Végponthoz készült Microsoft Defender beállítása Linux rendszeren
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Fontos
Ez a cikk útmutatást tartalmaz a Végponthoz készült Defender beállításainak beállításához Linux rendszeren vállalati környezetekben. Ha a parancssorból szeretné konfigurálni a terméket egy eszközön, tekintse meg az Erőforrások című témakört.
Vállalati környezetekben a Végponthoz készült Defender Linuxon egy konfigurációs profilon keresztül kezelhető. Ez a profil az Ön által választott felügyeleti eszközből lesz üzembe helyezve. A vállalat által kezelt beállítások elsőbbséget élveznek az eszközön helyileg beállított beállításokkal szemben. Más szóval a vállalat felhasználói nem tudják módosítani az ezen a konfigurációs profilon keresztül beállított beállításokat. Ha a kizárások a felügyelt konfigurációs profilon keresztül lettek hozzáadva, csak a felügyelt konfigurációs profilon keresztül távolíthatók el. A parancssor helyileg hozzáadott kizárások esetén működik.
Ez a cikk ismerteti ennek a profilnak a szerkezetét (beleértve az első lépésekhez használható ajánlott profilt), valamint a profil üzembe helyezésére vonatkozó utasításokat.
Konfigurációs profil struktúrája
A konfigurációs profil egy .json olyan fájl, amely egy kulcs által azonosított bejegyzésekből áll (amely a preferencia nevét jelöli), majd egy értékből, amely a preferencia jellegétől függ. Az értékek lehetnek egyszerűek, például numerikus értékek vagy összetettek, például a beállítások beágyazott listája.
Általában egy konfigurációkezelő eszközzel kell leküldnie egy nevű fájlt mdatp_managed.json a helyen /etc/opt/microsoft/mdatp/managed/.
A konfigurációs profil legfelső szintje termékszintű beállításokat és bejegyzéseket tartalmaz a termék alterületeihez, amelyeket a következő szakaszok részletesebben ismertetnek.
Víruskereső motor beállításai
A konfigurációs profil antivirusEngine szakasza a termék víruskereső összetevőjének beállításainak kezelésére szolgál.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | antivirusEngine | Víruskereső motor |
| Adattípus | Szótár (beágyazott beállítás) | Összecsukott szakasz |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. | A szabályzattulajdonságok leírását az alábbi szakaszokban találja. |
A víruskereső motor kényszerítési szintje
Megadja a víruskereső motor kényszerítési beállítását. A kényszerítési szint beállításának három értéke van:
- Valós idejű (
real_time): A valós idejű védelem (a fájlok módosításakor beolvasása) engedélyezve van. - Igény szerinti (
on_demand): A fájlok vizsgálata csak igény szerint lehetséges. Ebben:- A valós idejű védelem ki van kapcsolva.
- A definíciófrissítések csak a vizsgálat indításakor történnek, még akkor is, ha
automaticDefinitionUpdateEnabledigény szerinti módban van beállítvatrue.
- Passzív (
passive): Passzív módban futtatja a víruskereső motort. Ebben az esetben a következők érvényesek:- A valós idejű védelem ki van kapcsolva: A fenyegetéseket nem orvosolja Microsoft Defender víruskereső.
- Az igény szerinti vizsgálat be van kapcsolva: Továbbra is használja a vizsgálati képességeket a végponton.
- A fenyegetés automatikus szervizelése ki van kapcsolva: A rendszer nem helyez át fájlokat, és a biztonsági rendszergazdának meg kell tennie a szükséges lépéseket.
- A biztonságiintelligencia-frissítések be vannak kapcsolva: A riasztások a biztonsági rendszergazda bérlőjében érhetők el.
- A definíciófrissítések csak a vizsgálat indításakor történnek, még akkor is, ha
automaticDefinitionUpdateEnabledpasszív módban van beállítvatrue.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | enforcementLevel | Kényszerítési szint |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek | real_timeon_demandpassive (alapértelmezett) |
Nincs konfigurálva Valós idejű OnDemand Passzív (alapértelmezett) |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.10.72 . Az alapértelmezett érték a Végponthoz készült Defender verziójában vagy újabb verziójában 101.23062.0001 módosul real_timepassive.
Javasoljuk, hogy igény szerint ütemezett vizsgálatokat is használjon.
Viselkedésfigyelés engedélyezése/letiltása
Meghatározza, hogy a viselkedésfigyelés és a blokkolási képesség engedélyezve van-e az eszközön.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | behaviorMonitoring | Viselkedésfigyelés engedélyezése |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek |
disabled (alapértelmezett) |
Nincs konfigurálva Letiltva (alapértelmezett) Engedélyezve. |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.45.00 .
Ez a funkció csak akkor alkalmazható, ha a valós idejű védelem engedélyezve van.
Vizsgálat futtatása a definíciók frissítése után
Meghatározza, hogy elindítsa-e a folyamatvizsgálatot az új biztonságiintelligencia-frissítések eszközre való letöltése után. Ennek a beállításnak az engedélyezése elindítja az eszköz futó folyamatainak víruskereső vizsgálatát.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | scanAfterDefinitionUpdate | Vizsgálat engedélyezése definíciófrissítés után |
| Adattípus | Logikai | Legördülő |
| Lehetséges értékek |
true (alapértelmezett) |
Nincs konfigurálva Letiltva Engedélyezve (alapértelmezett) |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.45.00 .
Ez a funkció csak akkor működik, ha a kényszerítési szint értéke real-time.
Archívumok vizsgálata (csak igény szerinti víruskereső vizsgálatok esetén)
Meghatározza, hogy az igény szerinti víruskereső vizsgálatok során beolvassa-e az archívumokat.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | scanArchives | Archívumok vizsgálatának engedélyezése |
| Adattípus | Logikai | Legördülő |
| Lehetséges értékek |
true (alapértelmezett)
|
Nincs konfigurálva Letiltva Engedélyezve (alapértelmezett) |
Megjegyzés:
Végponthoz készült Microsoft Defender verzióban vagy újabb verzióban 101.45.00 érhető el.
Az archív fájlokat a rendszer soha nem ellenőrzi a valós idejű védelem során. Az archívumban lévő fájlok kibontásakor a rendszer ellenőrzi őket. A scanArchives lehetőséggel az archívumok vizsgálata csak igény szerinti vizsgálat során kényszeríthető.
Párhuzamosság foka igény szerinti vizsgálatokhoz
Az igény szerinti vizsgálatok párhuzamossági fokát határozza meg. Ez megfelel a vizsgálat végrehajtásához használt szálak számának, és hatással van a processzorhasználatra, valamint az igény szerinti vizsgálat időtartamára.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | maximumOnDemandScanThreads | maximális igény szerinti vizsgálati szálak |
| Adattípus | Egész szám | & egész szám váltása |
| Lehetséges értékek | 2 (alapértelmezett). Az engedélyezett értékek 1 és 64 közötti egész számok. | Nincs konfigurálva (Az alapértelmezett váltógomb alapértelmezett értéke 2) Konfigurálva (kapcsoló) és egész szám 1 és 64 között. |
Megjegyzés:
Végponthoz készült Microsoft Defender verzióban vagy újabb verzióban 101.45.00 érhető el.
Kizárási egyesítési szabályzat
A kizárások egyesítési szabályzatát határozza meg. Ez lehet rendszergazda által definiált és felhasználó által definiált kizárások (merge) vagy csak rendszergazda által definiált kizárások (admin_only) kombinációja. A rendszergazda által definiált (admin_only) kizárások, amelyeket a Végponthoz készült Defender szabályzata konfigurál. Ezzel a beállítással korlátozhatja a helyi felhasználókat a saját kizárásuk meghatározásában.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | exclusionsMergePolicy | Kizárások egyesítése |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek |
merge (alapértelmezett)
|
Nincs konfigurálva egyesítés (alapértelmezett) admin_only |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 100.83.73 .
A kizárások a exclusionSettings alatt is konfigurálhatók
Kizárások vizsgálata
A vizsgálatból kizárt entitások. A kizárások megadhatóak teljes elérési utakkal, kiterjesztésekkel vagy fájlnevekkel. (A kizárások elemtömbként vannak megadva, a rendszergazda tetszőleges sorrendben annyi elemet adhat meg, amennyi szükséges.)
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | Kizárások | Kizárások vizsgálata |
| Adattípus | Szótár (beágyazott beállítás) | Dinamikus tulajdonságok listája |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
Kizárás típusa
A vizsgálatból kizárt tartalom típusát adja meg.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | $type | Típus |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek | excludedPath
|
Elérési út Fájlkiterjesztés Folyamat neve |
Kizárt tartalom elérési útja
A teljes fájlelérési úttal kizárja a tartalmat a vizsgálatból.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | ösvény | Elérési út |
| Adattípus | Karakterlánc | Karakterlánc |
| Lehetséges értékek | érvényes elérési utak | érvényes elérési utak |
| Megjegyzések | Csak akkor alkalmazható, ha $typeexcludedPath | Elérhető a Példány szerkesztése előugró ablakban |
Elérési út típusa (fájl/könyvtár)
Azt jelzi, hogy az elérési út tulajdonság egy fájlra vagy könyvtárra hivatkozik-e.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | isDirectory | Könyvtár |
| Adattípus | Logikai | Legördülő |
| Lehetséges értékek |
false (alapértelmezett)
|
Engedélyezve. Letiltva |
| Megjegyzések | Csak akkor alkalmazható, ha $typeexcludedPath | Elérhető a Példány szerkesztése előugró ablakban |
A vizsgálatból kizárt fájlkiterjesztés
Fájlkiterjesztéssel kizárja a tartalmat a vizsgálatból.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | kiterjesztés | Fájlkiterjesztés |
| Adattípus | Karakterlánc | Karakterlánc |
| Lehetséges értékek | érvényes fájlkiterjesztések | érvényes fájlkiterjesztések |
| Megjegyzések | Csak akkor alkalmazható, ha $type ki van zárvaFileExtension | A példány konfigurálásának előugró ablakában érhető el |
A vizsgálatból kizárt folyamat*
Egy olyan folyamatot határoz meg, amelynek minden fájltevékenysége ki van zárva a vizsgálatból. A folyamat a neve (például cat) vagy teljes elérési útja (például : ) alapján adható meg. /bin/cat
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | név | Fájlnév |
| Adattípus | Karakterlánc | Karakterlánc |
| Lehetséges értékek | bármely sztring | bármely sztring |
| Megjegyzések | Csak akkor alkalmazható, ha $typea excludedFileName | A példány konfigurálásának előugró ablakában érhető el |
Nem exec csatlakoztatások elnémítása
Az RTP viselkedését adja meg a noexec jelölésű csatlakoztatási ponton. A beállításnak két értéke van:
- Nem némított (
unmute): Az alapértelmezett érték, az összes csatlakoztatási pont vizsgálata az RTP részeként. - Elnémított (
mute): A noexec jelölésű csatlakoztatási pontok nincsenek beolvasva az RTP részeként, ezek a csatlakoztatási pontok a következőkhöz hozhatók létre:- Adatbázisfájlok adatbázis-kiszolgálókon az adatbázisfájlok megőrzéséhez.
- A fájlkiszolgáló az adatfájlok csatlakoztatási pontjait noexec beállítással tudja megtartani.
- A biztonsági mentés az adatfájlok csatlakoztatási pontjait noexec beállítással is képes tartani.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | nonExecMountPolicy | a csatlakoztatás nem hajtható végre némítása |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek |
unmute (alapértelmezett)
|
Nincs konfigurálva visszahangosítás (alapértelmezett) néma |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.85.27 .
Fájlrendszerek figyelése törlése
Konfigurálja úgy a fájlrendszereket, hogy ne legyenek figyelve vagy kizárva a valós idejű védelemből (RTP). A konfigurált fájlrendszereket a rendszer Microsoft Defender engedélyezett fájlrendszerek listájával ellenőrzi. A fájlrendszereket csak sikeres ellenőrzés után lehet figyelni. Ezeket a konfigurált nem figyelt fájlrendszereket továbbra is ellenőrzik a gyors, a teljes és az egyéni vizsgálatok Microsoft Defender víruskeresőben.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | unmonitoredFilesystems | Nem figyelt fájlrendszerek |
| Adattípus | Sztringek tömbje | Dinamikus sztringlista |
Megjegyzés:
A konfigurált fájlrendszer csak akkor lesz figyelve, ha szerepel a Microsoft engedélyezett nem figyelt fájlrendszereinek listáján.
Alapértelmezés szerint az NFS és a Fuse nincs figyelve az RTP, a Gyors és a Teljes vizsgálatból. Egyéni vizsgálattal azonban továbbra is beolvashatók. Ha például el szeretné távolítani az NFS-t a nem figyelt fájlrendszerek listájáról, frissítse a felügyelt konfigurációs fájlt az alább látható módon. Ez automatikusan hozzáadja az NFS-t az RTP-hez figyelt fájlrendszerek listájához.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Ha az NFS-t és a Fuse-t is el szeretné távolítani a fájlrendszerek nem figyelt listájából, tegye a következőket
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Megjegyzés:
Az RTP figyelt fájlrendszereinek alapértelmezett listája a következő: btrfs, , , ext2, ext3, ext4, fuseblk, ramfsoverlayreiserfsvfatxfsjfstmpfs. ecryptfs
Ha bármely figyelt fájlrendszert hozzá kell adni a nem figyelt fájlrendszerek listájához, akkor azt a Microsoftnak ki kell értékelnie és engedélyeznie kell a felhőkonfiguráláson keresztül. Azt követően, hogy az ügyfelek mely managed_mdatp.json frissíthetik a fájlrendszer figyelésére.
Fájlkivonat számítási funkció konfigurálása
Engedélyezi vagy letiltja a fájlkivonat számítási funkcióját. Ha ez a funkció engedélyezve van, a Végponthoz készült Defender a beolvasott fájlok kivonatait számítja ki. Vegye figyelembe, hogy a funkció engedélyezése hatással lehet az eszköz teljesítményére. További részletekért lásd: Jelzők létrehozása fájlokhoz.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | enableFileHashComputation | Fájlkivonat-számítások engedélyezése |
| Adattípus | Logikai | Legördülő |
| Lehetséges értékek |
false (alapértelmezett)
|
Nincs konfigurálva Letiltva (alapértelmezett) Engedélyezve. |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.85.27 .
Engedélyezett fenyegetések
A termék által nem blokkolt és ehelyett futtatható fenyegetések listája (a nevük alapján azonosítva).
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | allowedThreats | Engedélyezett fenyegetések |
| Adattípus | Sztringek tömbje | Dinamikus sztringlista |
Letiltott fenyegetési műveletek
Korlátozza azokat a műveleteket, amelyeket az eszköz helyi felhasználója végrehajthat fenyegetések észlelésekor. A listában szereplő műveletek nem jelennek meg a felhasználói felületen.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | disallowedThreatActions | Letiltott fenyegetési műveletek |
| Adattípus | Sztringek tömbje | Dinamikus sztringlista |
| Lehetséges értékek |
allow (korlátozza a felhasználókat a fenyegetések engedélyezésében)
|
engedélyezés (korlátozza a felhasználókat a fenyegetések engedélyezésében) visszaállítás (korlátozza a felhasználókat a fenyegetések karanténból való visszaállításában) |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 100.83.73 .
Fenyegetéstípus beállításai
A víruskereső motor threatTypeSettings beállításával szabályozható, hogy a termék hogyan kezeljen bizonyos fenyegetéstípusokat.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | threatTypeSettings | Fenyegetéstípus beállításai |
| Adattípus | Szótár (beágyazott beállítás) | Dinamikus tulajdonságok listája |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. | A dinamikus tulajdonságok leírását az alábbi szakaszokban találja. |
Fenyegetés típusa
Annak a fenyegetésnek a típusa, amelyhez a viselkedés konfigurálva van.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | kulcs | Fenyegetés típusa |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek | potentially_unwanted_application
|
potentially_unwanted_application archive_bomb |
Végrehajtandó művelet
Az előző szakaszban megadott típusú fenyegetés észlelésekor végrehajtandó művelet. A következő lehet:
- Naplózás: Az eszköz nem védett az ilyen típusú fenyegetésekkel szemben, de a rendszer naplózza a fenyegetésről szóló bejegyzést. (Alapértelmezett)
- Letiltás: Az eszköz védett az ilyen típusú fenyegetésekkel szemben, és a rendszer értesítést küld a biztonsági konzolon.
- Kikapcsolva: Az eszköz nem védett az ilyen típusú fenyegetésekkel szemben, és a rendszer semmit sem naplóz.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | érték | Végrehajtandó művelet |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek |
audit (alapértelmezett)
|
audit blokk ki |
Fenyegetéstípus beállításainak egyesítési szabályzata
Megadja a fenyegetéstípus beállításainak egyesítési szabályzatát. Ez lehet a rendszergazda által definiált és a felhasználó által definiált beállítások (merge) kombinációja, vagy csak a rendszergazda által megadott beállítások (admin_only). A rendszergazda által definiált (admin_only) a Végponthoz készült Defender szabályzat által konfigurált fenyegetéstípus-beállítások. Ezzel a beállítással korlátozhatja, hogy a helyi felhasználók saját beállításokat határozzanak meg a különböző fenyegetéstípusokhoz.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | threatTypeSettingsMergePolicy | Fenyegetéstípus beállításainak egyesítése |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek | egyesítés (alapértelmezett) admin_only |
Nincs konfigurálva egyesítés (alapértelmezett) admin_only |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 100.83.73 .
Víruskereső vizsgálati előzményeinek megőrzése (napokban)
Itt adhatja meg, hogy az eszköz vizsgálati előzményei hány napig őrzik meg az eredményeket. A régi vizsgálati eredmények törlődnek az előzményekből. Régi karanténba helyezett fájlok, amelyek szintén el lettek távolítva a lemezről.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | scanResultsRetentionDays | Vizsgálati eredmények megőrzése |
| Adattípus | Karakterlánc | Kapcsoló és egész szám váltása |
| Lehetséges értékek | 90 (alapértelmezett). Az engedélyezett értékek 1 naptól 180 napig használhatók. | Nincs konfigurálva (ki- és kikapcsolása – alapértelmezés szerint 90 nap) Konfigurálva (kapcsoló) és engedélyezett érték 1 és 180 nap között. |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.04.76 .
A víruskereső vizsgálati előzményeiben szereplő elemek maximális száma
Itt adhatja meg a vizsgálati előzményekben megtartani kívánt bejegyzések maximális számát. A bejegyzések közé tartozik a múltban végzett összes igény szerinti vizsgálat és az összes víruskereső-észlelés.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | scanHistoryMaximumItems | Vizsgálati előzmények mérete |
| Adattípus | Karakterlánc | Váltógomb és egész szám |
| Lehetséges értékek | 10000 (alapértelmezett). Az engedélyezett értékek 5000 és 15000 elem között vannak. | Nincs konfigurálva (kikapcsolás – alapértelmezett 10000) Konfigurált (kapcsoló) és engedélyezett érték 5000 és 15000 elem között. |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.04.76 .
Kizárási beállítások
Az Exlusion beállítási beállításai jelenleg előzetes verzióban érhetők el.
Megjegyzés:
A globális kizárások jelenleg nyilvános előzetes verzióban érhetők el, és a Végponthoz készült Defenderben a verzióval vagy újabb verzióval 101.23092.0012 kezdve érhetők el az Insider Slow és a Production körökben.
A exclusionSettings konfigurációs profil szakasza a linuxos Végponthoz készült Microsoft Defender különböző kizárásainak konfigurálására szolgál.
| Leírás | JSON-érték |
|---|---|
| Kulcs | exclusionSettings |
| Adattípus | Szótár (beágyazott beállítás) |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
Megjegyzés:
A () alattantivirusEngine már konfigurált víruskereső kizárások a felügyelt JSON-ban továbbra is ugyanúgy működnek, mint a hatás nélkül. Ebben a teljesen új szakaszban () minden új kivétel hozzáadható, beleértve a vírusvédelmi kizárásokat isexclusionSettings. Ez a szakasz a (antivirusEngine) címkén kívül esik, mivel kizárólag a jövőben várható kizárások összes típusának konfigurálására szolgál. Továbbra is használhatja a (antivirusEngine) parancsot a víruskereső kizárásainak konfigurálásához.
Szabályzat egyesítése
A kizárások egyesítési szabályzatát határozza meg. Meghatározza, hogy lehet-e rendszergazda által definiált és felhasználó által definiált kizárások (merge) vagy csak rendszergazda által definiált kizárások (admin_only) kombinációja. Ezzel a beállítással korlátozhatja a helyi felhasználókat a saját kizárásuk meghatározásában. Az összes hatókör kizárására vonatkozik.
| Leírás | JSON-érték |
|---|---|
| Kulcs | mergePolicy |
| Adattípus | Karakterlánc |
| Lehetséges értékek | egyesítés (alapértelmezett) admin_only |
| Megjegyzések | A Végponthoz készült Defender 2023. szeptemberi vagy újabb verziójában érhető el. |
Kizárások
A kizárandó entitások teljes elérési utakkal, kiterjesztésekkel vagy fájlnevekkel határozhatók meg. Minden kizárási entitás, azaz a teljes elérési út, a kiterjesztés vagy a fájlnév választható hatókörrel rendelkezik, amely megadható. Ha nincs megadva, a jelen szakaszban szereplő hatókör alapértelmezett értéke globális. (A kizárások elemtömbként vannak megadva, a rendszergazda tetszőleges sorrendben annyi elemet adhat meg, amennyi szükséges.)
| Leírás | JSON-érték |
|---|---|
| Kulcs | Kizárások |
| Adattípus | Szótár (beágyazott beállítás) |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
Kizárás típusa
A vizsgálatból kizárt tartalom típusát adja meg.
| Leírás | JSON-érték |
|---|---|
| Kulcs | $type |
| Adattípus | Karakterlánc |
| Lehetséges értékek | excludedPath excludedFileExtension excludedFileName |
Kizárási hatókörök (nem kötelező)
Meghatározza a kizárt tartalom kizárólagos hatóköreinek halmazát. Jelenleg a és globala epp hatókör támogatott.
Ha nincs megadva semmi a kivételhez a exclusionSettings alatt a felügyelt konfigurációban, akkor global a rendszer hatókörnek tekinti.
Megjegyzés:
A () alattantivirusEngine korábban konfigurált víruskereső kizárások a felügyelt JSON-ban továbbra is működni fognak, és hatókörük (epp) a víruskereső kizárásaként lett hozzáadva.
| Leírás | JSON-érték |
|---|---|
| Kulcs | Hatókörök |
| Adattípus | Sztringek készlete |
| Lehetséges értékek | Epp globális |
Megjegyzés:
A (mdatp_managed.json) vagy a parancssori felület által korábban alkalmazott kizárások nem lesznek hatással. A kizárások hatóköre (epp) lesz, mivel a (antivirusEngine) pontban lettek hozzáadva.
Kizárt tartalom elérési útja
A teljes fájlelérési úttal kizárja a tartalmat a vizsgálatból.
| Leírás | JSON-érték |
|---|---|
| Kulcs | ösvény |
| Adattípus | Karakterlánc |
| Lehetséges értékek | érvényes elérési utak |
| Megjegyzések | Csak akkor alkalmazható, ha $typea excludedPath. A helyettesítő karakter nem támogatott, ha a kizárás hatóköre globális. |
Elérési út típusa (fájl/könyvtár)
Azt jelzi, hogy az elérési út tulajdonság egy fájlra vagy könyvtárra hivatkozik-e.
Megjegyzés:
A fájlelérési útnak már léteznie kell, ha globális hatókörű fájlkizárást ad hozzá.
| Leírás | JSON-érték |
|---|---|
| Kulcs | isDirectory |
| Adattípus | Logikai |
| Lehetséges értékek | false (alapértelmezett) igaz |
| Megjegyzések | Csak akkor alkalmazható, ha $typea excludedPath. A helyettesítő karakter nem támogatott, ha a kizárás hatóköre globális. |
A vizsgálatból kizárt fájlkiterjesztés
Fájlkiterjesztéssel kizárja a tartalmat a vizsgálatból.
| Leírás | JSON-érték |
|---|---|
| Kulcs | kiterjesztés |
| Adattípus | Karakterlánc |
| Lehetséges értékek | érvényes fájlkiterjesztések |
| Megjegyzések | Csak akkor alkalmazható, ha $typeki van zárvaFileExtension. Nem támogatott, ha a kizárás hatóköre globális. |
A vizsgálatból kizárt folyamat*
Egy olyan folyamatot határoz meg, amelynek minden fájltevékenysége ki van zárva a vizsgálatból. A folyamat a neve (például cat) vagy teljes elérési útja (például : ) alapján adható meg. /bin/cat
| Leírás | JSON-érték |
|---|---|
| Kulcs | név |
| Adattípus | Karakterlánc |
| Lehetséges értékek | bármely sztring |
| Megjegyzések | Csak akkor alkalmazható, ha $typea excludedFileName. A helyettesítő karakterek és a folyamatnév nem támogatott, ha a kizárás hatóköre globális, teljes elérési utat kell megadnia. |
Speciális vizsgálati beállítások
Az alábbi beállítások konfigurálhatók bizonyos speciális vizsgálati funkciók engedélyezéséhez.
Megjegyzés:
Ezeknek a funkcióknak az engedélyezése hatással lehet az eszköz teljesítményére. Ezért ajánlott megtartani az alapértelmezett értékeket.
Fájlmódosítási engedélyesemények vizsgálatának konfigurálása
Ha ez a funkció engedélyezve van, a Végponthoz készült Defender megvizsgálja a fájlokat, amikor az engedélyeiket módosították a végrehajtási bit(ek) beállításához.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a enableFilePermissionEvents funkció engedélyezve van. További információt az alábbi Speciális választható funkciók című szakaszban talál.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | scanFileModifyPermissions | Nem érhető el |
| Adattípus | Logikai | n/a |
| Lehetséges értékek | false (alapértelmezett) igaz |
n/a |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.23062.0010 .
Fájlmódosítási tulajdonosi események vizsgálatának konfigurálása
Ha ez a funkció engedélyezve van, a Végponthoz készült Defender megvizsgálja azokat a fájlokat, amelyek tulajdonjoga megváltozott.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a enableFileOwnershipEvents funkció engedélyezve van. További információt az alábbi Speciális választható funkciók című szakaszban talál.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | scanFileModifyOwnership | Nem érhető el |
| Adattípus | Logikai | n/a |
| Lehetséges értékek | false (alapértelmezett) igaz |
n/a |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.23062.0010 .
Nyers szoftvercsatorna-események vizsgálatának konfigurálása
Ha ez a funkció engedélyezve van, a Végponthoz készült Defender megvizsgálja a hálózati szoftvercsatornák olyan eseményeit, mint a nyers szoftvercsatornák/csomagcsatornák létrehozása vagy a szoftvercsatornák beállítása.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
Ez a funkció csak akkor alkalmazható, ha a enableRawSocketEvent funkció engedélyezve van. További információt az alábbi Speciális választható funkciók című szakaszban talál.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | scanNetworkSocketEvent | Nem érhető el |
| Adattípus | Logikai | n/a |
| Lehetséges értékek | false (alapértelmezett) igaz |
n/a |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.23062.0010 .
A felhőben biztosított védelmi beállítások
A konfigurációs profil cloudService bejegyzése a termék felhőalapú védelmi funkciójának konfigurálására szolgál.
Megjegyzés:
A felhőben biztosított védelem minden kényszerítési szintű beállítással (real_time, on_demand, passzív) alkalmazható.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | cloudService | Felhőben nyújtott védelmi beállítások |
| Adattípus | Szótár (beágyazott beállítás) | Összecsukott szakasz |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. | A szabályzat beállításainak leírását az alábbi szakaszokban találja. |
Felhőben biztosított védelem engedélyezése/letiltása
Meghatározza, hogy a felhőben biztosított védelem engedélyezve van-e az eszközön. A szolgáltatások biztonságának javítása érdekében javasoljuk, hogy kapcsolja be ezt a funkciót.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | Engedélyezve | Felhőben nyújtott védelem engedélyezése |
| Adattípus | Logikai | Legördülő |
| Lehetséges értékek |
true (alapértelmezett)
|
Nincs konfigurálva Letiltva Engedélyezve (alapértelmezett) |
Diagnosztikai gyűjtemény szintje
A diagnosztikai adatok a Végponthoz készült Defender biztonságának és naprakész állapotának megőrzésére, a problémák észlelésére, diagnosztizálására és kijavítására, valamint a termékek fejlesztésére szolgálnak. Ez a beállítás határozza meg a termék által a Microsoftnak küldött diagnosztika szintjét. További részletekért lásd a Linuxon futó Végponthoz készült Microsoft Defender adatvédelmi nyilatkozatát.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | diagnosticLevel | Diagnosztikai adatgyűjtés szintje |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek | optional
|
Nincs konfigurálva nem kötelező (alapértelmezett) szükséges |
A felhőblokk szintjének konfigurálása
Ez a beállítás határozza meg, hogy milyen agresszív a Végponthoz készült Defender a gyanús fájlok blokkolásában és vizsgálatában. Ha ez a beállítás be van kapcsolva, a Végponthoz készült Defender agresszívebb a blokkolni és megvizsgálni kívánt gyanús fájlok azonosításakor; ellenkező esetben kevésbé agresszív, ezért kevesebb gyakorisággal blokkolja és vizsgálja.
A felhőblokkok szintjének beállításához öt érték érhető el:
- Normál (
normal): Az alapértelmezett blokkolási szint. - Mérsékelt (
moderate): Csak a nagy megbízhatósági észlelések esetén kézbesíti az ítéletet. - Magas (
high): Agresszíven blokkolja az ismeretlen fájlokat, miközben optimalizálja a teljesítményt (nagyobb eséllyel blokkolja a nem káros fájlokat). - High Plus (
high_plus): Agresszíven blokkolja az ismeretlen fájlokat, és további védelmi intézkedéseket alkalmaz (ez hatással lehet az ügyféleszköz teljesítményére). - Zéró tolerancia (
zero_tolerance): Blokkolja az összes ismeretlen programot.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | cloudBlockLevel | A felhőblokk szintjének konfigurálása |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek |
normal (alapértelmezett)
|
Nincs konfigurálva Normál (alapértelmezett) Mérsékelt Magas High_Plus Zero_Tolerance |
Megjegyzés:
Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.56.62 .
Automatikus mintabeküldések engedélyezése/letiltása
Meghatározza, hogy a rendszer elküldi-e a gyanús mintákat (amelyek valószínűleg fenyegetést tartalmaznak) a Microsoftnak. A mintaküldés szabályozásának három szintje van:
- Nincs: a rendszer nem küld gyanús mintákat a Microsoftnak.
- Biztonságos: a rendszer csak a személyazonosításra alkalmas adatokat (PII) nem tartalmazó gyanús mintákat küldi el automatikusan. Ez a beállítás alapértelmezett értéke.
- Minden: minden gyanús minta elküldve a Microsoftnak.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | automaticSampleSubmissionConsent | Automatikus mintabeküldések engedélyezése |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek | none
|
Nincs konfigurálva Egyikre sem. Biztonságos (alapértelmezett) Minden |
Automatikus biztonságiintelligencia-frissítések engedélyezése/letiltása
Meghatározza, hogy a rendszer automatikusan telepíti-e a biztonságiintelligencia-frissítéseket:
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | automaticDefinitionUpdateEnabled | Automatikus biztonságiintelligencia-frissítések |
| Adattípus | Logikai | Legördülő |
| Lehetséges értékek |
true (alapértelmezett)
|
Nincs konfigurálva Letiltva Engedélyezve (alapértelmezett) |
A kényszerítési szinttől függően az automatikus biztonságiintelligencia-frissítések telepítése eltérő. RTP módban a frissítések rendszeres időközönként települnek. A Passzív/ Igény szerinti módban a frissítések minden vizsgálat előtt települnek.
Speciális választható funkciók
A következő beállítások konfigurálhatók bizonyos speciális funkciók engedélyezéséhez.
Megjegyzés:
Ezeknek a funkcióknak az engedélyezése hatással lehet az eszköz teljesítményére. Javasoljuk, hogy tartsa meg az alapértelmezett értékeket.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | Funkciók | Nem érhető el |
| Adattípus | Szótár (beágyazott beállítás) | n/a |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
Modulbetöltési funkció
Meghatározza, hogy a rendszer figyeli-e a modulbetöltési eseményeket (megosztott kódtárak fájlmegnyitási eseményeit).
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | moduleLoad | Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek | disabled (alapértelmezett) Engedélyezve |
n/a |
| Megjegyzések | Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.68.80 . |
Kiegészítő érzékelőkonfigurációk
Az alábbi beállításokkal konfigurálhatók bizonyos speciális kiegészítő érzékelőfunkciók.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | supplementarySensorConfigurations | Nem érhető el |
| Adattípus | Szótár (beágyazott beállítás) | n/a |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
Fájlmódosítási engedélyesemények monitorozásának konfigurálása
Meghatározza, hogy a rendszer figyeli-e a fájlmódosítási engedélyekkel (chmod) rendelkező eseményeket.
Megjegyzés:
Ha ez a funkció engedélyezve van, a Végponthoz készült Defender figyelni fogja a fájlok végrehajtási bitjeinek módosításait, de nem ellenőrzi ezeket az eseményeket. További információt a Speciális vizsgálati funkciók című szakaszban talál.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | enableFilePermissionEvents | Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek | disabled (alapértelmezett) Engedélyezve |
n/a |
| Megjegyzések | Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.23062.0010 . |
Fájlmódosítási tulajdonosi események monitorozásának konfigurálása
Meghatározza, hogy a rendszer figyeli-e a fájlmódosítási tulajdonosi eseményeket (chown).
Megjegyzés:
Ha ez a funkció engedélyezve van, a Végponthoz készült Defender figyeli a fájlok tulajdonjogának változásait, de nem vizsgálja ezeket az eseményeket. További információt a Speciális vizsgálati funkciók című szakaszban talál.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | enableFileOwnershipEvents | Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek | disabled (alapértelmezett) Engedélyezve |
n/a |
| Megjegyzések | Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.23062.0010 . |
Nyers szoftvercsatorna-események monitorozásának konfigurálása
Meghatározza, hogy a rendszer figyeli-e a nyers szoftvercsatornák/csomagcsatornák létrehozásával vagy a szoftvercsatornák beállításával kapcsolatos hálózati szoftvercsatorna-eseményeket.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van. Ha ez a funkció engedélyezve van, a Végponthoz készült Defender figyeli ezeket a hálózati szoftvercsatornás eseményeket, de nem ellenőrzi ezeket az eseményeket. További információt a fenti Speciális vizsgálati funkciók című szakaszban talál.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | enableRawSocketEvent | Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek | disabled (alapértelmezett) Engedélyezve |
n/a |
| Megjegyzések | Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.23062.0010 . |
A rendszertöltő eseményeinek monitorozásának konfigurálása
Meghatározza, hogy a rendszer monitorozza és megvizsgálja-e a rendszerindító betöltő eseményeit.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | enableBootLoaderCalls | Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek | disabled (alapértelmezett) Engedélyezve |
n/a |
| Megjegyzések | Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.68.80 . |
A ptrace-események monitorozásának konfigurálása
Meghatározza, hogy a rendszer figyeli és megvizsgálja-e a ptrace-eseményeket.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | enableProcessCalls | Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek | disabled (alapértelmezett) Engedélyezve |
n/a |
| Megjegyzések | Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.68.80 . |
Pszeudo-események monitorozásának konfigurálása
Meghatározza, hogy a pszeudo-események monitorozása és vizsgálata megtörtént-e.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | enablePseudofsCalls | Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek | disabled (alapértelmezett) Engedélyezve |
n/a |
| Megjegyzések | Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.68.80 . |
Modulbetöltési események monitorozásának konfigurálása eBPF használatával
Meghatározza, hogy a modulbetöltési események monitorozása eBPF használatával történik-e, és be van-e vizsgálva.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | enableEbpfModuleLoadEvents | Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek | disabled (alapértelmezett) Engedélyezve |
n/a |
| Megjegyzések | Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.68.80 . |
Gyanús AV-események jelentése az EDR-nek
Meghatározza, hogy a víruskereső gyanús eseményeket jelent-e az EDR-nek.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | sendLowfiEvents | Nem érhető el |
| Adattípus | Karakterlánc | n/a |
| Lehetséges értékek | disabled (alapértelmezett) Engedélyezve |
n/a |
| Megjegyzések | Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.23062.0010 . |
Hálózatvédelmi konfigurációk
Az alábbi beállításokkal konfigurálhatja a hálózatvédelem speciális vizsgálati funkcióit annak szabályozására, hogy a Hálózatvédelem milyen forgalmat vizsgál.
Megjegyzés:
Ahhoz, hogy ezek hatékonyak legyenek, be kell kapcsolni a Hálózatvédelmet. További információ: A hálózatvédelem bekapcsolása Linuxon.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | networkProtection | Hálózatvédelem |
| Adattípus | Szótár (beágyazott beállítás) | Összecsukott szakasz |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. | A szabályzatbeállítások leírását az alábbi szakaszokban találja. |
Kényszerítési szint
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | enforcementLevel | Kényszerítési szint |
| Adattípus | Karakterlánc | Legördülő |
| Lehetséges értékek |
disabled (alapértelmezett)audit block |
Nincs konfigurálva disabled (alapértelmezett) audit blokk |
ICMP-vizsgálat konfigurálása
Meghatározza, hogy az ICMP-események monitorozása és vizsgálata megtörtént-e.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
| Leírás | JSON-érték | Defender-portál értéke |
|---|---|---|
| Kulcs | disableIcmpInspection | Nem érhető el |
| Adattípus | Logikai | n/a |
| Lehetséges értékek |
true (alapértelmezett)
|
n/a |
| Megjegyzések | Elérhető a Végponthoz készült Defender verziójában vagy újabb verziójában 101.23062.0010 . |
Ajánlott konfigurációs profil
Elsőként javasoljuk a következő konfigurációs profil használatát a vállalat számára, hogy kihasználhassa a Végponthoz készült Defender összes védelmi funkciójának előnyeit.
A következő konfigurációs profil:
- Valós idejű védelem (RTP) engedélyezése
- A következő fenyegetéstípusok kezelésének módját adja meg:
- A potenciálisan nemkívánatos alkalmazások (PUA) le vannak tiltva
- Az archív bombák (magas tömörítési sebességgel rendelkező fájlok) a terméknaplókban vannak naplózva
- Automatikus biztonságiintelligencia-frissítések engedélyezése
- Felhőben biztosított védelem engedélyezése
- Lehetővé teszi az automatikus mintaküldést a
safeszinten
Mintaprofil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Példa teljes konfigurációs profilra
Az alábbi konfigurációs profil az ebben a dokumentumban ismertetett összes beállításhoz tartalmaz bejegyzéseket, és olyan speciálisabb forgatókönyvekhez használható, ahol nagyobb kontrollt szeretne a termék felett.
Megjegyzés:
Ebben a JSON-ban nem lehet minden Végponthoz készült Microsoft Defender kommunikációt csak proxybeállítással vezérelni.
Teljes profil
{
"antivirusEngine":{
"enforcementLevel":"passive",
"behaviorMonitoring": "disabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"enableFileHashComputation": false,
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
],
"scanFileModifyPermissions":false,
"scanFileModifyOwnership":false,
"scanNetworkSocketEvent":false,
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate":"disabled"
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
"definitionUpdatesInterval":28800
},
"features":{
"moduleLoad":"disabled",
"supplementarySensorConfigurations":{
"enableFilePermissionEvents":"disabled",
"enableFileOwnershipEvents":"disabled",
"enableRawSocketEvent":"disabled",
"enableBootLoaderCalls":"disabled",
"enableProcessCalls":"disabled",
"enablePseudofsCalls":"diabled",
"enableEbpfModuleLoadEvents":"disabled",
"sendLowfiEvents":"disabled"
},
"ebpfSupplementaryEventProvider":"enabled",
"offlineDefinitionUpdateVerifySig": "disabled"
},
"networkProtection":{
"enforcementLevel":"disabled",
"disableIcmpInspection":true
},
"edr":{
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Címke vagy csoportazonosító hozzáadása a konfigurációs profilhoz
Amikor első alkalommal futtatja a mdatp health parancsot, a címke és a csoportazonosító értéke üres lesz. Ha címkét vagy csoportazonosítót szeretne hozzáadni a mdatp_managed.json fájlhoz, kövesse az alábbi lépéseket:
Nyissa meg a konfigurációs profilt az elérési útról
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json.Lépjen a fájl aljára, ahol a
cloudServiceblokk található.Adja hozzá a szükséges címkét vagy csoportazonosítót az alábbi példához a záró kapcsos zárójel végén.
cloudService}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }
Megjegyzés:
Adja hozzá a vesszőt a blokk végén cloudService található záró kapcsos zárójel után. Győződjön meg arról is, hogy a Címke vagy a Csoportazonosító blokk hozzáadása után két záró kapcsos zárójel található (lásd a fenti példát). Jelenleg a címkék egyetlen támogatott kulcsneve a GROUP.
Konfigurációs profil érvényesítése
A konfigurációs profilnak érvényes JSON-formátumú fájlnak kell lennie. Ennek ellenőrzésére számos eszköz használható. Ha például telepítette python az eszközt:
python -m json.tool mdatp_managed.json
Ha a JSON megfelelően formázott, a fenti parancs visszaadja a terminálnak, és a kilépési kódját 0adja vissza. Ellenkező esetben megjelenik egy hiba, amely leírja a problémát, és a parancs a kilépési kódját 1adja vissza.
Annak ellenőrzése, hogy a mdatp_managed.json fájl a várt módon működik-e
Annak ellenőrzéséhez, hogy az /etc/opt/microsoft/mdatp/managed/mdatp_managed.json megfelelően működik-e, az alábbi beállítások mellett a "[managed]" feliratnak kell megjelennie:
cloud_enabledcloud_automatic_sample_submission_consentpassive_mode_enabledreal_time_protection_enabledautomatic_definition_update_enabled
Megjegyzés:
A legtöbb konfiguráció mdatp_managed.json módosításának érvénybe léptetéséhez nincs szükség az mdatp démon újraindítására.
Kivétel: A következő konfigurációkhoz a démon újraindítása szükséges a érvénybe lépéshez:
cloud-diagnosticlog-rotation-parameters
Konfigurációs profil üzembe helyezése
Miután elkészítette a vállalati konfigurációs profilt, üzembe helyezheti a vállalat által használt felügyeleti eszközzel. A Végponthoz készült Defender Linuxon beolvassa a felügyelt konfigurációt a /etc/opt/microsoft/mdatp/managed/mdatp_managed.json fájlból.
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.