Del via


Angi innstillinger for Microsoft Defender for endepunkt på Linux

Gjelder for:

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Viktig

Denne artikkelen inneholder instruksjoner for hvordan du angir innstillinger for Defender for Endpoint på Linux i bedriftsmiljøer. Hvis du er interessert i å konfigurere produktet på en enhet fra kommandolinjen, kan du se Ressurser.

I bedriftsmiljøer kan Defender for Endpoint på Linux administreres gjennom en konfigurasjonsprofil. Denne profilen distribueres fra det administreringsverktøyet du ønsker. Innstillinger som administreres av virksomheten, har forrang over de som er angitt lokalt på enheten. Brukere i virksomheten kan med andre ord ikke endre preferanser som er angitt gjennom denne konfigurasjonsprofilen. Hvis utelatelser ble lagt til via den administrerte konfigurasjonsprofilen, kan de bare fjernes via den administrerte konfigurasjonsprofilen. Kommandolinjen fungerer for utelatelser som ble lagt til lokalt.

Denne artikkelen beskriver strukturen i denne profilen (inkludert en anbefalt profil som du kan bruke til å komme i gang) og instruksjoner om hvordan du distribuerer profilen.

Struktur for konfigurasjonsprofil

Konfigurasjonsprofilen er en .json fil som består av oppføringer som identifiseres av en nøkkel (som angir navnet på preferansen), etterfulgt av en verdi, som avhenger av hva preferansen foretrekker. Verdier kan være enkle, for eksempel en numerisk verdi eller kompleks, for eksempel en nestet liste over innstillinger.

Vanligvis bruker du et konfigurasjonsbehandlingsverktøy til å sende en fil med navnet mdatp_managed.json på plasseringen /etc/opt/microsoft/mdatp/managed/.

Det øverste nivået i konfigurasjonsprofilen inkluderer produktomfattende innstillinger og oppføringer for underområder av produktet, som forklares mer detaljert i de neste delene.

Innstillinger for antivirusmotor

Antivirusengine-delen av konfigurasjonsprofilen brukes til å administrere innstillingene for antiviruskomponenten for produktet.

Beskrivelse Verdi
Nøkkel antivirusengin
Datatype Ordliste (nestet innstilling)
Kommentarer Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet.

Håndhevelsesnivå for antivirusmotor

Angir håndhevelsesinnstillingen for antivirusmotoren. Det finnes tre verdier for å angi håndhevelsesnivå:

  • Sanntid (real_time): Sanntidsbeskyttelse (skanne filer etter hvert som de endres) er aktivert.
  • Behovsbetingede (on_demand): Filer skannes bare ved behov. I dette:
    • Sanntidsbeskyttelse er deaktivert.
  • Passiv (passive): Kjører antivirusmotoren i passiv modus. I dette:
    • Sanntidsbeskyttelse er deaktivert: Trusler utbedres ikke av Microsoft Defender Antivirus.
    • Skanning ved behov er aktivert: Bruk likevel skannefunksjonene på endepunktet.
    • Automatisk utbedring av trusler er deaktivert: Ingen filer flyttes, og sikkerhetsadministratoren forventes å utføre nødvendige tiltak.
    • Sikkerhetsanalyseoppdateringer er aktivert: Varsler vil være tilgjengelige for sikkerhetsadministratorer-tenanten.
Beskrivelse Verdi
Nøkkel håndhevelsesnivå
Datatype Streng
Mulige verdier real_time

on_demand

passiv (standard)

Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.10.72 eller nyere. Standard er endret fra real_time til passiv for endepunktversjon 101.23062.0001 eller nyere.

Obs!

Det anbefales også å bruke planlagte skanninger i henhold til krav.

Aktiver/deaktiver overvåking av virkemåte

Bestemmer om virkemåteovervåking og blokkeringsfunksjonalitet er aktivert på enheten eller ikke.

Obs!

Denne funksjonen gjelder bare når Real-Time Protection-funksjonen er aktivert.

Beskrivelse Verdi
Nøkkel behaviorMonitoring
Datatype Streng
Mulige verdier deaktivert (standard)

Aktivert

Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.45.00 eller nyere.

Kjør en skanning etter at definisjoner er oppdatert

Angir om du vil starte en prosessskanning etter at nye sikkerhetsanalyseoppdateringer er lastet ned på enheten. Aktivering av denne innstillingen utløser en antivirusskanning på prosessene som kjører på enheten.

Beskrivelse Verdi
Nøkkel scanAfterDefinitionUpdate
Datatype Boolsk
Mulige verdier sann (standard)

Falske

Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.45.00 eller nyere.

Obs!

Denne funksjonen fungerer bare når håndhevelsesnivået er satt til real-time.

Skanne arkiver (bare på forespørsel antivirusskanninger)

Angir om du vil skanne arkiver under behovsbetingede antivirusskanninger.

Obs!

Arkivfiler skannes aldri under beskyttelse i sanntid. Når filene i et arkiv pakkes ut, skannes de. Alternativet scanArchives kan brukes til å fremtvinge skanning av arkiver bare under behovsbetingede skanninger.

Beskrivelse Verdi
Nøkkel scanArchives
Datatype Boolsk
Mulige verdier sann (standard)

Falske

Kommentarer Tilgjengelig i Microsoft Defender for endepunkt versjon 101.45.00 eller nyere.

Graden av parallellitet for behovsbetingede skanninger

Angir graden av parallellitet for behovsbetingede skanninger. Dette tilsvarer antall tråder som brukes til å utføre skanningen og påvirker CPU-bruken, og varigheten av den behovsbetingede skanningen.

Beskrivelse Verdi
Nøkkel maximumOnDemandScanThreads
Datatype Heltall
Mulige verdier 2 (standard). Tillatte verdier er heltall mellom 1 og 64.
Kommentarer Tilgjengelig i Microsoft Defender for endepunkt versjon 101.45.00 eller nyere.

Policy for utelukkelsesfletting

Angir flettepolicyen for utelatelser. Det kan være en kombinasjon av administratordefinerte og brukerdefinerte utelatelser (merge) eller bare administratordefinerte utelatelser (admin_only). Denne innstillingen kan brukes til å begrense lokale brukere fra å definere sine egne utelatelser.

Beskrivelse Verdi
Nøkkel exclusionsMergePolicy
Datatype Streng
Mulige verdier fletting (standard)

admin_only

Kommentarer Tilgjengelig i Defender for Endpoint versjon 100.83.73 eller nyere.

Skann utelatelser

Enheter som er utelatt fra skanningen. Unntak kan angis med fullstendige baner, filtyper eller filnavn. (Unntak angis som en matrise med elementer, administrator kan angi så mange elementer som nødvendig, i hvilken som helst rekkefølge.)

Beskrivelse Verdi
Nøkkel Utelukkelser
Datatype Ordliste (nestet innstilling)
Kommentarer Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet.
Type utelukkelse

Angir innholdstypen som er utelatt fra skanningen.

Beskrivelse Verdi
Nøkkel $type
Datatype Streng
Mulige verdier excludedPath

excludedFileExtension

excludedFileName

Bane til utelatt innhold

Brukes til å utelate innhold fra skanningen etter fullstendig filbane.

Beskrivelse Verdi
Nøkkel Banen
Datatype Streng
Mulige verdier gyldige baner
Kommentarer Gjelder bare hvis $type er ekskludertPath
Banetype (fil/katalog)

Angir om baneegenskapen refererer til en fil eller katalog.

Beskrivelse Verdi
Nøkkel isDirectory
Datatype Boolsk
Mulige verdier usann (standard)

Sant

Kommentarer Gjelder bare hvis $type er ekskludertPath
Filtype utelatt fra skanningen

Brukes til å utelate innhold fra skanningen etter filtype.

Beskrivelse Verdi
Nøkkel Forlengelsen
Datatype Streng
Mulige verdier gyldige filtyper
Kommentarer Gjelder bare hvis $type er utelattFileExtension
Prosessen er utelatt fra skanningen*

Angir en prosess der all filaktivitet utelates fra skanning. Prosessen kan angis enten med navnet (for eksempel cat) eller den fullstendige banen (for eksempel /bin/cat).

Beskrivelse Verdi
Nøkkel navn
Datatype Streng
Mulige verdier hvilken som helst streng
Kommentarer Gjelder bare hvis $type er utelattFilnavn

Demper ikke Exec-monteringer

Angir virkemåten til RTP på monteringspunkt merket som noexec. Det finnes to verdier for innstilling:

  • Opphev demping (unmute): Standardverdien, alle monteringspunkter skannes som en del av RTP.
  • Dempet (mute): Monteringspunkter merket som noexec skannes ikke som en del av RTP, disse monteringspunktene kan opprettes for:
    • Databasefiler på databaseservere for å beholde databasefiler.
    • Filserveren kan beholde datafiler med noexec-alternativ.
    • Sikkerhetskopiering kan beholde datafiler med noexec-alternativ.
Beskrivelse Verdi
Nøkkel nonExecMountPolicy
Datatype Streng
Mulige verdier opphev demping (standard)

Mute

Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.85.27 eller nyere.

Uovervåk filsystemer

Konfigurer filsystemer som skal uovervåkes/utelates fra Sanntidsbeskyttelse (RTP). De konfigurerte filsystemene valideres mot Microsoft Defender liste over tillatte filsystemer. Bare etter vellykket validering, vil filsystemet få lov til å være uovervåket. Disse konfigurerte uovervåkede filsystemene skannes fortsatt av hurtigskanninger, fullstendige skanninger og egendefinerte skanninger.

Beskrivelse Verdi
Nøkkel uovervåkedeFilesystems
Datatype Matrise med strenger
Kommentarer Konfigurert filsystem blir bare uovervåket hvis det finnes i Microsofts liste over tillatte uovervåkede filsystemer.

NFS og Fuse er som standard uovervåket fra RTP-, Quick- og Full-skanninger. De kan imidlertid fortsatt skannes av en egendefinert skanning. Hvis du for eksempel vil fjerne NFS fra listen over uovervåkede filsystemer, oppdaterer du den administrerte konfigurasjonsfilen som vist nedenfor. Dette legger automatisk til NFS i listen over overvåkede filsystemer for RTP.

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["Fuse"]
  }
}

Hvis du vil fjerne både NFS og Fuse fra uovervåket liste over filsystemer, gjør du følgende:

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

Obs!

Her; s standardlisten over overvåkede filsystemer for RTP: btrfs, , ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, reiserfs, , tmpfs, , vfat. xfs

Hvis et overvåket filsystem må legges til i listen over uovervåkede filsystemer, må det evalueres og aktiveres av Microsoft via skykonfigurasjon. Etter hvilke kunder som kan oppdatere managed_mdatp.json til å uovervåke dette filsystemet.

Konfigurer funksjonen for hash-kode for fil

Aktiverer eller deaktiverer funksjonen for hash-kode for fil. Når denne funksjonen er aktivert, beregner Defender for Endpoint hash-koder for filer den skanner. Vær oppmerksom på at aktivering av denne funksjonen kan påvirke enhetsytelsen. Hvis du vil ha mer informasjon, kan du se: Opprett indikatorer for filer.

Beskrivelse Verdi
Nøkkel enableFileHashComputation
Datatype Boolsk
Mulige verdier usann (standard)

Sant

Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.85.27 eller nyere.

Tillatte trusler

Liste over trusler (identifisert med navnet) som ikke er blokkert av produktet, og som i stedet har tillatelse til å kjøre.

Beskrivelse Verdi
Nøkkel allowedThreats
Datatype Matrise med strenger

Ikke tillatte trusselhandlinger

Begrenser handlingene som den lokale brukeren av en enhet kan utføre når trusler oppdages. Handlingene som er inkludert i denne listen, vises ikke i brukergrensesnittet.

Beskrivelse Verdi
Nøkkel disallowedThreatActions
Datatype Matrise med strenger
Mulige verdier tillat (begrenser brukere fra å tillate trusler)

gjenoppretting (begrenser brukere fra å gjenopprette trusler fra karantene)

Kommentarer Tilgjengelig i Defender for Endpoint versjon 100.83.73 eller nyere.

Innstillinger for trusseltype

ThreatTypeSettings-preferansen i antivirusmotoren brukes til å kontrollere hvordan visse trusseltyper håndteres av produktet.

Beskrivelse Verdi
Nøkkel threatTypeSettings
Datatype Ordliste (nestet innstilling)
Kommentarer Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet.
Trusseltype

Type trussel som virkemåten er konfigurert for.

Beskrivelse Verdi
Nøkkel Nøkkel
Datatype Streng
Mulige verdier potentially_unwanted_application

archive_bomb

Handling som skal utføres

Handling som skal utføres når du kommer over en trussel av typen som er angitt i forrige del. Kan være:

  • Overvåking: Enheten er ikke beskyttet mot denne typen trussel, men en oppføring om trusselen logges.
  • Blokk: Enheten er beskyttet mot denne typen trussel, og du blir varslet i sikkerhetskonsollen.
  • Av: Enheten er ikke beskyttet mot denne typen trussel, og ingenting logges.
Beskrivelse Verdi
Nøkkel Verdi
Datatype Streng
Mulige verdier overvåking (standard)

blokk

Av

Policy for sammenslåing av trusseltypeinnstillinger

Angir flettepolicyen for innstillinger for trusseltype. Dette kan være en kombinasjon av administratordefinerte og brukerdefinerte innstillinger (merge) eller bare administratordefinerte innstillinger (admin_only). Denne innstillingen kan brukes til å begrense lokale brukere fra å definere sine egne innstillinger for ulike trusseltyper.

Beskrivelse Verdi
Nøkkel threatTypeSettingsMergePolicy
Datatype Streng
Mulige verdier fletting (standard)

admin_only

Kommentarer Tilgjengelig i Defender for Endpoint versjon 100.83.73 eller nyere.

Oppbevaring av antivirusskanningslogg (i dager)

Angi antall dager resultatene beholdes i skanneloggen på enheten. Gamle skanneresultater fjernes fra loggen. Gamle filer i karantene som også fjernes fra disken.

Beskrivelse Verdi
Nøkkel scanResultsRetentionDays
Datatype Streng
Mulige verdier 90 (standard). Tillatte verdier er fra 1 dag til 180 dager.
Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.04.76 eller nyere.

Maksimalt antall elementer i loggen for antivirusskanning

Angi maksimalt antall oppføringer som skal beholdes i skanneloggen. Oppføringer omfatter alle behovsbetingede skanninger utført tidligere og alle antivirusregistreringer.

Beskrivelse Verdi
Nøkkel scanHistoryMaximumItems
Datatype Streng
Mulige verdier 10000 (standard). Tillatte verdier er fra 5000 elementer til 15 000 elementer.
Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.04.76 eller nyere.

Avanserte skannealternativer

Følgende innstillinger kan konfigureres for å aktivere bestemte avanserte skannefunksjoner.

Obs!

Aktivering av disse funksjonene kan påvirke enhetsytelsen. Derfor anbefales det å beholde standardinnstillingene.

Konfigurer skanning av hendelser for filmodifiserende tillatelser

Når denne funksjonen er aktivert, skanner Defender for Endpoint filer når tillatelsene er endret for å angi utføringsbitene.

Obs!

Denne funksjonen gjelder bare når enableFilePermissionEvents funksjonen er aktivert. Hvis du vil ha mer informasjon, kan du se avsnittet Avanserte valgfrie funksjoner nedenfor for mer informasjon.

Beskrivelse Verdi
Nøkkel scanFileModifyPermissions
Datatype Boolsk
Mulige verdier usann (standard)

Sant

Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.23062.0010 eller nyere.
Konfigurere skanning av eierskapshendelser for filmodifiserende

Når denne funksjonen er aktivert, skanner Defender for Endpoint filer som eierskapet er endret for.

Obs!

Denne funksjonen gjelder bare når enableFileOwnershipEvents funksjonen er aktivert. Hvis du vil ha mer informasjon, kan du se avsnittet Avanserte valgfrie funksjoner nedenfor for mer informasjon.

Beskrivelse Verdi
Nøkkel scanFileModifyOwnership
Datatype Boolsk
Mulige verdier usann (standard)

Sant

Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.23062.0010 eller nyere.
Konfigurer skanning av rå sockethendelser

Når denne funksjonen er aktivert, skanner Defender for Endpoint nettverkskontakthendelser, for eksempel opprettelse av rå stikkontakter/pakkekontakter eller å angi socket-alternativet.

Obs!

Denne funksjonen gjelder bare når virkemåteovervåking er aktivert. Denne funksjonen gjelder bare når enableRawSocketEvent funksjonen er aktivert. Hvis du vil ha mer informasjon, kan du se avsnittet Avanserte valgfrie funksjoner nedenfor for mer informasjon.

Beskrivelse Verdi
Nøkkel scanNetworkSocketEvent
Datatype Boolsk
Mulige verdier usann (standard)

Sant

Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.23062.0010 eller nyere.

Skyleverte beskyttelsesinnstillinger

CloudService-oppføringen i konfigurasjonsprofilen brukes til å konfigurere den skydrevne beskyttelsesfunksjonen for produktet.

Obs!

Skybasert beskyttelse gjelder for eventuelle innstillinger for håndhevelsesnivå (real_time, on_demand, passiv).

Beskrivelse Verdi
Nøkkel cloudService
Datatype Ordliste (nestet innstilling)
Kommentarer Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet.

Aktiver/deaktiver skybasert levert beskyttelse

Bestemmer om skybasert beskyttelse er aktivert på enheten eller ikke. Hvis du vil forbedre sikkerheten til tjenestene, anbefaler vi at du holder denne funksjonen aktivert.

Beskrivelse Verdi
Nøkkel Aktivert
Datatype Boolsk
Mulige verdier sann (standard)

Falske

Diagnosedatasamlingsnivå

Diagnosedata brukes til å holde Defender for endepunkt sikkert og oppdatert, oppdage, diagnostisere og løse problemer og også gjøre produktforbedringer. Denne innstillingen bestemmer diagnosenivået som sendes av produktet til Microsoft. Hvis du vil ha mer informasjon, kan du se Personvern for Microsoft Defender for endepunkt på Linux.

Beskrivelse Verdi
Nøkkel diagnosticLevel
Datatype Streng
Mulige verdier Valgfritt

obligatorisk (standard)

Konfigurer skyblokknivå

Denne innstillingen bestemmer hvor aggressiv Defender for Endpoint er når det gjelder blokkering og skanning av mistenkelige filer. Hvis denne innstillingen er aktivert, er Defender for Endpoint mer aggressiv når du identifiserer mistenkelige filer som skal blokkeres og skannes. Ellers er det mindre aggressivt og blokkerer og skanner derfor med mindre frekvens.

Det finnes fem verdier for å angi skyblokknivå:

  • Normal (normal): Standard blokkeringsnivå.
  • Moderat (moderate): Leverer dom bare for oppdagelser med høy konfidens.
  • Høy (high): Blokkerer ukjente filer aggressivt mens du optimaliserer for ytelse (større sjanse for å blokkere ikke-skadelige filer).
  • High Plus (high_plus): Blokkerer ukjente filer aggressivt og bruker ekstra beskyttelsestiltak (kan påvirke klientens enhetsytelse).
  • Nulltoleranse (zero_tolerance): Blokkerer alle ukjente programmer.
Beskrivelse Verdi
Nøkkel cloudBlockLevel
Datatype Streng
Mulige verdier normal (standard)

Moderat

Høy

high_plus

zero_tolerance

Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.56.62 eller nyere.

Aktiver/deaktiver automatiske eksempelinnsendinger

Bestemmer om mistenkelige eksempler (som sannsynligvis inneholder trusler) sendes til Microsoft. Det finnes tre nivåer for å kontrollere innsending av eksempler:

  • Ingen: ingen mistenkelige eksempler sendes til Microsoft.
  • Trygt: Bare mistenkelige eksempler som ikke inneholder personlig identifiserbar informasjon (PII), sendes automatisk. Dette er standardverdien for denne innstillingen.
  • Alle: alle mistenkelige eksempler sendes til Microsoft.
Beskrivelse Verdi
Nøkkel automaticSampleSubmissionConsent
Datatype Streng
Mulige verdier Ingen

sikker (standard)

Alle

Aktiver/deaktiver automatiske sikkerhetsopplysninger

Bestemmer om sikkerhetsanalyseoppdateringer installeres automatisk:

Beskrivelse Verdi
Nøkkel automaticDefinitionUpdateEnabled
Datatype Boolsk
Mulige verdier sann (standard)

Falske

Avanserte valgfrie funksjoner

Følgende innstillinger kan konfigureres for å aktivere bestemte avanserte funksjoner.

Obs!

Aktivering av disse funksjonene kan påvirke enhetsytelsen. Det anbefales å beholde standardinnstillingene.

Beskrivelse Verdi
Nøkkel Funksjoner
Datatype Ordliste (nestet innstilling)
Kommentarer Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet.

Modulinnlastingsfunksjon

Bestemmer om modulinnlastingshendelser (filåpningshendelser på delte biblioteker) overvåkes.

Obs!

Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.

Beskrivelse Verdi
Nøkkel moduleLoad
Datatype Streng
Mulige verdier deaktivert (standard)

Aktivert

Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.68.80 eller nyere.

Tilleggssensorkonfigurasjoner

Følgende innstillinger kan brukes til å konfigurere visse avanserte tilleggssensorfunksjoner.

Beskrivelse Verdi
Nøkkel supplementarySensorConfigurations
Datatype Ordliste (nestet innstilling)
Kommentarer Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet.
Konfigurer overvåking av hendelser for filmodifiserende tillatelser

Bestemmer om hendelser for filmodifiserende tillatelser (chmod) overvåkes.

Obs!

Når denne funksjonen er aktivert, overvåker Defender for Endpoint endringer i utføringsbitene av filer, men skanner ikke disse hendelsene. Hvis du vil ha mer informasjon, kan du se avsnittet Avanserte skannefunksjoner for mer informasjon.

Beskrivelse Verdi
Nøkkel enableFilePermissionEvents
Datatype Streng
Mulige verdier deaktivert (standard)

Aktivert

Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.23062.0010 eller nyere.
Konfigurer overvåking av eierskapshendelser for filmodifiserende

Bestemmer om eierskapshendelser (chown) overvåkes.

Obs!

Når denne funksjonen er aktivert, vil Defender for Endpoint overvåke endringer i eierskapet til filer, men ikke skanne disse hendelsene. Hvis du vil ha mer informasjon, kan du se avsnittet Avanserte skannefunksjoner for mer informasjon.

Beskrivelse Verdi
Nøkkel enableFileOwnershipEvents
Datatype Streng
Mulige verdier deaktivert (standard)

Aktivert

Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.23062.0010 eller nyere.
Konfigurer overvåking av rå sockethendelser

Bestemmer om nettverkskontakthendelser som involverer oppretting av rå stikkontakter/pakkekontakter, eller om du angir socket-alternativet, overvåkes.

Obs!

Denne funksjonen gjelder bare når virkemåteovervåking er aktivert. Når denne funksjonen er aktivert, vil Defender for Endpoint overvåke disse nettverkskontakthendelsene, men ikke skanne disse hendelsene. Hvis du vil ha mer informasjon, kan du se delen Avanserte skannefunksjoner ovenfor for mer informasjon.

Beskrivelse Verdi
Nøkkel enableRawSocketEvent
Datatype Streng
Mulige verdier deaktivert (standard)

Aktivert

Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.23062.0010 eller nyere.
Konfigurer overvåking av oppstartslasterhendelser

Bestemmer om oppstartslasterhendelser overvåkes og skannes.

Obs!

Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.

Beskrivelse Verdi
Nøkkel enableBootLoaderCalls
Datatype Streng
Mulige verdier deaktivert (standard)

Aktivert

Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.68.80 eller nyere.
Konfigurer overvåking av sporingshendelser

Bestemmer om sporingshendelser overvåkes og skannes.

Obs!

Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.

Beskrivelse Verdi
Nøkkel enableProcessCalls
Datatype Streng
Mulige verdier deaktivert (standard)

Aktivert

Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.68.80 eller nyere.
Konfigurer overvåking av pseudof-hendelser

Bestemmer om pseudof-hendelser overvåkes og skannes.

Obs!

Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.

Beskrivelse Verdi
Nøkkel enablePseudofsCalls
Datatype Streng
Mulige verdier deaktivert (standard)

Aktivert

Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.68.80 eller nyere.
Konfigurer overvåking av modulinnlastingshendelser ved hjelp av eBPF

Bestemmer om modulinnlastingshendelser overvåkes ved hjelp av eBPF og skannes.

Obs!

Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.

Beskrivelse Verdi
Nøkkel enableEbpfModuleLoadEvents
Datatype Streng
Mulige verdier deaktivert (standard)

Aktivert

Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.68.80 eller nyere.

Rapporter AV mistenkelige hendelser til EDR

Bestemmer om mistenkelige hendelser fra Antivirus rapporteres til EDR.

Beskrivelse Verdi
Nøkkel sendLowfiEvents
Datatype Streng
Mulige verdier deaktivert (standard)

Aktivert

Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.23062.0010 eller nyere.

Konfigurasjoner for nettverksbeskyttelse

Følgende innstillinger kan brukes til å konfigurere avanserte inspeksjonsfunksjoner for nettverksbeskyttelse for å kontrollere hvilken trafikk som undersøkes av Nettverksbeskyttelse.

Obs!

For at disse skal være effektive, må nettverksbeskyttelse være slått på. Hvis du vil ha mer informasjon, kan du se Slå på nettverksbeskyttelse for Linux.

Beskrivelse Verdi
Nøkkel networkProtection
Datatype Ordliste (nestet innstilling)
Kommentarer Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet.

Konfigurer ICMP-inspeksjon

Bestemmer om ICMP-hendelser overvåkes og skannes.

Obs!

Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.

Beskrivelse Verdi
Nøkkel disableIcmpInspection
Datatype Boolsk
Mulige verdier sann (standard)

Falske

Kommentarer Tilgjengelig i Defender for Endpoint versjon 101.23062.0010 eller nyere.

For å komme i gang anbefaler vi følgende konfigurasjonsprofil for virksomheten å dra nytte av alle beskyttelsesfunksjoner som Defender for Endpoint tilbyr.

Følgende konfigurasjonsprofil vil:

  • Aktiver sanntidsbeskyttelse (RTP)
  • Angi hvordan følgende trusseltyper håndteres:
    • Potensielt uønskede programmer (PUA) blokkeres
    • Arkivbomber (fil med høy komprimeringshastighet) overvåkes til produktloggene
  • Aktiver automatiske sikkerhetsanalyseoppdateringer
  • Aktiver skybasert beskyttelse
  • Aktiver automatisk innsending av eksempel på safe nivå

Eksempelprofil

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Eksempel på fullstendig konfigurasjonsprofil

Følgende konfigurasjonsprofil inneholder oppføringer for alle innstillingene som er beskrevet i dette dokumentet, og kan brukes til mer avanserte scenarioer der du vil ha mer kontroll over produktet.

Obs!

Det er ikke mulig å kontrollere all Microsoft Defender for endepunkt kommunikasjon med bare en proxy-innstilling i denne JSON-en.

Fullstendig profil

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "behaviorMonitoring": "enabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "exclusions":[
         {
            "$type":"excludedPath",
            "isDirectory":false,
            "path":"/var/log/system.log<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/run<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/home/*/git<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedFileExtension",
            "extension":".pdf<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedFileName",
            "name":"cat<EXAMPLE DO NOT USE>"
         }
      ],
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Legge til kode eller gruppe-ID i konfigurasjonsprofilen

Når du kjører mdatp health kommandoen for første gang, vil verdien for koden og gruppe-ID-en være tom. Følg fremgangsmåten nedenfor for å legge til mdatp_managed.json merke- eller gruppe-ID i filen:

  1. Åpne konfigurasjonsprofilen fra banen /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
  2. Gå ned til bunnen av filen, der cloudService blokken er plassert.
  3. Legg til den nødvendige koden eller gruppe-ID-en som følgende eksempel på slutten av den avsluttende klammeparentesen cloudServicefor .
  },
  "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
},
"edr": {
  "groupIds":"GroupIdExample",
  "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
}

Obs!

Legg til kommaet etter den avsluttende klammeparentesen på slutten av cloudService blokken. Kontroller også at det er to avsluttende klammeparenteser etter at du har lagt til kode- eller gruppe-ID-blokk (se eksemplet ovenfor). For øyeblikket er GROUPdet eneste støttede nøkkelnavnet for koder .

Validering av konfigurasjonsprofil

Konfigurasjonsprofilen må være en gyldig JSON-formatert fil. Det finnes mange verktøy som kan brukes til å bekrefte dette. Hvis du for eksempel har python installert på enheten:

python -m json.tool mdatp_managed.json

Hvis JSON er riktig utformet, sender kommandoen ovenfor den tilbake til terminalen og returnerer en avslutningskode for 0. Ellers vises en feil som beskriver problemet, og kommandoen returnerer en avslutningskode for 1.

Kontrollerer at mdatp_managed.json-filen fungerer som forventet

Hvis du vil bekrefte at /etc/opt/microsoft/mdatp/managed/mdatp_managed.json fungerer som den skal, skal du se «[administrert]» ved siden av disse innstillingene:

  • cloud_enabled
  • cloud_automatic_sample_submission_consent
  • passive_mode_enabled
  • real_time_protection_enabled
  • automatic_definition_update_enabled

Obs!

Det kreves ingen omstart av mdatp daemon for at endringer i de fleste konfigurasjoner i mdatp_managed.json skal tre i kraft. Unntak: Følgende konfigurasjoner krever en daemon-omstart for å tre i kraft:

  • skydiagnose
  • log-rotation-parametere

Distribusjon av konfigurasjonsprofil

Når du har bygget konfigurasjonsprofilen for virksomheten, kan du distribuere den gjennom administrasjonsverktøyet som virksomheten bruker. Defender for Endpoint på Linux leser den administrerte konfigurasjonen fra filen /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.