Impostare le preferenze per Microsoft Defender per endpoint su Linux
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Importante
Questo argomento contiene istruzioni su come impostare le preferenze per Defender per endpoint in Linux negli ambienti aziendali. Se si è interessati a configurare il prodotto in un dispositivo dalla riga di comando, vedere Risorse.
Negli ambienti aziendali, Defender per endpoint in Linux può essere gestito tramite un profilo di configurazione. Questo profilo viene distribuito dallo strumento di gestione di propria scelta. Le preferenze gestite dall'organizzazione hanno la precedenza su quelle impostate localmente nel dispositivo. In altre parole, gli utenti dell'organizzazione non sono in grado di modificare le preferenze impostate tramite questo profilo di configurazione. Se le esclusioni sono state aggiunte tramite il profilo di configurazione gestita, possono essere rimosse solo tramite il profilo di configurazione gestito. La riga di comando funziona per le esclusioni aggiunte in locale.
Questo articolo descrive la struttura di questo profilo (incluso un profilo consigliato che è possibile usare per iniziare) e le istruzioni su come distribuire il profilo.
Struttura del profilo di configurazione
Il profilo di configurazione è un file .json costituito da voci identificate da una chiave (che indica il nome della preferenza), seguito da un valore, che dipende dalla natura della preferenza. I valori possono essere semplici, ad esempio un valore numerico o complessi, ad esempio un elenco annidato di preferenze.
In genere, si usa uno strumento di gestione della configurazione per eseguire il push di un file con il nome mdatp_managed.json
nel percorso /etc/opt/microsoft/mdatp/managed/
.
Il livello superiore del profilo di configurazione include le preferenze e le voci a livello di prodotto per le sottoaree del prodotto, che vengono illustrate in modo più dettagliato nelle sezioni successive.
Preferenze del motore antivirus
La sezione antivirusEngine del profilo di configurazione viene usata per gestire le preferenze del componente antivirus del prodotto.
Descrizione | Valore |
---|---|
Chiave | antivirusEngine |
Data type | Dizionario (preferenza annidata) |
Commenti | Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti. |
Livello di imposizione per il motore antivirus
Specifica la preferenza di imposizione del motore antivirus. Sono disponibili tre valori per l'impostazione del livello di imposizione:
- In tempo reale (
real_time
): è abilitata la protezione in tempo reale (analisi dei file man mano che vengono modificati). - Su richiesta (
on_demand
): i file vengono analizzati solo su richiesta. In questo caso:- La protezione in tempo reale è disattivata.
- Passivo (
passive
): esegue il motore antivirus in modalità passiva. In questo caso:- La protezione in tempo reale è disattivata: le minacce non vengono corrette da Microsoft Defender Antivirus.
- L'analisi su richiesta è attivata: usare comunque le funzionalità di analisi nell'endpoint.
- La correzione automatica delle minacce è disattivata: nessun file verrà spostato e l'amministratore della sicurezza dovrebbe intraprendere le azioni necessarie.
- Gli aggiornamenti dell'intelligence per la sicurezza sono attivati: gli avvisi saranno disponibili nel tenant degli amministratori della sicurezza.
Descrizione | Valore |
---|---|
Chiave | enforcementLevel |
Data type | Stringa |
Valori possibili | real_time on_demand passivo (impostazione predefinita) |
Commenti | Disponibile in Defender per endpoint versione 101.10.72 o successiva. Il valore predefinito viene modificato da real_time a passivo per Endpoint versione 101.23062.0001 o successiva. |
Abilitare/disabilitare il monitoraggio del comportamento
Determina se la funzionalità di monitoraggio e blocco del comportamento è abilitata o meno nel dispositivo.
Nota
Questa funzionalità è applicabile solo quando è abilitata la funzionalità protezione Real-Time.
Descrizione | Valore |
---|---|
Chiave | behaviorMonitoring |
Data type | Stringa |
Valori possibili | disabilitato (impostazione predefinita) abilitati |
Commenti | Disponibile in Defender per endpoint versione 101.45.00 o successiva. |
Eseguire un'analisi dopo l'aggiornamento delle definizioni
Specifica se avviare un'analisi del processo dopo il download di nuovi aggiornamenti di Security Intelligence nel dispositivo. L'abilitazione di questa impostazione attiva un'analisi antivirus nei processi in esecuzione del dispositivo.
Descrizione | Valore |
---|---|
Chiave | scanAfterDefinitionUpdate |
Data type | Booleano |
Valori possibili | true (impostazione predefinita) False |
Commenti | Disponibile in Defender per endpoint versione 101.45.00 o successiva. |
Analizzare gli archivi (solo analisi antivirus su richiesta)
Specifica se analizzare gli archivi durante le analisi antivirus su richiesta.
Nota
I file di archivio non vengono mai analizzati durante la protezione in tempo reale. Quando i file in un archivio vengono estratti, vengono analizzati. L'opzione scanArchives può essere usata per forzare l'analisi degli archivi solo durante l'analisi su richiesta.
Descrizione | Valore |
---|---|
Chiave | scanArchives |
Data type | Booleano |
Valori possibili | true (impostazione predefinita) False |
Commenti | Disponibile in Microsoft Defender per endpoint versione 101.45.00 o successiva. |
Grado di parallelismo per le analisi su richiesta
Specifica il grado di parallelismo per le analisi su richiesta. Corrisponde al numero di thread usati per eseguire l'analisi e influisce sull'utilizzo della CPU e sulla durata dell'analisi su richiesta.
Descrizione | Valore |
---|---|
Chiave | maximumOnDemandScanThreads |
Data type | Numero intero |
Valori possibili | 2 (impostazione predefinita). I valori consentiti sono numeri interi compresi tra 1 e 64. |
Commenti | Disponibile in Microsoft Defender per endpoint versione 101.45.00 o successiva. |
Criteri di unione di esclusione
Specifica i criteri di unione per le esclusioni. Può essere una combinazione di esclusioni definite dall'amministratore e definite dall'utente (merge
) o solo esclusioni definite dall'amministratore (admin_only
). Questa impostazione può essere usata per impedire agli utenti locali di definire le proprie esclusioni.
Descrizione | Valore |
---|---|
Chiave | exclusionsMergePolicy |
Data type | Stringa |
Valori possibili | merge (impostazione predefinita) admin_only |
Commenti | Disponibile in Defender per endpoint versione 100.83.73 o successiva. |
Esclusioni di analisi
Entità escluse dall'analisi. Le esclusioni possono essere specificate da percorsi completi, estensioni o nomi di file. Le esclusioni vengono specificate come matrice di elementi. L'amministratore può specificare il numero di elementi necessario, in qualsiasi ordine.
Descrizione | Valore |
---|---|
Chiave | Esclusioni |
Data type | Dizionario (preferenza annidata) |
Commenti | Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti. |
Tipo di esclusione
Specifica il tipo di contenuto escluso dall'analisi.
Descrizione | Valore |
---|---|
Chiave | $type |
Data type | Stringa |
Valori possibili | excludedPath excludedFileExtension excludedFileName |
Percorso del contenuto escluso
Usato per escludere il contenuto dall'analisi in base al percorso completo del file.
Descrizione | Valore |
---|---|
Chiave | Percorso |
Data type | Stringa |
Valori possibili | percorsi validi |
Commenti | Applicabile solo se $type è excludedPath |
Tipo di percorso (file/directory)
Indica se la proprietà path fa riferimento a un file o a una directory.
Descrizione | Valore |
---|---|
Chiave | isDirectory |
Data type | Booleano |
Valori possibili | false (impostazione predefinita) true |
Commenti | Applicabile solo se $type è excludedPath |
Estensione file esclusa dall'analisi
Usato per escludere il contenuto dall'analisi in base all'estensione di file.
Descrizione | Valore |
---|---|
Chiave | Estensione |
Data type | Stringa |
Valori possibili | estensioni di file valide |
Commenti | Applicabile solo se $type è excludedFileExtension |
Processo escluso dall'analisi*
Specifica un processo per il quale tutte le attività di file vengono escluse dall'analisi. Il processo può essere specificato in base al nome (ad esempio, cat
) o al percorso completo (ad esempio, /bin/cat
).
Descrizione | Valore |
---|---|
Chiave | Nome |
Data type | Stringa |
Valori possibili | qualsiasi stringa |
Commenti | Applicabile solo se $type è excludedFileName |
Montaggi di muting non Exec
Specifica il comportamento di RTP nel punto di montaggio contrassegnato come noexec. Per l'impostazione sono disponibili due valori:
- Non modificato (
unmute
): il valore predefinito, tutti i punti di montaggio vengono analizzati come parte di RTP. - Disattivato (
mute
): i punti di montaggio contrassegnati come noexec non vengono analizzati come parte di RTP, questi punti di montaggio possono essere creati per:- File di database nei server di database per mantenere i file di base dati.
- Il file server può mantenere i punti di montaggio dei file di dati con l'opzione noexec.
- Il backup può mantenere i punti di montaggio dei file di dati con l'opzione noexec.
Descrizione | Valore |
---|---|
Chiave | nonExecMountPolicy |
Data type | Stringa |
Valori possibili | unmute (impostazione predefinita) Muto |
Commenti | Disponibile in Defender per endpoint versione 101.85.27 o successiva. |
Rimuovere il monitoraggio dei file system
Configurare i file system da non monitorare o escludere da Real Time Protection (RTP). I file system configurati vengono convalidati in base all'elenco di file system consentiti di Microsoft Defender. Solo dopo l'esito positivo della convalida, il file system sarà autorizzato a non essere monitorato. Questi file system non monitorati configurati verranno comunque analizzati da analisi rapide, complete e personalizzate.
Descrizione | Valore |
---|---|
Chiave | unmonitoredFilesystems |
Data type | Matrice di stringhe |
Commenti | Il file system configurato non verrà monitorato solo se è presente nell'elenco microsoft dei file system non monitorati consentiti. |
Per impostazione predefinita, NFS e Fuse non vengono monitorati da analisi RTP, rapide e complete. Tuttavia, possono comunque essere analizzati da un'analisi personalizzata. Ad esempio, per rimuovere NFS dall'elenco di file system non monitorati, aggiornare il file di configurazione gestito come illustrato di seguito. In questo modo, NFS verrà aggiunto automaticamente all'elenco dei file system monitorati per RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Per rimuovere sia NFS che Fuse dall'elenco non monitorato dei file system, eseguire le operazioni seguenti
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Nota
Di seguito è riportato l'elenco predefinito dei file system monitorati per RTP -
[btrfs, ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, reiserfs, tmpfs, vfat, xfs]
Se è necessario aggiungere un file system monitorato all'elenco di file system non monitorati, è necessario valutarlo e abilitarlo tramite la configurazione cloud. Dopo di che i clienti possono aggiornare managed_mdatp.json per annullare il monitoraggio del file system.
Configurare la funzionalità di calcolo dell'hash dei file
Abilita o disabilita la funzionalità di calcolo dell'hash dei file. Quando questa funzionalità è abilitata, Defender per endpoint calcola gli hash per i file che analizza. Si noti che l'abilitazione di questa funzionalità potrebbe influire sulle prestazioni del dispositivo. Per altre informazioni, vedere: indicatori di Create per i file.
Descrizione | Valore |
---|---|
Chiave | enableFileHashComputation |
Data type | Booleano |
Valori possibili | false (impostazione predefinita) true |
Commenti | Disponibile in Defender per endpoint versione 101.85.27 o successiva. |
Minacce consentite
Elenco di minacce (identificate dal nome) che non sono bloccate dal prodotto e che sono invece consentite per l'esecuzione.
Descrizione | Valore |
---|---|
Chiave | allowedThreats |
Data type | Matrice di stringhe |
Azioni di minaccia non consentite
Limita le azioni che l'utente locale di un dispositivo può eseguire quando vengono rilevate minacce. Le azioni incluse in questo elenco non vengono visualizzate nell'interfaccia utente.
Descrizione | Valore |
---|---|
Chiave | disallowedThreatActions |
Data type | Matrice di stringhe |
Valori possibili | allow (impedisce agli utenti di consentire le minacce) restore (impedisce agli utenti di ripristinare le minacce dalla quarantena) |
Commenti | Disponibile in Defender per endpoint versione 100.83.73 o successiva. |
Impostazioni del tipo di minaccia
La preferenza threatTypeSettings nel motore antivirus viene usata per controllare il modo in cui determinati tipi di minaccia vengono gestiti dal prodotto.
Descrizione | Valore |
---|---|
Chiave | threatTypeSettings |
Data type | Dizionario (preferenza annidata) |
Commenti | Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti. |
Tipo di minaccia
Tipo di minaccia per cui è configurato il comportamento.
Descrizione | Valore |
---|---|
Chiave | chiave |
Data type | Stringa |
Valori possibili | potentially_unwanted_application archive_bomb |
Procedura da seguire
Azione da eseguire quando si verifica una minaccia del tipo specificato nella sezione precedente. Può essere:
- Controllo: il dispositivo non è protetto da questo tipo di minaccia, ma viene registrata una voce relativa alla minaccia.
- Blocca: il dispositivo è protetto da questo tipo di minaccia e viene inviata una notifica nella console di sicurezza.
- Disattivato: il dispositivo non è protetto da questo tipo di minaccia e non viene registrato nulla.
Descrizione | Valore |
---|---|
Chiave | valore |
Data type | Stringa |
Valori possibili | audit (impostazione predefinita) Blocco disattivato |
Criteri di unione delle impostazioni del tipo di minaccia
Specifica i criteri di unione per le impostazioni del tipo di minaccia. Può trattarsi di una combinazione di impostazioni definite dall'amministratore e definite dall'utente (merge
) o solo impostazioni definite dall'amministratore (admin_only
). Questa impostazione può essere usata per impedire agli utenti locali di definire le proprie impostazioni per tipi di minaccia diversi.
Descrizione | Valore |
---|---|
Chiave | threatTypeSettingsMergePolicy |
Data type | Stringa |
Valori possibili | merge (impostazione predefinita) admin_only |
Commenti | Disponibile in Defender per endpoint versione 100.83.73 o successiva. |
Conservazione della cronologia dell'analisi antivirus (in giorni)
Specificare il numero di giorni in cui i risultati vengono conservati nella cronologia di analisi nel dispositivo. I risultati dell'analisi precedenti vengono rimossi dalla cronologia. File in quarantena precedenti che vengono rimossi anche dal disco.
Descrizione | Valore |
---|---|
Chiave | scanResultsRetentionDays |
Data type | Stringa |
Valori possibili | 90 (impostazione predefinita). I valori consentiti sono compresi tra 1 giorno e 180 giorni. |
Commenti | Disponibile in Defender per endpoint versione 101.04.76 o successiva. |
Numero massimo di elementi nella cronologia di analisi antivirus
Specificare il numero massimo di voci da mantenere nella cronologia di analisi. Le voci includono tutte le analisi su richiesta eseguite in passato e tutti i rilevamenti antivirus.
Descrizione | Valore |
---|---|
Chiave | scanHistoryMaximumItems |
Data type | Stringa |
Valori possibili | 10000 (impostazione predefinita). I valori consentiti sono compresi tra 5000 elementi e 15000 elementi. |
Commenti | Disponibile in Defender per endpoint versione 101.04.76 o successiva. |
Opzioni di analisi avanzate
È possibile configurare le impostazioni seguenti per abilitare alcune funzionalità di analisi avanzate.
Nota
L'abilitazione di queste funzionalità potrebbe influire sulle prestazioni del dispositivo. Di conseguenza, è consigliabile mantenere le impostazioni predefinite.
Configurare l'analisi degli eventi delle autorizzazioni di modifica dei file
Quando questa funzionalità è abilitata, Defender per endpoint analizzerà i file quando le relative autorizzazioni sono state modificate per impostare i bit di esecuzione.
Nota
Questa funzionalità è applicabile solo quando la enableFilePermissionEvents
funzionalità è abilitata. Per altre informazioni, vedere la sezione Funzionalità facoltative avanzate di seguito per informazioni dettagliate.
Descrizione | Valore |
---|---|
Chiave | scanFileModifyPermissions |
Data type | Booleano |
Valori possibili | false (impostazione predefinita) true |
Commenti | Disponibile in Defender per endpoint versione 101.23062.0010 o successiva. |
Configurare l'analisi degli eventi di proprietà di modifica file
Quando questa funzionalità è abilitata, Defender per endpoint analizzerà i file per i quali è stata modificata la proprietà.
Nota
Questa funzionalità è applicabile solo quando la enableFileOwnershipEvents
funzionalità è abilitata. Per altre informazioni, vedere la sezione Funzionalità facoltative avanzate di seguito per informazioni dettagliate.
Descrizione | Valore |
---|---|
Chiave | scanFileModifyOwnership |
Data type | Booleano |
Valori possibili | false (impostazione predefinita) true |
Commenti | Disponibile in Defender per endpoint versione 101.23062.0010 o successiva. |
Configurare l'analisi degli eventi socket non elaborati
Quando questa funzionalità è abilitata, Defender per endpoint analizzerà gli eventi del socket di rete, ad esempio la creazione di socket non elaborati/socket di pacchetti o l'impostazione dell'opzione socket.
Nota
Questa funzionalità è applicabile solo quando il monitoraggio del comportamento è abilitato.
Nota
Questa funzionalità è applicabile solo quando la enableRawSocketEvent
funzionalità è abilitata. Per altre informazioni, vedere la sezione Funzionalità facoltative avanzate di seguito per informazioni dettagliate.
Descrizione | Valore |
---|---|
Chiave | scanNetworkSocketEvent |
Data type | Booleano |
Valori possibili | false (impostazione predefinita) true |
Commenti | Disponibile in Defender per endpoint versione 101.23062.0010 o successiva. |
Preferenze di protezione fornite dal cloud
La voce cloudService nel profilo di configurazione viene usata per configurare la funzionalità di protezione basata sul cloud del prodotto.
Nota
La protezione fornita dal cloud è applicabile a tutte le impostazioni del livello di imposizione (real_time, on_demand, passivo).
Descrizione | Valore |
---|---|
Chiave | cloudService |
Data type | Dizionario (preferenza annidata) |
Commenti | Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti. |
Abilitare/disabilitare la protezione fornita dal cloud
Determina se la protezione fornita dal cloud è abilitata o meno nel dispositivo. Per migliorare la sicurezza dei servizi, è consigliabile mantenere attiva questa funzionalità.
Descrizione | Valore |
---|---|
Chiave | abilitati |
Data type | Booleano |
Valori possibili | true (impostazione predefinita) False |
Livello raccolta diagnostica
I dati di diagnostica vengono usati per mantenere Defender per endpoint sicuro e aggiornato, rilevare, diagnosticare e risolvere i problemi e apportare miglioramenti al prodotto. Questa impostazione determina il livello di diagnostica inviato dal prodotto a Microsoft.
Descrizione | Valore |
---|---|
Chiave | diagnosticLevel |
Data type | Stringa |
Valori possibili | Opzionale obbligatorio (impostazione predefinita) |
Configurare il livello di blocco cloud
Questa impostazione determina quanto defender per endpoint sia aggressivo nel bloccare e analizzare i file sospetti. Se questa impostazione è attivata, Defender per endpoint è più aggressivo quando si identificano i file sospetti da bloccare e analizzare; in caso contrario, è meno aggressivo e quindi blocca e analizza con minore frequenza.
Sono disponibili cinque valori per l'impostazione del livello di blocco cloud:
- Normale (
normal
): livello di blocco predefinito. - Moderato (
moderate
): restituisce il verdetto solo per i rilevamenti con attendibilità elevata. - Alto (
high
): blocca in modo aggressivo i file sconosciuti durante l'ottimizzazione per le prestazioni (maggiore probabilità di bloccare i file non dannosi). - High Plus (
high_plus
): blocca in modo aggressivo i file sconosciuti e applica misure di protezione aggiuntive (potrebbe influire sulle prestazioni del dispositivo client). - Tolleranza zero (
zero_tolerance
): blocca tutti i programmi sconosciuti.
Descrizione | Valore |
---|---|
Chiave | cloudBlockLevel |
Data type | Stringa |
Valori possibili | normal (impostazione predefinita) Moderata alto high_plus zero_tolerance |
Commenti | Disponibile in Defender per endpoint versione 101.56.62 o successiva. |
Abilitare/disabilitare gli invii di esempi automatici
Determina se gli esempi sospetti (che probabilmente contengono minacce) vengono inviati a Microsoft. Esistono tre livelli per controllare l'invio di campioni:
- Nessuno: nessun esempio sospetto viene inviato a Microsoft.
- Sicuro: vengono inviati automaticamente solo esempi sospetti che non contengono informazioni personali. Questo è il valore predefinito per questa impostazione.
- Tutti: tutti gli esempi sospetti vengono inviati a Microsoft.
Descrizione | Valore |
---|---|
Chiave | automaticSampleSubmissionConsent |
Data type | Stringa |
Valori possibili | nessuno safe (impostazione predefinita) Tutti |
Abilitare/disabilitare gli aggiornamenti automatici delle funzionalità di intelligence per la sicurezza
Determina se gli aggiornamenti di Security Intelligence vengono installati automaticamente:
Descrizione | Valore |
---|---|
Chiave | automaticDefinitionUpdateEnabled |
Data type | Booleano |
Valori possibili | true (impostazione predefinita) False |
Funzionalità facoltative avanzate
Le impostazioni seguenti possono essere configurate per abilitare determinate funzionalità avanzate.
Nota
L'abilitazione di queste funzionalità potrebbe influire sulle prestazioni del dispositivo. È consigliabile mantenere le impostazioni predefinite.
Descrizione | Valore |
---|---|
Chiave | Caratteristiche |
Data type | Dizionario (preferenza annidata) |
Commenti | Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti. |
Funzionalità di caricamento del modulo
Determina se gli eventi di caricamento del modulo (eventi di apertura file nelle librerie condivise) vengono monitorati.
Nota
Questa funzionalità è applicabile solo quando il monitoraggio del comportamento è abilitato.
Descrizione | Valore |
---|---|
Chiave | moduleLoad |
Data type | Stringa |
Valori possibili | disabilitato (impostazione predefinita) abilitati |
Commenti | Disponibile in Defender per endpoint versione 101.68.80 o successiva. |
Configurazioni supplementari del sensore
Le impostazioni seguenti possono essere usate per configurare alcune funzionalità avanzate del sensore supplementare.
Descrizione | Valore |
---|---|
Chiave | supplementarySensorConfigurations |
Data type | Dizionario (preferenza annidata) |
Commenti | Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti. |
Configurare il monitoraggio degli eventi di autorizzazioni di modifica dei file
Determina se gli eventi delle autorizzazioni di modifica file (chmod
) vengono monitorati.
Nota
Quando questa funzionalità è abilitata, Defender per endpoint monitorerà le modifiche apportate ai bit di esecuzione dei file, ma non analizzerà questi eventi. Per altre informazioni, vedere la sezione Funzionalità di analisi avanzate per altri dettagli.
Descrizione | Valore |
---|---|
Chiave | enableFilePermissionEvents |
Data type | Stringa |
Valori possibili | disabilitato (impostazione predefinita) abilitati |
Commenti | Disponibile in Defender per endpoint versione 101.23062.0010 o successiva. |
Configurare il monitoraggio degli eventi di proprietà di modifica file
Determina se gli eventi di proprietà di modifica file (chown) vengono monitorati.
Nota
Quando questa funzionalità è abilitata, Defender per endpoint monitorerà le modifiche alla proprietà dei file, ma non analizzerà questi eventi. Per altre informazioni, vedere la sezione Funzionalità di analisi avanzate per altri dettagli.
Descrizione | Valore |
---|---|
Chiave | enableFileOwnershipEvents |
Data type | Stringa |
Valori possibili | disabilitato (impostazione predefinita) abilitati |
Commenti | Disponibile in Defender per endpoint versione 101.23062.0010 o successiva. |
Configurare il monitoraggio degli eventi socket non elaborati
Determina se gli eventi del socket di rete che prevedono la creazione di socket non elaborati/socket di pacchetti o l'impostazione dell'opzione socket vengono monitorati.
Nota
Questa funzionalità è applicabile solo quando il monitoraggio del comportamento è abilitato.
Nota
Quando questa funzionalità è abilitata, Defender per endpoint monitorerà questi eventi del socket di rete, ma non analizza questi eventi. Per altre informazioni, vedere la sezione Funzionalità di analisi avanzate precedente per altri dettagli.
Descrizione | Valore |
---|---|
Chiave | enableRawSocketEvent |
Data type | Stringa |
Valori possibili | disabilitato (impostazione predefinita) abilitati |
Commenti | Disponibile in Defender per endpoint versione 101.23062.0010 o successiva. |
Configurare il monitoraggio degli eventi del caricatore di avvio
Determina se gli eventi del caricatore di avvio vengono monitorati e analizzati.
Nota
Questa funzionalità è applicabile solo quando il monitoraggio del comportamento è abilitato.
Descrizione | Valore |
---|---|
Chiave | enableBootLoaderCalls |
Data type | Stringa |
Valori possibili | disabilitato (impostazione predefinita) abilitati |
Commenti | Disponibile in Defender per endpoint versione 101.68.80 o successiva. |
Configurare il monitoraggio degli eventi ptrace
Determina se gli eventi ptrace vengono monitorati e analizzati.
Nota
Questa funzionalità è applicabile solo quando il monitoraggio del comportamento è abilitato.
Descrizione | Valore |
---|---|
Chiave | enableProcessCalls |
Data type | Stringa |
Valori possibili | disabilitato (impostazione predefinita) abilitati |
Commenti | Disponibile in Defender per endpoint versione 101.68.80 o successiva. |
Configurare il monitoraggio degli eventi pseudofs
Determina se gli eventi pseudofs vengono monitorati e analizzati.
Nota
Questa funzionalità è applicabile solo quando il monitoraggio del comportamento è abilitato.
Descrizione | Valore |
---|---|
Chiave | enablePseudofsCalls |
Data type | Stringa |
Valori possibili | disabilitato (impostazione predefinita) abilitati |
Commenti | Disponibile in Defender per endpoint versione 101.68.80 o successiva. |
Configurare il monitoraggio degli eventi di caricamento dei moduli usando eBPF
Determina se gli eventi di caricamento del modulo vengono monitorati tramite eBPF e analizzati.
Nota
Questa funzionalità è applicabile solo quando il monitoraggio del comportamento è abilitato.
Descrizione | Valore |
---|---|
Chiave | enableEbpfModuleLoadEvents |
Data type | Stringa |
Valori possibili | disabilitato (impostazione predefinita) abilitati |
Commenti | Disponibile in Defender per endpoint versione 101.68.80 o successiva. |
Segnalare eventi sospetti AV a EDR
Determina se gli eventi sospetti di Antivirus vengono segnalati a EDR.
Descrizione | Valore |
---|---|
Chiave | sendLowfiEvents |
Data type | Stringa |
Valori possibili | disabilitato (impostazione predefinita) abilitati |
Commenti | Disponibile in Defender per endpoint versione 101.23062.0010 o successiva. |
Configurazioni di protezione di rete
Le impostazioni seguenti possono essere usate per configurare le funzionalità avanzate di ispezione di Protezione rete per controllare il traffico controllato da Protezione di rete.
Nota
Per essere efficaci, La protezione di rete deve essere attivata. Per altre informazioni, vedere Attivare la protezione di rete per Linux.
Descrizione | Valore |
---|---|
Chiave | networkProtection |
Data type | Dizionario (preferenza annidata) |
Commenti | Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti. |
Configurare l'ispezione ICMP
Determina se gli eventi ICMP vengono monitorati e analizzati.
Nota
Questa funzionalità è applicabile solo quando il monitoraggio del comportamento è abilitato.
Descrizione | Valore |
---|---|
Chiave | disableIcmpInspection |
Data type | Booleano |
Valori possibili | true (impostazione predefinita) False |
Commenti | Disponibile in Defender per endpoint versione 101.23062.0010 o successiva. |
Profilo di configurazione consigliato
Per iniziare, è consigliabile usare il profilo di configurazione seguente per l'azienda per sfruttare tutte le funzionalità di protezione fornite da Defender per endpoint.
Il profilo di configurazione seguente:
- Abilitare la protezione in tempo reale (RTP)
- Specificare la modalità di gestione dei tipi di minaccia seguenti:
- Le applicazioni potenzialmente indesiderate (PUA) sono bloccate
- Le bombe di archivio (file con una velocità di compressione elevata) vengono controllate nei log dei prodotti
- Abilitare gli aggiornamenti automatici delle funzionalità di intelligence per la sicurezza
- Abilitare la protezione fornita dal cloud
- Abilitare l'invio automatico di campioni a livello
safe
Profilo di esempio
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Esempio di profilo di configurazione completo
Il profilo di configurazione seguente contiene voci per tutte le impostazioni descritte in questo documento e può essere usato per scenari più avanzati in cui si vuole un maggiore controllo sul prodotto.
Nota
Non è possibile controllare tutte le comunicazioni Microsoft Defender per endpoint solo con un'impostazione proxy in questo JSON.
Profilo completo
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Aggiungere tag o ID gruppo al profilo di configurazione
Quando si esegue il mdatp health
comando per la prima volta, il valore per il tag e l'ID gruppo sarà vuoto. Per aggiungere un tag o un ID gruppo al mdatp_managed.json
file, seguire questa procedura:
- Aprire il profilo di configurazione dal percorso
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json
. - Andare verso il basso nella parte inferiore del file, dove si trova il
cloudService
blocco. - Aggiungere il tag o l'ID gruppo richiesto come nell'esempio seguente alla fine della parentesi graffa di chiusura per .
cloudService
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
Nota
Aggiungere la virgola dopo la parentesi graffa di chiusura alla fine del cloudService
blocco. Assicurarsi inoltre che siano presenti due parentesi graffe di chiusura dopo l'aggiunta del blocco Tag o ID gruppo (vedere l'esempio precedente). Al momento, l'unico nome di chiave supportato per i tag è GROUP
.
Convalida del profilo di configurazione
Il profilo di configurazione deve essere un file in formato JSON valido. Esistono molti strumenti che possono essere usati per verificarlo. Ad esempio, se è stato python
installato nel dispositivo:
python -m json.tool mdatp_managed.json
Se il formato JSON è corretto, il comando precedente lo restituisce al terminale e restituisce un codice di uscita di 0
. In caso contrario, viene visualizzato un errore che descrive il problema e il comando restituisce un codice di uscita di 1
.
Verifica del funzionamento del file mdatp_managed.json come previsto
Per verificare che il /etc/opt/microsoft/mdatp/managed/mdatp_managed.json funzioni correttamente, accanto a queste impostazioni dovrebbe essere visualizzato "[gestito]":
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
Nota
Per rendere effettive le modifiche alla maggior parte delle configurazioni in mdatp_managed.json non è necessario riavviare il daemon mdatp. Eccezione: Per rendere effettive le configurazioni seguenti è necessario un riavvio daemon:
- cloud-diagnostic
- log-rotation-parameters
Distribuzione del profilo di configurazione
Dopo aver creato il profilo di configurazione per l'azienda, è possibile distribuirlo tramite lo strumento di gestione usato dall'azienda. Defender per endpoint in Linux legge la configurazione gestita dal file /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per