セキュリティ設定を構成する
Linux 上のMicrosoft Defender for Endpointには、ウイルス対策、マルウェア対策保護、エンドポイント検出、応答機能が含まれます。 この記事では、構成するための重要なセキュリティ設定の概要と、他のリソースへのリンクが含まれています。
| Settings | 説明 |
|---|---|
| 1. 静的プロキシ検出を構成します。 | 静的プロキシを構成すると、テレメトリが送信され、ネットワーク タイムアウトを回避するのに役立ちます。 Defender for Endpoint のインストール中とインストール後に、このタスクを実行します。 詳細については、「Linux で静的プロキシ検出用にMicrosoft Defender for Endpointを構成する」を参照してください。 |
| 2. ウイルス対策スキャンを構成します。 | 自動ウイルス対策スキャンをスケジュールするには、Anacron または Crontab を使用します。 詳細については、次の記事を参照してください。 |
| 3. セキュリティ設定とポリシーを構成します。 | Microsoft Defender ポータル (Defender for Endpoint Security Settings Management) または構成プロファイル (.json ファイル) を使用して、Defender for Endpoint on Linux を構成できます。 または、コマンド ラインを使用して特定の設定を構成することもできます。 詳細については、次の記事を参照してください。 |
| 4. 除外の構成と検証 (必要に応じて) | 特定のファイル、フォルダー、プロセス、プロセスで開かれたファイルを、Linux 上の Defender for Endpoint から除外できます。 グローバル除外は、リアルタイム保護 (RTP)、動作監視 (BM)、エンドポイント検出と応答 (EDR) に適用されるため、関連するすべてのウイルス対策検出、EDR アラート、除外された項目の可視性を停止します。 詳細については、「Linux 用の Microsoft Defender for Endpoint の除外を構成および検証する」 を参照してください。 |
| 5. eBPF ベースのセンサーを構成します。 | Linux 上のMicrosoft Defender for Endpoint用の拡張されたバークレイ パケット フィルター (eBPF) は、101.23082.0006以降のエージェント バージョンでは、既定ですべての顧客に対して自動的に有効になります。 Linux オペレーティング システムの補足イベント データを提供し、アプリケーション間の競合の可能性を減らすのに役立ちます。 詳細については、「Linux 上のMicrosoft Defender for Endpointに eBPF ベースのセンサーを使用する」を参照してください。 |
| 6. オフライン セキュリティ インテリジェンス更新プログラムを構成する (必要に応じて) | オフライン セキュリティ インテリジェンス更新プログラムを使用すると、インターネットへのアクセスが制限されているか、まったく公開されていない Linux サーバーのセキュリティ インテリジェンス更新プログラムを構成できます。 Microsoft クラウドに接続して署名をダウンロードできるローカル ホスティング サーバー ("ミラー サーバー" を設定できます。 その他の Linux エンドポイントでは、定義済みの間隔でミラー サーバーから更新プログラムをプルできます。 詳細については、「Linux でMicrosoft Defender for Endpointのオフライン セキュリティ インテリジェンス更新プログラムを構成する」を参照してください。 |
| 7. 更新プログラムをデプロイします。 | Microsoft では、パフォーマンス、セキュリティを向上させ、新機能を提供するためのソフトウェア更新プログラムを定期的に公開しています。 詳細については、「Linux でMicrosoft Defender for Endpointの更新プログラムをデプロイする」を参照してください。 |
| 8. ネットワーク保護を構成する (プレビュー) | ネットワーク保護は、フィッシング詐欺、悪用、その他の悪意のあるコンテンツをインターネット上でホストする可能性のある危険なドメインにユーザーがアプリケーションを使用してアクセスできないようにするのに役立ちます。 詳細については、「 Linux のネットワーク保護」を参照してください。 |
重要
複数のセキュリティ ソリューションを並行して実行する場合は、「 パフォーマンス、構成、およびサポートに関する考慮事項」を参照してください。
既に、Microsoft Defender for Endpointにオンボードされているデバイスの相互セキュリティ除外を構成している可能性があります。 競合を回避するために相互除外を設定する必要がある場合は、「既存のソリューションの除外リストにMicrosoft Defender for Endpointを追加する」を参照してください。
セキュリティ設定を構成するためのオプション
Linux 上の Defender for Endpoint でセキュリティ設定を構成するには、次の 2 つの主なオプションがあります。
Microsoft Defender ポータルを使用する (Defender for Endpoint Security Settings Management)
または
構成プロファイルを使用する
コマンド ラインを使用して、特定の設定の構成、診断の収集、スキャンの実行などを行うことができます。 詳細については、「 Linux リソース: コマンド ラインを使用して構成する」を参照してください。
Defender for Endpoint Security Settings Management
Defender for Endpoint on Linux は、Defender for Endpoint Security Settings Management を使用して、Microsoft Defender ポータル (https://security.microsoft.com) で構成できます。 セキュリティ ポリシーを作成、編集、検証する方法など、詳細については、「Microsoft Defender for Endpointセキュリティ設定管理を使用してMicrosoft Defenderウイルス対策を管理する」を参照してください。
構成プロファイル
.json ファイルを使用する構成プロファイルを使用して、Defender for Endpoint on Linux で設定を構成できます。 プロファイルを設定したら、任意の管理ツールを使用して展開できます。 エンタープライズによって管理される基本設定は、デバイスでローカルに設定された基本設定よりも優先されます。
つまり、エンタープライズ内のユーザーは、この構成プロファイルを使用して設定された基本設定を変更できません。 マネージド構成プロファイルを通じて除外が追加された場合、除外はマネージド構成プロファイルを介してのみ削除できます。 コマンド ラインは、ローカルに追加された除外に対して機能します。
この記事では、このプロファイルの構造 (開始に使用できる推奨プロファイルを含む) と、プロファイルをデプロイする方法について説明します。
構成プロファイルの構造
構成プロファイルは、キーによって識別されるエントリ (基本設定の名前を示す) で構成される .json ファイルで、その後に値が続きます。これは、基本設定の性質に応じて異なります。 値は、単純 (数値など) または複合 (たとえば、入れ子になった基本設定の一覧) です。
通常、構成管理ツールを使用して、 mdatp_managed.json という名前のファイルを場所 /etc/opt/microsoft/mdatp/managed/にプッシュします。
構成プロファイルの最上位には、製品全体の基本設定と、製品のサブエリアのエントリが含まれています。これについては、次のセクションで詳しく説明します。
推奨される構成プロファイル
このセクションには、次の 2 つの構成プロファイルの例が含まれています。
- 推奨設定の使用を開始するのに役立つサンプル プロファイル。
- セキュリティ設定をより詳細に制御する組織の完全な構成プロファイルの例。
開始するには、organizationの最初のサンプル プロファイルを使用することをお勧めします。 より詳細な制御を行うには、代わりに 完全な構成プロファイルの例 を使用できます。
サンプル プロファイル
次の構成プロファイルは、Defender for Endpoint on Linux の重要な保護機能を活用するのに役立ちます。 プロファイルには、次の構成が含まれています。
- リアルタイム保護 (RTP) を有効にします。
- 次の脅威の種類の処理方法を指定します。
- 望ましくない可能性のあるアプリケーション (PUA) がブロックされます。
- アーカイブ爆弾 (圧縮率の高いファイル) は、製品ログに対して監査されます。
- セキュリティ インテリジェンスの自動更新を有効にします。
- クラウド提供の保護を有効にします。
-
safeレベルで自動サンプル送信を有効にします。
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
完全な構成プロファイルの例
次の構成プロファイルには、この記事で説明したすべての設定のエントリが含まれており、より詳細な制御が必要なより高度なシナリオに使用できます。
{
"antivirusEngine":{
"enforcementLevel":"passive",
"behaviorMonitoring": "disabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"enableFileHashComputation": false,
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
],
"scanFileModifyPermissions":false,
"scanFileModifyOwnership":false,
"scanNetworkSocketEvent":false,
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
"offlineDefinitionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate":"disabled"
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
"definitionUpdatesInterval":28800
},
"features":{
"moduleLoad":"disabled",
"supplementarySensorConfigurations":{
"enableFilePermissionEvents":"disabled",
"enableFileOwnershipEvents":"disabled",
"enableRawSocketEvent":"disabled",
"enableBootLoaderCalls":"disabled",
"enableProcessCalls":"disabled",
"enablePseudofsCalls":"diabled",
"enableEbpfModuleLoadEvents":"disabled",
"sendLowfiEvents":"disabled"
},
"ebpfSupplementaryEventProvider":"enabled",
"offlineDefinitionUpdateVerifySig": "disabled"
},
"networkProtection":{
"enforcementLevel":"disabled",
"disableIcmpInspection":true
},
"edr":{
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Defender for Endpoint on Linux でのウイルス対策、マルウェア対策、EDR の設定
構成プロファイル (.json ファイル) またはMicrosoft Defender ポータル (セキュリティ設定管理) のどちらを使用する場合でも、Defender for Endpoint on Linux でウイルス対策、マルウェア対策、EDR の設定を構成できます。 次のセクションでは、設定を構成する場所と方法について説明します。
ウイルス対策エンジンの基本設定
構成プロファイルの antivirusEngine セクションは、製品のウイルス対策コンポーネントの基本設定を管理します。
| 説明 | JSON 値 | Defender ポータルの値 |
|---|---|---|
| Key | antivirusEngine |
ウイルス対策エンジン |
| データ型 | ディクショナリ (入れ子になった基本設定) | 折りたたまれたセクション |
ディクショナリの内容とポリシー プロパティの説明については、次のサブセクションを参照してください。
Microsoft Defender ウイルス対策の適用レベル
ウイルス対策エンジンの適用設定を指定します。 適用レベルの設定には、次の 3 つの値があります。
リアルタイム (
real_time): リアルタイム保護 (変更されたファイルのスキャン) が有効になっています。オンデマンド (
on_demand): ファイルはオンデマンドでのみスキャンされます。- リアルタイム保護はオフです。
- 定義の更新は、
automaticDefinitionUpdateEnabledがオンデマンド モードでtrueに設定されている場合でも、スキャンの開始時にのみ発生します。
パッシブ (
passive): ウイルス対策エンジンをパッシブ モードで実行します。- リアルタイム保護はオフです。 Microsoft Defenderウイルス対策は脅威を修復しません。
- オンデマンド スキャンがオンになっています。 スキャン機能は、デバイスで引き続き使用できます。
- 脅威の自動修復はオフです。 ファイルは移動されません。セキュリティ管理者は必要なアクションを実行する必要があります。
- セキュリティ インテリジェンスの更新プログラムがオンになっている。 アラートは、セキュリティ管理者のorganizationで使用できます。
- 定義の更新は、
automaticDefinitionUpdateEnabledがtrueに設定されている場合でも、スキャンの開始時にのみ発生します。 -
エンドポイントの検出と応答 (EDR) がオンです。 デバイスの
mdatp healthコマンドの出力には、engine_load_versionプロパティのengine not loadedが表示されます。 エンジンは EDR ではなくウイルス対策に関連しています。
注:
- Defender for Endpoint バージョン
101.10.72以降で使用できます。 - バージョン
101.23062.0001以降では、既定値はpassive。 以前のバージョンでは、既定値はreal_timeでした。 - また、要件に従って スケジュールされたスキャン を使用することもお勧めします。
動作監視を有効または無効にする (RTP が有効になっている場合)
重要
この機能は、適用レベルが real-timeされている場合にのみ機能します。
デバイスで動作の監視とブロック機能を有効または無効にするかどうかを指定します。
| 説明 | JSON 値 | Defender ポータルの値 |
|---|---|---|
| Key | behaviorMonitoring | 動作の監視を有効にする |
| データ型 | 文字列 | ドロップ ダウン |
| 指定可能な値 |
disabled (既定値) enabled |
未構成 無効 (既定値) 有効 |
注:
Defender for Endpoint バージョン 101.45.00 以降で使用できます。
定義の更新後にスキャンを実行する
重要
この機能は、適用レベルが real-time に設定されている場合にのみ機能します。
新しいセキュリティ インテリジェンス更新プログラムがデバイスにダウンロードされた後にプロセス スキャンを開始するかどうかを指定します。 この設定を有効にすると、デバイスの実行中のプロセスでウイルス対策スキャンがトリガーされます。
| 説明 | JSON 値 | Defender ポータルの値 |
|---|---|---|
| Key | scanAfterDefinitionUpdate |
定義の更新後にスキャンを有効にする |
| データ型 | ブール型 | ドロップ ダウン |
| 指定可能な値 |
true (既定値) false |
Not configuredDisabledEnabled (既定値) |
注:
Defender for Endpoint バージョン 101.45.00 以降で使用できます。
スキャン アーカイブ (オンデマンドウイルス対策スキャンのみ)
オンデマンドウイルス対策スキャン中にアーカイブをスキャンするかどうかを指定します。
| 説明 | JSON 値 | Defender ポータルの値 |
|---|---|---|
| Key | scanArchives |
アーカイブのスキャンを有効にする |
| データ型 | ブール型 | ドロップ ダウン |
| 指定可能な値 |
true (既定値) false |
未構成 無効 有効 (既定値) |
注:
- Microsoft Defender for Endpoint バージョン
101.45.00以降で使用できます。 - アーカイブファイルは RTP 中にスキャンされません。 アーカイブ内のファイルは、抽出後にスキャンされます。 scanArchives オプションは、オンデマンド スキャン時にのみアーカイブ スキャンを強制します。
オンデマンド スキャンの並列処理の程度
オンデマンド スキャンの並列処理の程度を指定します。 この設定は、スキャンによって使用されるプロセッサ スレッドの数に対応します。 この設定は、CPU 使用率とオンデマンド スキャンの期間に影響します。
| 説明 | JSON 値 | Defender ポータルの値 |
|---|---|---|
| Key | maximumOnDemandScanThreads |
オンデマンド スキャン スレッドの最大数 |
| データ型 | 整数 | トグル スイッチ & 整数 |
| 指定可能な値 |
2 (既定値)。 使用できる値は、 1 と 64の間の整数です。 |
Not Configured (既定のトグルオフの既定値は 2)Configured (トグルオン) と 1 と 64の間の整数。 |
注:
Microsoft Defender for Endpoint バージョン 101.45.00 以降で使用できます。
除外マージ ポリシー
注:
exclusionSettings で除外とマージ ポリシーを構成することをお勧めします。 この方法では、1 つのmergePolicyでeppとglobalスコープの除外を構成できます。 このセクションの設定は、exclusionSettingsのマージ ポリシーがadmin_onlyされていない限り、epp除外にのみ適用されます。
デバイスでユーザー定義の除外を使用するかどうかを指定します。 有効な値は次のとおりです。
-
admin_only: Defender for Endpoint ポリシーによって構成された管理者定義の除外のみを使用します。 ユーザーが独自の除外を定義できないようにするには、この値を使用します。 -
merge: 管理者定義の除外とユーザー定義の除外の組み合わせを使用します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | exclusionsMergePolicy |
除外のマージ |
| データ型 | 文字列 | ドロップ ダウン |
| 指定可能な値 |
merge (既定値)admin_only |
Not configuredmerge (既定値)admin_only |
注:
Defender for Endpoint バージョン 100.83.73 以降で使用できます。
除外をスキャンする
スキャンから除外されたエンティティ。 除外は、項目の配列として指定します。 管理者は、必要な数の要素を任意の順序で指定できます。 完全なパス、拡張子、またはファイル名を使用して除外を指定します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | exclusions |
除外をスキャンする |
| データ型 | ディクショナリ (入れ子になった基本設定) | 動的プロパティリスト |
ディクショナリの内容の説明については、次のサブセクションを参照してください。
除外の種類
スキャンから除外するコンテンツの種類を指定します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | $type |
型 |
| データ型 | 文字列 | ドロップ ダウン |
| 指定可能な値 | excludedPath excludedFileExtension excludedFileName |
Path ファイル拡張子 プロセス名 |
除外されたコンテンツへのパス
完全なファイル パスでスキャンからコンテンツを除外します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | path | Path |
| データ型 | 文字列 | String |
| 指定可能な値 | 有効なパス | 有効なパス |
| コメント |
$typeがある場合にのみ適用されますexcludedPath |
インスタンスの編集ポップアップでアクセス |
パスの種類 (ファイル/ディレクトリ)
path プロパティがファイルまたはディレクトリを参照するかどうかを指定します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | isDirectory |
Is directory |
| データ型 | ブール型 | ドロップ ダウン |
| 指定可能な値 |
false (既定値) true |
EnabledDisabled |
| コメント |
$typeがある場合にのみ適用されますexcludedPath |
インスタンスの編集ポップアップでアクセス |
スキャンから除外されたファイル拡張子
ファイル拡張子でスキャンからコンテンツを除外します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | 拡張子 | ファイル拡張子 |
| データ型 | 文字列 | String |
| 指定可能な値 | 有効なファイル拡張子 | 有効なファイル拡張子 |
| コメント |
$typeがある場合にのみ適用されますexcludedFileExtension |
[インスタンスの構成] ポップアップでアクセス |
スキャンから除外されたプロセス
すべてのファイル アクティビティをスキャンから除外するプロセスを指定します。 プロセスは、名前 ( cat など) または完全パス ( /bin/cat など) で指定できます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | name | ファイル名 |
| データ型 | 文字列 | String |
| 指定可能な値 | 任意の文字列 | 任意の文字列 |
| コメント |
$typeがある場合にのみ適用されますexcludedFileName |
[インスタンスの構成] ポップアップでアクセス |
nonexec マウントのミュート
noexecとしてマークされたマウント ポイントでの RTP の動作を指定します。 有効な値は次のとおりです。
-
ミュートなし (
unmute): すべてのマウント ポイントが RTP の一部としてスキャンされます。 この値が既定値です。 -
ミュート (
mute):noexecとしてマークされたマウント ポイントは RTP の一部としてスキャンされません。- データベース サーバーはデータベース ファイルを保持できます。
- ファイル サーバーは、データ ファイル マウント ポイントを保持できます。
- バックアップでは、データ ファイルのマウント ポイントを保持できます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | nonExecMountPolicy |
non execute mount mute |
| データ型 | 文字列 | ドロップ ダウン |
| 指定可能な値 |
unmute (既定値) mute |
Not configured unmute (既定値) mute |
注:
Defender for Endpoint バージョン 101.85.27 以降で使用できます。
ファイルシステムの監視を解除する
RTP によって監視されない (除外される) ファイルシステムを指定します。 指定されたファイルシステムは、Microsoft Defenderウイルス対策でクイック スキャン、フル スキャン、カスタム スキャンによって引き続きスキャンされます。
監視されていないリストからファイルシステムを追加または削除すると、Microsoft は、RTP による監視 (リストから削除) または RTP による監視 (リストに追加) がないファイルシステムの適格性を検証します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | unmonitoredFilesystems |
監視されていないファイルシステム |
| データ型 | 文字列の配列 | 動的文字列リスト |
既定では、次のファイルシステムは RTP によって監視されます。
btrfsecryptfsext2ext3ext4fuseblkjfsoverlayramfsreiserfstmpfsvfatxfs
既定では、次のファイルシステムは RTP によって監視されません。
cifs*fusenfsnfs4*smb*
これらのファイルシステムは、クイック スキャンとフル スキャンでは監視されませんが、カスタム スキャンではスキャン可能です。
* 現在、このファイルシステムの RTP 監視はプレビュー段階です。
たとえば、監視されていないファイルシステムの一覧から nfs と nfs4 を削除するには (つまり、検証後に nfs と nfs4 が RTP によって監視されます)、マネージド構成ファイルを次のエントリで更新します。
{
"antivirusEngine":{
"unmonitoredFilesystems": ["cifs","fuse","smb"]
}
}
監視されていないファイルシステムの一覧からすべてのエントリを削除するには、次のエントリを使用します。
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
ファイル ハッシュ計算機能を構成する
Defender for Endpoint によってスキャンされたファイルのファイル ハッシュ計算を有効または無効にします。 この機能を有効にすると、デバイスのパフォーマンスに影響する可能性があります。 詳細については、「 ファイルのインジケーターを作成する」を参照してください。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enableFileHashComputation |
ファイル ハッシュ計算を有効にする |
| データ型 | ブール型 | ドロップ ダウン |
| 指定可能な値 |
false (既定値) true |
Not configuredDisabled (既定値)Enabled |
注:
Defender for Endpoint バージョン 101.85.27 以降で使用できます。
許可される脅威
Defender for Endpoint によってブロックされない脅威の名前を指定します。 代わりに、これらの脅威の実行が許可されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | allowedThreats |
許可される脅威 |
| データ型 | 文字列の配列 | 動的文字列リスト |
許可されていない脅威アクション
脅威が検出されたときにデバイス ユーザーが許可するアクションを制限します。 この一覧に含まれるアクションは、ユーザー インターフェイスには表示されません。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | disallowedThreatActions |
許可されていない脅威アクション |
| データ型 | 文字列の配列 | 動的文字列リスト |
| 指定可能な値 |
allow (ユーザーが脅威を許可できないように制限します) restore (ユーザーが検疫から脅威を復元できないように制限します) |
allow (ユーザーが脅威を許可できないように制限します) restore (ユーザーが検疫から脅威を復元できないように制限します) |
注:
Defender for Endpoint バージョン 100.83.73 以降で使用できます。
脅威の種類の設定
特定の脅威の種類の処理方法を制御します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | threatTypeSettings |
脅威の種類の設定 |
| データ型 | ディクショナリ (入れ子になった基本設定) | 動的プロパティリスト |
ディクショナリの内容の説明については、次のサブセクションを参照してください。
脅威の種類
脅威の種類を指定します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | key | 脅威の種類 |
| データ型 | 文字列 | ドロップ ダウン |
| 指定可能な値 | potentially_unwanted_application archive_bomb |
potentially_unwanted_application archive_bomb |
実行する操作
以前に指定した脅威の種類が検出された場合のアクションを指定します。 有効な値は次のとおりです。
- 監査: デバイスはこの種類の脅威から保護されていませんが、脅威に関するエントリがログに記録されます。 この値は既定値です。
- ブロック: デバイスはこの種類の脅威から保護され、Microsoft Defender ポータルで通知されます。
- オフ: デバイスはこの種類の脅威から保護されておらず、何もログに記録されません。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | 値 | 実行する操作 |
| データ型 | 文字列 | ドロップ ダウン |
| 指定可能な値 |
audit (既定値) block off |
audit block オフ |
脅威の種類の設定のマージ ポリシー
デバイスでユーザー定義の脅威の種類の設定を使用するかどうかを指定します。 有効な値は次のとおりです。
-
admin_only: 管理者が定義した脅威の種類の設定のみを使用します。 この値を使用して、ユーザーが独自の脅威の種類の設定を定義できないようにします。 -
merge: 管理者定義とユーザー定義の脅威の種類の設定を組み合わせて使用します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | threatTypeSettingsMergePolicy |
脅威の種類の設定のマージ |
| データ型 | 文字列 | ドロップ ダウン |
| 指定可能な値 |
merge (既定値) admin_only |
Not configuredmerge (既定値)admin_only |
注:
Defender for Endpoint バージョン 100.83.73 以降で使用できます。
ウイルス対策スキャン履歴の保持期間 (日数)
デバイスのスキャン履歴に結果が保持される日数を指定します。 古いスキャン結果は履歴から削除されます。 古い検疫済みファイルもディスクから削除されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | scanResultsRetentionDays |
スキャン結果の保持 |
| データ型 | 文字列 | 切り替えスイッチと整数 |
| 指定可能な値 |
90 (既定値)。 有効な値は 1 ~ 180 日です。 |
Not configured (オフに切り替え、90 日間の既定値) Configured (トグルオン) と許可される値 1 から 180 日。 |
注:
Defender for Endpoint バージョン 101.04.76 以降で使用できます。
ウイルス対策スキャン履歴のアイテムの最大数
スキャン履歴に保持するエントリの最大数を指定します。 エントリには、すべてのオンデマンド スキャンとすべてのウイルス対策検出が含まれます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | scanHistoryMaximumItems |
スキャン履歴のサイズ |
| データ型 | 文字列 | トグルと整数 |
| 指定可能な値 |
10000 (既定値)。 使用できる値は、 5000 項目から 15000 項目までです。 |
未構成 (トグルオフ - 10000 既定値)Configured (トグルオン) と許可される値を 5000 から 15000 項目に設定します。 |
注:
Defender for Endpoint バージョン 101.04.76 以降で使用できます。
除外設定の基本設定
注:
グローバル除外は、Defender for Endpoint バージョン 101.24092.0001 以降で使用できます。
構成プロファイルのexclusionSettingsセクションでは、Linux 用のMicrosoft Defender for Endpointのさまざまな除外を構成します。
| 説明 | JSON 値 |
|---|---|
| Key | exclusionSettings |
| データ型 | ディクショナリ (入れ子になった基本設定) |
辞書の内容の説明については、次のセクションを参照してください。 |
注:
- マネージド JSON のウイルス対策エンジン セクションで以前に構成した ウイルス対策 の除外は引き続き機能します。
- ウイルス対策の除外は、このセクションまたは
antivirusEngine) セクションで指定できます。exclusionSettingsセクションはすべての除外の種類を一元的にホストするように設計されているため、このセクションでは他のすべての除外の種類を追加する必要があります。
マージ ポリシー
除外マージ ポリシー
デバイスでユーザー定義の除外を使用するかどうかを指定します。 有効な値は次のとおりです。
-
admin_only: Defender for Endpoint ポリシーによって構成された管理者定義の除外のみを使用します。 ユーザーが独自の除外を定義できないようにするには、この値を使用します。 -
merge: 管理者定義の除外とユーザー定義の除外の組み合わせを使用します。
この設定は、すべてのスコープの除外に適用されます。
| 説明 | JSON 値 |
|---|---|
| Key | mergePolicy |
| データ型 | String |
| 指定可能な値 |
merge (既定値) admin_only |
注:
Defender for Endpoint バージョン 2023 年 9 月以降で使用できます。
除外
スキャンから除外されたエンティティ。 除外は、項目の配列として指定します。 管理者は、必要な数の要素を任意の順序で指定できます。 完全なパス、拡張子、またはファイル名を使用して除外を指定します。 除外ごとに、スコープを指定できます。 既定のスコープは グローバルです。
| 説明 | JSON 値 |
|---|---|
| Key | exclusions |
| データ型 | ディクショナリ (入れ子になった基本設定) |
ディクショナリの内容の説明については、次のサブセクションを参照してください。
除外の種類
スキャンから除外するコンテンツの種類を指定します。
| 説明 | JSON 値 |
|---|---|
| Key | $type |
| データ型 | String |
| 指定可能な値 | excludedPathexcludedFileExtension excludedFileName |
除外のスコープ (省略可能)
除外されたコンテンツの除外スコープを指定します。 有効な値は次のとおりです。
eppglobal
マネージド構成で除外スコープを指定しない場合は、 global 値が使用されます。
注:
マネージド JSON のantivirusEngineで以前に構成されたウイルス対策除外は、antivirusEngine セクションにあったため、スコープ eppで引き続き機能します。
| 説明 | JSON 値 |
|---|---|
| Key | scopes |
| データ型 | 文字列のセット |
| 指定可能な値 | epp global |
注:
(mdatp_managed.json) または CLI によって以前に適用された除外は影響を受けません。 これらの除外のスコープは、antivirusEngine セクションにあるため、eppされます。
除外されたコンテンツへのパス
完全なファイル パスでスキャンからコンテンツを除外します。
| 説明 | JSON 値 |
|---|---|
| Key | path |
| データ型 | String |
| 指定可能な値 | 有効なパス |
| コメント |
$typeが excludedPath の場合にのみ適用されます。 除外にグローバル スコープがある場合、ワイルドカードはサポートされません。 |
パスの種類 (ファイル/ディレクトリ)
path プロパティがファイルまたはディレクトリを参照するかどうかを指定します。
注:
global スコープでファイルの除外を追加する場合は、ファイル パスが既に存在している必要があります。
| 説明 | JSON 値 |
|---|---|
| Key | isDirectory |
| データ型 | ブール型 |
| 指定可能な値 |
false (既定値) true |
| コメント |
$typeが excludedPath の場合にのみ適用されます。 除外にグローバル スコープがある場合、ワイルドカードはサポートされません。 |
スキャンから除外されたファイル拡張子
ファイル拡張子別のスキャンからコンテンツを除外します。
| 説明 | JSON 値 |
|---|---|
| Key | 拡張子 |
| データ型 | String |
| 指定可能な値 | 有効なファイル拡張子 |
| コメント |
$typeが excludedFileExtension の場合にのみ適用されます。 除外にグローバル スコープがある場合はサポートされません。 |
スキャンから除外されたプロセス
プロセスによるすべてのファイル アクティビティをスキャンから除外します。 有効な値は次のとおりです。
- プロセス名。 たとえば、「
cat」のように入力します。 - 完全パス。 たとえば、「
/bin/cat」のように入力します。
| 説明 | JSON 値 |
|---|---|
| Key | name |
| データ型 | String |
| 指定可能な値 | 任意の文字列 |
| コメント |
$typeが excludedFileName の場合にのみ適用されます。 除外にグローバル スコープがある場合、ワイルドカードとプロセス名はサポートされません。 完全なパスを指定する必要があります。 |
高度なスキャン オプション
特定の高度なスキャン機能を有効にするには、次の設定を構成できます。
重要
これらの機能を有効にすると、デバイスのパフォーマンスに影響する可能性があります。 Microsoft サポートで特に推奨されない限り、既定値をお勧めします。
ファイル変更アクセス許可イベントのスキャンを構成する
実行されるビットを設定するためにアクセス許可が変更されたときに、Defender for Endpoint がファイルをスキャンするかどうかを指定します。
注:
この設定は、 enableFilePermissionEvents が有効になっている場合にのみ意味があります。 詳細については、この記事の後半の 「高度なオプション機能 」セクションを参照してください。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | scanFileModifyPermissions |
使用不可 |
| データ型 | ブール型 | 該当なし |
| 指定可能な値 |
false (既定値) true |
該当なし |
注:
Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。
ファイル変更所有権イベントのスキャンを構成する
Defender for Endpoint で所有権が変更されたファイルをスキャンするかどうかを指定します。
注:
この設定は、 enableFileOwnershipEvents が有効になっている場合にのみ意味があります。 詳細については、この記事の後半の 「高度なオプション機能 」セクションを参照してください。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | scanFileModifyOwnership |
使用不可 |
| データ型 | ブール型 | 該当なし |
| 指定可能な値 |
false (既定値) true |
該当なし |
注:
Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。
生ソケット イベントのスキャンを構成する
Defender for Endpoint がネットワーク ソケット イベントをスキャンするかどうかを指定します。 例:
- 生ソケット/パケット ソケットの作成。
- ソケット オプションの設定。
注:
- この設定は、動作監視が有効になっている場合にのみ意味があります。
- この設定は、
enableRawSocketEventが有効になっている場合にのみ意味があります。 詳細については、この記事の後半の 「高度なオプション機能 」セクションを参照してください。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | scanNetworkSocketEvent |
使用不可 |
| データ型 | ブール型 | 該当なし |
| 指定可能な値 |
false (既定値) true |
該当なし |
注:
Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。
クラウド配信の保護の基本設定
構成プロファイルの cloudService エントリによって、クラウド駆動型保護機能が構成されます。
注:
クラウド提供の保護は、適用レベルの設定 (real_time、 on_demand、または passive) に適用できます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | cloudService |
クラウドで提供される保護の基本設定 |
| データ型 | ディクショナリ (入れ子になった基本設定) | 折りたたまれたセクション |
ディクショナリの内容とポリシー設定の説明については、次のサブセクションを参照してください。
クラウド配信保護を有効または無効にする
クラウド配信の保護をデバイスで有効にするかどうかを指定します。 セキュリティを強化するために、この機能をオンにしておくことをお勧めします。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enabled |
クラウド提供の保護を有効にする |
| データ型 | ブール型 | ドロップ ダウン |
| 指定可能な値 |
true (既定値) false |
未構成 無効 有効 (既定値) |
診断収集のレベル
Microsoft に送信される診断情報のレベルを指定します。 詳細については、「Linux 上のMicrosoft Defender for Endpointのプライバシー」を参照してください。
診断データは、Defender for Endpoint を安全かつ最新の状態に保ち、問題を検出、診断、修正し、製品を改善するために使用されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | diagnosticLevel |
診断データ収集レベル |
| データ型 | 文字列 | ドロップ ダウン |
| 指定可能な値 | optional required (既定値) |
Not configuredoptional (既定値)required |
クラウド ブロック レベルを構成する
疑わしいファイルをブロックおよびスキャンする際の Defender for Endpoint の攻撃性を指定します。 有効な値は次のとおりです。
-
標準 (
normal): 値が既定値です。 -
中程度 (
moderate): 高信頼度の検出に対してのみ判定を配信します。 -
高 (
high): パフォーマンスを最適化しながら、不明なファイルを積極的にブロックします。 この値は、非ハルフル ファイルをブロックする可能性が高くなります。 -
High Plus (
high_plus): 不明なファイルを積極的にブロックし、追加の保護対策を適用します。 この値は、クライアント デバイスのパフォーマンスに影響する可能性があります。 -
ゼロ 許容値 (
zero_tolerance): 不明なプログラムをすべてブロックします。
この設定がオンの場合、Defender for Endpoint は、ブロックおよびスキャンする疑わしいファイルを特定するときに、より積極的になります。 それ以外の場合は、攻撃的ではなく、より頻度の低いブロックとスキャンが行われます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | cloudBlockLevel |
クラウド ブロック レベルを構成する |
| データ型 | 文字列 | ドロップ ダウン |
| 指定可能な値 |
normal (既定値) moderate high high_plus zero_tolerance |
Not configuredNormal (既定値) Moderate High High_Plus Zero_Tolerance |
注:
Defender for Endpoint バージョン 101.56.62 以降で使用できます。
サンプルの自動送信を有効または無効にする
疑わしいサンプル (脅威が含まれている可能性が高い) を Microsoft に送信するかどうかを指定します。 有効な値は次のとおりです。
- なし: 疑わしいサンプルは Microsoft に送信されません。
- 安全: 個人情報を含まない疑わしいサンプルのみが自動的に送信されます。 この値が既定値です。
- すべて: 疑わしいサンプルはすべて Microsoft に送信されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | automaticSampleSubmissionConsent |
自動サンプル送信を有効にする |
| データ型 | 文字列 | ドロップ ダウン |
| 指定可能な値 | none safe (既定値) all |
Not configuredNoneSafe (既定値)All |
セキュリティ インテリジェンスの自動更新を有効または無効にする
セキュリティ インテリジェンスの更新プログラムを自動的にインストールするかどうかを指定します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | automaticDefinitionUpdateEnabled |
セキュリティ インテリジェンスの自動更新 |
| データ型 | ブール型 | ドロップ ダウン |
| 指定可能な値 |
true (既定値) false |
Not configuredDisabledEnabled (既定値) |
適用レベルに応じて、セキュリティ インテリジェンスの自動更新が異なる方法でインストールされます。 RTP モードでは、更新プログラムが定期的にインストールされます。 パッシブ モードまたはオンデマンド モードでは、すべてのスキャンの前に更新プログラムがインストールされます。
高度なオプション機能
特定の高度なオプション機能を有効にするには、次の設定を使用します。
重要
これらの機能を有効にすると、デバイスのパフォーマンスに影響する可能性があります。 Microsoft サポートで特に推奨されない限り、既定値をお勧めします。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | 機能 | 使用不可 |
| データ型 | ディクショナリ (入れ子になった基本設定) | 該当なし |
ディクショナリの内容の説明については、次のサブセクションを参照してください。
モジュールの読み込み機能
モジュール読み込みイベント (共有ライブラリ上のファイル開いているイベント) を監視するかどうかを指定します。
注:
この設定は、動作監視が有効になっている場合にのみ意味があります。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | moduleLoad |
使用不可 |
| データ型 | 文字列 | 該当なし |
| 指定可能な値 |
disabled (既定値) enabled |
該当なし |
注:
Defender for Endpoint バージョン 101.68.80 以降で使用できます。
感染ファイルの修復機能
感染したファイルを開いたり読み込んだりする感染したプロセスを RTP モードで修復するかどうかを指定します。
注:
これらのプロセスは悪意がないため、脅威の一覧には表示されません。 THe プロセスは、脅威ファイルをメモリに読み込んだためにのみ終了されます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | remediateInfectedFile | 使用不可 |
| データ型 | 文字列 | 該当なし |
| 指定可能な値 | disabled (既定値) enabled |
該当なし |
注:
Defender for Endpoint バージョン 101.24122.0001 以降で使用できます。
補助センサー構成
次の設定を使用して、特定の高度な補助センサー機能を構成します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | supplementarySensorConfigurations |
使用不可 |
| データ型 | ディクショナリ (入れ子になった基本設定) | 該当なし |
ディクショナリの内容の説明については、次のセクションを参照してください。
ファイル変更アクセス許可イベントの監視を構成する
ファイル変更アクセス許可イベント (chmod) を監視するかどうかを指定します。
注:
この機能を有効にすると、Defender for Endpoint は、実行されたファイルのビットに対する変更を監視しますが、これらのイベントはスキャンしません。 詳細については、「 高度なスキャン機能 」セクションを参照してください。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enableFilePermissionEvents |
使用不可 |
| データ型 | 文字列 | 該当なし |
| 指定可能な値 |
disabled (既定値) enabled |
該当なし |
注:
Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。
ファイル変更所有権イベントの監視を構成する
ファイル変更所有権イベント (chown) を監視するかどうかを指定します。
注:
この機能を有効にすると、Defender for Endpoint はファイルの所有権に対する変更を監視しますが、これらのイベントはスキャンしません。 詳細については、「 高度なスキャン機能」を参照してください。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enableFileOwnershipEvents |
使用不可 |
| データ型 | 文字列 | 該当なし |
| 指定可能な値 |
disabled (既定値) enabled |
該当なし |
注:
Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。
生ソケット イベントの監視を構成する
生ソケット/パケット・ソケットの作成またはソケット・オプションの設定に関係するネットワーク・ソケット・イベントをモニターするかどうかを指定します。
注:
- この機能は、動作監視が有効になっている場合にのみ適用されます。
- この機能が有効になっている場合、Defender for Endpoint はこれらのネットワーク ソケット イベントを監視しますが、これらのイベントはスキャンしません。 詳細については、「 高度なスキャン機能 」セクションを参照してください。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enableRawSocketEvent |
使用不可 |
| データ型 | 文字列 | 該当なし |
| 指定可能な値 |
disabled (既定値) enabled |
該当なし |
注:
Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。|
ブート ローダー イベントの監視を構成する
ブート ローダー イベントを監視およびスキャンするかどうかを指定します。
注:
この設定は、動作監視が有効になっている場合にのみ意味があります。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enableBootLoaderCalls |
使用不可 |
| データ型 | 文字列 | 該当なし |
| 指定可能な値 |
disabled (既定値) enabled |
該当なし |
注:
Defender for Endpoint バージョン 101.68.80 以降で使用できます。
ptrace イベントの監視を構成する
ptrace イベントを監視およびスキャンするかどうかを指定します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enableProcessCalls |
使用不可 |
| データ型 | 文字列 | 該当なし |
| 指定可能な値 |
disabled (既定値) enabled |
該当なし |
注:
Defender for Endpoint バージョン 101.68.80 以降で使用できます。
擬似イベントの監視を構成する
疑似イベントを監視およびスキャンするかどうかを指定します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enablePseudofsCalls |
使用不可 |
| データ型 | 文字列 | 該当なし |
| 指定可能な値 |
disabled (既定値) enabled |
該当なし |
注:
Defender for Endpoint バージョン 101.68.80 以降で使用できます。
eBPF を使用してモジュール・ロード・イベントのモニターを構成する
モジュール読み込みイベントを eBPF によって監視し、スキャンするかどうかを指定します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enableEbpfModuleLoadEvents |
使用不可 |
| データ型 | 文字列 | 該当なし |
| 指定可能な値 |
disabled (既定値) enabled |
該当なし |
注:
Defender for Endpoint バージョン 101.68.80 以降で使用できます。
eBPF を使用して特定のファイルシステムからのオープン イベントの監視を構成する
procfs からのオープン・イベントを eBPF によってモニターするかどうかを指定します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enableOtherFsOpenEvents |
使用不可 |
| データ型 | 文字列 | 該当なし |
| 指定可能な値 |
disabled (既定値) enabled |
該当なし |
注:
Defender for Endpoint バージョン 101.24072.0001 以降で使用できます。
eBPF を使用してイベントのソース エンリッチメントを構成する
eBPF のソースでイベントをメタデータでエンリッチするかどうかを指定します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enableEbpfSourceEnrichment |
使用不可 |
| データ型 | 文字列 | 該当なし |
| 指定可能な値 |
disabled (既定値) enabled |
該当なし |
注:
Defender for Endpoint バージョン 101.24072.0001 以降で使用できます。
ウイルス対策エンジン キャッシュを有効にする
ウイルス対策エンジンによってスキャンされたイベントのメタデータをキャッシュするかどうかを指定します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enableAntivirusEngineCache |
使用不可 |
| データ型 | 文字列 | 該当なし |
| 指定可能な値 |
disabled (既定値) enabled |
該当なし |
注:
Defender for Endpoint バージョン 101.24072.0001 以降で使用できます。
疑わしいウイルス対策イベントを EDR に報告する
ウイルス対策からの疑わしいイベントを EDR に報告するかどうかを指定します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | sendLowfiEvents |
使用不可 |
| データ型 | 文字列 | 該当なし |
| 指定可能な値 |
disabled (既定値) enabled |
該当なし |
注:
Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。
ネットワーク保護の構成
注:
- 現在、この機能はプレビュー段階です。
- これらの設定は、Network Protection がオンになっている場合にのみ意味があります。 詳細については、「 Linux のネットワーク保護を有効にする」を参照してください。
次の設定を使用して、Network Protection によって検査されるトラフィックを制御する高度なネットワーク保護検査機能を構成します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | networkProtection |
ネットワーク保護 |
| データ型 | ディクショナリ (入れ子になった基本設定) | 折りたたまれたセクション |
ディクショナリの内容の説明については、次のサブセクションを参照してください。
適用レベル
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enforcementLevel |
適用レベル |
| データ型 | 文字列 | ドロップ ダウン |
| 指定可能な値 |
disabled (既定値) audit block |
Not configureddisabled (既定値)auditblock |
ICMP 検査を構成する
ICMP イベントを監視およびスキャンするかどうかを指定します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | disableIcmpInspection |
使用不可 |
| データ型 | ブール型 | 該当なし |
| 指定可能な値 |
true (既定値) false |
該当なし |
注:
Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。
構成プロファイルにタグまたはグループ ID を追加する
最初に mdatp health コマンドを実行すると、タグとグループ ID の値は空白になります。
mdatp_managed.json ファイルにタグまたはグループ ID を追加するには、次の手順に従います。
パス
/etc/opt/microsoft/mdatp/managed/mdatp_managed.jsonから構成プロファイルを開きます。ファイルの下部にある
cloudServiceブロックで、次の例に示すように、cloudServiceブロックの閉じ中かっこの末尾に必要なタグまたはグループ ID を追加します。}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }注:
-
cloudServiceブロックの末尾の中かっこの後にコンマを追加します。 - 例に示すように、
tagsまたはgroupIdsブロックを追加した後、2 つの閉じる中かっこがあることを確認します。 - 現在、サポートされているタグのキー名は
GROUPのみです。
-
構成プロファイルの検証
構成プロファイルは、有効な JSON 形式のファイルである必要があります。 多くのツールを使用して、構成プロファイルを確認できます。 たとえば、デバイスに python がインストールされている場合は、次のコマンドを実行します。
python -m json.tool mdatp_managed.json
ファイルの形式が正しい場合、コマンドは終了コード 0を返します。 それ以外の場合はエラーが表示され、コマンドは終了コード 1を返します。
mdatp_managed.json ファイルが期待どおりに動作していることを確認する
/etc/opt/microsoft/mdatp/managed/mdatp_managed.jsonが正常に動作していることを確認するには、次の設定の横に[managed]が表示されます。
cloud_enabledcloud_automatic_sample_submission_consentpassive_mode_enabledreal_time_protection_enabledautomatic_definition_update_enabled
ヒント
mdatp_managed.jsonのほとんどの構成では、mdatp デーモンを再起動する必要はありません。 次の構成では、デーモンの再起動を有効にする必要があります。
cloud-diagnosticlog-rotation-parameters
構成プロファイルの展開
organizationの構成プロファイルを作成したら、現在の管理ツールを使用して展開できます。 Defender for Endpoint on Linux は、 /etc/opt/microsoft/mdatp/managed/mdatp_managed.jsonからマネージド構成を読み取ります。