Impostare le preferenze per Microsoft Defender per endpoint su macOS
Si applica a:
- Microsoft Defender per endpoint su macOS
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
Importante
Questo articolo contiene istruzioni su come impostare le preferenze per Microsoft Defender per endpoint in macOS nelle organizzazioni aziendali. Per configurare Microsoft Defender per endpoint in macOS usando l'interfaccia della riga di comando, vedere Risorse.
Riepilogo
Nelle organizzazioni aziendali, Microsoft Defender per endpoint in macOS può essere gestito tramite un profilo di configurazione distribuito tramite uno dei diversi strumenti di gestione. Le preferenze gestite dal team delle operazioni di sicurezza hanno la precedenza sulle preferenze impostate localmente nel dispositivo. La modifica delle preferenze impostate tramite il profilo di configurazione richiede privilegi inoltrati e non è disponibile per gli utenti senza autorizzazioni amministrative.
Questo articolo descrive la struttura del profilo di configurazione, include un profilo consigliato che è possibile usare per iniziare e fornisce istruzioni su come distribuire il profilo.
Struttura del profilo di configurazione
Il profilo di configurazione è un file con estensione plist costituito da voci identificate da una chiave (che indica il nome della preferenza), seguito da un valore, che dipende dalla natura della preferenza. I valori possono essere semplici (ad esempio un valore numerico) o complessi, ad esempio un elenco annidato di preferenze.
Attenzione
Il layout del profilo di configurazione dipende dalla console di gestione in uso. Le sezioni seguenti contengono esempi di profili di configurazione per JAMF e Intune.
Il livello superiore del profilo di configurazione include le preferenze e le voci a livello di prodotto per le sottoaree di Microsoft Defender per endpoint, illustrate in modo più dettagliato nelle sezioni successive.
Preferenze del motore antivirus
La sezione antivirusEngine del profilo di configurazione viene usata per gestire le preferenze del componente antivirus di Microsoft Defender per endpoint.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | antivirusEngine |
| Data type | Dizionario (preferenza annidata) |
| Commenti | Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti. |
Livello di imposizione per il motore antivirus
Specifica la preferenza di imposizione del motore antivirus. Sono disponibili tre valori per l'impostazione del livello di imposizione:
- In tempo reale (
real_time): è abilitata la protezione in tempo reale (analisi dei file durante l'accesso). - Su richiesta (
on_demand): i file vengono analizzati solo su richiesta. In questo caso:- La protezione in tempo reale è disattivata.
- Passivo (
passive): esegue il motore antivirus in modalità passiva. In questo caso:- La protezione in tempo reale è disattivata.
- L'analisi su richiesta è attivata.
- La correzione automatica delle minacce è disattivata.
- Gli aggiornamenti dell'intelligence per la sicurezza sono attivati.
- L'icona del menu Stato è nascosta.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | enforcementLevel |
| Data type | Stringa |
| Valori possibili | real_time (impostazione predefinita) on_demand Passivo |
| Commenti | Disponibile in Microsoft Defender per endpoint versione 101.10.72 o successiva. |
Abilitare/disabilitare il monitoraggio del comportamento
Determina se la funzionalità di monitoraggio e blocco del comportamento è abilitata o meno nel dispositivo.
Nota
Questa funzionalità è applicabile solo quando è abilitata la funzionalità protezione Real-Time.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | behaviorMonitoring |
| Data type | Stringa |
| Valori possibili | disabilitati enabled (impostazione predefinita) |
| Commenti | Disponibile in Microsoft Defender per endpoint versione 101.24042.0002 o successiva. |
Configurare la funzionalità di calcolo dell'hash dei file
Abilita o disabilita la funzionalità di calcolo dell'hash dei file. Quando questa funzionalità è abilitata, Defender per endpoint calcola gli hash per i file che analizza per consentire una migliore corrispondenza con le regole degli indicatori. In macOS vengono considerati solo i file script e Mach-O (a 32 e 64 bit) per questo calcolo hash (dalla versione 1.1.20000.2 o successiva del motore). Si noti che l'abilitazione di questa funzionalità potrebbe influire sulle prestazioni del dispositivo. Per altri dettagli, vedere: Creare indicatori per i file.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | enableFileHashComputation |
| Data type | Booleano |
| Valori possibili | false (impostazione predefinita) true |
| Commenti | Disponibile in Defender per endpoint versione 101.86.81 o successiva. |
Eseguire un'analisi dopo l'aggiornamento delle definizioni
Specifica se avviare un'analisi del processo dopo il download di nuovi aggiornamenti di Security Intelligence nel dispositivo. L'abilitazione di questa impostazione attiva un'analisi antivirus nei processi in esecuzione del dispositivo.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | scanAfterDefinitionUpdate |
| Data type | Booleano |
| Valori possibili | true (impostazione predefinita) False |
| Commenti | Disponibile in Microsoft Defender per endpoint versione 101.41.10 o successiva. |
Analizzare gli archivi (solo analisi antivirus su richiesta)
Specifica se analizzare gli archivi durante le analisi antivirus su richiesta.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | scanArchives |
| Data type | Booleano |
| Valori possibili | true (impostazione predefinita) False |
| Commenti | Disponibile in Microsoft Defender per endpoint versione 101.41.10 o successiva. |
Grado di parallelismo per le analisi su richiesta
Specifica il grado di parallelismo per le analisi su richiesta. Corrisponde al numero di thread usati per eseguire l'analisi e influisce sull'utilizzo della CPU, nonché sulla durata dell'analisi su richiesta.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | maximumOnDemandScanThreads |
| Data type | Numero intero |
| Valori possibili | 2 (impostazione predefinita). I valori consentiti sono numeri interi compresi tra 1 e 64. |
| Commenti | Disponibile in Microsoft Defender per endpoint versione 101.41.10 o successiva. |
Criteri di unione di esclusione
Specificare i criteri di unione per le esclusioni. Può trattarsi di una combinazione di esclusioni definite dall'amministratore e definite dall'utente (merge) o solo esclusioni definite dall'amministratore (admin_only). Questa impostazione può essere usata per impedire agli utenti locali di definire le proprie esclusioni.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | exclusionsMergePolicy |
| Data type | Stringa |
| Valori possibili | merge (impostazione predefinita) admin_only |
| Commenti | Disponibile in Microsoft Defender per endpoint versione 100.83.73 o successiva. |
Esclusioni di analisi
Specificare le entità escluse dall'analisi. Le esclusioni possono essere specificate da percorsi completi, estensioni o nomi di file. Le esclusioni vengono specificate come matrice di elementi. L'amministratore può specificare il numero di elementi necessario, in qualsiasi ordine.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | Esclusioni |
| Data type | Dizionario (preferenza annidata) |
| Commenti | Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti. |
Tipo di esclusione
Specificare il contenuto escluso dall'analisi in base al tipo.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | $type |
| Data type | Stringa |
| Valori possibili | excludedPath excludedFileExtension excludedFileName |
Percorso del contenuto escluso
Specificare il contenuto escluso dall'analisi in base al percorso completo del file.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | Percorso |
| Data type | Stringa |
| Valori possibili | percorsi validi |
| Commenti | Applicabile solo se $type è excludedPath |
Tipi di esclusione supportati
La tabella seguente illustra i tipi di esclusione supportati da Defender per endpoint in Mac.
| Esclusione | Definizione | Esempi |
|---|---|---|
| Estensione del file | Tutti i file con l'estensione, in qualsiasi punto del dispositivo | .test |
| File | Un file specifico identificato dal percorso completo | /var/log/test.log |
| Cartella | Tutti i file nella cartella specificata (in modo ricorsivo) | /var/log/ |
| Procedura | Un processo specifico (specificato dal percorso completo o dal nome del file) e tutti i file da esso aperti | /bin/cat |
Importante
I percorsi precedenti devono essere collegamenti reali, non collegamenti simbolici, per essere esclusi correttamente. È possibile controllare se un percorso è un collegamento simbolico eseguendo file <path-name>.
Le esclusioni di file, cartelle e processi supportano i caratteri jolly seguenti:
| Carattere jolly | Descrizione | Esempio | Corrispondenze | Non corrisponde |
|---|---|---|---|---|
| * | Corrisponde a un numero qualsiasi di caratteri, tra cui nessuno (si noti che quando questo carattere jolly viene usato all'interno di un percorso sostituirà solo una cartella) | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | Corrisponde a qualsiasi carattere singolo | file?.log |
file1.log |
file123.log |
Tipo di percorso (file/directory)
Indicare se la proprietà path fa riferimento a un file o a una directory.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | isDirectory |
| Data type | Booleano |
| Valori possibili | false (impostazione predefinita) true |
| Commenti | Applicabile solo se $type è excludedPath |
Estensione file esclusa dall'analisi
Specificare il contenuto escluso dall'analisi in base all'estensione di file.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | Estensione |
| Data type | Stringa |
| Valori possibili | estensioni di file valide |
| Commenti | Applicabile solo se $type è excludedFileExtension |
Processo escluso dall'analisi
Specificare un processo per il quale tutte le attività dei file vengono escluse dall'analisi. Il processo può essere specificato in base al nome (ad esempio, cat) o al percorso completo (ad esempio, /bin/cat).
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | Nome |
| Data type | Stringa |
| Valori possibili | qualsiasi stringa |
| Commenti | Applicabile solo se $type è excludedFileName |
Minacce consentite
Specificare le minacce per nome che non sono bloccate da Defender per endpoint in Mac. Queste minacce saranno consentite per l'esecuzione.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | allowedThreats |
| Data type | Matrice di stringhe |
Azioni di minaccia non consentite
Limita le azioni che l'utente locale di un dispositivo può eseguire quando vengono rilevate minacce. Le azioni incluse in questo elenco non vengono visualizzate nell'interfaccia utente.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | disallowedThreatActions |
| Data type | Matrice di stringhe |
| Valori possibili | allow (impedisce agli utenti di consentire le minacce) restore (impedisce agli utenti di ripristinare le minacce dalla quarantena) |
| Commenti | Disponibile in Microsoft Defender per endpoint versione 100.83.73 o successiva. |
Impostazioni del tipo di minaccia
Specificare la modalità di gestione di determinati tipi di minaccia da Microsoft Defender per endpoint in macOS.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | threatTypeSettings |
| Data type | Dizionario (preferenza annidata) |
| Commenti | Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti. |
Tipo di minaccia
Specificare i tipi di minaccia.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | chiave |
| Data type | Stringa |
| Valori possibili | potentially_unwanted_application archive_bomb |
Procedura da seguire
Specificare l'azione da eseguire quando viene rilevata una minaccia del tipo specificato nella sezione precedente. Scegliere una delle seguenti opzioni:
- Controllo: il dispositivo non è protetto da questo tipo di minaccia, ma viene registrata una voce relativa alla minaccia.
- Blocca: il dispositivo è protetto da questo tipo di minaccia e viene inviata una notifica nell'interfaccia utente e nella console di sicurezza.
- Disattivato: il dispositivo non è protetto da questo tipo di minaccia e non viene registrato nulla.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | valore |
| Data type | Stringa |
| Valori possibili | audit (impostazione predefinita) Blocco disattivato |
Criteri di unione delle impostazioni del tipo di minaccia
Specificare i criteri di unione per le impostazioni del tipo di minaccia. Può trattarsi di una combinazione di impostazioni definite dall'amministratore e definite dall'utente (merge) o solo impostazioni definite dall'amministratore (admin_only). Questa impostazione può essere usata per impedire agli utenti locali di definire le proprie impostazioni per tipi di minaccia diversi.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | threatTypeSettingsMergePolicy |
| Data type | Stringa |
| Valori possibili | merge (impostazione predefinita) admin_only |
| Commenti | Disponibile in Microsoft Defender per endpoint versione 100.83.73 o successiva. |
Conservazione della cronologia dell'analisi antivirus (in giorni)
Specificare il numero di giorni in cui i risultati vengono conservati nella cronologia di analisi nel dispositivo. I risultati dell'analisi precedenti vengono rimossi dalla cronologia. File in quarantena precedenti che vengono rimossi anche dal disco.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | scanResultsRetentionDays |
| Data type | Stringa |
| Valori possibili | 90 (impostazione predefinita). I valori consentiti sono compresi tra 1 giorno e 180 giorni. |
| Commenti | Disponibile in Microsoft Defender per endpoint versione 101.07.23 o successiva. |
Numero massimo di elementi nella cronologia di analisi antivirus
Specificare il numero massimo di voci da mantenere nella cronologia di analisi. Le voci includono tutte le analisi su richiesta eseguite in passato e tutti i rilevamenti antivirus.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | scanHistoryMaximumItems |
| Data type | Stringa |
| Valori possibili | 10000 (impostazione predefinita). I valori consentiti sono compresi tra 5000 elementi e 15000 elementi. |
| Commenti | Disponibile in Microsoft Defender per endpoint versione 101.07.23 o successiva. |
Preferenze di protezione fornite dal cloud
Configurare le funzionalità di protezione basate sul cloud di Microsoft Defender per endpoint in macOS.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | cloudService |
| Data type | Dizionario (preferenza annidata) |
| Commenti | Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti. |
Abilitare/disabilitare la protezione fornita dal cloud
Specificare se abilitare o meno la protezione fornita dal cloud. Per migliorare la sicurezza dei servizi, è consigliabile mantenere attiva questa funzionalità.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | abilitati |
| Data type | Booleano |
| Valori possibili | true (impostazione predefinita) False |
Livello raccolta diagnostica
I dati di diagnostica vengono usati per mantenere Microsoft Defender per endpoint sicuro e aggiornato, rilevare, diagnosticare e risolvere i problemi e apportare miglioramenti al prodotto. Questa impostazione determina il livello di diagnostica inviato da Microsoft Defender per endpoint a Microsoft.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | diagnosticLevel |
| Data type | Stringa |
| Valori possibili | facoltativo (impostazione predefinita) Obbligatorio |
Configurare il livello di blocco cloud
Questa impostazione determina l'aggressivo defender per endpoint nel blocco e nell'analisi dei file sospetti. Se questa impostazione è attivata, Defender per endpoint sarà più aggressivo quando si identificano i file sospetti da bloccare e analizzare; in caso contrario, sarà meno aggressivo e quindi bloccare e scansionare con meno frequenza. Sono disponibili cinque valori per l'impostazione del livello di blocco cloud:
- Normale (
normal): livello di blocco predefinito. - Moderato (
moderate): restituisce il verdetto solo per i rilevamenti con attendibilità elevata. - Alto (
high): blocca in modo aggressivo i file sconosciuti durante l'ottimizzazione per le prestazioni (maggiore probabilità di bloccare i file non dannosi). - High Plus (
high_plus): blocca in modo aggressivo i file sconosciuti e applica misure di protezione aggiuntive (potrebbe influire sulle prestazioni del dispositivo client). - Tolleranza zero (
zero_tolerance): blocca tutti i programmi sconosciuti.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | cloudBlockLevel |
| Data type | Stringa |
| Valori possibili | normal (impostazione predefinita) Moderata alto high_plus zero_tolerance |
| Commenti | Disponibile in Defender per endpoint versione 101.56.62 o successiva. |
Abilitare/disabilitare gli invii di esempi automatici
Determina se gli esempi sospetti (che probabilmente contengono minacce) vengono inviati a Microsoft. Esistono tre livelli per controllare l'invio di campioni:
- Nessuno: nessun esempio sospetto viene inviato a Microsoft.
- Sicuro: vengono inviati automaticamente solo esempi sospetti che non contengono informazioni personali. Questo è il valore predefinito per questa impostazione.
- Tutti: tutti gli esempi sospetti vengono inviati a Microsoft.
| Descrizione | Valore |
|---|---|
| Chiave | automaticSampleSubmissionConsent |
| Data type | Stringa |
| Valori possibili | nessuno safe (impostazione predefinita) Tutti |
Abilitare/disabilitare gli aggiornamenti automatici delle funzionalità di intelligence per la sicurezza
Determina se gli aggiornamenti di Security Intelligence vengono installati automaticamente:
| Sezione | Valore |
|---|---|
| Chiave | automaticDefinitionUpdateEnabled |
| Data type | Booleano |
| Valori possibili | true (impostazione predefinita) False |
Preferenze dell'interfaccia utente
Gestire le preferenze per l'interfaccia utente di Microsoft Defender per endpoint in macOS.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | userInterface |
| Data type | Dizionario (preferenza annidata) |
| Commenti | Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti. |
Icona del menu Mostra/Nascondi stato
Specificare se visualizzare o nascondere l'icona del menu di stato nell'angolo superiore destro della schermata.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | hideStatusMenuIcon |
| Data type | Booleano |
| Valori possibili | false (impostazione predefinita) true |
Mostra/nascondi l'opzione per inviare commenti e suggerimenti
Specificare se gli utenti possono inviare commenti e suggerimenti a Microsoft passando a Help>Send Feedback.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | userInitiatedFeedback |
| Data type | Stringa |
| Valori possibili | enabled (impostazione predefinita) disabilitati |
| Commenti | Disponibile in Microsoft Defender per endpoint versione 101.19.61 o successiva. |
Controllare l'accesso alla versione consumer di Microsoft Defender
Specificare se gli utenti possono accedere alla versione consumer di Microsoft Defender.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | consumerExperience |
| Data type | Stringa |
| Valori possibili | enabled (impostazione predefinita) disabilitati |
| Commenti | Disponibile in Microsoft Defender per endpoint versione 101.60.18 o successiva. |
Preferenze di rilevamento e risposta degli endpoint
Gestire le preferenze del componente edr (endpoint detection and response) di Microsoft Defender per endpoint in macOS.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | Edr |
| Data type | Dizionario (preferenza annidata) |
| Commenti | Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti. |
Tag del dispositivo
Specificare un nome di tag e il relativo valore.
- Il tag GROUP contrassegna il dispositivo con il valore specificato. Il tag viene riflesso nel portale nella pagina del dispositivo e può essere usato per filtrare e raggruppare i dispositivi.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | tag |
| Data type | Dizionario (preferenza annidata) |
| Commenti | Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti. |
Tipo di tag
Specifica il tipo di tag
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | chiave |
| Data type | Stringa |
| Valori possibili | GROUP |
Valore del tag
Specifica il valore del tag
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | valore |
| Data type | Stringa |
| Valori possibili | qualsiasi stringa |
Importante
- È possibile impostare un solo valore per tipo di tag.
- Il tipo di tag è univoco e non deve essere ripetuto nello stesso profilo di configurazione.
Identificatore del gruppo
Identificatori del gruppo EDR
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | groupIds |
| Data type | Stringa |
| Commenti | Identificatore del gruppo |
Protezione antimanomissione
Gestire le preferenze del componente Protezione antimanomissione di Microsoft Defender per endpoint in macOS.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | tamperProtection |
| Data type | Dizionario (preferenza annidata) |
| Commenti | Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti. |
Livello di imposizione
Se La protezione antimanomissione è abilitata e se è in modalità strict
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | enforcementLevel |
| Data type | Stringa |
| Commenti | Uno dei valori di 'disabled', 'audit' o 'block' |
Valori possibili:
- disabilitato - Protezione antimanomissione è disattivata, nessuna prevenzione di attacchi o segnalazione al cloud
- audit - Tamper Protection segnala i tentativi di manomissione solo nel cloud, ma non li blocca
- block - Protezione dalle manomissioni sia per i blocchi che per i report degli attacchi al cloud
Esclusioni
Definisce i processi che sono autorizzati a modificare l'asset di Microsoft Defender, senza considerare la manomissione. È necessario specificare path, teamId o signingId oppure la relativa combinazione. Gli argomenti possono essere forniti anche per specificare più precisamente il processo consentito.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | Esclusioni |
| Data type | Dizionario (preferenza annidata) |
| Commenti | Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti. |
Percorso
Percorso esatto del file eseguibile del processo.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | Percorso |
| Data type | Stringa |
| Commenti | Nel caso di uno script della shell, sarà il percorso esatto del file binario dell'interprete, ad esempio /bin/zsh. Non sono consentiti caratteri jolly. |
Team Id
"Id team" di Apple del fornitore.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | teamId |
| Data type | Stringa |
| Commenti | Ad esempio, UBF8T346G9 per Microsoft |
ID firma
"Id di firma" del pacchetto di Apple.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | signingId |
| Data type | Stringa |
| Commenti | Ad esempio, com.apple.ruby per l'interprete Ruby |
Argomenti del processo
Usato in combinazione con altri parametri per identificare il processo.
| Sezione | Valore |
|---|---|
| Dominio | com.microsoft.wdav |
| Chiave | signingId |
| Data type | Matrice di stringhe |
| Commenti | Se specificato, l'argomento del processo deve corrispondere esattamente a tali argomenti, con distinzione tra maiuscole e minuscole |
Profilo di configurazione consigliato
Per iniziare, è consigliabile usare la configurazione seguente per l'azienda per sfruttare tutte le funzionalità di protezione fornite da Microsoft Defender per endpoint.
Il profilo di configurazione seguente (o, nel caso di JAMF, un elenco di proprietà che potrebbe essere caricato nel profilo di configurazione delle impostazioni personalizzate) sarà:
- Abilitare la protezione in tempo reale (RTP)
- Specificare la modalità di gestione dei tipi di minaccia seguenti:
- Le applicazioni potenzialmente indesiderate (PUA) sono bloccate
- Le bombe di archiviazione (file con una frequenza di compressione elevata) vengono controllate nei log di Microsoft Defender per endpoint
- Abilitare gli aggiornamenti automatici delle funzionalità di intelligence per la sicurezza
- Abilitare la protezione fornita dal cloud
- Abilitare l'invio automatico di esempi
Elenco delle proprietà per il profilo di configurazione consigliato di JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Profilo consigliato di Intune
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
Esempio di profilo di configurazione completo
I modelli seguenti contengono voci per tutte le impostazioni descritte in questo documento e possono essere usati per scenari più avanzati in cui si vuole un maggiore controllo su Microsoft Defender per endpoint in macOS.
Elenco delle proprietà per il profilo di configurazione completo JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Profilo completo di Intune
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
Convalida dell'elenco di proprietà
L'elenco delle proprietà deve essere un file con estensione plist valido. Questa operazione può essere verificata eseguendo:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
Se il file è ben formato, il comando precedente restituisce OK e restituisce un codice di uscita di 0. In caso contrario, viene visualizzato un errore che descrive il problema e il comando restituisce un codice di uscita di 1.
Distribuzione del profilo di configurazione
Dopo aver creato il profilo di configurazione per l'azienda, è possibile distribuirlo tramite la console di gestione usata dall'azienda. Le sezioni seguenti forniscono istruzioni su come distribuire questo profilo usando JAMF e Intune.
Distribuzione jamf
Nella console JAMF aprireProfili di configurazionecomputer>, passare al profilo di configurazione che si vuole usare e quindi selezionare Impostazioni personalizzate. Creare una voce con com.microsoft.wdav come dominio di preferenza e caricare il file con estensione plist prodotto in precedenza.
Attenzione
È necessario immettere il dominio delle preferenze corretto (com.microsoft.wdav); in caso contrario, le preferenze non verranno riconosciute da Microsoft Defender per endpoint.
Distribuzione di Intune
AprireProfili di configurazionedei dispositivi>. Selezionare Crea profilo.
Scegliere un nome per il profilo. Modificare Platform=macOS in Profile type=Templates e scegliere Personalizzato nella sezione nome modello. Selezionare Configura.
Salvare il file con estensione plist prodotto in precedenza come
com.microsoft.wdav.xml.Immettere
com.microsoft.wdavcome nome del profilo di configurazione personalizzato.Aprire il profilo di configurazione e caricare il
com.microsoft.wdav.xmlfile. Questo file è stato creato nel passaggio 3.Selezionare OK.
Selezionare Gestisci>assegnazioni. Nella scheda Includi selezionare Assegna a tutti gli utenti & Tutti i dispositivi.
Attenzione
È necessario immettere il nome del profilo di configurazione personalizzato corretto; in caso contrario, queste preferenze non verranno riconosciute da Microsoft Defender per endpoint.
Risorse
Consiglio
Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.