トレーニング
認定資格
Microsoft Certified: Security Operations Analyst Associate - Certifications
Microsoft Sentinel、Microsoft Defender for Cloud、Microsoft 365 Defender を使って、脅威の調査、検索、軽減を行います。
このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
重要
この記事では、エンタープライズ環境で Defender for Endpoint on Linux の基本設定を設定する方法について説明します。 コマンド ラインからデバイスで製品を構成する場合は、「 リソース」を参照してください。
エンタープライズ環境では、Defender for Endpoint on Linux は構成プロファイルを使用して管理できます。 このプロファイルは、任意の管理ツールからデプロイされます。 企業によって管理される基本設定は、デバイス上でローカルに設定されたものよりも優先されます。 つまり、エンタープライズ内のユーザーは、この構成プロファイルを使用して設定された基本設定を変更できません。 マネージド構成プロファイルを通じて除外が追加された場合、除外はマネージド構成プロファイルを介してのみ削除できます。 コマンド ラインは、ローカルに追加された除外に対して機能します。
この記事では、このプロファイルの構造 (開始に使用できる推奨プロファイルを含む) と、プロファイルを展開する方法の手順について説明します。
構成プロファイルは、キーによって識別されるエントリ (基本設定の名前を示す) で構成される .json
ファイルで、その後に値が続きます。これは、基本設定の性質に応じて異なります。 数値などの単純な値や、入れ子になった基本設定のリストなどの複雑な値を指定できます。
通常、構成管理ツールを使用して、/etc/opt/microsoft/mdatp/managed/
場所にmdatp_managed.json
という名前のファイルをプッシュします。
構成プロファイルの最上位には、製品全体の基本設定と、製品のサブエリアのエントリが含まれています。これについては、次のセクションで詳しく説明します。
構成プロファイルの antivirusEngine セクションは、製品のウイルス対策コンポーネントの基本設定を管理するために使用されます。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | antivirusEngine | ウイルス対策エンジン |
データ型 | ディクショナリ (入れ子になった基本設定) | 折りたたまれたセクション |
コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 | ポリシー プロパティの説明については、次のセクションを参照してください。 |
ウイルス対策エンジンの適用設定を指定します。 適用レベルの設定には、次の 3 つの値があります。
real_time
): リアルタイム保護 (変更されたファイルのスキャン) が有効になっています。on_demand
): ファイルはオンデマンドでのみスキャンされます。 この例では、次の操作を行います。automaticDefinitionUpdateEnabled
がオンデマンド モードで true
に設定されている場合でも、スキャンの開始時にのみ発生します。passive
): ウイルス対策エンジンをパッシブ モードで実行します。 この場合、次のすべてが適用されます。automaticDefinitionUpdateEnabled
がパッシブ モードで true
に設定されている場合でも、スキャンが開始されたときにのみ発生します。説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | enforcementLevel | 適用レベル |
データ型 | String | ドロップ ダウン |
可能な値 | real_time on_demand passive (既定値) |
未構成 リアルタイム OnDemand パッシブ (既定値) |
注意
Defender for Endpoint バージョン 101.10.72
以降で使用できます。 既定は、Defender for Endpoint バージョン 101.23062.0001
以降で real_time
から passive
に変更されます。
要件に従って スケジュールされたスキャン も使用することをお勧めします。
デバイスで動作の監視とブロック機能が有効かどうかを判断します。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | behaviorMonitoring | 動作の監視を有効にする |
データ型 | String | ドロップ ダウン |
指定可能な値 |
disabled (既定値) |
未構成 無効 (既定値) 有効 |
注意
Defender for Endpoint バージョン 101.45.00
以降で使用できます。
この機能は、リアルタイム保護が有効になっている場合にのみ適用されます。
新しいセキュリティ インテリジェンス更新プログラムがデバイスにダウンロードされた後にプロセス スキャンを開始するかどうかを指定します。 この設定を有効にすると、デバイスの実行中のプロセスでウイルス対策スキャンがトリガーされます。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | scanAfterDefinitionUpdate | 定義の更新後にスキャンを有効にする |
データ型 | ブール型 | ドロップ ダウン |
指定可能な値 |
true (既定値) |
未構成 無効 有効 (既定値) |
注意
Defender for Endpoint バージョン 101.45.00
以降で使用できます。
この機能は、適用レベルが real-time
に設定されている場合にのみ機能します。
オンデマンドウイルス対策スキャン中にアーカイブをスキャンするかどうかを指定します。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | scanArchives | アーカイブのスキャンを有効にする |
データ型 | ブール型 | ドロップ ダウン |
指定可能な値 |
true (既定値)
|
未構成 無効 有効 (既定値) |
注意
Microsoft Defender for Endpoint バージョン 101.45.00
以降で使用できます。
アーカイブ ファイルは、リアルタイム保護中にスキャンされることはありません。 アーカイブ内のファイルが抽出されると、スキャンされます。
scanArchives オプションを使用すると、オンデマンド スキャン中にのみアーカイブを強制的にスキャンできます。
オンデマンド スキャンの並列処理の程度を指定します。 これは、スキャンの実行に使用されるスレッドの数に対応し、CPU 使用率とオンデマンド スキャンの期間に影響します。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | maximumOnDemandScanThreads | オンデマンド スキャン スレッドの最大数 |
データ型 | 整数 | トグル スイッチ & 整数 |
指定可能な値 | 2 (既定値)。 使用できる値は、1 ~ 64 の整数です。 | 未構成 (既定のトグルオフ既定値は 2) 構成済み (トグルオン) と 1 から 64 の整数。 |
注意
Microsoft Defender for Endpoint バージョン 101.45.00
以降で使用できます。
除外のマージ ポリシーを指定します。 管理者定義の除外とユーザー定義の除外 (merge
) の組み合わせ、または管理者定義の除外 (admin_only
) のみを指定できます。 管理者定義 (admin_only) は、Defender for Endpoint ポリシーによって構成される除外です。 この設定を使用すると、ローカル ユーザーが独自の除外を定義できないように制限できます。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | exclusionsMergePolicy | 除外のマージ |
データ型 | String | ドロップ ダウン |
指定可能な値 |
merge (既定値)
|
未構成 merge (既定値) admin_only |
注意
Defender for Endpoint バージョン 100.83.73
以降で使用できます。
exclusionSettings で除外を構成することもできます
スキャンから除外されたエンティティ。 除外は、完全なパス、拡張子、またはファイル名で指定できます。 (除外は項目の配列として指定され、管理者は必要な数の要素を任意の順序で指定できます)。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | 除外 | 除外をスキャンする |
データ型 | ディクショナリ (入れ子になった基本設定) | 動的プロパティリスト |
コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
スキャンから除外されるコンテンツの種類を指定します。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | $type | 型 |
データ型 | String | ドロップ ダウン |
指定可能な値 | excludedPath
|
Path ファイル拡張子 プロセス名 |
完全なファイル パスでスキャンからコンテンツを除外するために使用されます。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | path | Path |
データ型 | String | String |
指定可能な値 | 有効なパス | 有効なパス |
コメント | $typeが excludedPath の場合にのみ適用されます | インスタンスの編集ポップアップでアクセス |
path プロパティがファイルまたはディレクトリを参照しているかどうかを示します。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | isDirectory | Is directory |
データ型 | ブール型 | ドロップ ダウン |
指定可能な値 |
false (既定値)
|
有効 無効 |
コメント | $typeが excludedPath の場合にのみ適用されます | インスタンスの編集ポップアップでアクセス |
ファイル拡張子によるスキャンからコンテンツを除外するために使用されます。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | 延長 | ファイル拡張子 |
データ型 | String | String |
指定可能な値 | 有効なファイル拡張子 | 有効なファイル拡張子 |
コメント | $typeが excludedFileExtension の場合にのみ適用されます | [インスタンスの構成] ポップアップでアクセス |
すべてのファイル アクティビティをスキャンから除外するプロセスを指定します。 プロセスは、名前 ( cat
など) または完全パス ( /bin/cat
など) で指定できます。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | name | ファイル名 |
データ型 | String | String |
指定可能な値 | 任意の文字列 | 任意の文字列 |
コメント | $typeが excludedFileName の場合にのみ適用されます | [インスタンスの構成] ポップアップでアクセス |
noexec としてマークされたマウント ポイントでの RTP の動作を指定します。 設定には、次の 2 つの値があります。
unmute
): 既定値では、すべてのマウント ポイントが RTP の一部としてスキャンされます。mute
): noexec としてマークされたマウント ポイントは RTP の一部としてスキャンされず、次のマウント ポイントを作成できます。説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | nonExecMountPolicy | 非実行マウント ミュート |
データ型 | String | ドロップ ダウン |
可能な値 |
unmute (既定値)
|
未構成 unmute (既定値) 唖 |
注意
Defender for Endpoint バージョン 101.85.27
以降で使用できます。
リアルタイム保護 (RTP) から監視/除外されないようにファイルシステムを構成します。 構成されたファイルシステムは、許可されているファイルシステムMicrosoft Defenderの一覧に対して検証されます。 ファイルシステムは、検証が成功した後にのみ監視できます。 これらの構成済みの監視されていないファイルシステムは、Microsoft Defenderウイルス対策のクイック スキャン、フル スキャン、カスタム スキャンによって引き続きスキャンされます。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | unmonitoredFilesystems | 監視されていないファイルシステム |
データ型 | 文字列の配列 | 動的文字列リスト |
注意
構成されたファイルシステムは、許可されている監視されていないファイルシステムの Microsoft の一覧に存在する場合にのみ監視されません。
既定では、NFS と Fuse は RTP、クイック、フル スキャンから監視されません。 ただし、カスタム スキャンでもスキャンできます。 たとえば、監視されていないファイルシステムの一覧から NFS を削除するには、次に示すようにマネージド構成ファイルを更新します。 これにより、RTP の監視対象ファイルシステムの一覧に NFS が自動的に追加されます。
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
監視されていないファイルシステムの一覧から NFS と Fuse の両方を削除するには、次の手順を実行します。
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
注意
RTP の監視対象ファイルシステムの既定の一覧は、 btrfs
、 ecryptfs
、 ext2
、 ext3
、 ext4
、 fuseblk
、 jfs
、 overlay
、 ramfs
、 reiserfs
、 tmpfs
、 vfat
、 xfs
です。
監視されていないファイルシステムの一覧に監視対象のファイルシステムを追加する必要がある場合は、クラウド構成を使用して Microsoft によって評価および有効にする必要があります。どのお客様がmanaged_mdatp.jsonを更新して、そのファイルシステムの監視を解除できるかに従います。
ファイル ハッシュ計算機能を有効または無効にします。 この機能を有効にすると、Defender for Endpoint はスキャンするファイルのハッシュを計算します。 この機能を有効にすると、デバイスのパフォーマンスに影響する可能性があることに注意してください。 詳細については、「 ファイルのインジケーターを作成する」を参照してください。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | enableFileHashComputation | ファイル ハッシュ計算を有効にする |
データ型 | ブール型 | ドロップ ダウン |
指定可能な値 |
false (既定値)
|
未構成 無効 (既定値) 有効 |
注意
Defender for Endpoint バージョン 101.85.27
以降で使用できます。
製品によってブロックされず、代わりに実行が許可されている (名前で識別される) 脅威の一覧。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | allowedThreats | 許可される脅威 |
データ型 | 文字列の配列 | 動的文字列リスト |
脅威が検出されたときにデバイスのローカル ユーザーが実行できるアクションを制限します。 この一覧に含まれるアクションは、ユーザー インターフェイスには表示されません。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | disallowedThreatActions | 許可されていない脅威アクション |
データ型 | 文字列の配列 | 動的文字列リスト |
可能な値 |
allow (ユーザーが脅威を許可できないように制限します)
|
allow (ユーザーが脅威を許可できないように制限します) restore (ユーザーが検疫から脅威を復元できないように制限します) |
注意
Defender for Endpoint バージョン 100.83.73
以降で使用できます。
ウイルス対策エンジンの threatTypeSettings 基本設定は、特定の脅威の種類が製品によって処理される方法を制御するために使用されます。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | threatTypeSettings | 脅威の種類の設定 |
データ型 | ディクショナリ (入れ子になった基本設定) | 動的プロパティリスト |
コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 | 動的プロパティの説明については、次のセクションを参照してください。 |
動作が構成されている脅威の種類。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | キー | 脅威の種類 |
データ型 | String | ドロップ ダウン |
指定可能な値 | potentially_unwanted_application
|
potentially_unwanted_application archive_bomb |
前のセクションで指定した型の脅威に遭遇したときに実行するアクション。 次のことができます。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | 値 | 実行する操作 |
データ型 | String | ドロップ ダウン |
指定可能な値 |
audit (既定値)
|
監査 ブロック オフ |
脅威の種類の設定のマージ ポリシーを指定します。 管理者定義の設定とユーザー定義の設定 (merge
) の組み合わせ、または管理者定義の設定 (admin_only
) のみを指定できます。 管理者定義 (admin_only) は、Defender for Endpoint ポリシーによって構成される脅威の種類の設定です。 この設定を使用すると、ローカル ユーザーがさまざまな脅威の種類に対して独自の設定を定義できないように制限できます。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | threatTypeSettingsMergePolicy | 脅威の種類の設定のマージ |
データ型 | String | ドロップ ダウン |
可能な値 | merge (既定値) admin_only |
未構成 merge (既定値) admin_only |
注意
Defender for Endpoint バージョン 100.83.73
以降で使用できます。
デバイスのスキャン履歴に結果が保持される日数を指定します。 古いスキャン結果は履歴から削除されます。 古い検疫済みファイル。ディスクからも削除されます。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | scanResultsRetentionDays | スキャン結果の保持 |
データ型 | String | 切り替えスイッチと整数 |
指定可能な値 | 90 (既定値)。 使用できる値は、1 日から 180 日です。 | 未構成 (オフ - 90 日間の既定値) 構成済み (トグルオン) と許可される値 1 ~ 180 日。 |
注意
Defender for Endpoint バージョン 101.04.76
以降で使用できます。
スキャン履歴に保持するエントリの最大数を指定します。 エントリには、過去に実行されたすべてのオンデマンド スキャンと、すべてのウイルス対策検出が含まれます。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | scanHistoryMaximumItems | スキャン履歴のサイズ |
データ型 | String | トグルと整数 |
指定可能な値 | 10000 (既定値)。 使用できる値は、5,000 項目から 1,5000 項目までです。 | 未構成 (トグルオフ - 10000 既定値) 5000 から 15,000 個の項目に構成 (トグルオン) および許可される値。 |
注意
Defender for Endpoint バージョン 101.04.76
以降で使用できます。
Exlusion 設定の基本設定は現在プレビュー段階です。
注意
グローバル除外は現在パブリック プレビュー段階にあり、バージョン 101.23092.0012
以降の Insider 低速および運用リングで Defender for Endpoint で使用できます。
構成プロファイルのexclusionSettings
セクションは、Linux 用のMicrosoft Defender for Endpointのさまざまな除外を構成するために使用されます。
説明 | JSON 値 |
---|---|
Key | exclusionSettings |
データ型 | ディクショナリ (入れ子になった基本設定) |
コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
注意
マネージド JSON の (antivirusEngine
) で既に構成されているウイルス対策の除外は、引き続きそのまま機能し、影響はありません。 ウイルス対策 の除外を 含むすべての新しい除外は、この完全に新しいセクション (exclusionSettings
) に追加できます。 このセクションは、(antivirusEngine
) タグの外部にあり、今後すべての種類の除外を構成するためだけに専用になっています。 ウイルス対策の除外を構成するために (antivirusEngine
) を引き続き使用することもできます。
除外のマージ ポリシーを指定します。 管理者定義の除外とユーザー定義の除外 (merge
) を組み合わせることができるか、管理者が定義した除外 (admin_only
) のみを指定します。 この設定を使用すると、ローカル ユーザーが独自の除外を定義できないように制限できます。 すべてのスコープの除外に適用されます。
説明 | JSON 値 |
---|---|
Key | mergePolicy |
データ型 | String |
指定可能な値 | merge (既定値) admin_only |
コメント | Defender for Endpoint バージョン 2023 年 9 月以降で使用できます。 |
除外する必要があるエンティティは、完全なパス、拡張子、またはファイル名で指定できます。 各除外エンティティ (つまり、完全パス、拡張子、またはファイル名) には、指定できるオプションのスコープがあります。 指定しない場合、このセクションのスコープの既定値は グローバルです。 (除外は項目の配列として指定され、管理者は必要な数の要素を任意の順序で指定できます)。
説明 | JSON 値 |
---|---|
Key | 除外 |
データ型 | ディクショナリ (入れ子になった基本設定) |
コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
スキャンから除外されるコンテンツの種類を指定します。
説明 | JSON 値 |
---|---|
Key | $type |
データ型 | String |
指定可能な値 | excludedPath excludedFileExtension excludedFileName |
除外されるコンテンツの除外スコープのセットを指定します。 現在サポートされているスコープは、 epp
と global
。
exclusionSettings in managed configuration で除外に何も指定されていない場合、global
はスコープと見なされます。
注意
マネージド JSON の (antivirusEngine
) で以前に構成されたウイルス対策除外は引き続き機能し、そのスコープはウイルス対策の除外として追加されたので (epp
) と見なされます。
説明 | JSON 値 |
---|---|
Key | scopes |
データ型 | 文字列のセット |
指定可能な値 | epp グローバル |
注意
(mdatp_managed.json
) または CLI によって以前に適用された除外は影響を受けません。 これらの除外のスコープは、(antivirusEngine
) の下に追加されたので (epp
) になります。
完全なファイル パスでスキャンからコンテンツを除外するために使用されます。
説明 | JSON 値 |
---|---|
Key | path |
データ型 | String |
指定可能な値 | 有効なパス |
コメント |
$typeが excludedPath の場合にのみ適用されます。 除外にスコープとしてグローバルがある場合、ワイルドカードはサポートされません。 |
path プロパティがファイルまたはディレクトリを参照しているかどうかを示します。
注意
グローバル スコープでファイルの除外を追加する場合は、ファイル パスが既に存在している必要があります。
説明 | JSON 値 |
---|---|
Key | isDirectory |
データ型 | ブール型 |
指定可能な値 | false (既定) true |
コメント |
$typeが excludedPath の場合にのみ適用されます。 除外にスコープとしてグローバルがある場合、ワイルドカードはサポートされません。 |
ファイル拡張子によるスキャンからコンテンツを除外するために使用されます。
説明 | JSON 値 |
---|---|
Key | 延長 |
データ型 | String |
指定可能な値 | 有効なファイル拡張子 |
コメント |
$typeが excludedFileExtension の場合にのみ適用されます。 除外にスコープとしてグローバルがある場合はサポートされません。 |
すべてのファイル アクティビティをスキャンから除外するプロセスを指定します。 プロセスは、名前 ( cat
など) または完全パス ( /bin/cat
など) で指定できます。
説明 | JSON 値 |
---|---|
Key | name |
データ型 | String |
指定可能な値 | 任意の文字列 |
コメント |
$typeが excludedFileName の場合にのみ適用されます。 除外にスコープとしてグローバルがある場合、ワイルドカードとプロセス名はサポートされていません。完全なパスを指定する必要があります。 |
特定の高度なスキャン機能を有効にするために、次の設定を構成できます。
注意
これらの機能を有効にすると、デバイスのパフォーマンスに影響する可能性があります。 そのため、既定値をそのまま使用することをお勧めします。
この機能を有効にすると、Defender for Endpoint は、実行ビットを設定するためにアクセス許可が変更されたときにファイルをスキャンします。
注意
この機能は、 enableFilePermissionEvents
機能が有効になっている場合にのみ適用されます。 詳細については、以下の 「高度なオプション機能 」セクションを参照してください。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | scanFileModifyPermissions | 使用不可 |
データ型 | ブール型 | 該当なし |
指定可能な値 | false (既定) true |
該当なし |
注意
Defender for Endpoint バージョン 101.23062.0010
以降で使用できます。
この機能を有効にすると、Defender for Endpoint は所有権が変更されたファイルをスキャンします。
注意
この機能は、 enableFileOwnershipEvents
機能が有効になっている場合にのみ適用されます。 詳細については、以下の 「高度なオプション機能 」セクションを参照してください。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | scanFileModifyOwnership | 使用不可 |
データ型 | ブール型 | 該当なし |
指定可能な値 | false (既定) true |
該当なし |
注意
Defender for Endpoint バージョン 101.23062.0010
以降で使用できます。
この機能を有効にすると、Defender for Endpoint は、生のソケット/パケット ソケットの作成やソケット オプションの設定などのネットワーク ソケット イベントをスキャンします。
注意
この機能は、動作監視が有効になっている場合にのみ適用されます。
この機能は、 enableRawSocketEvent
機能が有効になっている場合にのみ適用されます。 詳細については、以下の 「高度なオプション機能 」セクションを参照してください。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | scanNetworkSocketEvent | 使用不可 |
データ型 | ブール型 | 該当なし |
指定可能な値 | false (既定) true |
該当なし |
注意
Defender for Endpoint バージョン 101.23062.0010
以降で使用できます。
構成プロファイルの cloudService エントリを使用して、製品のクラウド駆動型保護機能を構成します。
注意
クラウド配信の保護は、適用レベルの設定 (real_time、on_demand、パッシブ) に適用できます。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | cloudService | クラウドで提供される保護の基本設定 |
データ型 | ディクショナリ (入れ子になった基本設定) | 折りたたまれたセクション |
コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 | ポリシーの設定の説明については、次のセクションを参照してください。 |
クラウド配信の保護がデバイスで有効かどうかを判断します。 サービスのセキュリティを強化するために、この機能をオンにしておくことをお勧めします。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | enabled | クラウド提供の保護を有効にする |
データ型 | ブール型 | ドロップ ダウン |
指定可能な値 |
true (既定値)
|
未構成 無効 有効 (既定値) |
診断データは、Defender for Endpoint を安全かつ最新の状態に保ち、問題を検出、診断、修正し、製品を改善するために使用されます。 この設定は、製品から Microsoft に送信される診断のレベルを決定します。 詳細については、「Linux 上のMicrosoft Defender for Endpointのプライバシー」を参照してください。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | diagnosticLevel | 診断データ収集レベル |
データ型 | String | ドロップ ダウン |
指定可能な値 | optional
|
未構成 省略可能 (既定値) 必須出席者 |
この設定は、疑わしいファイルをブロックおよびスキャンする際の Defender for Endpoint の攻撃性を決定します。 この設定がオンの場合、Defender for Endpoint は、ブロックおよびスキャンする疑わしいファイルを特定するときに、より積極的になります。それ以外の場合は、攻撃的ではなく、より頻度の低いブロックとスキャンが行われます。
クラウド ブロック レベルの設定には、次の 5 つの値があります。
normal
): 既定のブロック レベル。moderate
): 高信頼度の検出に対してのみ判定を行います。high
): パフォーマンスを最適化しながら、不明なファイルを積極的にブロックします (有害でないファイルをブロックする可能性が高くなります)。high_plus
): 不明なファイルを積極的にブロックし、追加の保護対策を適用します (クライアント デバイスのパフォーマンスに影響する可能性があります)。zero_tolerance
): 不明なプログラムをすべてブロックします。説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | cloudBlockLevel | クラウド ブロック レベルを構成する |
データ型 | String | ドロップ ダウン |
可能な値 |
normal (既定値)
|
未構成 標準 (既定) 中 高 High_Plus Zero_Tolerance |
注意
Defender for Endpoint バージョン 101.56.62
以降で使用できます。
疑わしいサンプル (脅威が含まれている可能性が高い) を Microsoft に送信するかどうかを決定します。 サンプルの送信を制御するには、次の 3 つのレベルがあります。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | automaticSampleSubmissionConsent | 自動サンプル送信を有効にする |
データ型 | String | ドロップ ダウン |
指定可能な値 | none
|
未構成 なし セーフ (既定値) すべて |
セキュリティ インテリジェンスの更新プログラムが自動的にインストールされるかどうかを判断します。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | automaticDefinitionUpdateEnabled | セキュリティ インテリジェンスの自動更新 |
データ型 | ブール型 | ドロップ ダウン |
指定可能な値 |
true (既定値)
|
未構成 無効 有効 (既定値) |
適用レベルに応じて、セキュリティ インテリジェンスの自動更新が異なる方法でインストールされます。 RTP モードでは、更新プログラムが定期的にインストールされます。 パッシブ/オンデマンド モードでは、すべてのスキャンの前に更新プログラムがインストールされます。
次の設定を構成して、特定の高度な機能を有効にすることができます。
注意
これらの機能を有効にすると、デバイスのパフォーマンスに影響する可能性があります。 既定値をそのまま使用することをお勧めします。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | 顔立ち | 使用不可 |
データ型 | ディクショナリ (入れ子になった基本設定) | 該当なし |
コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
モジュール読み込みイベント (共有ライブラリ上のファイル開いているイベント) を監視するかどうかを決定します。
注意
この機能は、動作監視が有効になっている場合にのみ適用されます。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | moduleLoad | 使用不可 |
データ型 | String | 該当なし |
指定可能な値 | disabled (既定値) enabled |
該当なし |
コメント | Defender for Endpoint バージョン 101.68.80 以降で使用できます。 |
次の設定を使用して、特定の高度な補助センサー機能を構成できます。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | supplementarySensorConfigurations | 使用不可 |
データ型 | ディクショナリ (入れ子になった基本設定) | 該当なし |
コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
ファイル変更アクセス許可イベント (chmod
) を監視するかどうかを決定します。
注意
この機能を有効にすると、Defender for Endpoint はファイルの実行ビットに対する変更を監視しますが、これらのイベントはスキャンしません。 詳細については、「 高度なスキャン機能 」セクションを参照してください。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | enableFilePermissionEvents | 使用不可 |
データ型 | String | 該当なし |
可能な値 | disabled (既定値) enabled |
該当なし |
コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
ファイル変更所有権イベント (chown) を監視するかどうかを決定します。
注意
この機能を有効にすると、Defender for Endpoint はファイルの所有権に対する変更を監視しますが、これらのイベントはスキャンしません。 詳細については、「 高度なスキャン機能 」セクションを参照してください。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | enableFileOwnershipEvents | 使用不可 |
データ型 | String | 該当なし |
指定可能な値 | disabled (既定値) enabled |
該当なし |
コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
生ソケット/パケット ソケットの作成またはソケット オプションの設定に関連するネットワーク ソケット イベントを監視するかどうかを決定します。
注意
この機能は、動作監視が有効になっている場合にのみ適用されます。 この機能を有効にすると、Defender for Endpoint はこれらのネットワーク ソケット イベントを監視しますが、これらのイベントはスキャンしません。 詳細については、上記の 「高度なスキャン機能 」セクションを参照してください。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | enableRawSocketEvent | 使用不可 |
データ型 | String | 該当なし |
指定可能な値 | disabled (既定値) enabled |
該当なし |
コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
ブート ローダー イベントを監視およびスキャンするかどうかを決定します。
注意
この機能は、動作監視が有効になっている場合にのみ適用されます。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | enableBootLoaderCalls | 使用不可 |
データ型 | String | 該当なし |
指定可能な値 | disabled (既定値) enabled |
該当なし |
コメント | Defender for Endpoint バージョン 101.68.80 以降で使用できます。 |
ptrace イベントを監視およびスキャンするかどうかを決定します。
注意
この機能は、動作監視が有効になっている場合にのみ適用されます。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | enableProcessCalls | 使用不可 |
データ型 | String | 該当なし |
指定可能な値 | disabled (既定値) enabled |
該当なし |
コメント | Defender for Endpoint バージョン 101.68.80 以降で使用できます。 |
疑似イベントが監視およびスキャンされるかどうかを判断します。
注意
この機能は、動作監視が有効になっている場合にのみ適用されます。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | enablePseudofsCalls | 使用不可 |
データ型 | String | 該当なし |
指定可能な値 | disabled (既定値) enabled |
該当なし |
コメント | Defender for Endpoint バージョン 101.68.80 以降で使用できます。 |
モジュールの読み込みイベントが eBPF を使用して監視され、スキャンされるかどうかを判断します。
注意
この機能は、動作監視が有効になっている場合にのみ適用されます。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | enableEbpfModuleLoadEvents | 使用不可 |
データ型 | String | 該当なし |
指定可能な値 | disabled (既定値) enabled |
該当なし |
コメント | Defender for Endpoint バージョン 101.68.80 以降で使用できます。 |
ウイルス対策からの疑わしいイベントが EDR に報告されるかどうかを判断します。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | sendLowfiEvents | 使用不可 |
データ型 | String | 該当なし |
指定可能な値 | disabled (既定値) enabled |
該当なし |
コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
次の設定を使用して、ネットワーク保護によって検査されるトラフィックを制御する高度なネットワーク保護検査機能を構成できます。
注意
これらを有効にするには、Network Protection を有効にする必要があります。 詳細については、「 Linux のネットワーク保護を有効にする」を参照してください。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | networkProtection | ネットワーク保護 |
データ型 | ディクショナリ (入れ子になった基本設定) | 折りたたまれたセクション |
コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 | ポリシー設定の説明については、次のセクションを参照してください。 |
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | enforcementLevel | 適用レベル |
データ型 | String | ドロップ ダウン |
指定可能な値 |
disabled (既定値)audit block |
未構成 disabled (既定値) 監査 ブロック |
ICMP イベントを監視およびスキャンするかどうかを決定します。
注意
この機能は、動作監視が有効になっている場合にのみ適用されます。
説明 | JSON 値 | Defender Portal の値 |
---|---|---|
Key | disableIcmpInspection | 使用不可 |
データ型 | ブール型 | 該当なし |
指定可能な値 |
true (既定値)
|
該当なし |
コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
作業を開始するには、Defender for Endpoint が提供するすべての保護機能を利用するために、企業向けに次の構成プロファイルを使用することをお勧めします。
次の構成プロファイル:
safe
レベルで自動サンプル送信を有効にする{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
次の構成プロファイルには、このドキュメントで説明されているすべての設定のエントリが含まれており、製品をより詳細に制御する高度なシナリオで使用できます。
注意
この JSON のプロキシ設定のみで、すべてのMicrosoft Defender for Endpoint通信を制御することはできません。
{
"antivirusEngine":{
"enforcementLevel":"passive",
"behaviorMonitoring": "disabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"enableFileHashComputation": false,
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
],
"scanFileModifyPermissions":false,
"scanFileModifyOwnership":false,
"scanNetworkSocketEvent":false,
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate":"disabled"
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
"definitionUpdatesInterval":28800
},
"features":{
"moduleLoad":"disabled",
"supplementarySensorConfigurations":{
"enableFilePermissionEvents":"disabled",
"enableFileOwnershipEvents":"disabled",
"enableRawSocketEvent":"disabled",
"enableBootLoaderCalls":"disabled",
"enableProcessCalls":"disabled",
"enablePseudofsCalls":"diabled",
"enableEbpfModuleLoadEvents":"disabled",
"sendLowfiEvents":"disabled"
},
"ebpfSupplementaryEventProvider":"enabled",
"offlineDefinitionUpdateVerifySig": "disabled"
},
"networkProtection":{
"enforcementLevel":"disabled",
"disableIcmpInspection":true
},
"edr":{
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
mdatp health
コマンドを初めて実行すると、タグとグループ ID の値は空白になります。
mdatp_managed.json
ファイルにタグまたはグループ ID を追加するには、次の手順に従います。
パス /etc/opt/microsoft/mdatp/managed/mdatp_managed.json
から構成プロファイルを開きます。
cloudService
ブロックがあるファイルの下部に移動します。
次の例のように、 cloudService
の閉じ中かっこの末尾に必要なタグまたはグループ ID を追加します。
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
注意
cloudService
ブロックの末尾にある中かっこの後にコンマを追加します。 また、Tag ブロックまたはグループ ID ブロックを追加した後に、2 つの閉じる中かっこがあることを確認します (上記の例を参照してください)。 現時点では、タグでサポートされているキー名は GROUP
のみです。
構成プロファイルは、有効な JSON 形式のファイルである必要があります。 これを確認するために使用できるツールは多数あります。 たとえば、デバイスに python
がインストールされている場合は、次のようになります。
python -m json.tool mdatp_managed.json
JSON が整形式の場合、上記のコマンドによってターミナルに出力され、 0
の終了コードが返されます。 それ以外の場合は、問題を説明するエラーが表示され、コマンドは 1
の終了コードを返します。
/etc/opt/microsoft/mdatp/managed/mdatp_managed.jsonが正常に動作していることを確認するには、次の設定の横に "[managed]" と表示されます。
cloud_enabled
cloud_automatic_sample_submission_consent
passive_mode_enabled
real_time_protection_enabled
automatic_definition_update_enabled
注意
mdatp_managed.json
のほとんどの構成を変更して有効にするために、mdatp デーモンを再起動する必要はありません。
例外: 次の構成では、デーモンの再起動を有効にする必要があります。
cloud-diagnostic
log-rotation-parameters
エンタープライズの構成プロファイルを構築したら、企業が使用している管理ツールを使用して展開できます。 Defender for Endpoint on Linux は、 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json
ファイルからマネージド構成を読み取ります。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
トレーニング
認定資格
Microsoft Certified: Security Operations Analyst Associate - Certifications
Microsoft Sentinel、Microsoft Defender for Cloud、Microsoft 365 Defender を使って、脅威の調査、検索、軽減を行います。