Végponthoz készült Microsoft Defender beállítása Linux rendszeren

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Fontos

Ez a témakör útmutatást tartalmaz arra vonatkozóan, hogyan állíthatja be a Defender for Endpoint beállításait Linux rendszeren vállalati környezetekben. Ha a terméket parancssorból szeretné konfigurálni egy eszközön, tekintse meg az Erőforrások című témakört.

Vállalati környezetekben a Linuxon futó Defender for Endpoint egy konfigurációs profilon keresztül kezelhető. Ez a profil az Ön által választott felügyeleti eszközből lesz üzembe helyezve. A vállalat által kezelt beállítások elsőbbséget élveznek az eszközön helyileg beállított beállításokkal szemben. Más szóval a vállalat felhasználói nem módosíthatják az ezen a konfigurációs profilon keresztül beállított beállításokat. Ha a kivételek a felügyelt konfigurációs profilon keresztül lettek hozzáadva, csak a felügyelt konfigurációs profilon keresztül távolíthatók el. A parancssor helyileg hozzáadott kizárások esetén működik.

Ez a cikk ismerteti ennek a profilnak a struktúráját (beleértve az első lépésekhez használható ajánlott profilt), valamint a profil üzembe helyezésére vonatkozó utasításokat.

Konfigurációs profil struktúrája

A konfigurációs profil egy .json fájl, amely egy kulcs által azonosított bejegyzésekből áll (amely a beállítás nevét jelöli), majd egy értéket, amely a beállítás természetétől függ. Az értékek lehetnek egyszerűek, például numerikus értékek vagy összetettek, például a beállítások beágyazott listája.

Általában egy konfigurációkezelő eszközzel kell leküldni egy fájlt a hely /etc/opt/microsoft/mdatp/managed/nevéremdatp_managed.json.

A konfigurációs profil felső szintje tartalmazza a termék alterületeinek termékszintű beállításait és bejegyzéseit, amelyeket a következő szakaszok részletesebben ismertetnek.

Víruskereső motor beállításai

A konfigurációs profil antivirusEngine szakasza a termék víruskereső összetevőjének beállításainak kezelésére szolgál.

Leírás Érték
Kulcs antivirusEngine
Adattípus Szótár (beágyazott beállítás)
Megjegyzések A szótár tartalmának leírását a következő szakaszokban találja.

Víruskereső motor kényszerítési szintje

A víruskereső motor kényszerítési beállítását határozza meg. A kényszerítési szint beállításának három értéke van:

  • Valós idejű (real_time): A valós idejű védelem (a fájlok elérésekor beolvasott fájlok) engedélyezve van.
  • Igény szerinti (on_demand): A fájlok vizsgálata csak igény szerint lehetséges. Ebben:
    • A valós idejű védelem ki van kapcsolva.
  • Passzív (passive): Passzív módban futtatja a víruskereső motort. Ebben:
    • A valós idejű védelem ki van kapcsolva.
    • Az igény szerinti vizsgálat be van kapcsolva.
    • Az automatikus fenyegetés-szervizelés ki van kapcsolva.
    • A biztonságiintelligencia-frissítések be vannak kapcsolva.
Leírás Érték
Kulcs enforcementLevel
Adattípus Karakterlánc
Lehetséges értékek real_time (alapértelmezett)

on_demand

Passzív

Megjegyzések A Defender for Endpoint 101.10.72-es vagy újabb verziójában érhető el.

Viselkedésfigyelés engedélyezése/letiltása

Meghatározza, hogy a viselkedésfigyelés és a blokkolási képesség engedélyezve van-e az eszközön. A biztonsági védelem hatékonyságának javítása érdekében javasoljuk, hogy kapcsolja be ezt a funkciót.



Leírás Érték
Kulcs behaviorMonitoring
Adattípus Karakterlánc
Lehetséges értékek disabled (alapértelmezett)

Engedélyezve

Megjegyzések A Defender for Endpoint 101.45.00-s vagy újabb verziójában érhető el.

Fájlkivonat számítási funkció konfigurálása

Engedélyezi vagy letiltja a fájlkivonat számítási funkcióját. Ha ez a funkció engedélyezve van, a Defender for Endpoint kiszámítja a beolvasott fájlok kivonatait. Vegye figyelembe, hogy a funkció engedélyezése hatással lehet az eszköz teljesítményére. További részletekért tekintse meg a következőt: Jelölők létrehozása fájlokhoz.

Leírás Érték
Kulcs enableFileHashComputation
Adattípus Karakterlánc
Lehetséges értékek disabled (alapértelmezett)

Engedélyezve

Megjegyzések A Defender for Endpoint 101.73.77-es vagy újabb verziójában érhető el.

Vizsgálat futtatása a definíciók frissítése után

Megadja, hogy indítson-e folyamatvizsgálatot az új biztonságiintelligencia-frissítések eszközre való letöltése után. Ha engedélyezi ezt a beállítást, víruskeresést indít el az eszköz futó folyamatán.

Leírás Érték
Kulcs scanAfterDefinitionUpdate
Adattípus Logikai
Lehetséges értékek true (alapértelmezett)

Hamis

Megjegyzések A Defender for Endpoint 101.45.00-s vagy újabb verziójában érhető el.

Archívumok vizsgálata (csak igény szerinti víruskeresés)

Meghatározza, hogy az igény szerinti víruskereső vizsgálatok során beolvassa-e az archívumokat.

Leírás Érték
Kulcs scanArchives
Adattípus Logikai
Lehetséges értékek true (alapértelmezett)

Hamis

Megjegyzések Végponthoz készült Microsoft Defender 101.45.00-s vagy újabb verziójában érhető el.

Párhuzamosság foka igény szerinti vizsgálatokhoz

Az igény szerinti vizsgálatok párhuzamossági fokát határozza meg. Ez megfelel a vizsgálat végrehajtásához használt szálak számának, és hatással van a processzorhasználatra, valamint az igény szerinti vizsgálat időtartamára.

Leírás Érték
Kulcs maximumOnDemandScanThreads
Adattípus Egész
Lehetséges értékek 2 (alapértelmezett). Az engedélyezett értékek 1 és 64 közötti egész számok.
Megjegyzések Végponthoz készült Microsoft Defender 101.45.00-s vagy újabb verziójában érhető el.

Kizárási egyesítési szabályzat

A kizárások egyesítési szabályzatát határozza meg. Ez lehet rendszergazda által definiált és felhasználó által definiált kizárások kombinációja (merge) vagy csak rendszergazda által definiált kizárások (admin_only). Ezzel a beállítással korlátozhatja a helyi felhasználókat a saját kizárásaik meghatározásában.

Leírás Érték
Kulcs exclusionsMergePolicy
Adattípus Karakterlánc
Lehetséges értékek egyesítés (alapértelmezett)

admin_only

Megjegyzések A Defender for Endpoint 100.83.73-es vagy újabb verziójában érhető el.

Vizsgálati kizárások

A vizsgálatból kizárt entitások. A kizárások megadhatóak teljes elérési utak, kiterjesztések vagy fájlnevek alapján. (A kizárások elemtömbként vannak megadva, a rendszergazda tetszőleges sorrendben annyi elemet adhat meg, amennyi szükséges.)

Leírás Érték
Kulcs Kizárások
Adattípus Szótár (beágyazott beállítás)
Megjegyzések A szótár tartalmának leírását a következő szakaszokban találja.
Kizárás típusa

A vizsgálatból kizárt tartalom típusát adja meg.

Leírás Érték
Kulcs $type
Adattípus Karakterlánc
Lehetséges értékek excludedPath

excludedFileExtension

excludedFileName

Kizárt tartalom elérési útja

A teljes fájlelérési út alapján kizárja a tartalmat a vizsgálatból.

Leírás Érték
Kulcs Elérési út
Adattípus Karakterlánc
Lehetséges értékek érvényes elérési utak
Megjegyzések Csak akkor alkalmazható, ha $type a excludedPath
Elérési út típusa (fájl/ könyvtár)

Azt jelzi, hogy az elérési út tulajdonság egy fájlra vagy könyvtárra hivatkozik-e.

Leírás Érték
Kulcs isDirectory
Adattípus Logikai
Lehetséges értékek false (alapértelmezett)

Igaz

Megjegyzések Csak akkor alkalmazható, ha $type a excludedPath
A vizsgálatból kizárt fájlkiterjesztés

Arra szolgál, hogy fájlkiterjesztéssel kizárja a tartalmat a vizsgálatból.

Leírás Érték
Kulcs Kiterjesztés
Adattípus Karakterlánc
Lehetséges értékek érvényes fájlkiterjesztések
Megjegyzések Csak akkor alkalmazható, ha $type ki van zárvaFileExtension
A vizsgálatból kizárt folyamat*

Egy olyan folyamatot határoz meg, amelynek minden fájltevékenysége ki van zárva a vizsgálatból. A folyamat megadható a nevével (például cat) vagy a teljes elérési úttal (például /bin/cat).

Leírás Érték
Kulcs név
Adattípus Karakterlánc
Lehetséges értékek bármely sztring
Megjegyzések Csak akkor alkalmazható, ha $type kizártFileName

Engedélyezett fenyegetések

Azoknak a (nevük által azonosított) fenyegetéseknek a listája, amelyeket a termék nem blokkol, és amelyek ehelyett futtathatók.

Leírás Érték
Kulcs allowedThreats
Adattípus Sztringek tömbje

Nem engedélyezett fenyegetési műveletek

Korlátozza az eszköz helyi felhasználója által a fenyegetések észlelésekor végrehajtható műveleteket. A listában szereplő műveletek nem jelennek meg a felhasználói felületen.

Leírás Érték
Kulcs disallowedThreatActions
Adattípus Sztringek tömbje
Lehetséges értékek engedélyezés (korlátozza a felhasználókat a fenyegetések engedélyezésében)

visszaállítás (korlátozza a felhasználókat a fenyegetések karanténból való visszaállításában)

Megjegyzések A Defender for Endpoint 100.83.73-es vagy újabb verziójában érhető el.

Fenyegetéstípus-beállítások

A víruskereső motor threatTypeSettings beállításával szabályozható, hogy a termék hogyan kezeljen bizonyos fenyegetéstípusokat.

Leírás Érték
Kulcs threatTypeSettings
Adattípus Szótár (beágyazott beállítás)
Megjegyzések A szótár tartalmának leírását a következő szakaszokban találja.
Fenyegetés típusa

Annak a fenyegetésnek a típusa, amelyhez a viselkedés konfigurálva van.

Leírás Érték
Kulcs Kulcs
Adattípus Karakterlánc
Lehetséges értékek potentially_unwanted_application

archive_bomb

Végrehajtandó művelet

Az előző szakaszban megadott típusú fenyegetés esetén végrehajtandó művelet. A következő lehet:

  • Naplózás: Az eszköz nem védett az ilyen típusú fenyegetésekkel szemben, de a rendszer naplózza a fenyegetésről szóló bejegyzést.
  • Letiltás: Az eszköz védve van az ilyen típusú fenyegetésekkel szemben, és a rendszer értesítést küld a biztonsági konzolon.
  • Kikapcsolva: Az eszköz nem védett az ilyen típusú fenyegetésekkel szemben, és semmit sem naplóz.
Leírás Érték
Kulcs Érték
Adattípus Karakterlánc
Lehetséges értékek naplózás (alapértelmezett)

Blokk

Ki

Fenyegetéstípus beállításainak egyesítési szabályzata

A fenyegetéstípus beállításainak egyesítési szabályzatát határozza meg. Ez lehet a rendszergazda által definiált és a felhasználó által definiált beállítások kombinációja (merge) vagy csak a rendszergazda által megadott beállítások (admin_only). Ezzel a beállítással korlátozhatja, hogy a helyi felhasználók saját beállításokat határozzanak meg a különböző fenyegetéstípusokhoz.

Leírás Érték
Kulcs threatTypeSettingsMergePolicy
Adattípus Karakterlánc
Lehetséges értékek egyesítés (alapértelmezett)

admin_only

Megjegyzések A Defender for Endpoint 100.83.73-es vagy újabb verziójában érhető el.

Víruskeresési előzmények megőrzése (napokban)

Adja meg, hogy az eszköz vizsgálati előzményei hány napig őrzik meg az eredményeket. A régi vizsgálati eredmények törlődnek az előzményekből. A lemezről szintén eltávolított régi karanténba helyezett fájlok.

Leírás Érték
Kulcs scanResultsRetentionDays
Adattípus Karakterlánc
Lehetséges értékek 90 (alapértelmezett). Az engedélyezett értékek 1 naptól 180 napig használhatók.
Megjegyzések A Defender for Endpoint 101.04.76-os vagy újabb verziójában érhető el.

A víruskereső vizsgálati előzményeiben szereplő elemek maximális száma

Adja meg a beolvasási előzményekben megtartandó bejegyzések maximális számát. A bejegyzések közé tartozik a múltban végzett összes igény szerinti vizsgálat és az összes víruskereső-észlelés.

Leírás Érték
Kulcs scanHistoryMaximumItems
Adattípus Karakterlánc
Lehetséges értékek 10000 (alapértelmezett). Az engedélyezett értékek 5000 és 15000 elem között vannak.
Megjegyzések A Defender for Endpoint 101.04.76-os vagy újabb verziójában érhető el.

Felhőben nyújtott védelmi beállítások

A cloudService bejegyzés a konfigurációs profilban a termék felhőalapú védelmi funkciójának konfigurálására szolgál.

Leírás Érték
Kulcs cloudService
Adattípus Szótár (beágyazott beállítás)
Megjegyzések A szótár tartalmának leírását a következő szakaszokban találja.

Felhőben nyújtott védelem engedélyezése/letiltása

Meghatározza, hogy a felhőben nyújtott védelem engedélyezve van-e az eszközön. A szolgáltatások biztonságának javítása érdekében javasoljuk, hogy kapcsolja be ezt a funkciót.

Leírás Érték
Kulcs Engedélyezve
Adattípus Logikai
Lehetséges értékek true (alapértelmezett)

Hamis

Diagnosztikai gyűjtemény szintje

A diagnosztikai adatok a Defender for Endpoint biztonságának és naprakész állapotának megőrzésére, a problémák észlelésére, diagnosztizálására és kijavítására, valamint a termékek fejlesztésére szolgálnak. Ez a beállítás határozza meg a termék által a Microsoftnak küldött diagnosztikák szintjét.

Leírás Érték
Kulcs diagnosticLevel
Adattípus Karakterlánc
Lehetséges értékek Választható

kötelező (alapértelmezett)

Felhőblokk szintjének konfigurálása

Ez a beállítás határozza meg, hogy a Defender for Endpoint mennyire lesz agresszív a gyanús fájlok blokkolásában és vizsgálatában. Ha ez a beállítás be van kapcsolva, a Defender for Endpoint agresszívebb lesz a blokkolni és megvizsgálni kívánt gyanús fájlok azonosításakor; ellenkező esetben kevésbé agresszív lesz, ezért kevesebb gyakorisággal blokkolja és szkenneli. A felhőblokkok szintjének beállításához öt érték van:

  • Normál (normal): Az alapértelmezett blokkolási szint.
  • Mérsékelt (moderate): Csak nagy megbízhatósági észlelések esetén hoz ítéletet.
  • Magas (high): Agresszíven blokkolja az ismeretlen fájlokat, miközben optimalizálja a teljesítményt (nagyobb eséllyel blokkolja a nem káros fájlokat).
  • High Plus (high_plus): Agresszíven blokkolja az ismeretlen fájlokat, és további védelmi intézkedéseket alkalmaz (ez hatással lehet az ügyféleszköz teljesítményére).
  • Zéró tolerancia (zero_tolerance): Minden ismeretlen programot blokkol.
Leírás Érték
Kulcs cloudBlockLevel
Adattípus Karakterlánc
Lehetséges értékek normál (alapértelmezett)

Mérsékelt

Magas

high_plus

zero_tolerance

Megjegyzések A Defender for Endpoint 101.56.62-es vagy újabb verziójában érhető el.

Automatikus mintabeküldések engedélyezése/letiltása

Meghatározza, hogy a rendszer elküldi-e a gyanús mintákat (amelyek valószínűleg fenyegetést tartalmaznak) a Microsoftnak. A mintaküldés szabályozásának három szintje van:

  • Nincs: a rendszer nem küld gyanús mintákat a Microsoftnak.
  • Biztonságos: a rendszer csak a személyazonosításra alkalmas adatokat (PII) nem tartalmazó gyanús mintákat küldi el automatikusan. Ez a beállítás alapértelmezett értéke.
  • Minden: minden gyanús minta elküldve a Microsoftnak.
Leírás Érték
Kulcs automaticSampleSubmissionConsent
Adattípus Karakterlánc
Lehetséges értékek nincs

safe (alapértelmezett)

Minden

Automatikus biztonságiintelligencia-frissítések engedélyezése/letiltása

Meghatározza, hogy a rendszer automatikusan telepítse-e a biztonságiintelligencia-frissítéseket:

Leírás Érték
Kulcs automaticDefinitionUpdateEnabled
Adattípus Logikai
Lehetséges értékek true (alapértelmezett)

Hamis

Elsőként a következő konfigurációs profilt javasoljuk a vállalat számára, hogy kihasználhassa a Defender for Endpoint összes védelmi funkciójának előnyeit.

A következő konfigurációs profil lesz:

  • Valós idejű védelem (RTP) engedélyezése
  • Adja meg a következő fenyegetéstípusok kezelési módját:
    • A vélhetően nemkívánatos alkalmazások (PUA) le vannak tiltva
    • Az archív bombákat (nagy tömörítési sebességgel) a rendszer a terméknaplókba naplózza
  • Automatikus biztonságiintelligencia-frissítések engedélyezése
  • Felhőben nyújtott védelem engedélyezése
  • Automatikus mintaküldés engedélyezése a safe szinten
  • Viselkedésfigyelés engedélyezése

Mintaprofil

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Példa teljes konfigurációs profilra

A következő konfigurációs profil a jelen dokumentumban ismertetett összes beállítás bejegyzéseit tartalmazza, és olyan speciálisabb forgatókönyvekhez használható, ahol nagyobb kontrollt szeretne kapni a termék felett.

Teljes profil

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "exclusions":[
         {
            "$type":"excludedPath",
            "isDirectory":false,
            "path":"/var/log/system.log<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/run<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/home/*/git<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedFileExtension",
            "extension":".pdf<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedFileName",
            "name":"cat<EXAMPLE DO NOT USE>"
         }
      ],
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Címke vagy csoportazonosító hozzáadása a konfigurációs profilhoz

Amikor első alkalommal futtatja a mdatp health parancsot, a címke és a csoportazonosító értéke üres lesz. Ha címkét vagy csoportazonosítót szeretne hozzáadni a mdatp_managed.json fájlhoz, kövesse az alábbi lépéseket:

  1. Nyissa meg a konfigurációs profilt az elérési útról /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
  2. Lépjen a fájl aljára, ahol a cloudService blokk található.
  3. Adja hozzá a szükséges címkét vagy csoportazonosítót az alábbi példához a záró kapcsos zárójel végén.cloudService
  },
  "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
},
"edr": {
  "groupIds":"GroupIdExample",
  "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
}

Megjegyzés

Ne felejtse el hozzáadni a vesszőt a blokk végén cloudService található záró kapcsos zárójel után. Győződjön meg arról is, hogy a Címke vagy a Csoportazonosító blokk hozzáadása után két záró kapcsos zárójel található (lásd a fenti példát). Jelenleg a címkék egyetlen támogatott kulcsneve a GROUP.

Konfigurációs profil érvényesítése

A konfigurációs profilnak érvényes JSON-formátumú fájlnak kell lennie. Ennek ellenőrzésére számos eszköz használható. Ha például telepítette python az eszközét:

python -m json.tool mdatp_managed.json

Ha a JSON megfelelően formázott, a fenti parancs visszaadja a terminálnak, és a következő kilépési kódot adja 0vissza: . Ellenkező esetben megjelenik egy hiba, amely leírja a problémát, és a parancs a következő kilépési 1kódot adja vissza: .

Annak ellenőrzése, hogy a mdatp_managed.json fájl a várt módon működik-e

Annak ellenőrzéséhez, hogy az /etc/opt/microsoft/mdatp/managed/mdatp_managed.json fájl megfelelően működik-e, a következő beállítások mellett a "[managed]" feliratnak kell megjelennie:

  • cloud_enabled
  • cloud_automatic_sample_submission_consent
  • passive_mode_enabled
  • real_time_protection_enabled
  • automatic_definition_update_enabled

Megjegyzés

A mdatp_managed.json érvénybe lépéséhez nincs szükség a mdatp deamon újraindítására.

Konfigurációs profil üzembe helyezése

Miután elkészítette a vállalati konfigurációs profilt, üzembe helyezheti azt a vállalat által használt felügyeleti eszközzel. A Linuxon futó Defender for Endpoint beolvassa a felügyelt konfigurációt az /etc/opt/microsoft/mdatp/managed/mdatp_managed.json fájlból.