הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- Linux
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender XDR
רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
חשוב
נושא זה מכיל הוראות כיצד להגדיר העדפות עבור Defender עבור נקודת קצה ב- Linux בסביבות ארגוניות. אם אתה מעוניין לקבוע את תצורת המוצר במכשיר משורת הפקודה, ראה משאבים.
בסביבות ארגוניות, ניתן לנהל את Defender for Endpoint ב- Linux באמצעות פרופיל תצורה. פרופיל זה נפרס מכלי הניהול שתבחר. העדפות המנוהלות על-ידי הארגון מקבלות עדיפות על-פני אלה שקיימות באופן מקומי במכשיר. במילים אחרות, משתמשים בארגון שלך אינם יכולים לשנות את ההעדפות הוגדרו באמצעות פרופיל תצורה זה. אם פריטים שאינם נכללים נוספו באמצעות פרופיל התצורה המנוהלת, ניתן להסיר אותם רק דרך פרופיל התצורה המנוהלת. שורת הפקודה פועלת עבור פריטים שאינם נכללים שנוספו באופן מקומי.
מאמר זה מתאר את המבנה של פרופיל זה (כולל פרופיל מומלץ שניתן להשתמש בו כדי להתחיל בעבודה) והוראות לפריסת הפרופיל.
מבנה פרופיל תצורה
פרופיל התצורה הוא קובץ .json מורכב מערכים המזוהים על-ידי מפתח (המציין את שם ההעדפה), ולאחריו ערך, אשר תלוי באופי ההעדפה. ערכים יכולים להיות פשוטים, כגון ערך מספרי או מורכב, כגון רשימת העדפות מקוננת.
בדרך כלל, עליך להשתמש בכלי ניהול תצורה כדי לדחוף קובץ בשם mdatp_managed.json במיקום /etc/opt/microsoft/mdatp/managed/.
הרמה העליונה של פרופיל התצורה כוללת העדפות וערכים עבור אזורי משנה של המוצר, שמוסברים בפירוט רב יותר בסעיפים הבאים.
העדפות מנוע אנטי-וירוס
המקטע antivirusEngine של פרופיל התצורה משמש לניהול ההעדפות של רכיב האנטי-וירוס של המוצר.
| תיאור | ערך: |
|---|---|
| מקש | antivirusEngine |
| סוג נתונים | מילון (העדפה מקוננת) |
| תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. |
רמת האכיפה עבור מנוע אנטי-וירוס
מציין את העדפת האכיפה של מנגנון האנטי-וירוס. קיימים שלושה ערכים להגדרת רמת האכיפה:
- (): הגנה
real_timeבזמן אמת (סריקת קבצים בעת שינוי הקבצים) זמינה. - לפי דרישה (
on_demand): קבצים נסרקים לפי דרישה בלבד. ב:- הגנה בזמן אמת כבויה.
- פאסיבי (
passive): מפעיל את מנוע האנטי-וירוס במצב פאסיבי. ב:- הגנה בזמן אמת מבוטלת: איומים אינם מותנים על-ידי Microsoft Defender אנטי-וירוס.
- סריקה לפי דרישה מופעלת: עדיין להשתמש ביכולות הסריקה ב נקודת הקצה.
- תיקון איומים אוטומטי מבוטל: לא יועברו קבצים ומנהל אבטחה צפוי לבצע את הפעולה הנדרשת.
- עדכוני בינת אבטחה מופעלים: התראות יהיו זמינות בדייר מנהלי אבטחה.
| תיאור | ערך: |
|---|---|
| מקש | מסגרת אכיפה |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | real_time on_demand פאסיבי (ברירת מחדל) |
| תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 101.10.72 ואילך. ברירת המחדל משתנה real_time פאסיבי עבור נקודת קצה גירסה 101.23062.0001 ואילך. |
הפעלה/ביטול של ניטור אופן פעולה
קובע אם יכולת הניטור והחסימה של אופן הפעולה זמינה במכשיר או לא.
הערה
תכונה זו ישימה רק כאשר Real-Time הגנה מופעלת.
| תיאור | ערך: |
|---|---|
| מקש | התנהגותמניווט |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | לא זמין (ברירת מחדל) מופעלת |
| תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 101.45.00 ואילך. |
הפעל סריקה לאחר עדכון ההגדרות
מציין אם להפעיל סריקת תהליך לאחר הורדת עדכונים חדשים של בינת אבטחה במכשיר. הפיכת הגדרה זו לזמינה מפעילה סריקת אנטי-וירוס בתהליכים הפועלים של המכשיר.
| תיאור | ערך: |
|---|---|
| מקש | scanAfterDefinitionUpdate |
| סוג נתונים | בוליאני |
| ערכים אפשריים | true (ברירת מחדל) False |
| תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 101.45.00 ואילך. |
סרוק ארכיונים (סריקות אנטי-וירוס לפי דרישה בלבד)
מציין אם לסרוק ארכיונים במהלך סריקות אנטי-וירוס לפי דרישה.
הערה
קבצי ארכיון לעולם אינם נסרקים במהלך הגנה בזמן אמת. כאשר הקבצים בארכיון מחולצים, הם נסרקים. ניתן להשתמש באפשרות scanArchives כדי לכפות סריקה של ארכיונים רק במהלך סריקה לפי דרישה.
| תיאור | ערך: |
|---|---|
| מקש | ארכיון סריקה |
| סוג נתונים | בוליאני |
| ערכים אפשריים | true (ברירת מחדל) False |
| תגובות/הערות | זמין בגירסה Microsoft Defender עבור נקודת קצה 101.45.00 ואילך. |
מידת מקביליות לסריקה לפי דרישה
מציין את מידת המקבילות לסריקה לפי דרישה. הדבר תואם למספר הליכי המשנה המשמשים לביצוע הסריקה ומשפיעים על השימוש ב- CPU ומשך הזמן של הסריקה לפי דרישה.
| תיאור | ערך: |
|---|---|
| מקש | maximumOnDemandScanThreads |
| סוג נתונים | מספר שלם |
| ערכים אפשריים | 2 (ברירת מחדל). ערכים מותרים הם מספרים שלמים בין 1 ל- 64. |
| תגובות/הערות | זמין בגירסה Microsoft Defender עבור נקודת קצה 101.45.00 ואילך. |
מדיניות מיזוג אי-הכללה
מציין את מדיניות המיזוג עבור פריטים שאינם נכללים. הוא יכול להיות שילוב של אי-הכללות המוגדרות על-ידי מנהל מערכת והוגדרו על-ידי המשתמש (merge) או רק אי-הכללות המוגדרות על-ידי מנהל מערכת (admin_only). ניתן להשתמש בהגדרה זו כדי למנוע ממשתמשים מקומיים להגדיר אי-הכללות משלהם.
| תיאור | ערך: |
|---|---|
| מקש | exclusionsMergePolicy |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | מיזוג (ברירת מחדל) admin_only |
| תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 100.83.73 ואילך. |
פריטים שאינם נכללים בסריקה
ישויות שלא נכללו מהסרוקה. נתיבים, סיומות או שמות קבצים יכולים להוסיף אי-הכללות. (פריטים שאינם נכללים מצוינים כמערך של פריטים, מנהל מערכת יכול לציין רכיבים רבים ככל הצורך, בכל סדר.)
| תיאור | ערך: |
|---|---|
| מקש | פריטים שאינם נכללים |
| סוג נתונים | מילון (העדפה מקוננת) |
| תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. |
סוג אי הכללה
מציין את סוג התוכן שלא נכלל בסריקה.
| תיאור | ערך: |
|---|---|
| מקש | $type |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | excludedPath excludedFileExtension excludedFileName |
נתיב לתוכן שלא נכלל
משמש כדי לא לכלול תוכן בסריקה באמצעות נתיב קובץ מלא.
| תיאור | ערך: |
|---|---|
| מקש | נתיב |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | נתיבים חוקיים |
| תגובות/הערות | ישים רק אם $typeלא כלול ב-Path |
סוג נתיב (קובץ / ספריה)
מציין אם מאפיין הנתיב מפנה לקובץ או למדריך כתובות.
| תיאור | ערך: |
|---|---|
| מקש | isDirectory |
| סוג נתונים | בוליאני |
| ערכים אפשריים | False (ברירת מחדל) נכון |
| תגובות/הערות | ישים רק אם $typeלא כלול ב-Path |
סיומת הקובץ לא נכללה הסריקה
משמש כדי לא לכלול תוכן בסריקה לפי סיומת קובץ.
| תיאור | ערך: |
|---|---|
| מקש | סיומת |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | סיומות קובץ חוקיות |
| תגובות/הערות | ישים רק אם $typeלא כוללFileExtension |
תהליך שלא נכלל מהסרוקה*
מציין תהליך שעבורו כל פעילות הקבצים אינה נכללת בסריקה. ניתן להוסיף את התהליך לפי שמו (לדוגמה, cat) או הנתיב המלא (לדוגמה, /bin/cat).
| תיאור | ערך: |
|---|---|
| מקש | שם |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | מחרוזת כלשהי |
| תגובות/הערות | ישים רק אם $typeלא כוללFileName |
השתקה של טעינות שאינן של Exec
מציין את אופן הפעולה של RTP בנקודת טעינה המסומנת כ- noexec. קיימים שני ערכים עבור ההגדרה הם:
- בוטלה ההשתקה (
unmute): ערך ברירת המחדל, כל נקודות הטעינה נסרקים כחלק מ- RTP. - מושתק (
mute): נקודות טעינה המסומנות כ- noexec אינן נסרקים כחלק מ- RTP, ניתן ליצור נקודות טעינה אלה עבור:- קבצי מסד נתונים בשרתי מסד נתונים לשמירה על קבצי בסיס נתונים.
- שרת הקבצים יכול לשמור נקודות טעינה של קבצי נתונים ללא שימוש באפשרות noexec.
- גיבוי יכול לשמור נקודות טעינה של קבצי נתונים ללא שימוש באפשרות noexec.
| תיאור | ערך: |
|---|---|
| מקש | nonExecMountPolicy |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | ביטול השתקה (ברירת מחדל) השתק |
| תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 101.85.27 ואילך. |
Unmonitor Filesystems
קבע תצורה של מערכות קבצים שלא יהיו מנוטרות/לא נכללות ב- Real Time Protection(RTP). מערכות הקבצים שהוגדרו מאומתות מול Microsoft Defender של מערכות הקבצים המותרות. רק לאחר אימות מוצלח, האם מערכת הקבצים תהיה מותרת להיות מנוטרת. מערכות קבצים לא מנוטרות אלה שתצורתן נקבעה עדיין נסרקו באמצעות סריקות מהירות, מלאות ותצוגות מותאמות אישית.
| תיאור | ערך: |
|---|---|
| מקש | unmonitoredFilesystems |
| סוג נתונים | מערך של מחרוזות |
| תגובות/הערות | המערכת של מערכת הקבצים שתצורתה נקבעה לא תהיה מנוטרת רק אם היא קיימת ברשימת מערכות הקבצים הלא מנוטרות המותרות של Microsoft. |
כברירת מחדל, NFS ו- Fuse אינם מנוטרים מסריקה RTP, Quick ו- Full. עם זאת, סריקה מותאמת אישית עדיין יכולה לסרוק אותם. לדוגמה, כדי להסיר NFS מרשימת מערכות הקבצים הלא מנוטרות, עדכן את קובץ התצורה המנוהלת כפי שמוצג להלן. פעולה זו תוסיף באופן אוטומטי NFS לרשימת מערכות הקבצים המנוהצות עבור RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
כדי להסיר הן את NFS והן את הנתיך מרשימת מערכות קבצים שאינה מנוטרת, בצע את הפעולות הבאות
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
הערה
להלן רשימת ברירת המחדל של מערכות קבצים תחת פיקוח עבור RTP -
[btrfs, ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, reiserfs, tmpfs, vfat, xfs]
אם יש להוסיף מערכת קבצים כלשהי המנוהרת לרשימת מערכות הקבצים שאינה מנוטרת, יש להעריך אותה ולקביעתה על-ידי Microsoft באמצעות תצורת ענן. לאחר מכן, הלקוחות managed_mdatp.json לעדכן מערכת קבצים זו.
קביעת תצורה של תכונת חישוב Hash של קובץ
הופך תכונה של חישוב Hash של קבצים לזמינה או ללא זמינה. כאשר תכונה זו זמינה, Defender for Endpoint מחשב Hash עבור קבצים שהיא סורקת. שים לב שהפעלת תכונה זו עלולה להשפיע על ביצועי המכשיר. לקבלת פרטים נוספים, עיין בנושא: Create עבור קבצים.
| תיאור | ערך: |
|---|---|
| מקש | enableFileHashComputation |
| סוג נתונים | בוליאני |
| ערכים אפשריים | False (ברירת מחדל) נכון |
| תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 101.85.27 ואילך. |
איומים מותרים
רשימת איומים (שזוהו על-ידי שמם) שאינם חסומים על-ידי המוצר, וב במקום זאת מורשים לפעול.
| תיאור | ערך: |
|---|---|
| מקש | תוקף מותר |
| סוג נתונים | מערך של מחרוזות |
פעולות איומים אסורות
הגבלת הפעולות שהמשתמש המקומי במכשיר יכול לבצע כאשר מזוהים איומים. הפעולות הכלולות ברשימה זו אינן מוצגות בממשק המשתמש.
| תיאור | ערך: |
|---|---|
| מקש | לא מותר על-ידי הפעלת פריטים |
| סוג נתונים | מערך של מחרוזות |
| ערכים אפשריים | לאפשר (מגבילה את המשתמשים לאפשר איומים) שחזור (מגביל את המשתמשים לשחזור איומים מהסגר) |
| תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 100.83.73 ואילך. |
הגדרות סוג איום
ההעדפה threatTypeSettings במנגנון האנטי-וירוס משמשת לשליטה באופן שבו סוגי איומים מסוימים מטופלים על-ידי המוצר.
| תיאור | ערך: |
|---|---|
| מקש | threatTypeSettings |
| סוג נתונים | מילון (העדפה מקוננת) |
| תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. |
סוג איום
סוג האיום שעבורו תצורת אופן הפעולה נקבעה.
| תיאור | ערך: |
|---|---|
| מקש | מפתח |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | potentially_unwanted_application archive_bomb |
פעולה שיש לבצע
פעולה שיש לבצע בעת תיתקל באיום מסוג שצוין בסעיף הקודם. יכול להיות:
- ביקורת: המכשיר אינו מוגן מפני איום מסוג זה, אך נרשם רישום של ערך לגבי האיום.
- בלוק: המכשיר מוגן מפני איום מסוג זה ואתה תקבל הודעה במסוף האבטחה.
- כבוי: המכשיר אינו מוגן מפני איום מסוג זה ושום דבר לא נרשם.
| תיאור | ערך: |
|---|---|
| מקש | ערך |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | ביקורת (ברירת מחדל) לחסום כבוי |
מדיניות מיזוג הגדרות של סוג איום
מציין את מדיניות המיזוג עבור הגדרות סוג איום. זה יכול להיות שילוב של הגדרות מוגדרות על-ידי מנהל מערכת והגדרות המוגדרות על-ידי המשתמש (merge) או רק הגדרות מוגדרות על-ידי מנהל מערכת (admin_only). ניתן להשתמש בהגדרה זו כדי למנוע ממשתמשים מקומיים להגדיר הגדרות משלהם עבור סוגי איומים שונים.
| תיאור | ערך: |
|---|---|
| מקש | threatTypeSettingsMergePolicy |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | מיזוג (ברירת מחדל) admin_only |
| תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 100.83.73 ואילך. |
שמירת היסטוריה של סריקת אנטי-וירוס (בימים)
ציין את מספר הימים לשמירה של התוצאות בהיסטוריית הסריקה במכשיר. תוצאות הסריקה הקודמות מוסרות מההיסטוריה. קבצים ישנים בהסגר שהוסרו גם מהדיסק.
| תיאור | ערך: |
|---|---|
| מקש | scanResultsRetentionDays |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | 90 (ברירת מחדל). הערכים המותרים הם בין יום אחד ל- 180 ימים. |
| תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 101.04.76 ואילך. |
מספר מרבי של פריטים בהיסטוריית סריקת האנטי-וירוס
ציין את מספר הערכים המרבי לשמירה בהיסטוריית הסריקה. הערכים כוללים את כל הסריקות לפי דרישה שבוצעו בעבר ואת כל זיהויי האנטי-וירוס.
| תיאור | ערך: |
|---|---|
| מקש | scanHistoryMaximumItems |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | 10000 (ברירת מחדל). הערכים המותרים הם מ- 5000 פריטים עד 15,000 פריטים. |
| תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 101.04.76 ואילך. |
אפשרויות סריקה מתקדמות
ניתן לקבוע את התצורה של ההגדרות הבאות כדי לאפשר תכונות סריקה מתקדמות מסוימות.
הערה
הפיכת תכונות אלה לזמינות עלולה להשפיע על ביצועי המכשיר. לפי ההמלצה, מומלץ לשמור את ברירות המחדל.
קביעת תצורה של סריקה של אירועי הרשאות שינוי קובץ
כאשר תכונה זו זמינה, Defender for Endpoint יסרוק קבצים לאחר שינוי ההרשאות שלהם כדי להגדיר את סיביות הביצוע.
הערה
תכונה זו ישימה רק כאשר enableFilePermissionEvents התכונה זמינה. לקבלת מידע נוסף, ראה סעיף תכונות אופציונליות מתקדמות להלן לקבלת פרטים.
| תיאור | ערך: |
|---|---|
| מקש | scanFileModifyPermissions |
| סוג נתונים | בוליאני |
| ערכים אפשריים | False (ברירת מחדל) נכון |
| תגובות/הערות | זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך. |
קביעת תצורה של סריקה של אירועי שינוי בעלות על קובץ
כאשר תכונה זו זמינה, Defender for Endpoint יסרוק קבצים שעבורם הבעלות השתנתה.
הערה
תכונה זו ישימה רק כאשר enableFileOwnershipEvents התכונה זמינה. לקבלת מידע נוסף, ראה סעיף תכונות אופציונליות מתקדמות להלן לקבלת פרטים.
| תיאור | ערך: |
|---|---|
| מקש | scanFileModifyOwnership |
| סוג נתונים | בוליאני |
| ערכים אפשריים | False (ברירת מחדל) נכון |
| תגובות/הערות | זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך. |
קביעת תצורה של סריקה של אירועי Socket גולמיים
כאשר תכונה זו זמינה, Defender for Endpoint יסרוק אירועי שקע רשת כגון יצירה של שקעים גולמיים/שקעי מנות או הגדרת אפשרות Socket.
הערה
תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.
הערה
תכונה זו ישימה רק כאשר enableRawSocketEvent התכונה זמינה. לקבלת מידע נוסף, ראה סעיף תכונות אופציונליות מתקדמות להלן לקבלת פרטים.
| תיאור | ערך: |
|---|---|
| מקש | scanNetworkSocketEvent |
| סוג נתונים | בוליאני |
| ערכים אפשריים | False (ברירת מחדל) נכון |
| תגובות/הערות | זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך. |
העדפות הגנה מבוססות ענן
הערך cloudService בפרופיל התצורה משמש לקביעת התצורה של תכונת ההגנה מונחית הענן של המוצר.
הערה
הגנה מבוססת ענן ישימה בכל הגדרות רמת האכיפה (real_time, on_demand, פאסיבי).
| תיאור | ערך: |
|---|---|
| מקש | cloudService |
| סוג נתונים | מילון (העדפה מקוננת) |
| תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. |
הפוך הגנה מבוססת ענן לזמינה /ללא זמינה
קובע אם הגנה מבוססת ענן מופעלת במכשיר או לא. כדי לשפר את אבטחת השירותים שלך, מומלץ להפעיל תכונה זו.
| תיאור | ערך: |
|---|---|
| מקש | מופעלת |
| סוג נתונים | בוליאני |
| ערכים אפשריים | true (ברירת מחדל) False |
רמת איסוף אבחון
נתוני אבחון משמשים כדי לשמור על Defender for Endpoint מאובטח ומתעדכן, לזהות, לאבחן ולפתור בעיות, וגם כדי לבצע שיפורים במוצר. הגדרה זו קובעת את רמת האבחון שנשלחה על-ידי המוצר ל- Microsoft.
| תיאור | ערך: |
|---|---|
| מקש | אבחוןרמה אחת |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | אופציונלי נדרש (ברירת מחדל) |
קביעת תצורה של רמת חסימת ענן
הגדרה זו קובעת עד כמה אגרסיבית נקודת הקצה של Defender עבור חסימה וסריקה של קבצים חשודים. אם הגדרה זו מופעלת, Defender for Endpoint הוא אגרסיבי יותר בעת זיהוי קבצים חשודים לחסימה וסריקה; אחרת, היא פחות אגרסיבית ולכן חוסמת וסריקה בתדירות נמוכה יותר.
קיימים חמישה ערכים להגדרת רמת חסימת ענן:
- רגיל (
normal): רמת החסימה המהווה ברירת מחדל. - מתון (
moderate): מספק את גזר הדין רק לזיהויים בעלי ביטחון גבוה. - גבוהה (
high): חוסמת באופן אגרסיבי קבצים לא ידועים תוך מיטוב עבור ביצועים (סיכוי גדול יותר לחסום קבצים שאינם מזיקים). - High Plus (
high_plus): חוסם באופן אגרסיבי קבצים לא ידועים ומ מחיל אמצעי הגנה נוספים (עשוי להשפיע על ביצועי מכשיר הלקוח). - עמידות אפס (
zero_tolerance): חוסם את כל התוכניות הלא ידועות.
| תיאור | ערך: |
|---|---|
| מקש | cloudBlockLevel |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | רגיל (ברירת מחדל) מתון גבוהה high_plus zero_tolerance |
| תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 101.56.62 ואילך. |
הפוך שליחת דוגמאות אוטומטית לזמינה /ללא זמינה
קובע אם דוגמאות חשודות (שעשויות להכיל איומים) נשלחות אל Microsoft. קיימות שלוש רמות לשליטה בהגשה לדוגמה:
- ללא: לא נשלחו דוגמאות חשודות ל- Microsoft.
- בטוח: רק דוגמאות חשודות שאינן מכילות מידע המאפשר זיהוי אישי (PII) נשלחות באופן אוטומטי. זהו ערך ברירת המחדל עבור הגדרה זו.
- הכל: כל הדוגמאות החשודות נשלחות ל- Microsoft.
| תיאור | ערך: |
|---|---|
| מקש | automaticSampleSubmissionConsent |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | ללא בטוח (ברירת מחדל) כל |
הפיכת עדכוני בינת אבטחה אוטומטיים לזמינים או ללא זמינים
קובע אם עדכוני בינת אבטחה מותקנים באופן אוטומטי:
| תיאור | ערך: |
|---|---|
| מקש | automaticDefinitionUpdateEnabled |
| סוג נתונים | בוליאני |
| ערכים אפשריים | true (ברירת מחדל) False |
תכונות אופציונליות מתקדמות
ניתן לקבוע את התצורה של ההגדרות הבאות כדי להפוך תכונות מתקדמות מסוימות לזמינות.
הערה
הפיכת תכונות אלה לזמינות עלולה להשפיע על ביצועי המכשיר. מומלץ לשמור את ברירות המחדל.
| תיאור | ערך: |
|---|---|
| מקש | תכונות |
| סוג נתונים | מילון (העדפה מקוננת) |
| תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. |
תכונת טעינת מודול
קובע אם המערכת מנטרת אירועים של טעינת מודול (אירועי פתיחת קובץ בספריות משותפות).
הערה
תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.
| תיאור | ערך: |
|---|---|
| מקש | עומס מודול |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | לא זמין (ברירת מחדל) מופעלת |
| תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 101.68.80 ואילך. |
תצורות חיישנים משלימות
ניתן להשתמש בהגדרות הבאות כדי לקבוע תצורה של תכונות מסוימות של חיישן משלים מתקדם.
| תיאור | ערך: |
|---|---|
| מקש | תצורות של תוספתSensor |
| סוג נתונים | מילון (העדפה מקוננת) |
| תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. |
קביעת תצורה של ניטור אירועי הרשאות שינוי קובץ
קובע אם אירועי הרשאות שינוי קובץ (chmod) נמצאים בפיקוח.
הערה
כאשר תכונה זו זמינה, Defender for Endpoint ינטר את השינויים שבוצעו בסיביות הקבצים, אך לא יסרוק אירועים אלה. לקבלת מידע נוסף, ראה סעיף תכונות סריקה מתקדמות לקבלת פרטים נוספים.
| תיאור | ערך: |
|---|---|
| מקש | enableFilePermissionEvents |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | לא זמין (ברירת מחדל) מופעלת |
| תגובות/הערות | זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך. |
קביעת תצורה של ניטור אירועי שינוי בעלות על קבצים
קובע אם אירועי בעלות על שינויים בקובץ (מטלות) פיקוח.
הערה
כאשר תכונה זו זמינה, Defender for Endpoint ינטר שינויים בבעלות הקבצים, אך לא יסרוק אירועים אלה. לקבלת מידע נוסף, ראה סעיף תכונות סריקה מתקדמות לקבלת פרטים נוספים.
| תיאור | ערך: |
|---|---|
| מקש | enableFileOwnershipEvents |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | לא זמין (ברירת מחדל) מופעלת |
| תגובות/הערות | זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך. |
קביעת תצורה של ניטור אירועי Socket גולמיים
קובע אם נעשה ניטור של אירועי שקע רשת הכוללים יצירה של שקעים גולמיים/שקעי מנות, או הגדרת אפשרות Socket.
הערה
תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.
הערה
כאשר תכונה זו זמינה, Defender for Endpoint ינטר אירועים אלה של שקע רשת, אך לא יסרוק אירועים אלה. לקבלת מידע נוסף, ראה סעיף תכונות סריקה מתקדמות לעיל לקבלת פרטים נוספים.
| תיאור | ערך: |
|---|---|
| מקש | enableRawSocketEvent |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | לא זמין (ברירת מחדל) מופעלת |
| תגובות/הערות | זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך. |
קביעת תצורה של ניטור של אירועי טוען האתחול
קובע אם מנטרים ונסרקים אירועים של טוען האתחול.
הערה
תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.
| תיאור | ערך: |
|---|---|
| מקש | enableBootLoaderCalls |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | לא זמין (ברירת מחדל) מופעלת |
| תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 101.68.80 ואילך. |
קביעת תצורה של ניטור אירועי ptrace
קובע אם מנטרים ונסרקים אירועי ptrace.
הערה
תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.
| תיאור | ערך: |
|---|---|
| מקש | enableProcessCalls |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | לא זמין (ברירת מחדל) מופעלת |
| תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 101.68.80 ואילך. |
קביעת תצורה של ניטור של אירועי מדומה
קובע אם אירועי מדומה מנווטרים ונסרקים.
הערה
תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.
| תיאור | ערך: |
|---|---|
| מקש | enablePseudofsCalls |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | לא זמין (ברירת מחדל) מופעלת |
| תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 101.68.80 ואילך. |
קביעת תצורה של ניטור אירועי טעינת מודול באמצעות eBPF
קובע אם מנטרים אירועי טעינה של מודול באמצעות eBPF וסרוקים.
הערה
תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.
| תיאור | ערך: |
|---|---|
| מקש | enableEbpfModuleLoadEvents |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | לא זמין (ברירת מחדל) מופעלת |
| תגובות/הערות | זמין ב- Defender עבור נקודת קצה גירסה 101.68.80 ואילך. |
דווח על אירועים חשודים של AV ל- EDR
קובע אם אירועים חשודים מהאנטי-וירוס מדווחים ל- EDR.
| תיאור | ערך: |
|---|---|
| מקש | שליחההוהוהוות |
| סוג נתונים | מחרוזת |
| ערכים אפשריים | לא זמין (ברירת מחדל) מופעלת |
| תגובות/הערות | זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך. |
תצורות הגנת רשת
ניתן להשתמש בהגדרות הבאות כדי לקבוע את התצורה של תכונות מתקדמות של בדיקת הגנת רשת כדי לשלוט בתעבורה שנבדקת על-ידי הגנת הרשת.
הערה
כדי שההגנה על הרשת תהיה יעילה, יש להפעיל אותה. לקבלת מידע נוסף, ראה הפעלת הגנת רשת עבור Linux.
| תיאור | ערך: |
|---|---|
| מקש | NetworkProtection |
| סוג נתונים | מילון (העדפה מקוננת) |
| תגובות/הערות | עיין בסעיפים הבאים לקבלת תיאור של תוכן המילון. |
קביעת תצורה של בדיקת ICMP
קובע אם אירועי ICMP נמצאים בפיקוח ובסריקה.
הערה
תכונה זו ישימה רק כאשר ניטור אופן פעולה זמין.
| תיאור | ערך: |
|---|---|
| מקש | disableIcmpInspection |
| סוג נתונים | בוליאני |
| ערכים אפשריים | true (ברירת מחדל) False |
| תגובות/הערות | זמין ב- Defender for Endpoint גירסה 101.23062.0010 ואילך. |
פרופיל תצורה מומלץ
כדי להתחיל, אנו ממליצים על פרופיל התצורה הבא עבור הארגון שלך כדי לנצל את כל תכונות ההגנה שמספק Defender for Endpoint.
פרופיל התצורה הבא:
- הפוך הגנה בזמן אמת (RTP) לזמינה
- ציין כיצד מטפלים בסוגי האיומים הבאים:
- יישומים שעלולים להיות בלתי רצויים (PUA) חסומים
- פצצות ארכיון (קובץ עם קצב דחיסה גבוהה) מביקורות ליומני המוצרים
- הפוך עדכוני בינת אבטחה אוטומטיים לזמינים
- הפוך הגנה מבוססת ענן לזמינה
- הפוך שליחת דוגמאות אוטומטית לזמינה ברמה
safe
פרופיל לדוגמה
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
דוגמה לפרופיל תצורה מלא
פרופיל התצורה הבא מכיל ערכים עבור כל ההגדרות המתוארות במסמך זה, ובאפשרותך להשתמש בו עבור תרחישים מתקדמים יותר שבהם ברצונך לקבל שליטה נוספת על המוצר.
הערה
לא ניתן לשלוט בכל ההודעות Microsoft Defender עבור נקודת קצה רק בהגדרת Proxy ב- JSON זה.
פרופיל מלא
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
הוספת תגית או מזהה קבוצה לפרופיל התצורה
בעת הפעלת הפקודה mdatp health בפעם הראשונה, הערך עבור התג ומזהה הקבוצה יהיה ריק. כדי להוסיף לקובץ תגית או מזהה קבוצה mdatp_managed.json , בצע את השלבים הבאים:
- פתח את פרופיל התצורה מהנתיב
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json. - עבור אל החלק התחתון של הקובץ, שבו ממוקם
cloudServiceהבלוק. - הוסף את התג או מזהה הקבוצה הדרושים כדוגמה הבאה בסוף הסוגר המסולסל הסוגר עבור
cloudService.
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
הערה
הוסף את פסיק אחרי הסוגר המסולסל הסוגר בסוף הבלוק cloudService . כמו כן, ודא שקיימים שני סוגריים מסולסלים סוגרים לאחר הוספת בלוק תגית או מזהה קבוצה (עיין בדוגמה לעיל). בשלב זה, שם המפתח הנתמך היחיד עבור תגיות הוא GROUP.
אימות פרופיל תצורה
פרופיל התצורה חייב להיות קובץ בתבנית JSON חוקי. קיימים כלים רבים שניתן להשתמש בהם כדי לאמת זאת. לדוגמה, אם python התקנת במכשיר שלך:
python -m json.tool mdatp_managed.json
אם ה- JSON במבנה תקין, הפקודה לעיל תפלט אותו בחזרה למסוף ותחזיר קוד יציאה של 0. אחרת, מוצגת שגיאה המתארת את הבעיה והפקודה מחזירה קוד יציאה של 1.
מוודא שהקובץ mdatp_managed.json פועל כצפוי
כדי לוודא ש- /etc/opt/microsoft/mdatp/managed/mdatp_managed.json פועל כראוי, אתה אמור לראות "[managed]" לצד הגדרות אלה:
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
הערה
לא נדרשת הפעלה מחדש של mdatp Daemon כדי שהשינויים ברוב התצורות mdatp_managed.json ייכנסו לתוקף. חריגה: התצורות הבאות דורשות הפעלה מחדש של Daemon כדי להיכנס לתוקף:
- אבחון ענן
- פרמטרים של סיבוב יומן רישום
פריסת פרופיל תצורה
לאחר שתבנת את פרופיל התצורה עבור הארגון שלך, תוכל לפרוס אותו באמצעות כלי הניהול שבו הארגון שלך משתמש. Defender for Endpoint on Linux מקריא את התצורה המנוהלת מקובץ /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור