Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Végponthoz készült Microsoft Defender a Linux víruskereső, kártevőirtó, végpontészlelési és reagálási képességeket tartalmaz. Ez a cikk összefoglalja a konfigurálni kívánt fontos biztonsági beállításokat, és hivatkozásokat tartalmaz más erőforrásokra.
| Beállítások | Leírás |
|---|---|
| 1. Konfigurálja a statikus proxyfelderítést. | A statikus proxy konfigurálása segít biztosítani a telemetriai adatok elküldését, és segít elkerülni a hálózati időtúllépéseket. Ezt a feladatot a Végponthoz készült Defender telepítése során és után hajthatja végre. További információ: Végponthoz készült Microsoft Defender konfigurálása Linux statikus proxyfelderítéshez. |
| 2. Konfigurálja a víruskereső vizsgálatokat. | Az automatikus víruskereső-vizsgálatokat a beépített ütemezett vizsgálati beállításokkal, vagy az Anacron vagy a Crontab használatával ütemezheti. További információért olvassa el az alábbi témaköröket: |
| 3. Konfigurálja a biztonsági beállításokat és szabályzatokat. | Az Microsoft Defender portál (Végponthoz készült Defender biztonsági beállítások kezelése) vagy egy konfigurációs profil (.jsonfájl) használatával konfigurálhatja a Végponthoz készült Defendert a Linux. Vagy a parancssor használatával konfigurálhat bizonyos beállításokat. További információért olvassa el az alábbi témaköröket: |
| 4. Kizárások konfigurálása és ellenőrzése (szükség szerint) | Bizonyos fájlokat, mappákat, folyamatokat és folyamatmegnyitási fájlokat kizárhat a Végponthoz készült Defenderből a Linux. A globális kizárások a valós idejű védelemre (RTP), a viselkedésmonitorozásra (BM), valamint a végpontészlelésre és -válaszra (EDR) vonatkoznak, így a kizárt elem összes kapcsolódó víruskereső-észlelése, EDR-riasztása és láthatósága leáll. További információért lásd: A Végponthoz készült Microsoft Defender kizárásainak konfigurálása és érvényesítése Linuxon. |
| 5. Konfigurálja az eBPF-alapú érzékelőt. | A kiterjesztett Berkeley csomagszűrő (eBPF) az Linux Végponthoz készült Microsoft Defender esetében alapértelmezés szerint minden ügyfél számára engedélyezve van az ügynökverziók és újabb verziók 101.23082.0006 esetében. Kiegészítő eseményadatokat biztosít Linux operációs rendszerekhez, és segít csökkenteni az alkalmazások közötti ütközések lehetőségét. További információ: EBPF-alapú érzékelő használata Végponthoz készült Microsoft Defender Linux. |
| 6. Offline biztonságiintelligencia-frissítés konfigurálása (szükség szerint) | Az offline biztonságiintelligencia-frissítés lehetővé teszi, hogy biztonságiintelligencia-frissítéseket konfiguráljon Linux olyan kiszolgálókhoz, ahol nincs internetkapcsolat. Beállíthat egy helyi üzemeltetési kiszolgálót ("tükörkiszolgálót"), amely csatlakozhat a Microsoft-felhőhöz az aláírások letöltéséhez. Más Linux végpontok előre meghatározott időközönként lekérhetik a frissítéseket a tükrözött kiszolgálóról. További információ: Offline biztonságiintelligencia-frissítés konfigurálása Végponthoz készült Microsoft Defender Linux. |
| 7. Frissítések telepítése. | A Microsoft rendszeresen tesz közzé szoftverfrissítéseket a teljesítmény, a biztonság és az új funkciók biztosítása érdekében. További információ: Frissítések telepítése Végponthoz készült Microsoft Defender Linux-en. |
| 8. Hálózatvédelem konfigurálása (előzetes verzió) | A hálózatvédelem segít megakadályozni, hogy a felhasználók bármilyen alkalmazást használjanak olyan veszélyes tartományok eléréséhez, amelyek adathalászatokat, biztonsági réseket és más kártékony tartalmakat tárolhatnak az interneten. További információ: Hálózatvédelem Linux. |
Fontos
Ha több biztonsági megoldást szeretne egymás mellett futtatni, tekintse meg a teljesítménnyel, konfigurációval és támogatással kapcsolatos szempontokat ismertető cikket.
Előfordulhat, hogy már konfigurálta a kölcsönös biztonsági kizárásokat a Végponthoz készült Microsoft Defender előkészített eszközökhöz. Ha továbbra is kölcsönös kizárásokat kell beállítania az ütközések elkerülése érdekében, tekintse meg az Végponthoz készült Microsoft Defender hozzáadása a meglévő megoldás kizárási listájához című témakört.
A biztonsági beállítások konfigurálásának lehetőségei
A végponthoz készült Defender biztonsági beállításainak Linux történő konfigurálásához két fő lehetőség közül választhat:
A Microsoft Defender portál használata (Végponthoz készült Defender biztonsági beállításainak kezelése)
vagy
Konfigurációs profil használata
A parancssor használatával konkrét beállításokat konfigurálhat, diagnosztikát gyűjthet, vizsgálatokat futtathat stb. További információ: Linux erőforrások: Konfigurálás parancssor használatával.
Végponthoz készült Defender biztonsági beállításainak kezelése
A Végponthoz készült Defendert az Microsoft Defender portálonhttps://security.microsoft.com konfigurálhatja Linux a Végponthoz készült Defender biztonsági beállítások kezelésével. A biztonsági szabályzatok létrehozásával, szerkesztésével és ellenőrzésével kapcsolatos további információkért lásd: Végponthoz készült Microsoft Defender biztonsági beállítások kezelése Microsoft Defender víruskereső kezeléséhez.
Konfigurációs profil
A Végponthoz készült Defender beállításait egy fájlokat használó .json konfigurációs profilon keresztül konfigurálhatja Linux. Miután beállította a profilját, üzembe helyezheti azt a választott felügyeleti eszközzel. A vállalat által kezelt beállítások elsőbbséget élveznek az eszközön helyileg beállított beállításokkal szemben.
Más szóval a vállalat felhasználói nem tudják módosítani az ezen a konfigurációs profilon keresztül beállított beállításokat. Ha a kizárások a felügyelt konfigurációs profilon keresztül lettek hozzáadva, csak a felügyelt konfigurációs profilon keresztül távolíthatók el. A parancssor helyileg hozzáadott kizárások esetén működik.
Ez a cikk ismerteti ennek a profilnak a szerkezetét (beleértve az első lépésekhez használható ajánlott profilt), valamint a profil üzembe helyezésére vonatkozó utasításokat.
Konfigurációs profil struktúrája
A konfigurációs profil egy .json olyan fájl, amely egy kulcs által azonosított bejegyzésekből áll (amely a preferencia nevét jelöli), majd egy értékből, amely a preferencia jellegétől függ. Az értékek lehetnek egyszerűek (például numerikus értékek) vagy összetettek (például a beállítások beágyazott listája).
Általában egy konfigurációkezelő eszközzel küld le egy nevű mdatp_managed.json fájlt a helyre /etc/opt/microsoft/mdatp/managed/.
A konfigurációs profil legfelső szintje termékszintű beállításokat és bejegyzéseket tartalmaz a termék alterületeihez, amelyeket a következő szakaszok részletesebben ismertetnek.
Ajánlott konfigurációs profil
Ez a szakasz két példa konfigurációs profilra:
- Mintaprofil az ajánlott beállítások használatának megkezdéséhez.
- Teljes konfigurációs profil példa olyan szervezetek számára, akik részletesebben szeretnék szabályozni a biztonsági beállításokat.
Első lépésként javasoljuk, hogy használja a szervezet első mintaprofilját. A részletesebb szabályozáshoz használhatja a teljes konfigurációs profil példáját .
Mintaprofil
Az alábbi konfigurációs profil segít kihasználni a Végponthoz készült Defender fontos védelmi funkcióit Linux. A profil a következő konfigurációt tartalmazza:
- Valós idejű védelem (RTP) engedélyezése.
- Adja meg a következő fenyegetéstípusok kezelési módját:
- A potenciálisan nemkívánatos alkalmazások (PUA) le vannak tiltva.
- Archívum bombák (magas tömörítési sebességgel rendelkező fájlok) a terméknaplókban vannak naplózva.
- Engedélyezze az automatikus biztonságiintelligencia-frissítéseket.
- Felhőben biztosított védelem engedélyezése.
- Engedélyezze az automatikus mintaküldést a
safeszinten.
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Példa teljes konfigurációs profilra
Az alábbi konfigurációs profil a cikkben ismertetett összes beállítás bejegyzéseit tartalmazza, és olyan speciálisabb forgatókönyvekhez használható, ahol nagyobb kontrollt szeretne.
{
"antivirusEngine":{
"enforcementLevel":"passive",
"behaviorMonitoring": "disabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"enableFileHashComputation": false,
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
],
"scanFileModifyPermissions":true,
"scanFileModifyOwnership":false,
"scanNetworkSocketEvent":false,
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
"offlineDefinitionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate":"disabled",
"scheduledScan": "enabled"
},
"scheduledScan":{
"weeklyConfiguration":{
"dayOfWeek": 7,
"scanType": "full",
"timeOfDay": 180
},
"dailyConfiguration":{
"timeOfDay": 180
},
"runScanWhenIdle": true,
"lowPriorityScheduledScan": true,
"checkForDefinitionsUpdate": true,
"ignoreExclusions": false,
"randomizeScanStartTime": 3
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
"definitionUpdatesInterval":28800
},
"features":{
"moduleLoad":"disabled",
"supplementarySensorConfigurations":{
"enableFilePermissionEvents":"disabled",
"enableFileOwnershipEvents":"disabled",
"enableRawSocketEvent":"disabled",
"enableBootLoaderCalls":"disabled",
"enableProcessCalls":"disabled",
"enablePseudofsCalls":"disabled",
"enableEbpfModuleLoadEvents":"disabled",
"sendLowfiEvents":"disabled"
},
"ebpfSupplementaryEventProvider":"enabled",
"offlineDefinitionUpdateVerifySig": "disabled"
},
"networkProtection":{
"enforcementLevel":"disabled",
"disableIcmpInspection":true
},
"edr":{
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Víruskereső, kártevőirtó és EDR-beállítások a Végponthoz készült Defenderben a Linux
Akár konfigurációs profilt (.json fájlt) vagy Microsoft Defender portált (Biztonsági beállítások kezelése) használ, konfigurálhatja a víruskereső, kártevőirtó és EDR beállításait a Végponthoz készült Defenderben a Linux. A következő szakaszok a beállítások konfigurálásának helyét és módját ismertetik.
Víruskereső motor beállításai
A konfigurációs profil antivirusEngine szakasza kezeli a termék víruskereső összetevőjének beállításait.
| Leírás | JSON-érték | A Defender portál értéke |
|---|---|---|
| Kulcs | antivirusEngine |
Víruskereső motor |
| Adattípus | Szótár (beágyazott beállítás) | Összecsukott szakasz |
A szótár tartalmának és szabályzattulajdonságainak leírását az alábbi alszakaszokban tekinti meg.
Kényszerítési szint Microsoft Defender víruskeresőhöz
Megadja a víruskereső motor kényszerítési beállítását. A kényszerítési szint beállításának három értéke van:
Fontos
Egyszerre csak egy kényszerítési szint konfigurálható. Konfigurálhatja a passive vagy real-time a módot, de mindkettőt nem.
Valós idejű (
real_time): A valós idejű védelem (a fájlok módosításakor beolvasása) engedélyezve van.Igény szerinti (
on_demand): Files csak igény szerint vizsgálnak:- A valós idejű védelem ki van kapcsolva.
- A definíciófrissítések csak a vizsgálat indításakor történnek, még akkor is, ha
automaticDefinitionUpdateEnabledigény szerinti módban van beállítvatrue.
Passzív (
passive): Passzív módban futtatja a víruskereső motort:- A valós idejű védelem ki van kapcsolva. Microsoft Defender víruskereső nem orvosolja a fenyegetéseket.
- Az igény szerinti vizsgálat be van kapcsolva. A vizsgálati képességek továbbra is elérhetők az eszközön.
- Az automatikus fenyegetés-szervizelés ki van kapcsolva. A rendszer nem helyez át fájlokat, és a biztonsági rendszergazdának el kell végeznie a szükséges lépéseket.
- A biztonságiintelligencia-frissítések be vannak kapcsolva. A riasztások a biztonsági rendszergazda szervezetében érhetők el.
- A definíciófrissítések csak a vizsgálat indításakor történnek, még akkor is, ha
automaticDefinitionUpdateEnabledértékretruevan állítva. -
A végpontészlelés és -válasz (EDR) be van kapcsolva. Az eszköz parancsának kimenete
mdatp healtha tulajdonságnálengine_load_versionjelenik megengine not loaded. A motor a víruskeresőhöz kapcsolódik, nem az EDR-hez.
Annak ellenőrzéséhez, hogy engedélyezve van-e a valós idejű védelem az eszközön, futtassa a következőt:
mdatp health --field real_time_protection_enabled
Megjegyzés:
- Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában
101.10.72. - A verzióban vagy újabb verzióban
101.23062.0001az alapértelmezett érték .passiveA korábbi verziókban az alapértelmezett érték a voltreal_time. - Azt is javasoljuk, hogy a követelményeknek megfelelően ütemezett vizsgálatokat használjunk.
Viselkedésfigyelés engedélyezése vagy letiltása (ha az RTP engedélyezve van)
Fontos
Ez a funkció csak akkor működik, ha a kényszerítési szint .real-time
Meghatározza, hogy a viselkedésfigyelés és a blokkolási képesség engedélyezve van-e vagy le van-e tiltva az eszközön.
| Leírás | JSON-érték | A Defender portál értéke |
|---|---|---|
| Kulcs | behaviorMonitoring | Viselkedésfigyelés engedélyezése |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek |
disabled (alapértelmezett) enabled |
Nincs konfigurálva Letiltva (alapértelmezett) Engedélyezve. |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.45.00 .
Vizsgálat futtatása a definíciók frissítése után
Fontos
Ez a funkció csak akkor működik, ha a kényszerítési szint értéke real-time.
Meghatározza, hogy elindítsa-e a folyamatvizsgálatot az új biztonságiintelligencia-frissítések eszközre való letöltése után. Ennek a beállításnak az engedélyezése elindítja az eszköz futó folyamatainak víruskereső vizsgálatát.
| Leírás | JSON-érték | A Defender portál értéke |
|---|---|---|
| Kulcs | scanAfterDefinitionUpdate |
Vizsgálat engedélyezése definíciófrissítés után |
| Adattípus | Logikai | Legördülő |
| Lehetséges értékek |
true (alapértelmezett) false |
Not configuredDisabledEnabled (Alapértelmezett) |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.45.00 .
Archívumok vizsgálata (csak igény szerinti víruskereső vizsgálatok esetén)
Meghatározza, hogy az igény szerinti víruskereső vizsgálatok során beolvassa-e az archívumokat.
| Leírás | JSON-érték | A Defender portál értéke |
|---|---|---|
| Kulcs | scanArchives |
Archívumok vizsgálatának engedélyezése |
| Adattípus | Logikai | Legördülő |
| Lehetséges értékek |
true (alapértelmezett) false |
Nincs konfigurálva Letiltva Engedélyezve (alapértelmezett) |
Megjegyzés:
- Végponthoz készült Microsoft Defender verzióban vagy újabb verzióban
101.45.00érhető el. - Archívum fájlok soha nem lesznek beolvasva RTP közben. Files kinyerése után a rendszer ellenőrzi az archívumban. A scanArchives beállítás csak az igény szerinti vizsgálatok során kényszeríti az archív vizsgálatot.
Párhuzamosság foka igény szerinti vizsgálatokhoz
Az igény szerinti vizsgálatok párhuzamossági fokát határozza meg. Ez a beállítás a vizsgálat által használt processzorszálak számának felel meg. Ez a beállítás befolyásolja a processzorhasználatot és az igény szerinti vizsgálatok időtartamát.
| Leírás | JSON-érték | A Defender portál értéke |
|---|---|---|
| Kulcs | maximumOnDemandScanThreads |
maximális igény szerinti vizsgálati szálak |
| Adattípus | Egész | & egész szám váltása |
| Lehetséges értékek |
2 (alapértelmezett). Az engedélyezett értékek a és 64a közötti 1 egész számok. |
Not Configured (Alapértelmezett kapcsoló az alapértelmezett értékről a értékre 2)Configured(kapcsoló) és egész szám között és 64között1. |
Megjegyzés:
Végponthoz készült Microsoft Defender verzióban vagy újabb verzióban 101.45.00 érhető el.
Kizárási egyesítési szabályzat
Megjegyzés:
Javasoljuk, hogy konfigurálja a kizárásokat és az egyesítési szabályzatot a exclusionSettings beállításban. Ez a megközelítés lehetővé teszi a kizárások egyetlen beállítással történő konfigurálását és global hatókörének mergePolicymeghatározásátepp. Az ebben a szakaszban szereplő beállítások csak a kizárásokra vonatkoznak, eppkivéve, ha a egyesítési szabályzata exclusionSettings a következő admin_only: .
Megadja, hogy használjon-e felhasználó által meghatározott kizárásokat az eszközön. Az érvényes értékek a következők:
-
admin_only: Csak a végponthoz készült Defender szabályzat által konfigurált rendszergazdai kizárásokat használja. Ezzel az értékkel megakadályozhatja, hogy a felhasználók saját kizárásokat határozzanak meg. -
merge: Használja a rendszergazda által definiált és a felhasználó által definiált kizárások kombinációját.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | exclusionsMergePolicy |
Kizárások egyesítése |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek |
merge (alapértelmezett)admin_only |
Not configuredmerge (Alapértelmezett)admin_only |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 100.83.73 .
Kizárások vizsgálata
A vizsgálatokból kizárt entitások. A kizárásokat elemek tömbjeként kell megadnia. A rendszergazdák tetszőleges sorrendben tetszőleges számú elemet adhatnak meg. A kizárásokat teljes elérési utak, bővítmények vagy fájlnevek használatával adhatja meg.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | exclusions |
Kizárások vizsgálata |
| Adattípus | Szótár (beágyazott beállítás) | Dinamikus tulajdonságok listája |
A szótár tartalmának leírását az alábbi alszakaszokban tekinti meg.
Kizárás típusa
A vizsgálatokból kizárt tartalom típusát adja meg.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | $type |
Típus |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek | excludedPath excludedFileExtension excludedFileName |
Elérési út Fájlkiterjesztés Folyamat neve |
Kizárt tartalom elérési útja
Teljes fájlelérési úttal zárja ki a tartalmat a vizsgálatból.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | Elérési út | Elérési út |
| Adattípus | Karakterlánc | Karakterlánc |
| Lehetséges értékek | érvényes elérési utak | érvényes elérési utak |
| Megjegyzések | Csak akkor alkalmazható, ha $typeexcludedPath |
Elérhető a Példány szerkesztése előugró ablakban |
Elérési út típusa (fájl/könyvtár)
Megadja, hogy az elérési út tulajdonság egy fájlra vagy könyvtárra hivatkozik-e.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | isDirectory |
Könyvtár |
| Adattípus | Logikai | Legördülő |
| Lehetséges értékek |
false (alapértelmezett) true |
EnabledDisabled |
| Megjegyzések | Csak akkor alkalmazható, ha $typeexcludedPath |
Elérhető a Példány szerkesztése előugró ablakban |
A vizsgálatból kizárt fájlkiterjesztés
Tartalom kizárása a vizsgálatból fájlkiterjesztéssel.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | Kiterjesztés | Fájlkiterjesztés |
| Adattípus | Karakterlánc | Karakterlánc |
| Lehetséges értékek | érvényes fájlkiterjesztések | érvényes fájlkiterjesztések |
| Megjegyzések | Csak akkor alkalmazható, ha $typeexcludedFileExtension |
A példány konfigurálásának előugró ablakában érhető el |
A vizsgálatból kizárt folyamat
Egy olyan folyamatot határoz meg, amelynek minden fájltevékenysége ki van zárva a vizsgálatból. A folyamatot megadhatja név (például ) catvagy teljes elérési út (például /bin/cat: ) alapján.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | név | Fájlnév |
| Adattípus | Karakterlánc | Karakterlánc |
| Lehetséges értékek | bármely sztring | bármely sztring |
| Megjegyzések | Csak akkor alkalmazható, ha $typeexcludedFileName |
A példány konfigurálásának előugró ablakában érhető el |
Nemexec csatlakoztatások elnémítása
Az RTP viselkedését határozza meg a következőként noexecmegjelölt csatlakoztatási pontokon: . Az érvényes értékek a következők:
-
Nem némított (
unmute): A rendszer az RTP részeként ellenőrzi az összes csatlakoztatási pontot. Ez az alapértelmezett érték. -
Elnémított (
mute): A kéntnoexecmegjelölt csatlakoztatási pontok nincsenek beolvasva az RTP részeként.- Az adatbázis-kiszolgálók megtarthatják az adatbázisfájlt.
- A fájlkiszolgálók megtarthatják az adatfájl csatlakoztatási pontjait.
- A biztonsági mentés képes megtartani az adatfájl csatlakoztatási pontjait.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | nonExecMountPolicy |
non execute mount mute |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek |
unmute (alapértelmezett) mute |
Not configured unmute (Alapértelmezett) mute |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.85.27 .
Fájlrendszerek figyelése törlése
Az RTP által nem figyelt (kizárt) fájlrendszereket adja meg. A megadott fájlrendszereket a gyors, teljes és egyéni vizsgálatok továbbra is ellenőrzik Microsoft Defender víruskeresőben.
Amikor hozzáad vagy eltávolít egy fájlrendszert a nem figyelt listából, a Microsoft ellenőrzi, hogy a fájlrendszer jogosult-e az RTP általi monitorozásra (eltávolítva a listáról), vagy nem figyeli az RTP -t (hozzáadja a listához).
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | unmonitoredFilesystems |
Nem figyelt fájlrendszerek |
| Adattípus | Sztringek tömbje | Dinamikus sztringlista |
Alapértelmezés szerint az RTP a következő fájlrendszereket figyeli:
btrfsecryptfsext2ext3ext4fuseblkjfsoverlayramfsreiserfstmpfsvfatxfs
Alapértelmezés szerint az RTP nem figyeli a következő fájlrendszereket:
cifs*fusenfsnfs4*smb*
Ezeket a fájlrendszereket a gyors és a teljes vizsgálat is nem figyeli, de egyéni vizsgálatokkal vizsgálhatók.
* A fájlrendszer RTP-monitorozása jelenleg előzetes verzióban érhető el.
Ha például el szeretné távolítani nfs a nfs4 és a fájlt a nem figyelt fájlrendszerek listájáról (vagyis nfsnfs4 az RTP az ellenőrzés után figyeli azokat), frissítse a felügyelt konfigurációs fájlt a következő bejegyzéssel:
{
"antivirusEngine":{
"unmonitoredFilesystems": ["cifs","fuse","smb"]
}
}
Ha az összes bejegyzést el szeretné távolítani a nem figyelt fájlrendszerek listájából, használja a következő bejegyzést:
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Fájlkivonat számítási funkció konfigurálása
Engedélyezi vagy letiltja a végponthoz készült Defender által beolvasott fájlok kivonatszámítását. A funkció engedélyezése hatással lehet az eszköz teljesítményére. További információ: Jelölők létrehozása fájlokhoz.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | enableFileHashComputation |
Fájlkivonat-számítások engedélyezése |
| Adattípus | Logikai | Legördülő |
| Lehetséges értékek |
false (alapértelmezett) true |
Not configuredDisabled (alapértelmezett)Enabled |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.85.27 .
Engedélyezett fenyegetések
Megadja azoknak a fenyegetéseknek a nevét, amelyeket a Végponthoz készült Defender nem blokkol. Ehelyett ezek a fenyegetések futtathatók.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | allowedThreats |
Engedélyezett fenyegetések |
| Adattípus | Sztringek tömbje | Dinamikus sztringlista |
Letiltott fenyegetési műveletek
Az eszközfelhasználó által engedélyezett műveletek korlátozása fenyegetések észlelésekor. A listában szereplő műveletek nem jelennek meg a felhasználói felületen.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | disallowedThreatActions |
Letiltott fenyegetési műveletek |
| Adattípus | Sztringek tömbje | Dinamikus sztringlista |
| Lehetséges értékek |
allow (korlátozza a felhasználókat a fenyegetések engedélyezésében) restore (korlátozza a felhasználókat a fenyegetések karanténból való visszaállításában) |
allow (korlátozza a felhasználókat a fenyegetések engedélyezésében) restore (korlátozza a felhasználókat a fenyegetések karanténból való visszaállításában) |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 100.83.73 .
Fenyegetéstípus beállításai
Bizonyos fenyegetéstípusok kezelésének szabályozása.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | threatTypeSettings |
Fenyegetéstípus beállításai |
| Adattípus | Szótár (beágyazott beállítás) | Dinamikus tulajdonságok listája |
A szótár tartalmának leírását az alábbi alszakaszokban tekinti meg.
Fenyegetés típusa
Megadja a fenyegetés típusát.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | Kulcs | Fenyegetés típusa |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek | potentially_unwanted_application archive_bomb |
potentially_unwanted_application archive_bomb |
Végrehajtandó művelet
A korábban megadott fenyegetéstípusok észlelésekor végrehajtandó műveletet adja meg. Az érvényes értékek a következők:
- Naplózás: Az eszköz nem védett az ilyen típusú fenyegetésekkel szemben, de a rendszer naplózza a fenyegetésről szóló bejegyzést. Ez az érték az Alapértelmezett érték.
- Letiltás: Az eszköz védve van az ilyen típusú fenyegetésekkel szemben, és értesítést kap a Microsoft Defender portálon.
- Kikapcsolva: Az eszköz nem védett az ilyen típusú fenyegetésekkel szemben, és a rendszer semmit sem naplóz.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | Érték | Végrehajtandó művelet |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek |
audit (alapértelmezett) block off |
audit block Ki |
Fenyegetéstípus beállításainak egyesítési szabályzata
Megadja, hogy a felhasználó által definiált fenyegetéstípus-beállításokat használja-e az eszközön. Az érvényes értékek a következők:
-
admin_only: Csak rendszergazda által definiált fenyegetéstípus-beállításokat használjon. Ezzel az értékkel megakadályozhatja, hogy a felhasználók saját fenyegetéstípus-beállításokat határozzanak meg. -
merge: Használjon rendszergazda által definiált és felhasználó által definiált fenyegetéstípus-beállítások kombinációját.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | threatTypeSettingsMergePolicy |
Fenyegetéstípus beállításainak egyesítése |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek |
merge (alapértelmezett) admin_only |
Not configuredmerge (Alapértelmezett)admin_only |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 100.83.73 .
Víruskereső vizsgálati előzményeinek megőrzése (napokban)
Itt adhatja meg, hogy az eszköz vizsgálati előzményei hány napig őrzik meg az eredményeket. A régi vizsgálati eredmények törlődnek az előzményekből. A régi karanténba helyezett fájlok is törlődnek a lemezről.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | scanResultsRetentionDays |
Vizsgálati eredmények megőrzése |
| Adattípus | Karakterlánc | Kapcsoló és egész szám váltása |
| Lehetséges értékek |
90 (alapértelmezett). Az érvényes értékek 1–180 nap. |
Not configured (kikapcsolás; alapértelmezés szerint 90 nap) Configured (váltógomb) és az engedélyezett érték 1 és 180 nap között. |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.04.76 .
A víruskereső vizsgálati előzményeiben szereplő elemek maximális száma
Itt adhatja meg a vizsgálati előzményekben megtartani kívánt bejegyzések maximális számát. A bejegyzések tartalmazzák az összes igény szerinti vizsgálatot és víruskereső-észlelést.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | scanHistoryMaximumItems |
Vizsgálati előzmények mérete |
| Adattípus | Karakterlánc | Váltógomb és egész szám |
| Lehetséges értékek |
10000 (alapértelmezett). Az engedélyezett értékek elemektől 5000 elemekig érhetők el 15000 . |
Nincs konfigurálva (kikapcsolás – alapértelmezett 10000)Configured (kapcsoló) és az engedélyezett érték 5000 és 15000 elem között. |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.04.76 .
Kizárási beállítások
Megjegyzés:
A végponthoz készült Defender verziójában vagy újabb verziójában 101.24092.0001 globális kizárások érhetők el.
A exclusionSettings konfigurációs profil szakasza a Linux Végponthoz készült Microsoft Defender különböző kizárásait konfigurálja.
| Leírás | JSON-érték |
|---|---|
| Kulcs | exclusionSettings |
| Adattípus | Szótár (beágyazott beállítás) |
A szótár tartalmának leírását az alábbi szakaszokban találja.|
Megjegyzés:
- A korábban konfigurált víruskereső kizárások a felügyelt JSON antivirusEngine szakaszában továbbra is működnek.
- A víruskereső kizárásait ebben a szakaszban vagy a
antivirusEngine) szakaszban adhatja meg. Ebben a szakaszban minden más kizárási típust is hozzá kell adnia, mivel aexclusionSettingsszakasz úgy van kialakítva, hogy központilag tárolja az összes kizárási típust.
Szabályzat egyesítése
Kizárási egyesítési szabályzat
Megadja, hogy használjon-e felhasználó által meghatározott kizárásokat az eszközön. Az érvényes értékek a következők:
-
admin_only: Csak a végponthoz készült Defender szabályzat által konfigurált rendszergazdai kizárásokat használja. Ezzel az értékkel megakadályozhatja, hogy a felhasználók saját kizárásokat határozzanak meg. -
merge: Használja a rendszergazda által definiált és a felhasználó által definiált kizárások kombinációját.
Ez a beállítás az összes hatókör kizárására vonatkozik.
| Leírás | JSON-érték |
|---|---|
| Kulcs | mergePolicy |
| Adattípus | Karakterlánc |
| Lehetséges értékek |
merge (alapértelmezett) admin_only |
Megjegyzés:
A Végponthoz készült Defender 2023. szeptemberi vagy újabb verziójában érhető el.
Kizárások
A vizsgálatokból kizárt entitások. A kizárásokat elemek tömbjeként kell megadnia. A rendszergazdák tetszőleges sorrendben tetszőleges számú elemet adhatnak meg. A kizárásokat teljes elérési utak, bővítmények vagy fájlnevek használatával adhatja meg. Minden kizáráshoz megadhat egy hatókört. Az alapértelmezett hatókör a globális.
| Leírás | JSON-érték |
|---|---|
| Kulcs | exclusions |
| Adattípus | Szótár (beágyazott beállítás) |
A szótár tartalmának leírását az alábbi alszakaszokban tekinti meg.
Kizárás típusa
A vizsgálatokból kizárt tartalom típusát adja meg.
| Leírás | JSON-érték |
|---|---|
| Kulcs | $type |
| Adattípus | Karakterlánc |
| Lehetséges értékek | excludedPathexcludedFileExtension excludedFileName |
Kizárás hatóköre (nem kötelező)
A kizárt tartalom kizárási hatókörét határozza meg. Az érvényes értékek a következők:
eppglobal
Ha nem ad meg kizárási hatókört a felügyelt konfigurációban, a rendszer az értéket global használja.
Megjegyzés:
A korábban konfigurált víruskereső kizárások antivirusEngine a felügyelt JSON-fájlban továbbra is működnek a hatókörrel epp , mert azok a antivirusEngine szakaszban voltak.
| Leírás | JSON-érték |
|---|---|
| Kulcs | Hatókörök |
| Adattípus | Sztringek készlete |
| Lehetséges értékek | epp global |
Megjegyzés:
A (mdatp_managed.json) vagy a parancssori felület által korábban alkalmazott kizárásokra nincs hatással. A kizárások hatóköre az, epp hogy a antivirusEngine szakaszban voltak.
Kizárt tartalom elérési útja
Teljes fájlelérési út alapján zárja ki a tartalmat a vizsgálatokból.
| Leírás | JSON-érték |
|---|---|
| Kulcs | Elérési út |
| Adattípus | Karakterlánc |
| Lehetséges értékek | érvényes elérési utak |
| Megjegyzések | Csak akkor alkalmazható, ha $typea excludedPath. A helyettesítő karakterek nem támogatottak, ha a kizárás globális hatókörrel rendelkezik. |
Elérési út típusa (fájl/könyvtár)
Megadja, hogy az elérési út tulajdonság egy fájlra vagy könyvtárra hivatkozik-e.
Megjegyzés:
A fájlelérési útnak már léteznie kell, ha hatókörrel rendelkező global fájlkizárást ad hozzá.
| Leírás | JSON-érték |
|---|---|
| Kulcs | isDirectory |
| Adattípus | Logikai |
| Lehetséges értékek |
false (alapértelmezett) true |
| Megjegyzések | Csak akkor alkalmazható, ha $typea excludedPath. A helyettesítő karakterek nem támogatottak, ha a kizárás globális hatókörrel rendelkezik. |
A vizsgálatból kizárt fájlkiterjesztés
Tartalom kizárása fájlkiterjesztéssel végzett vizsgálatokból.
| Leírás | JSON-érték |
|---|---|
| Kulcs | Kiterjesztés |
| Adattípus | Karakterlánc |
| Lehetséges értékek | érvényes fájlkiterjesztések |
| Megjegyzések | Csak akkor alkalmazható, ha $typeki van zárvaFileExtension. Nem támogatott, ha a kizárás globális hatókörrel rendelkezik. |
A vizsgálatból kizárt folyamat
Egy folyamat által végzett összes fájltevékenység kizárása a vizsgálatokból. Az érvényes értékek a következők:
- Folyamat neve. Használja például a
catcímet. - Teljes elérési út. Használja például a
/bin/catcímet.
| Leírás | JSON-érték |
|---|---|
| Kulcs | név |
| Adattípus | Karakterlánc |
| Lehetséges értékek | bármely sztring |
| Megjegyzések | Csak akkor alkalmazható, ha $typea excludedFileName. A helyettesítő karakterek és a folyamatnevek nem támogatottak, ha a kizárás globális hatókörrel rendelkezik. Meg kell adnia a teljes elérési utat. |
Speciális vizsgálati beállítások
A következő beállításokat konfigurálhatja bizonyos speciális vizsgálati funkciók engedélyezéséhez.
Fontos
Ezeknek a funkcióknak az engedélyezése hatással lehet az eszköz teljesítményére. Az alapértelmezett értékeket ajánlottuk, hacsak a Microsoft ügyfélszolgálata másként nem javasolja.
Fájlmódosítási engedélyesemények vizsgálatának konfigurálása
Meghatározza, hogy a Végponthoz készült Defender megvizsgálja-e a fájlokat, amikor az engedélyük módosult a végrehajtott bitek beállításához.
Megjegyzés:
Ez a beállítás csak akkor értelmezhető, ha enableFilePermissionEvents engedélyezve van. További információt a cikk későbbi, Speciális választható funkciók című szakaszában talál.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | scanFileModifyPermissions |
Nem érhető el |
| Adattípus | Logikai | n/a |
| Lehetséges értékek |
false (alapértelmezett) true |
n/a |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.23062.0010 .
Fájlmódosítási tulajdonosi események vizsgálatának konfigurálása
Meghatározza, hogy a Végponthoz készült Defender megvizsgálja-e a módosított tulajdonosú fájlokat.
Megjegyzés:
Ez a beállítás csak akkor értelmezhető, ha enableFileOwnershipEvents engedélyezve van. További információt a cikk későbbi, Speciális választható funkciók című szakaszában talál.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | scanFileModifyOwnership |
Nem érhető el |
| Adattípus | Logikai | n/a |
| Lehetséges értékek |
false (alapértelmezett) true |
n/a |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.23062.0010 .
Nyers szoftvercsatorna-események vizsgálatának konfigurálása
Meghatározza, hogy a Végponthoz készült Defender megvizsgálja-e a hálózati szoftvercsatorna-eseményeket. Például:
- Nyers szoftvercsatornák/csomagfoglalatok létrehozása.
- Szoftvercsatorna-beállítások megadása.
Megjegyzés:
- Ez a beállítás csak akkor hasznos, ha a Viselkedésfigyelés engedélyezve van.
- Ez a beállítás csak akkor értelmezhető, ha
enableRawSocketEventengedélyezve van. További információt a cikk későbbi, Speciális választható funkciók című szakaszában talál.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | scanNetworkSocketEvent |
Nem érhető el |
| Adattípus | Logikai | n/a |
| Lehetséges értékek |
false (alapértelmezett) true |
n/a |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.23062.0010 .
Ütemezett vizsgálati beállítások (előzetes verzió)
A scheduledScan konfigurációs profil szakasza a beépített ütemezett víruskereső-vizsgálatokat konfigurálja. Az ütemezett vizsgálatok engedélyezéséhez állítsa a értéket antivirusEngine.scheduledScan értékre "enabled".
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.26032.0000 .
| Leírás | JSON-érték |
|---|---|
| Kulcs | scheduledScan |
| Adattípus | Szótár (beágyazott beállítás) |
A szótár tartalmának leírását az alábbi alszakaszokban tekinti meg.
Az ütemezett vizsgálat konfigurálásának részletes ismertetéséért, beleértve a biztonsági beállítások kezelési házirendjeinek és a parancssornak a használatát, olvassa el a Víruskereső vizsgálatok ütemezése Linux (előzetes verzió) című témakört.
Ütemezett vizsgálatok engedélyezése
Meghatározza, hogy engedélyezve legyenek-e az ütemezett vizsgálatok.
| Leírás | JSON-érték |
|---|---|
| Kulcs | antivirusEngine.scheduledScan |
| Adattípus | Karakterlánc |
| Lehetséges értékek |
disabled (alapértelmezett) enabled |
Heti vizsgálati konfiguráció
Heti vizsgálatot konfigurál egy adott nappal, időponttal és vizsgálattípussal.
| Leírás | JSON-érték |
|---|---|
| Kulcs | weeklyConfiguration |
| Adattípus | Szótár (beágyazott beállítás) |
A hét napja
A heti vizsgálat futtatásának napját adja meg.
| Leírás | JSON-érték |
|---|---|
| Kulcs | dayOfWeek |
| Adattípus | Egész |
| Lehetséges értékek |
0 (letiltva, alapértelmezett) 1–7 (vasárnap–szombat) 8 (minden nap) |
Vizsgálat típusa (hetente)
Megadja a heti vizsgálatok vizsgálati típusát.
| Leírás | JSON-érték |
|---|---|
| Kulcs | scanType |
| Adattípus | Karakterlánc |
| Lehetséges értékek |
quick (alapértelmezett) full |
Nap időpontja (hetente)
Meghatározza, hogy mikor fusson a heti vizsgálat. Az érték percekben van éjféltől (helyi idő).
| Leírás | JSON-érték |
|---|---|
| Kulcs | timeOfDay |
| Adattípus | Egész |
| Lehetséges értékek |
0–1440. Alapértelmezett: 120 (02:00) |
Napi vizsgálat konfigurálása
Napi gyorsvizsgálatot konfigurál egy adott időpontban minden nap.
| Leírás | JSON-érték |
|---|---|
| Kulcs | dailyConfiguration |
| Adattípus | Szótár (beágyazott beállítás) |
Nap időpontja (naponta)
Meghatározza, hogy mikor fusson a napi gyorsvizsgálat. Az érték percekben van éjféltől (helyi idő).
| Leírás | JSON-érték |
|---|---|
| Kulcs | timeOfDay |
| Adattípus | Egész |
| Lehetséges értékek |
0–1440. Alapértelmezett: 0 |
Intervallum
N óránként gyorsvizsgálatot futtat (időközalapú ütemezés).
| Leírás | JSON-érték |
|---|---|
| Kulcs | interval |
| Adattípus | Egész |
| Lehetséges értékek | Egész szám (óra).
0 = letiltva (alapértelmezett) |
Megjegyzés:
interval és timeOfDay (napi) független beállítások. Ha mindkettő konfigurálva van, külön gyorsvizsgálati ütemezést hoznak létre, és naponta több vizsgálatot eredményezhetnek.
Speciális ütemezett vizsgálati beállítások
Vizsgálat futtatása tétlen állapotban
Késlelteti a vizsgálatot, amíg a rendszer tétlen nem lesz.
| Leírás | JSON-érték |
|---|---|
| Kulcs | runScanWhenIdle |
| Adattípus | Logikai |
| Lehetséges értékek |
false (alapértelmezett) true |
Alacsony prioritású ütemezett vizsgálat
Csökkentett processzorprioritású vizsgálatokat futtat.
| Leírás | JSON-érték |
|---|---|
| Kulcs | lowPriorityScheduledScan |
| Adattípus | Logikai |
| Lehetséges értékek |
false (alapértelmezett) true |
Definíciófrissítés keresése
A vizsgálat megkezdése előtt ellenőrzi a legújabb biztonságiintelligencia-frissítéseket.
| Leírás | JSON-érték |
|---|---|
| Kulcs | checkForDefinitionsUpdate |
| Adattípus | Logikai |
| Lehetséges értékek |
false (alapértelmezett) true |
Kizárások figyelmen kívül hagyása
A konfigurált kizárások figyelembevétele nélkül futtatja a vizsgálatokat.
| Leírás | JSON-érték |
|---|---|
| Kulcs | ignoreExclusions |
| Adattípus | Logikai |
| Lehetséges értékek |
false (alapértelmezett) true |
Vizsgálat kezdési időpontjának véletlenszerűsítése
Véletlenszerűsíti a vizsgálat kezdési időpontját egy meghatározott ablakban (órákban), hogy elkerülje a több eszközön végzett egyidejű vizsgálatokat.
| Leírás | JSON-érték |
|---|---|
| Kulcs | randomizeScanStartTime |
| Adattípus | Egész |
| Lehetséges értékek |
0–23. Alapértelmezett: 0 (nincs véletlenszerűsítés) |
A felhőben biztosított védelmi beállítások
A konfigurációs profil cloudService bejegyzése konfigurálja a felhőalapú védelmi funkciót.
Megjegyzés:
A felhőben biztosított védelem minden kényszerítési szintű beállítással (real_time, vagy on_demandpassive) alkalmazható.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | cloudService |
Felhőben nyújtott védelmi beállítások |
| Adattípus | Szótár (beágyazott beállítás) | Összecsukott szakasz |
A szótár tartalmának és szabályzatbeállításainak leírását az alábbi alszakaszokban tekinti meg.
A felhőben biztosított védelem engedélyezése vagy letiltása
Adja meg, hogy engedélyezve van-e a felhőben biztosított védelem az eszközön. A biztonság javítása érdekében javasoljuk, hogy kapcsolja be ezt a funkciót.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | enabled |
Felhőben nyújtott védelem engedélyezése |
| Adattípus | Logikai | Legördülő |
| Lehetséges értékek |
true (alapértelmezett) false |
Nincs konfigurálva Letiltva Engedélyezve (alapértelmezett) |
Diagnosztikai gyűjtemény szintje
Adja meg a Microsoftnak küldött diagnosztikai adatok szintjét. További információt a Linux Végponthoz készült Microsoft Defender adatvédelmi nyilatkozatában talál.
A diagnosztikai adatok a Végponthoz készült Defender biztonságának és naprakész állapotának megőrzésére, a problémák észlelésére, diagnosztizálására és kijavítására, valamint a termékek fejlesztésére szolgálnak.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | diagnosticLevel |
Diagnosztikai adatgyűjtés szintje |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek | optional required (alapértelmezett) |
Not configuredoptional (Alapértelmezett)required |
A felhőblokk szintjének konfigurálása
Adja meg a Végponthoz készült Defender agresszivitását a gyanús fájlok blokkolása és vizsgálata során. Az érvényes értékek a következők:
-
Normál (
normal): Az alapértelmezett érték. -
Mérsékelt (
moderate): Csak a nagy megbízhatósági észlelés érdekében kézbesítse az ítéleteket. -
Magas (
high): Agresszíven blokkolja az ismeretlen fájlokat, miközben optimalizálja a teljesítményt. Ez az érték nagyobb eséllyel blokkolja a nem biztonsági mentési fájlokat. -
High Plus (
high_plus): Agresszíven blokkolhatja az ismeretlen fájlokat, és további védelmi intézkedéseket alkalmazhat. Ez az érték befolyásolhatja az ügyféleszköz teljesítményét. -
Zéró tolerancia (
zero_tolerance): Tiltsa le az összes ismeretlen programot.
Ha ez a beállítás be van kapcsolva, a Végponthoz készült Defender agresszívebb a blokkolni és megvizsgálni kívánt gyanús fájlok azonosításakor. Ellenkező esetben kevésbé agresszív, ezért kevesebb gyakorisággal blokkol és vizsgál.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | cloudBlockLevel |
A felhőblokk szintjének konfigurálása |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek |
normal (alapértelmezett) moderate high high_plus zero_tolerance |
Not configuredNormal (alapértelmezett) Moderate High High_Plus Zero_Tolerance |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.56.62 .
Automatikus mintabeküldések engedélyezése vagy letiltása
Meghatározza, hogy a rendszer gyanús mintákat (valószínűleg fenyegetéseket) küld-e a Microsoftnak. Az érvényes értékek a következők:
- Nincs: A rendszer nem küld gyanús mintákat a Microsoftnak.
- Biztonságos: A rendszer csak a személyes adatokat nem tartalmazó gyanús mintákat küldi el automatikusan. Ez az alapértelmezett érték.
- Minden: Minden gyanús minta elküldve a Microsoftnak.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | automaticSampleSubmissionConsent |
Automatikus mintabeküldések engedélyezése |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek | none safe (alapértelmezett) all |
Not configuredNoneSafe (Alapértelmezett)All |
Automatikus biztonságiintelligencia-frissítések engedélyezése vagy letiltása
Meghatározza, hogy a rendszer automatikusan telepítse-e a biztonságiintelligencia-frissítéseket.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | automaticDefinitionUpdateEnabled |
Automatikus biztonságiintelligencia-frissítések |
| Adattípus | Logikai | Legördülő |
| Lehetséges értékek |
true (alapértelmezett) false |
Not configuredDisabledEnabled (Alapértelmezett) |
A kényszerítési szinttől függően az automatikus biztonságiintelligencia-frissítések telepítése eltérő. RTP módban a frissítések rendszeres időközönként települnek. Passzív vagy Igény szerinti módban a frissítések minden vizsgálat előtt települnek.
Speciális választható funkciók
Az alábbi beállításokkal engedélyezheti bizonyos speciális opcionális funkciókat.
Fontos
Ezeknek a funkcióknak az engedélyezése hatással lehet az eszköz teljesítményére. Az alapértelmezett értékeket javasoljuk, kivéve, ha Microsoft ügyfélszolgálata másként javasolja.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | Funkciók | Nem érhető el |
| Adattípus | Szótár (beágyazott beállítás) | n/a |
A szótár tartalmának leírását az alábbi alszakaszokban tekinti meg.
Modulbetöltési funkció
Meghatározza, hogy a rendszer figyeli-e a modulbetöltési eseményeket (megosztott kódtárak fájlmegnyitási eseményeit).
Megjegyzés:
Ez a beállítás csak akkor hasznos, ha a Viselkedésfigyelés engedélyezve van.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | moduleLoad |
Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek |
disabled (alapértelmezett) enabled |
n/a |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.68.80 .
Fertőzött fájl szervizelése funkció
Meghatározza, hogy a fertőzött fájlokat megnyitó vagy betöltő fertőzött folyamatok RTP módban legyenek-e orvosolva.
Megjegyzés:
Ezek a folyamatok nem jelennek meg a fenyegetéslistában, mert nem rosszindulatúak. A THe-folyamatok csak azért állnak le, mert betöltötték a fenyegetésfájlt a memóriába.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | remediateInfectedFile | Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek | disabled (alapértelmezett) Engedélyezve |
n/a |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.24122.0001 .
Kiegészítő érzékelőkonfigurációk
Az alábbi beállításokkal konfigurálhat bizonyos speciális kiegészítő érzékelőfunkciót.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | supplementarySensorConfigurations |
Nem érhető el |
| Adattípus | Szótár (beágyazott beállítás) | n/a |
A szótár tartalmának leírását az alábbi szakaszokban találja.
Fájlmódosítási engedélyesemények monitorozásának konfigurálása
Megadja, hogy a rendszer figyeli-e a fájlmódosítási engedélyekkel (chmod) rendelkező eseményeket.
Megjegyzés:
Ha ez a funkció engedélyezve van, a Végponthoz készült Defender figyeli a végrehajtott fájlbitek módosításait, de nem vizsgálja ezeket az eseményeket. További információt a Speciális vizsgálati funkciók című szakaszban talál.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | enableFilePermissionEvents |
Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek |
disabled (alapértelmezett) enabled |
n/a |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.23062.0010 .
Fájlmódosítási tulajdonosi események monitorozásának konfigurálása
Meghatározza, hogy a rendszer figyeli-e a fájlmódosítási tulajdonosi eseményeket (chown).
Megjegyzés:
Ha ez a funkció engedélyezve van, a Végponthoz készült Defender figyeli a fájlok tulajdonjogának változásait, de nem vizsgálja ezeket az eseményeket. További információt a Speciális vizsgálati funkciók című témakörben talál.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | enableFileOwnershipEvents |
Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek |
disabled (alapértelmezett) enabled |
n/a |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.23062.0010 .
Nyers szoftvercsatorna-események monitorozásának konfigurálása
Meghatározza, hogy a rendszer monitorozza-e a nyers szoftvercsatornák/csomagcsatornák létrehozásával vagy a szoftvercsatorna beállításával kapcsolatos hálózati szoftvercsatorna-eseményeket.
Megjegyzés:
- Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
- Ha ez a funkció engedélyezve van, a Végponthoz készült Defender figyeli ezeket a hálózati szoftvercsatornás eseményeket, de nem ellenőrzi ezeket az eseményeket. További információ: Speciális vizsgálati funkciók szakasz.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | enableRawSocketEvent |
Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek |
disabled (alapértelmezett) enabled |
n/a |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.23062.0010 .|
A rendszertöltő eseményeinek monitorozásának konfigurálása
Meghatározza, hogy a rendszer monitorozza és vizsgálja-e a rendszerindítási betöltő eseményeket.
Megjegyzés:
Ez a beállítás csak akkor hasznos, ha a Viselkedésfigyelés engedélyezve van.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | enableBootLoaderCalls |
Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek |
disabled (alapértelmezett) enabled |
n/a |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.68.80 .
A ptrace-események monitorozásának konfigurálása
Meghatározza, hogy a rendszer figyeli és megvizsgálja-e a ptrace-eseményeket.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | enableProcessCalls |
Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek |
disabled (alapértelmezett) enabled |
n/a |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.68.80 .
Pszeudo-események monitorozásának konfigurálása
Meghatározza, hogy a pszeudo-események monitorozása és vizsgálata megtörtént-e.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | enablePseudofsCalls |
Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek |
disabled (alapértelmezett) enabled |
n/a |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.68.80 .
Modulbetöltési események monitorozásának konfigurálása eBPF használatával
Meghatározza, hogy a modulbetöltési eseményeket az eBPF monitorozza-e és vizsgálja-e.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | enableEbpfModuleLoadEvents |
Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek |
disabled (alapértelmezett) enabled |
n/a |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.68.80 .
Meghatározott fájlrendszerekből származó nyitott események monitorozásának konfigurálása eBPF használatával
Meghatározza, hogy a procfs nyitott eseményeit az eBPF monitorozza-e.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | enableOtherFsOpenEvents |
Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek |
disabled (alapértelmezett) enabled |
n/a |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.24072.0001 .
Események forrásbővítésének konfigurálása eBPF használatával
Megadja, hogy az események metaadatokkal legyenek-e gazdagítva az eBPF forrásánál.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | enableEbpfSourceEnrichment |
Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek |
disabled (alapértelmezett) enabled |
n/a |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.24072.0001 .
Víruskereső motor gyorsítótárának engedélyezése
Meghatározza, hogy a víruskereső motor által beolvasott események metaadatai gyorsítótárazva legyenek-e.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | enableAntivirusEngineCache |
Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek |
disabled (alapértelmezett) enabled |
n/a |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.24072.0001 .
Gyanús víruskereső események jelentése az EDR-nek
Azt adja meg, hogy a víruskereső gyanús eseményeit a rendszer jelenteni kívánja-e az EDR-nek.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | sendLowfiEvents |
Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek |
disabled (alapértelmezett) enabled |
n/a |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.23062.0010 .
Hálózatvédelmi konfigurációk
Megjegyzés:
- Ez a funkció jelenleg előzetes verzióban érhető el.
- Ezek a beállítások csak akkor értelmezhetők, ha a Hálózatvédelem be van kapcsolva. További információ: A hálózatvédelem bekapcsolása Linux.
Az alábbi beállításokkal konfigurálhatja a Hálózatvédelem által vizsgált forgalmat vezérlő speciális hálózatvédelmi vizsgálati funkciókat.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | networkProtection |
Hálózatvédelem |
| Adattípus | Szótár (beágyazott beállítás) | Összecsukott szakasz |
A szótár tartalmának leírását az alábbi alszakaszokban tekinti meg.
Kényszerítési szint
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | enforcementLevel |
Kényszerítési szint |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek |
disabled (alapértelmezett) audit block |
Not configureddisabled (alapértelmezett)auditblock |
ICMP-vizsgálat konfigurálása
Meghatározza, hogy az ICMP-események monitorozása és vizsgálata megtörtént-e.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
| Leírás | JSON-érték | Microsoft Defender portál értéke |
|---|---|---|
| Kulcs | disableIcmpInspection |
Nem érhető el |
| Adattípus | Logikai | n/a |
| Lehetséges értékek |
true (alapértelmezett) false |
n/a |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.23062.0010 .
Címke vagy csoportazonosító hozzáadása a konfigurációs profilhoz
A parancs első futtatásakor a mdatp health címke- és csoportazonosító-értékek üresek. Ha címkét vagy csoportazonosítót szeretne hozzáadni a mdatp_managed.json fájlhoz, kövesse az alábbi lépéseket:
Nyissa meg a konfigurációs profilt az elérési útról
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json.cloudServiceA fájl alján található blokkban adja hozzá a szükséges címkét vagy csoportazonosítót a blokk záró kapcsos zárójelének végéhez azcloudServicealábbi példában látható módon.}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }Megjegyzés:
- Adjon hozzá egy vesszőt a blokk végén
cloudServicetalálható záró kapcsos zárójel után. - Ellenőrizze, hogy két záró kapcsos zárójel van-e a hozzáadás vagy
groupIdsa blokkok hozzáadásatagsután, ahogy az a példában látható. - Jelenleg a címkék egyetlen támogatott kulcsneve a
GROUP.
- Adjon hozzá egy vesszőt a blokk végén
Konfigurációs profil érvényesítése
A konfigurációs profilnak érvényes JSON-formátumú fájlnak kell lennie. Számos eszköz áll rendelkezésre a konfigurációs profil ellenőrzéséhez. Ha például telepítette az eszközt, futtassa a következő parancsot python :
python -m json.tool mdatp_managed.json
Ha a fájl megfelelően van formázva, a parancs a kilépési kódot 0adja vissza. Ellenkező esetben hibák jelennek meg, és a parancs a kilépési kódot 1adja vissza.
Annak ellenőrzése, hogy a mdatp_managed.json fájl a várt módon működik-e
A megfelelő működés ellenőrzéséhez /etc/opt/microsoft/mdatp/managed/mdatp_managed.json a következő beállítások mellett kell megjelennie [managed] :
cloud_enabledcloud_automatic_sample_submission_consentpassive_mode_enabledreal_time_protection_enabledautomatic_definition_update_enabled
Tipp
A legtöbb konfigurációjához mdatp_managed.jsonnem kell újraindítania az mdatp démont. A következő konfigurációkhoz a démon újraindítása szükséges a érvénybe lépéshez:
cloud-diagnosticlog-rotation-parameters
Konfigurációs profil üzembe helyezése
Miután létrehozta a konfigurációs profilt a szervezet számára, üzembe helyezheti azt a jelenlegi felügyeleti eszközeivel. A Végponthoz készült Defender az Linux a felügyelt konfigurációt a következőből olvassa be: /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.