Linux 上で Microsoft Defender for Endpoint 用の基本設定を設定する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
重要
このトピックでは、エンタープライズ環境で Defender for Endpoint on Linux の基本設定を設定する方法について説明します。 コマンド ラインからデバイスで製品を構成する場合は、「 リソース」を参照してください。
エンタープライズ環境では、Defender for Endpoint on Linux は構成プロファイルを使用して管理できます。 このプロファイルは、任意の管理ツールからデプロイされます。 企業によって管理される基本設定は、デバイス上でローカルに設定されたものよりも優先されます。 つまり、エンタープライズ内のユーザーは、この構成プロファイルを使用して設定された基本設定を変更できません。 マネージド構成プロファイルを通じて除外が追加された場合、除外はマネージド構成プロファイルを介してのみ削除できます。 コマンド ラインは、ローカルに追加された除外に対して機能します。
この記事では、このプロファイルの構造 (開始に使用できる推奨プロファイルを含む) と、プロファイルを展開する方法の手順について説明します。
構成プロファイルの構造
構成プロファイルは、キーによって識別されるエントリ (基本設定の名前を示す) で構成される .json ファイルの後に、設定の性質に応じて値が続きます。 数値などの単純な値や、入れ子になった基本設定のリストなどの複雑な値を指定できます。
通常、構成管理ツールを使用して、 という名前 mdatp_managed.json のファイルを 場所 /etc/opt/microsoft/mdatp/managed/にプッシュします。
構成プロファイルの最上位には、製品全体の基本設定と、製品のサブエリアのエントリが含まれています。これについては、次のセクションで詳しく説明します。
ウイルス対策エンジンの基本設定
構成プロファイルの antivirusEngine セクションは、製品のウイルス対策コンポーネントの基本設定を管理するために使用されます。
| 説明 | 値 |
|---|---|
| キー | antivirusEngine |
| データ型 | ディクショナリ (入れ子になった基本設定) |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
ウイルス対策エンジンの適用レベル
ウイルス対策エンジンの適用設定を指定します。 適用レベルの設定には、次の 3 つの値があります。
- リアルタイム (
real_time): リアルタイム保護 (変更されたファイルのスキャン) が有効になっています。 - オンデマンド (
on_demand): ファイルはオンデマンドでのみスキャンされます。 この例では、次の操作を行います。- リアルタイム保護がオフになっています。
- パッシブ (
passive): ウイルス対策エンジンをパッシブ モードで実行します。 この例では、次の操作を行います。- リアルタイム保護がオフになっている: 脅威は、Microsoft Defenderウイルス対策によって修復されません。
- オンデマンド スキャンが有効になっている: エンドポイントでスキャン機能を引き続き使用します。
- 脅威の自動修復がオフになっている: ファイルは移動されません。セキュリティ管理者は必要なアクションを実行する必要があります。
- セキュリティ インテリジェンスの更新プログラムが有効になっている: セキュリティ管理者テナントでアラートを使用できるようになります。
| 説明 | 値 |
|---|---|
| キー | enforcementLevel |
| データ型 | String |
| 指定可能な値 | real_time on_demand パッシブ (既定値) |
| コメント | Defender for Endpoint バージョン 101.10.72 以降で使用できます。 エンドポイント バージョン 101.23062.0001 以降では、既定値が real_time からパッシブに変更されます。 |
動作監視を有効または無効にする
デバイスで動作の監視とブロック機能が有効かどうかを判断します。
| 説明 | 値 |
|---|---|
| キー | behaviorMonitoring |
| データ型 | String |
| 指定可能な値 | disabled (既定値) enabled |
| コメント | Defender for Endpoint バージョン 101.45.00 以降で使用できます。 |
定義の更新後にスキャンを実行する
新しいセキュリティ インテリジェンス更新プログラムがデバイスにダウンロードされた後にプロセス スキャンを開始するかどうかを指定します。 この設定を有効にすると、デバイスの実行中のプロセスでウイルス対策スキャンがトリガーされます。
| 説明 | 値 |
|---|---|
| キー | scanAfterDefinitionUpdate |
| データ型 | ブール型 |
| 指定可能な値 | true (既定値) false |
| コメント | Defender for Endpoint バージョン 101.45.00 以降で使用できます。 |
スキャン アーカイブ (オンデマンドウイルス対策スキャンのみ)
オンデマンドウイルス対策スキャン中にアーカイブをスキャンするかどうかを指定します。
注:
アーカイブ ファイルは、リアルタイム保護中にスキャンされることはありません。 アーカイブ内のファイルが抽出されると、スキャンされます。 scanArchives オプションを使用すると、オンデマンド スキャン中にのみアーカイブを強制的にスキャンできます。
| 説明 | 値 |
|---|---|
| キー | scanArchives |
| データ型 | ブール型 |
| 指定可能な値 | true (既定値) false |
| コメント | Microsoft Defender for Endpoint バージョン 101.45.00 以降で使用できます。 |
オンデマンド スキャンの並列処理の程度
オンデマンド スキャンの並列処理の程度を指定します。 これは、スキャンの実行に使用されるスレッドの数に対応し、CPU 使用率とオンデマンド スキャンの期間に影響します。
| 説明 | 値 |
|---|---|
| キー | maximumOnDemandScanThreads |
| データ型 | 整数 |
| 指定可能な値 | 2 (既定値)。 使用できる値は、1 ~ 64 の整数です。 |
| コメント | Microsoft Defender for Endpoint バージョン 101.45.00 以降で使用できます。 |
除外マージ ポリシー
除外のマージ ポリシーを指定します。 管理者定義の除外とユーザー定義の除外 (merge) の組み合わせ、または管理者定義の除外 (admin_only) のみを指定できます。 この設定を使用すると、ローカル ユーザーが独自の除外を定義できないように制限できます。
| 説明 | 値 |
|---|---|
| キー | exclusionsMergePolicy |
| データ型 | String |
| 指定可能な値 | merge (既定値) admin_only |
| コメント | Defender for Endpoint バージョン 100.83.73 以降で使用できます。 |
除外をスキャンする
スキャンから除外されたエンティティ。 除外は、完全なパス、拡張子、またはファイル名で指定できます。 (除外は項目の配列として指定され、管理者は必要な数の要素を任意の順序で指定できます)。
| 説明 | 値 |
|---|---|
| キー | 除外 |
| データ型 | ディクショナリ (入れ子になった基本設定) |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
除外の種類
スキャンから除外されるコンテンツの種類を指定します。
| 説明 | 値 |
|---|---|
| キー | $type |
| データ型 | String |
| 指定可能な値 | excludedPath excludedFileExtension excludedFileName |
除外されたコンテンツへのパス
完全なファイル パスでスキャンからコンテンツを除外するために使用されます。
| 説明 | 値 |
|---|---|
| キー | path |
| データ型 | String |
| 指定可能な値 | 有効なパス |
| コメント | $typeが excludedPath の場合にのみ適用されます |
パスの種類 (ファイル/ディレクトリ)
path プロパティがファイルまたはディレクトリを参照しているかどうかを示します。
| 説明 | 値 |
|---|---|
| キー | isDirectory |
| データ型 | ブール型 |
| 指定可能な値 | false (既定) true |
| コメント | $typeが excludedPath の場合にのみ適用されます |
スキャンから除外されたファイル拡張子
ファイル拡張子によるスキャンからコンテンツを除外するために使用されます。
| 説明 | 値 |
|---|---|
| キー | 拡張子 |
| データ型 | String |
| 指定可能な値 | 有効なファイル拡張子 |
| コメント | $typeが excludedFileExtension の場合にのみ適用されます |
スキャンから除外されたプロセス*
すべてのファイル アクティビティをスキャンから除外するプロセスを指定します。 プロセスは、名前 (例: cat) または完全パス (例: /bin/cat) で指定できます。
| 説明 | 値 |
|---|---|
| キー | name |
| データ型 | String |
| 指定可能な値 | 任意の文字列 |
| コメント | $typeが excludedFileName の場合にのみ適用されます |
非 Exec マウントのミュート
noexec としてマークされたマウント ポイントでの RTP の動作を指定します。 設定には、次の 2 つの値があります。
- ミュートなし (
unmute): 既定値では、すべてのマウント ポイントが RTP の一部としてスキャンされます。 - ミュート (
mute): noexec としてマークされたマウント ポイントは RTP の一部としてスキャンされず、次のマウント ポイントを作成できます。- データベース ベース ファイルを保持するためのデータベース サーバー上のデータベース ファイル。
- ファイル サーバーは、noexec オプションを使用してデータ ファイルのマウントポイントを保持できます。
- バックアップでは、noexec オプションを使用してデータ ファイルのマウントポイントを保持できます。
| 説明 | 値 |
|---|---|
| キー | nonExecMountPolicy |
| データ型 | String |
| 指定可能な値 | unmute (既定値) ミュート |
| コメント | Defender for Endpoint バージョン 101.85.27 以降で使用できます。 |
ファイルシステムの監視を解除する
リアルタイム保護 (RTP) から監視/除外されないようにファイルシステムを構成します。 構成されたファイルシステムは、許可されているファイルシステムMicrosoft Defenderの一覧に対して検証されます。 検証が成功した後にのみ、ファイルシステムの監視解除が許可されます。 これらの構成済みの監視されていないファイルシステムは、引き続きクイック、フル、およびカスタム スキャンによってスキャンされます。
| 説明 | 値 |
|---|---|
| キー | unmonitoredFilesystems |
| データ型 | 文字列の配列 |
| コメント | 構成されたファイルシステムは、許可されている監視されていないファイルシステムの Microsoft の一覧に存在する場合にのみ監視されません。 |
既定では、NFS と Fuse は RTP、クイック、フル スキャンから監視されません。 ただし、カスタム スキャンでもスキャンできます。 たとえば、監視されていないファイルシステムの一覧から NFS を削除するには、次に示すようにマネージド構成ファイルを更新します。 これにより、RTP の監視対象ファイルシステムの一覧に NFS が自動的に追加されます。
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
監視されていないファイルシステムの一覧から NFS と Fuse の両方を削除するには、次の手順を実行します。
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
注:
RTP の監視対象ファイルシステムの既定の一覧を次に示します。
[btrfs, ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, reiserfs, tmpfs, vfat, xfs]
監視されていないファイルシステムの一覧に監視対象のファイルシステムを追加する必要がある場合は、クラウド構成を使用して Microsoft によって評価および有効にする必要があります。次のユーザーは、managed_mdatp.json を更新して、そのファイルシステムの監視を解除できます。
ファイル ハッシュ計算機能を構成する
ファイル ハッシュ計算機能を有効または無効にします。 この機能を有効にすると、Defender for Endpoint はスキャンするファイルのハッシュを計算します。 この機能を有効にすると、デバイスのパフォーマンスに影響する可能性があることに注意してください。 詳細については、「 ファイルのインジケーターを作成する」を参照してください。
| 説明 | 値 |
|---|---|
| キー | enableFileHashComputation |
| データ型 | ブール型 |
| 指定可能な値 | false (既定) true |
| コメント | Defender for Endpoint バージョン 101.85.27 以降で使用できます。 |
許可される脅威
製品によってブロックされず、代わりに実行が許可されている (名前で識別される) 脅威の一覧。
| 説明 | 値 |
|---|---|
| キー | allowedThreats |
| データ型 | 文字列の配列 |
許可されていない脅威アクション
脅威が検出されたときにデバイスのローカル ユーザーが実行できるアクションを制限します。 この一覧に含まれるアクションは、ユーザー インターフェイスには表示されません。
| 説明 | 値 |
|---|---|
| キー | disallowedThreatActions |
| データ型 | 文字列の配列 |
| 可能な値 | allow (ユーザーが脅威を許可できないように制限します) restore (ユーザーが検疫から脅威を復元できないように制限します) |
| コメント | Defender for Endpoint バージョン 100.83.73 以降で使用できます。 |
脅威の種類の設定
ウイルス対策エンジンの threatTypeSettings 基本設定は、特定の脅威の種類が製品によって処理される方法を制御するために使用されます。
| 説明 | 値 |
|---|---|
| キー | threatTypeSettings |
| データ型 | ディクショナリ (入れ子になった基本設定) |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
脅威の種類
動作が構成されている脅威の種類。
| 説明 | 値 |
|---|---|
| キー | キー |
| データ型 | String |
| 指定可能な値 | potentially_unwanted_application archive_bomb |
実行する操作
前のセクションで指定した型の脅威に遭遇したときに実行するアクション。 次のことができます。
- 監査: デバイスはこの種類の脅威から保護されていませんが、脅威に関するエントリがログに記録されます。
- ブロック: デバイスはこの種類の脅威から保護され、セキュリティ コンソールで通知されます。
- オフ: デバイスはこの種類の脅威から保護されておらず、何もログに記録されません。
| 説明 | 値 |
|---|---|
| キー | 値 |
| データ型 | String |
| 指定可能な値 | audit (既定値) ブロック オフ |
脅威の種類の設定のマージ ポリシー
脅威の種類の設定のマージ ポリシーを指定します。 管理者定義の設定とユーザー定義の設定 (merge) の組み合わせ、または管理者定義の設定 (admin_only) のみを使用できます。 この設定を使用すると、ローカル ユーザーがさまざまな脅威の種類に対して独自の設定を定義できないように制限できます。
| 説明 | 値 |
|---|---|
| キー | threatTypeSettingsMergePolicy |
| データ型 | String |
| 指定可能な値 | merge (既定値) admin_only |
| コメント | Defender for Endpoint バージョン 100.83.73 以降で使用できます。 |
ウイルス対策スキャン履歴の保持期間 (日数)
デバイスのスキャン履歴に結果が保持される日数を指定します。 古いスキャン結果は履歴から削除されます。 古い検疫済みファイル。ディスクからも削除されます。
| 説明 | 値 |
|---|---|
| キー | scanResultsRetentionDays |
| データ型 | String |
| 指定可能な値 | 90 (既定値)。 使用できる値は、1 日から 180 日です。 |
| コメント | Defender for Endpoint バージョン 101.04.76 以降で使用できます。 |
ウイルス対策スキャン履歴のアイテムの最大数
スキャン履歴に保持するエントリの最大数を指定します。 エントリには、過去に実行されたすべてのオンデマンド スキャンと、すべてのウイルス対策検出が含まれます。
| 説明 | 値 |
|---|---|
| キー | scanHistoryMaximumItems |
| データ型 | String |
| 指定可能な値 | 10000 (既定値)。 使用できる値は、5,000 項目から 1,5000 項目までです。 |
| コメント | Defender for Endpoint バージョン 101.04.76 以降で使用できます。 |
高度なスキャン オプション
特定の高度なスキャン機能を有効にするために、次の設定を構成できます。
注:
これらの機能を有効にすると、デバイスのパフォーマンスに影響する可能性があります。 そのため、既定値をそのまま使用することをお勧めします。
ファイル変更アクセス許可イベントのスキャンを構成する
この機能を有効にすると、Defender for Endpoint は、実行ビットを設定するためにアクセス許可が変更されたときにファイルをスキャンします。
注:
この機能は、機能が enableFilePermissionEvents 有効になっている場合にのみ適用されます。 詳細については、以下の 「高度なオプション機能 」セクションを参照してください。
| 説明 | 値 |
|---|---|
| キー | scanFileModifyPermissions |
| データ型 | ブール型 |
| 指定可能な値 | false (既定) true |
| コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
ファイル変更所有権イベントのスキャンを構成する
この機能を有効にすると、Defender for Endpoint は所有権が変更されたファイルをスキャンします。
注:
この機能は、機能が enableFileOwnershipEvents 有効になっている場合にのみ適用されます。 詳細については、以下の 「高度なオプション機能 」セクションを参照してください。
| 説明 | 値 |
|---|---|
| キー | scanFileModifyOwnership |
| データ型 | ブール型 |
| 指定可能な値 | false (既定) true |
| コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
生ソケット イベントのスキャンを構成する
この機能を有効にすると、Defender for Endpoint は、生のソケット/パケット ソケットの作成やソケット オプションの設定などのネットワーク ソケット イベントをスキャンします。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
注:
この機能は、機能が enableRawSocketEvent 有効になっている場合にのみ適用されます。 詳細については、以下の 「高度なオプション機能 」セクションを参照してください。
| 説明 | 値 |
|---|---|
| キー | scanNetworkSocketEvent |
| データ型 | ブール型 |
| 指定可能な値 | false (既定) true |
| コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
クラウド配信の保護の基本設定
構成プロファイルの cloudService エントリを使用して、製品のクラウド駆動型保護機能を構成します。
| 説明 | 値 |
|---|---|
| キー | cloudService |
| データ型 | ディクショナリ (入れ子になった基本設定) |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
クラウド配信保護を有効または無効にする
クラウド配信の保護がデバイスで有効かどうかを判断します。 サービスのセキュリティを強化するために、この機能をオンにしておくことをお勧めします。
| 説明 | 値 |
|---|---|
| キー | enabled |
| データ型 | ブール型 |
| 可能な値 | true (既定値) false |
診断収集のレベル
診断データは、Defender for Endpoint を安全かつ最新の状態に保ち、問題を検出、診断、修正し、製品を改善するために使用されます。 この設定は、製品から Microsoft に送信される診断のレベルを決定します。
| 説明 | 値 |
|---|---|
| キー | diagnosticLevel |
| データ型 | String |
| 指定可能な値 | 省略可能 required (既定値) |
クラウド ブロック レベルを構成する
この設定は、疑わしいファイルをブロックおよびスキャンする際の Defender for Endpoint の攻撃性を決定します。 この設定がオンの場合、Defender for Endpoint は、ブロックおよびスキャンする疑わしいファイルを特定するときに、より積極的になります。それ以外の場合は、攻撃的ではなく、より頻度の低いブロックとスキャンが行われます。
クラウド ブロック レベルの設定には、次の 5 つの値があります。
- 標準 (
normal): 既定のブロック レベル。 - 中程度 (
moderate): 高信頼度の検出に対してのみ評決を提供します。 - 高 (
high): パフォーマンスを最適化しながら、不明なファイルを積極的にブロックします (有害でないファイルをブロックする可能性が高くなります)。 - High Plus (
high_plus): 不明なファイルを積極的にブロックし、追加の保護対策を適用します (クライアント デバイスのパフォーマンスに影響する可能性があります)。 - ゼロ トレランス (
zero_tolerance): 不明なプログラムをすべてブロックします。
| 説明 | 値 |
|---|---|
| キー | cloudBlockLevel |
| データ型 | String |
| 指定可能な値 | normal (既定値) 中程 度 高 high_plus zero_tolerance |
| コメント | Defender for Endpoint バージョン 101.56.62 以降で使用できます。 |
サンプルの自動送信を有効または無効にする
疑わしいサンプル (脅威が含まれている可能性が高い) を Microsoft に送信するかどうかを決定します。 サンプルの送信を制御するには、次の 3 つのレベルがあります。
- なし: 疑わしいサンプルは Microsoft に送信されません。
- 安全: 個人を特定できる情報 (PII) が含まれていない疑わしいサンプルのみが自動的に送信されます。 これは、この設定の既定値です。
- すべて: すべての疑わしいサンプルが Microsoft に送信されます。
| 説明 | 値 |
|---|---|
| キー | automaticSampleSubmissionConsent |
| データ型 | String |
| 指定可能な値 | none safe (既定値) すべて |
セキュリティ インテリジェンスの自動更新を有効または無効にする
セキュリティ インテリジェンスの更新プログラムが自動的にインストールされるかどうかを判断します。
| 説明 | 値 |
|---|---|
| キー | automaticDefinitionUpdateEnabled |
| データ型 | ブール型 |
| 指定可能な値 | true (既定値) false |
高度なオプション機能
次の設定を構成して、特定の高度な機能を有効にすることができます。
注:
これらの機能を有効にすると、デバイスのパフォーマンスに影響する可能性があります。 既定値をそのまま使用することをお勧めします。
| 説明 | 値 |
|---|---|
| キー | 機能 |
| データ型 | ディクショナリ (入れ子になった基本設定) |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
モジュールの読み込み機能
モジュール読み込みイベント (共有ライブラリ上のファイル開いているイベント) を監視するかどうかを決定します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | 値 |
|---|---|
| キー | moduleLoad |
| データ型 | String |
| 指定可能な値 | disabled (既定値) enabled |
| コメント | Defender for Endpoint バージョン 101.68.80 以降で使用できます。 |
補助センサー構成
次の設定を使用して、特定の高度な補助センサー機能を構成できます。
| 説明 | 値 |
|---|---|
| キー | supplementarySensorConfigurations |
| データ型 | ディクショナリ (入れ子になった基本設定) |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
ファイル変更アクセス許可イベントの監視を構成する
ファイル変更アクセス許可イベント (chmod) を監視するかどうかを決定します。
注:
この機能を有効にすると、Defender for Endpoint はファイルの実行ビットに対する変更を監視しますが、これらのイベントはスキャンしません。 詳細については、「 高度なスキャン機能 」セクションを参照してください。
| 説明 | 値 |
|---|---|
| キー | enableFilePermissionEvents |
| データ型 | String |
| 指定可能な値 | disabled (既定値) enabled |
| コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
ファイル変更所有権イベントの監視を構成する
ファイル変更所有権イベント (chown) を監視するかどうかを決定します。
注:
この機能を有効にすると、Defender for Endpoint はファイルの所有権に対する変更を監視しますが、これらのイベントはスキャンしません。 詳細については、「 高度なスキャン機能 」セクションを参照してください。
| 説明 | 値 |
|---|---|
| キー | enableFileOwnershipEvents |
| データ型 | String |
| 指定可能な値 | disabled (既定値) enabled |
| コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
生ソケット イベントの監視を構成する
生ソケット/パケット ソケットの作成またはソケット オプションの設定に関連するネットワーク ソケット イベントを監視するかどうかを決定します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
注:
この機能を有効にすると、Defender for Endpoint はこれらのネットワーク ソケット イベントを監視しますが、これらのイベントはスキャンしません。 詳細については、上記の 「高度なスキャン機能 」セクションを参照してください。
| 説明 | 値 |
|---|---|
| キー | enableRawSocketEvent |
| データ型 | String |
| 指定可能な値 | disabled (既定値) enabled |
| コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
ブート ローダー イベントの監視を構成する
ブート ローダー イベントを監視およびスキャンするかどうかを決定します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | 値 |
|---|---|
| キー | enableBootLoaderCalls |
| データ型 | String |
| 指定可能な値 | disabled (既定値) enabled |
| コメント | Defender for Endpoint バージョン 101.68.80 以降で使用できます。 |
ptrace イベントの監視を構成する
ptrace イベントを監視およびスキャンするかどうかを決定します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | 値 |
|---|---|
| キー | enableProcessCalls |
| データ型 | String |
| 指定可能な値 | disabled (既定値) enabled |
| コメント | Defender for Endpoint バージョン 101.68.80 以降で使用できます。 |
擬似イベントの監視を構成する
疑似イベントが監視およびスキャンされるかどうかを判断します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | 値 |
|---|---|
| キー | enablePseudofsCalls |
| データ型 | String |
| 指定可能な値 | disabled (既定値) enabled |
| コメント | Defender for Endpoint バージョン 101.68.80 以降で使用できます。 |
eBPF を使用してモジュール・ロード・イベントのモニターを構成する
モジュールの読み込みイベントが eBPF を使用して監視され、スキャンされるかどうかを判断します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | 値 |
|---|---|
| キー | enableEbpfModuleLoadEvents |
| データ型 | String |
| 指定可能な値 | disabled (既定値) enabled |
| コメント | Defender for Endpoint バージョン 101.68.80 以降で使用できます。 |
AV 疑わしいイベントを EDR に報告する
ウイルス対策からの疑わしいイベントが EDR に報告されるかどうかを判断します。
| 説明 | 値 |
|---|---|
| キー | sendLowfiEvents |
| データ型 | String |
| 指定可能な値 | disabled (既定値) enabled |
| コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
ネットワーク保護の構成
次の設定を使用して、ネットワーク保護によって検査されるトラフィックを制御する高度なネットワーク保護検査機能を構成できます。
注:
これらを有効にするには、Network Protection を有効にする必要があります。 詳細については、「 Linux のネットワーク保護を有効にする」を参照してください。
| 説明 | 値 |
|---|---|
| キー | networkProtection |
| データ型 | ディクショナリ (入れ子になった基本設定) |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
ICMP 検査を構成する
ICMP イベントを監視およびスキャンするかどうかを決定します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | 値 |
|---|---|
| キー | disableIcmpInspection |
| データ型 | ブール型 |
| 指定可能な値 | true (既定値) false |
| コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
推奨される構成プロファイル
作業を開始するには、Defender for Endpoint が提供するすべての保護機能を利用するために、企業向けに次の構成プロファイルを使用することをお勧めします。
次の構成プロファイルは次のようになります。
- リアルタイム保護を有効にする (RTP)
- 次の脅威の種類の処理方法を指定します。
- 望ましくない可能性のあるアプリケーション (PUA) がブロックされる
- アーカイブ 爆弾 (圧縮率の高いファイル) は、製品ログに対して監査されます
- セキュリティ インテリジェンスの自動更新を有効にする
- クラウドによる保護の有効化
- レベルで自動サンプル送信を
safe有効にする
サンプル プロファイル
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
完全な構成プロファイルの例
次の構成プロファイルには、このドキュメントで説明されているすべての設定のエントリが含まれており、製品をより詳細に制御する高度なシナリオで使用できます。
注:
この JSON のプロキシ設定のみで、すべてのMicrosoft Defender for Endpoint通信を制御することはできません。
フル プロファイル
{
"antivirusEngine":{
"enforcementLevel":"passive",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
構成プロファイルにタグまたはグループ ID を追加する
コマンドを mdatp health 初めて実行すると、タグとグループ ID の値は空白になります。 ファイルにタグまたはグループ ID を mdatp_managed.json 追加するには、次の手順に従います。
- パス
/etc/opt/microsoft/mdatp/managed/mdatp_managed.jsonから構成プロファイルを開きます。 - ブロックが配置されているファイルの下部に
cloudService移動します。 - の閉じ中かっこの末尾に次の例のように、必要なタグまたはグループ ID を追加します
cloudService。
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
注:
ブロックの末尾にある閉じ中かっこの後にコンマを cloudService 追加します。 また、Tag ブロックまたはグループ ID ブロックを追加した後に、2 つの閉じる中かっこがあることを確認します (上記の例を参照してください)。 現時点では、タグでサポートされているキー名は のみです GROUP。
構成プロファイルの検証
構成プロファイルは、有効な JSON 形式のファイルである必要があります。 これを確認するために使用できるツールは多数あります。 たとえば、デバイスにインストールした場合 python :
python -m json.tool mdatp_managed.json
JSON が整形式の場合、上記のコマンドはターミナルに出力し、 の 0終了コードを返します。 それ以外の場合は、問題を説明するエラーが表示され、コマンドは の 1終了コードを返します。
mdatp_managed.json ファイルが期待どおりに動作していることを確認する
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json が正常に動作していることを確認するには、次の設定の横に "[managed]" と表示されます。
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
注:
mdatp_managed.json の ほとんどの 構成を変更して有効にするために、mdatp デーモンを再起動する必要はありません。 例外: 次の構成では、デーモンの再起動を有効にする必要があります。
- cloud-diagnostic
- log-rotation-parameters
構成プロファイルの展開
エンタープライズの構成プロファイルを構築したら、企業が使用している管理ツールを使用して展開できます。 Linux 上の Defender for Endpoint は、 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json ファイルからマネージド構成を読み取ります。
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender for Endpoint Tech Community で Microsoft セキュリティ コミュニティに参加します。