומים.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | מפתח |
סוג נתונים | מחרוזת |
ערכים אפשריים | potentially_unwanted_application archive_bomb |
פעולה שיש לבצע
ציין איזו פעולה יש לבצע כאשר זוהה איום מסוג שצוין במקטע הקודם. בחר מבין האפשרויות הבאות:
- ביקורת: המכשיר שלך אינו מוגן מפני איום מסוג זה, אך נרשם רישום של ערך לגבי האיום.
- חסימה: המכשיר שלך מוגן מפני איום מסוג זה, ואתה תקבל הודעה בממשק המשתמש ובמסוף האבטחה.
- כבוי: המכשיר שלך אינו מוגן מפני איום מסוג זה ושום דבר לא נרשם.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | ערך |
סוג נתונים | מחרוזת |
ערכים אפשריים | ביקורת (ברירת מחדל) לחסום כבוי |
מדיניות מיזוג הגדרות של סוג איום
ציין את מדיניות המיזוג עבור הגדרות סוג איום. זה יכול להיות שילוב של הגדרות מוגדרות על-ידי מנהל מערכת והגדרות המוגדרות על-ידי המשתמש (merge
) או רק הגדרות מוגדרות על-ידי מנהל מערכת (admin_only
). ניתן להשתמש בהגדרה זו כדי למנוע ממשתמשים מקומיים להגדיר הגדרות משלהם עבור סוגי איומים שונים.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | threatTypeSettingsMergePolicy |
סוג נתונים | מחרוזת |
ערכים אפשריים | מיזוג (ברירת מחדל) admin_only |
תגובות/הערות | זמין ב- Microsoft Defender עבור נקודת קצה גירסה 100.83.73 ואילך. |
שמירת היסטוריה של סריקת אנטי-וירוס (בימים)
ציין את מספר הימים לשמירה של התוצאות בהיסטוריית הסריקה במכשיר. תוצאות הסריקה הקודמות מוסרות מההיסטוריה. קבצים ישנים בהסגר שהוסרו גם מהדיסק.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | scanResultsRetentionDays |
סוג נתונים | מחרוזת |
ערכים אפשריים | 90 (ברירת מחדל). הערכים המותרים הם בין יום אחד ל- 180 ימים. |
תגובות/הערות | זמין ב- Microsoft Defender עבור נקודת קצה גירסה 101.07.23 ואילך. |
מספר מרבי של פריטים בהיסטוריית סריקת האנטי-וירוס
ציין את מספר הערכים המרבי לשמירה בהיסטוריית הסריקה. הערכים כוללים את כל הסריקות לפי דרישה שבוצעו בעבר ואת כל זיהויי האנטי-וירוס.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | scanHistoryMaximumItems |
סוג נתונים | מחרוזת |
ערכים אפשריים | 10000 (ברירת מחדל). הערכים המותרים הם מ- 5000 פריטים עד 15,000 פריטים. |
תגובות/הערות | זמין ב- Microsoft Defender עבור נקודת קצה גירסה 101.07.23 ואילך. |
העדפות הגנה מבוססות ענן
קבע את התצורה של תכונות ההגנה מבוססות הענן של Microsoft Defender עבור נקודת קצה ב- macOS.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | cloudService |
סוג נתונים | מילון (העדפה מקוננת) |
תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. |
הפוך הגנה מבוססת ענן לזמינה /ללא זמינה
ציין אם להפעיל הגנה מבוססת ענן על המכשיר או לא. כדי לשפר את אבטחת השירותים שלך, מומלץ להפעיל תכונה זו.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | מופעלת |
סוג נתונים | בוליאני |
ערכים אפשריים | true (ברירת מחדל) False |
רמת איסוף אבחון
נתוני אבחון משמשים כדי לשמור על Microsoft Defender for Endpoint מאובטח ומתעדכן, לזהות, לאבחן ולפתור בעיות, וגם כדי לבצע שיפורים במוצר. הגדרה זו קובעת את רמת האבחון שנשלחה על-ידי Microsoft Defender עבור נקודת קצה ל- Microsoft.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | אבחוןרמה אחת |
סוג נתונים | מחרוזת |
ערכים אפשריים | אופציונלי (ברירת מחדל) הנדרש |
קביעת תצורה של רמת חסימת ענן
הגדרה זו קובעת עד כמה אגרסיבי יהיה Defender for Endpoint בחסימה וסריקה של קבצים חשודים. אם הגדרה זו מופעלת, Defender for Endpoint יהיה אגרסיבי יותר בעת זיהוי קבצים חשודים לחסימה וסריקה; אחרת, היא תהיה פחות אגרסיבית ולכן תחסום ותסרוק בתדירות נמוכה יותר. קיימים חמישה ערכים להגדרת רמת חסימת ענן:
- רגיל (
normal
): רמת החסימה המהווה ברירת מחדל. - מתון (
moderate
): מספק את גזר הדין רק לזיהויים בעלי ביטחון גבוה. - גבוהה (
high
): חוסמת באופן אגרסיבי קבצים לא ידועים תוך מיטוב עבור ביצועים (סיכוי גדול יותר לחסום קבצים שאינם מזיקים). - High Plus (
high_plus
): חוסם באופן אגרסיבי קבצים לא ידועים ומ מחיל אמצעי הגנה נוספים (עשוי להשפיע על ביצועי מכשיר הלקוח). - עמידות אפס (
zero_tolerance
): חוסם את כל התוכניות הלא ידועות.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | cloudBlockLevel |
סוג נתונים | מחרוזת |
ערכים אפשריים | רגיל (ברירת מחדל) מתון גבוהה high_plus zero_tolerance |
תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 101.56.62 ואילך. |
הפוך שליחת דוגמאות אוטומטית לזמינה /ללא זמינה
קובע אם דוגמאות חשודות (שעשויות להכיל איומים) נשלחות אל Microsoft. קיימות שלוש רמות לשליטה בהגשה לדוגמה:
- ללא: לא נשלחו דוגמאות חשודות ל- Microsoft.
- בטוח: רק דוגמאות חשודות שאינן מכילות מידע המאפשר זיהוי אישי (PII) נשלחות באופן אוטומטי. זהו ערך ברירת המחדל עבור הגדרה זו.
- הכל: כל הדוגמאות החשודות נשלחות ל- Microsoft.
תיאור | ערך: |
---|---|
מקש | automaticSampleSubmissionConsent |
סוג נתונים | מחרוזת |
ערכים אפשריים | ללא בטוח (ברירת מחדל) כל |
הפיכת עדכוני בינת אבטחה אוטומטיים לזמינים או ללא זמינים
קובע אם עדכוני בינת אבטחה מותקנים באופן אוטומטי:
במקטע | ערך: |
---|---|
מקש | automaticDefinitionUpdateEnabled |
סוג נתונים | בוליאני |
ערכים אפשריים | true (ברירת מחדל) False |
העדפות ממשק משתמש
נהל את ההעדפות עבור ממשק המשתמש של Microsoft Defender עבור נקודת קצה ב- macOS.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | userInterface |
סוג נתונים | מילון (העדפה מקוננת) |
תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. |
סמל תפריט 'הצג/הסתר מצב'
ציין אם להציג או להסתיר את סמל תפריט המצב בפינה השמאלית העליונה של המסך.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | הסתרStatusMenuIcon |
סוג נתונים | בוליאני |
ערכים אפשריים | False (ברירת מחדל) נכון |
הצגה/הסתרה של אפשרות לשליחת משוב
ציין אם משתמשים יכולים לשלוח משוב ל- Microsoft על-ידי מעבר אל Help
>Send Feedback
.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | userInitiatedFeedback |
סוג נתונים | מחרוזת |
ערכים אפשריים | זמין (ברירת מחדל) לא זמין |
תגובות/הערות | זמין ב- Microsoft Defender עבור נקודת קצה גירסה 101.19.61 ואילך. |
שליטה בכניסה לגירסת Microsoft Defender לצרכנים
ציין אם משתמשים יכולים להיכנס לגירסת Microsoft Defender לצרכנים.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | consumerExperience |
סוג נתונים | מחרוזת |
ערכים אפשריים | זמין (ברירת מחדל) לא זמין |
תגובות/הערות | זמין ב- Microsoft Defender עבור נקודת קצה גירסה 101.60.18 ואילך. |
העדפות זיהוי ותגובה של נקודות קצה
נהל את ההעדפות של רכיב הזיהוי והתגובה של נקודות הקצה (EDR) של Microsoft Defender עבור נקודת קצה ב- macOS.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | edr |
סוג נתונים | מילון (העדפה מקוננת) |
תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. |
תגיות מכשיר
ציין שם תג והערך שלו.
- התג GROUP מסמן את המכשיר בערך שצוין. התגית משתקפת בפורטל תחת דף המכשיר ובאפשרותך להשתמש בה לסינון ולקיבוץ מכשירים.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | תגיות |
סוג נתונים | מילון (העדפה מקוננת) |
תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. |
סוג תגית
מציין את סוג התג
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | מפתח |
סוג נתונים | מחרוזת |
ערכים אפשריים | GROUP |
ערך תגית
מציין את הערך של תגית
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | ערך |
סוג נתונים | מחרוזת |
ערכים אפשריים | מחרוזת כלשהי |
חשוב
- ניתן להגדיר ערך אחד בלבד לכל סוג תג.
- סוג התגיות הוא ייחודי, ולא ניתן לחזור על אותן תגיות באותו פרופיל תצורה.
מזהה קבוצה
מזהי קבוצת EDR
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | מזהה קבוצה |
סוג נתונים | מחרוזת |
תגובות/הערות | מזהה קבוצה |
הגנה מפני טיפול שלא כדין
נהל את ההעדפות של הרכיב 'הגנה מפני טיפול שלא כדין' של Microsoft Defender עבור נקודת קצה ב- macOS.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | הגנה מפני טיפול שלא כדין |
סוג נתונים | מילון (העדפה מקוננת) |
תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. |
רמת אכיפה
אם הגנה מפני טיפול שלא כדין זמינה ואם היא במצב קפדני
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | מסגרת אכיפה |
סוג נתונים | מחרוזת |
תגובות/הערות | אחד מהאפשרויות 'לא זמין', 'ביקורת' או 'בלוק' |
ערכים אפשריים:
- disabled - הגנה מפני טיפול שלא כדין מבוטלת, ללא מניעת תקיפות או דיווח לענן
- audit - דוחות הגנה מפני טיפול שלא כדין מנסים לטפל שלא כדין בענן בלבד, אך אינו חוסם אותם
- block - הגנה מפני טיפול שלא כדין הן בבלוקים והן בדוחות על תקיפות בענן
פריטים לא כלולים
הגדרת תהליכים המותרים לשינוי הנכס של Microsoft Defender, מבלי לשקול טיפול שלא כדין. יש לספק נתיב, מזהה צוות או מזהה חתימה, או את השילוב שלהם. ניתן Args בנוסף, כדי לציין תהליך מותר בצורה מדויקת יותר.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | פריטים שאינם נכללים |
סוג נתונים | מילון (העדפה מקוננת) |
תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. |
נתיב
הנתיב המדויק של קובץ ההפעלה של התהליך.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | נתיב |
סוג נתונים | מחרוזת |
תגובות/הערות | במקרה של קובץ Script של מעטפת, הוא יהיה הנתיב המדויק אל הערך הבינארי של המתרגם, לדוגמה /bin/zsh . לא מותרים תווים כלליים. |
מזהה צוות
"מזהה צוות" של Apple של הספק.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | מזהה צוות |
סוג נתונים | מחרוזת |
תגובות/הערות | לדוגמה, UBF8T346G9 עבור Microsoft |
מזהה חתימה
"מזהה חתימה" של Apple בחבילה.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | מזהה חתימה |
סוג נתונים | מחרוזת |
תגובות/הערות | לדוגמה, com.apple.ruby עבור מתרגם רובי |
ארגומנטים של תהליך
משמש בשילוב עם פרמטרים אחרים לזיהוי התהליך.
במקטע | ערך: |
---|---|
Domain | com.microsoft.wdav |
מקש | מזהה חתימה |
סוג נתונים | מערך של מחרוזות |
תגובות/הערות | אם צוין, ארגומנט process חייב להתאים לארגומנטים אלה בדיוק, תלויי רישיות |
פרופיל תצורה מומלץ
כדי להתחיל, אנו ממליצים על התצורה הבאה עבור הארגון שלך כדי לנצל את כל תכונות ההגנה שמספק Microsoft Defender for Endpoint.
פרופיל התצורה הבא (או, במקרה של JAMF, רשימת מאפיינים שניתן להעלות לפרופיל התצורה של ההגדרות המותאמות אישית) תהיה:
- הפוך הגנה בזמן אמת (RTP) לזמינה
- ציין כיצד מטפלים בסוגי האיומים הבאים:
- יישומים שעלולים להיות בלתי רצויים (PUA) חסומים
- פצצות ארכיון (קובץ עם קצב דחיסה גבוה) מביקורות אל Microsoft Defender עבור יומני נקודות קצה
- הפוך עדכוני בינת אבטחה אוטומטיים לזמינים
- הפוך הגנה מבוססת ענן לזמינה
- הפוך שליחת דוגמאות אוטומטית לזמינה
רשימת מאפיינים עבור פרופיל תצורה מומלץ של JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
פרופיל מומלץ של Intune
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
דוגמה לפרופיל תצורה מלא
התבניות הבאות מכילות ערכים עבור כל ההגדרות המתוארות במסמך זה ועשויות לשמש לתרחישים מתקדמים יותר שבהם ברצונך לקבל שליטה נוספת על Microsoft Defender for Endpoint ב- macOS.
רשימת מאפיינים עבור פרופיל תצורה מלא של JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
פרופיל מלא של Intune
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
אימות רשימת מאפיינים
רשימת המאפיינים חייבת להיות קובץ .plist חוקי. ניתן לבדוק זאת על-ידי ביצוע:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
אם הקובץ במבנה תקין, הפקודה לעיל תפלט OK
ותחזיר קוד יציאה של 0
. אחרת, מוצגת שגיאה המתארת את הבעיה והפקודה מחזירה קוד יציאה של 1
.
פריסת פרופיל תצורה
לאחר שתבנת את פרופיל התצורה עבור הארגון שלך, תוכל לפרוס אותו באמצעות מסוף הניהול שבו הארגון שלך משתמש. הסעיפים הבאים מספקים הוראות לפריסת פרופיל זה באמצעות JAMF ו- Intune.
פריסת JAMF
ממסוף JAMF, פתח את פרופילי תצורת>מחשבים, נווט אל פרופיל התצורה שבו ברצונך להשתמש ולאחר מכן בחר הגדרות מותאמות אישית. צור ערך עם כתחום com.microsoft.wdav
ההעדפה והעלה את ה- .plist המופק מוקדם יותר.
זהירות
עליך להזין את תחום ההעדפה הנכון (com.microsoft.wdav
); אחרת, ההעדפות לא יזוהו על-ידי Microsoft Defender for Endpoint.
פריסת Intune
פתח פרופילי>תצורה של מכשירים. בחר צור פרופיל.
בחר שם עבור הפרופיל. שנה את Platform=macOSלסוג פרופיל=תבניות ובחר מותאם אישית במקטע שם התבנית. בחר קבע תצורה.
שמור את .plist המופק מוקדם יותר כ-
com.microsoft.wdav.xml
.הזן כשם
com.microsoft.wdav
פרופיל התצורה המותאם אישית.פתח את פרופיל התצורה והעלה את
com.microsoft.wdav.xml
הקובץ. (קובץ זה נוצר בשלב 3.)בחר אישור.
בחר נהל>מטלות. בכרטיסיה כלול , בחר הקצה לכל המשתמשים ולאחר & כל המכשירים.
זהירות
עליך להזין את שם פרופיל התצורה המותאם אישית הנכון; אחרת, העדפות אלה לא יזוהו על-ידי Microsoft Defender for Endpoint.
משאבים
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.