Angi innstillinger for Microsoft Defender for endepunkt på Linux
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Viktig
Denne artikkelen inneholder instruksjoner for hvordan du angir innstillinger for Defender for Endpoint på Linux i bedriftsmiljøer. Hvis du er interessert i å konfigurere produktet på en enhet fra kommandolinjen, kan du se Ressurser.
I bedriftsmiljøer kan Defender for Endpoint på Linux administreres gjennom en konfigurasjonsprofil. Denne profilen distribueres fra det administreringsverktøyet du ønsker. Innstillinger som administreres av virksomheten, har forrang over de som er angitt lokalt på enheten. Brukere i virksomheten kan med andre ord ikke endre preferanser som er angitt gjennom denne konfigurasjonsprofilen. Hvis utelatelser ble lagt til via den administrerte konfigurasjonsprofilen, kan de bare fjernes via den administrerte konfigurasjonsprofilen. Kommandolinjen fungerer for utelatelser som ble lagt til lokalt.
Denne artikkelen beskriver strukturen i denne profilen (inkludert en anbefalt profil som du kan bruke til å komme i gang) og instruksjoner om hvordan du distribuerer profilen.
Struktur for konfigurasjonsprofil
Konfigurasjonsprofilen er en .json fil som består av oppføringer som identifiseres av en nøkkel (som angir navnet på innstillingen), etterfulgt av en verdi, som avhenger av hva preferansen foretrekker. Verdier kan være enkle, for eksempel en numerisk verdi eller kompleks, for eksempel en nestet liste over innstillinger.
Vanligvis bruker du et konfigurasjonsbehandlingsverktøy til å sende en fil med navnet mdatp_managed.json på plasseringen /etc/opt/microsoft/mdatp/managed/.
Det øverste nivået i konfigurasjonsprofilen inkluderer produktomfattende innstillinger og oppføringer for underområder av produktet, som forklares mer detaljert i de neste delene.
Innstillinger for antivirusmotor
Antivirusengine-delen av konfigurasjonsprofilen brukes til å administrere innstillingene for antiviruskomponenten for produktet.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | antivirusengin | Antivirusmotor |
| Datatype | Ordliste (nestet innstilling) | Skjult inndeling |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. | Se avsnittene nedenfor for en beskrivelse av policyegenskapene. |
Håndhevelsesnivå for antivirusmotor
Angir håndhevelsesinnstillingen for antivirusmotoren. Det finnes tre verdier for å angi håndhevelsesnivå:
- Sanntid (
real_time): Sanntidsbeskyttelse (skanne filer etter hvert som de endres) er aktivert. - Behovsbetingede (
on_demand): Filer skannes bare ved behov. I dette:- Sanntidsbeskyttelse er deaktivert.
- Passiv (
passive): Kjører antivirusmotoren i passiv modus. I dette:- Sanntidsbeskyttelse er deaktivert: Trusler utbedres ikke av Microsoft Defender Antivirus.
- Skanning ved behov er aktivert: Bruk likevel skannefunksjonene på endepunktet.
- Automatisk utbedring av trusler er deaktivert: Ingen filer flyttes, og sikkerhetsadministratoren forventes å utføre nødvendige tiltak.
- Sikkerhetsanalyseoppdateringer er aktivert: Varsler vil være tilgjengelige for sikkerhetsadministratorer-tenanten.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | håndhevelsesnivå | Håndhevelsesnivå |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier | real_timeon_demandpassive (standard) |
Ikke konfigurert Sanntid OnDemand Passiv (standard) |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.10.72 eller nyere. Standard er endret fra real_time til passive i Defender for Endpoint-versjon 101.23062.0001 eller nyere.
Det anbefales også å bruke planlagte skanninger i henhold til krav.
Aktiver/deaktiver overvåking av virkemåte
Bestemmer om virkemåteovervåking og blokkeringsfunksjonalitet er aktivert på enheten eller ikke.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | behaviorMonitoring | Aktiver overvåking av virkemåte |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier |
disabled (standard) |
Ikke konfigurert Deaktivert (standard) Aktivert |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.45.00 eller nyere.
Denne funksjonen gjelder bare når sanntidsbeskyttelse er aktivert.
Kjør en skanning etter at definisjoner er oppdatert
Angir om du vil starte en prosessskanning etter at nye sikkerhetsanalyseoppdateringer er lastet ned på enheten. Aktivering av denne innstillingen utløser en antivirusskanning på prosessene som kjører på enheten.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | scanAfterDefinitionUpdate | Aktiver skanning etter definisjonsoppdatering |
| Datatype | Boolsk | Rullegardinliste |
| Mulige verdier |
true (standard) |
Ikke konfigurert Ufør Aktivert (standard) |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.45.00 eller nyere.
Denne funksjonen fungerer bare når håndhevelsesnivået er satt til real-time.
Skanne arkiver (bare på forespørsel antivirusskanninger)
Angir om du vil skanne arkiver under behovsbetingede antivirusskanninger.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | scanArchives | Aktiver skanning av arkiver |
| Datatype | Boolsk | Rullegardinliste |
| Mulige verdier |
true (standard)
|
Ikke konfigurert Ufør Aktivert (standard) |
Obs!
Tilgjengelig i Microsoft Defender for endepunktversjon 101.45.00 eller nyere.
Arkivfiler skannes aldri under sanntidsbeskyttelse. Når filene i et arkiv pakkes ut, skannes de. Alternativet scanArchives kan brukes til å fremtvinge skanning av arkiver bare under behovsbetingede skanninger.
Graden av parallellitet for behovsbetingede skanninger
Angir graden av parallellitet for behovsbetingede skanninger. Dette tilsvarer antall tråder som brukes til å utføre skanningen og påvirker CPU-bruken, og varigheten av den behovsbetingede skanningen.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | maximumOnDemandScanThreads | maksimalt behovsbetingede skannetråder |
| Datatype | Heltall | Aktiver/deaktiver & heltall |
| Mulige verdier | 2 (standard). Tillatte verdier er heltall mellom 1 og 64. | Ikke konfigurert (standard aktiver/deaktiver standardinnstillinger til 2) Konfigurert (aktiver/deaktiver) og heltall mellom 1 og 64. |
Obs!
Tilgjengelig i Microsoft Defender for endepunktversjon 101.45.00 eller nyere.
Policy for utelukkelsesfletting
Angir flettepolicyen for utelatelser. Det kan være en kombinasjon av administratordefinerte og brukerdefinerte utelatelser (merge) eller bare administratordefinerte utelatelser (admin_only). Administratordefinerte (admin_only) er utelatelser som konfigureres av Defender for Endpoint-policyen. Denne innstillingen kan brukes til å begrense lokale brukere fra å definere sine egne utelatelser.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | exclusionsMergePolicy | Fletting av unntak |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier |
merge (standard)
|
Ikke konfigurert fletting (standard) admin_only |
Obs!
Tilgjengelig i Defender for endpoint-versjon 100.83.73 eller nyere.
Skann utelatelser
Enheter som er utelatt fra skanningen. Unntak kan angis med fullstendige baner, filtyper eller filnavn. (Unntak angis som en matrise med elementer, administrator kan angi så mange elementer som nødvendig, i hvilken som helst rekkefølge.)
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | Utelukkelser | Skann utelatelser |
| Datatype | Ordliste (nestet innstilling) | Liste over dynamiske egenskaper |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Type utelukkelse
Angir innholdstypen som er utelatt fra skanningen.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | $type | Type: |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier | excludedPath
|
Bane Filtype Prosessnavn |
Bane til utelatt innhold
Brukes til å utelate innhold fra skanningen etter fullstendig filbane.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | sti | Bane |
| Datatype | Streng | Streng |
| Mulige verdier | gyldige baner | gyldige baner |
| Kommentarer | Gjelder bare hvis $type er ekskludertPath | Åpnes i hurtigmeny for Redigeringsforekomst |
Banetype (fil/katalog)
Angir om baneegenskapen refererer til en fil eller katalog.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | isDirectory | Er katalog |
| Datatype | Boolsk | Rullegardinliste |
| Mulige verdier |
false (standard)
|
Aktivert Ufør |
| Kommentarer | Gjelder bare hvis $type er ekskludertPath | Åpnes i hurtigmeny for Redigeringsforekomst |
Filtype utelatt fra skanningen
Brukes til å utelate innhold fra skanningen etter filtype.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | forlengelse | Filtype |
| Datatype | Streng | Streng |
| Mulige verdier | gyldige filtyper | gyldige filtyper |
| Kommentarer | Gjelder bare hvis $type er utelattFileExtension | Åpnes i hurtigmeny for Konfigurer forekomst |
Prosessen er utelatt fra skanningen*
Angir en prosess der all filaktivitet utelates fra skanning. Prosessen kan angis enten med navnet (for eksempel cat) eller den fullstendige banen (for eksempel /bin/cat).
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | navn | Filnavn |
| Datatype | Streng | Streng |
| Mulige verdier | hvilken som helst streng | hvilken som helst streng |
| Kommentarer | Gjelder bare hvis $type er utelattFilnavn | Åpnes i hurtigmeny for Konfigurer forekomst |
Demper ikke Exec-monteringer
Angir virkemåten til RTP på monteringspunkt merket som noexec. Det finnes to verdier for innstilling:
- Opphev demping (
unmute): Standardverdien, alle monteringspunkter skannes som en del av RTP. - Dempet (
mute): Monteringspunkter merket som noexec skannes ikke som en del av RTP, disse monteringspunktene kan opprettes for:- Databasefiler på databaseservere for å beholde databasefiler.
- Filserveren kan beholde datafiler med noexec-alternativ.
- Sikkerhetskopiering kan beholde datafiler med noexec-alternativ.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | nonExecMountPolicy | ikke utfør demping av montering |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier |
unmute (standard)
|
Ikke konfigurert opphev demping (standard) stum |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.85.27 eller nyere.
Uovervåk filsystemer
Konfigurer filsystemer som skal uovervåkes/utelukkes fra sanntidsbeskyttelse (RTP). De konfigurerte filsystemene valideres mot Microsoft Defenders liste over tillatte filsystemer. Filsystemer kan bare overvåkes etter vellykket validering. Disse konfigurerte uovervåkede filsystemene skannes fortsatt av hurtigskanninger, fullstendige skanninger og egendefinerte skanninger i Microsoft Defender Antivirus.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | uovervåkedeFilesystems | Uovervåkede filsystemer |
| Datatype | Matrise med strenger | Dynamisk strengliste |
Obs!
Konfigurert filsystem blir bare uovervåket hvis det finnes i Microsofts liste over tillatte uovervåkede filsystemer.
NFS og Fuse er som standard uovervåket fra RTP-, Quick- og Full-skanninger. De kan imidlertid fortsatt skannes av en egendefinert skanning. Hvis du for eksempel vil fjerne NFS fra listen over uovervåkede filsystemer, oppdaterer du den administrerte konfigurasjonsfilen som vist nedenfor. Dette legger automatisk til NFS i listen over overvåkede filsystemer for RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Hvis du vil fjerne både NFS og Fuse fra uovervåket liste over filsystemer, gjør du følgende:
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Obs!
Her; s standardlisten over overvåkede filsystemer for RTP: btrfs, , ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, reiserfs, , tmpfs, , vfat. xfs
Hvis et overvåket filsystem må legges til i listen over uovervåkede filsystemer, må det evalueres og aktiveres av Microsoft via skykonfigurasjon. Etter hvilke kunder som kan oppdatere managed_mdatp.json til å uovervåke dette filsystemet.
Konfigurer funksjonen for hash-kode for fil
Aktiverer eller deaktiverer funksjonen for hash-kode for fil. Når denne funksjonen er aktivert, beregner Defender for Endpoint hash-koder for filer den skanner. Vær oppmerksom på at aktivering av denne funksjonen kan påvirke enhetsytelsen. Hvis du vil ha mer informasjon, kan du se: Opprette indikatorer for filer.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | enableFileHashComputation | Aktiver hash-kodebehandling for fil |
| Datatype | Boolsk | Rullegardinliste |
| Mulige verdier |
false (standard)
|
Ikke konfigurert Deaktivert (standard) Aktivert |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.85.27 eller nyere.
Tillatte trusler
Liste over trusler (identifisert med navnet) som ikke er blokkert av produktet, og som i stedet har tillatelse til å kjøre.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | allowedThreats | Tillatte trusler |
| Datatype | Matrise med strenger | Dynamisk strengliste |
Ikke tillatte trusselhandlinger
Begrenser handlingene som den lokale brukeren av en enhet kan utføre når trusler oppdages. Handlingene som er inkludert i denne listen, vises ikke i brukergrensesnittet.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | disallowedThreatActions | Ikke tillatte trusselhandlinger |
| Datatype | Matrise med strenger | Dynamisk strengliste |
| Mulige verdier |
allow (begrenser brukere fra å tillate trusler)
|
tillat (begrenser brukere fra å tillate trusler) gjenoppretting (begrenser brukere fra å gjenopprette trusler fra karantene) |
Obs!
Tilgjengelig i Defender for endpoint-versjon 100.83.73 eller nyere.
Innstillinger for trusseltype
ThreatTypeSettings-preferansen i antivirusmotoren brukes til å kontrollere hvordan visse trusseltyper håndteres av produktet.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | threatTypeSettings | Innstillinger for trusseltype |
| Datatype | Ordliste (nestet innstilling) | Liste over dynamiske egenskaper |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. | Se avsnittene nedenfor for en beskrivelse av de dynamiske egenskapene. |
Trusseltype
Type trussel som virkemåten er konfigurert for.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | nøkkel | Trusseltype |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier | potentially_unwanted_application
|
potentially_unwanted_application archive_bomb |
Handling som skal utføres
Handling som skal utføres når du kommer over en trussel av typen som er angitt i forrige del. Kan være:
- Overvåking: Enheten er ikke beskyttet mot denne typen trussel, men en oppføring om trusselen logges. (Standard)
- Blokk: Enheten er beskyttet mot denne typen trussel, og du blir varslet i sikkerhetskonsollen.
- Av: Enheten er ikke beskyttet mot denne typen trussel, og ingenting logges.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | verdi | Handling som skal utføres |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier |
audit (standard)
|
revisjon sperre av |
Policy for sammenslåing av trusseltypeinnstillinger
Angir flettepolicyen for innstillinger for trusseltype. Dette kan være en kombinasjon av administratordefinerte og brukerdefinerte innstillinger (merge) eller bare administratordefinerte innstillinger (admin_only). Administratordefinerte (admin_only) er innstillinger for trusseltype som konfigureres av Defender for endepunktpolicy. Denne innstillingen kan brukes til å begrense lokale brukere fra å definere sine egne innstillinger for ulike trusseltyper.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | threatTypeSettingsMergePolicy | Slå sammen innstillinger for trusseltype |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier | fletting (standard) admin_only |
Ikke konfigurert fletting (standard) admin_only |
Obs!
Tilgjengelig i Defender for endpoint-versjon 100.83.73 eller nyere.
Oppbevaring av antivirusskanningslogg (i dager)
Angi antall dager resultatene beholdes i skanneloggen på enheten. Gamle skanneresultater fjernes fra loggen. Gamle filer i karantene som også fjernes fra disken.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | scanResultsRetentionDays | Oppbevaring av skanneresultater |
| Datatype | Streng | Vekslebryter og heltall |
| Mulige verdier | 90 (standard). Tillatte verdier er fra 1 dag til 180 dager. | Ikke konfigurert (aktiver/deaktiver - 90-dagers standard) Konfigurert (aktiver/deaktiver) og tillatt verdi fra 1 til 180 dager. |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.04.76 eller nyere.
Maksimalt antall elementer i loggen for antivirusskanning
Angi maksimalt antall oppføringer som skal beholdes i skanneloggen. Oppføringer omfatter alle behovsbetingede skanninger utført tidligere og alle antivirusregistreringer.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | scanHistoryMaximumItems | Størrelse på skannelogg |
| Datatype | Streng | Aktiver/deaktiver heltall |
| Mulige verdier | 10000 (standard). Tillatte verdier er fra 5000 elementer til 15 000 elementer. | Ikke konfigurert (aktiver/deaktiver - 10000 standard) Konfigurert (aktiver/deaktiver) og tillatt verdi fra 5000 til 15 000 elementer. |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.04.76 eller nyere.
Avanserte skannealternativer
Følgende innstillinger kan konfigureres for å aktivere bestemte avanserte skannefunksjoner.
Obs!
Aktivering av disse funksjonene kan påvirke enhetsytelsen. Derfor anbefales det å beholde standardinnstillingene.
Konfigurer skanning av hendelser for filmodifiserende tillatelser
Når denne funksjonen er aktivert, skanner Defender for Endpoint filer når tillatelsene er endret for å angi utføringsbitene.
Obs!
Denne funksjonen gjelder bare når enableFilePermissionEvents funksjonen er aktivert. Hvis du vil ha mer informasjon, kan du se avsnittet Avanserte valgfrie funksjoner nedenfor for mer informasjon.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | scanFileModifyPermissions | Ikke tilgjengelig |
| Datatype | Boolsk | I/T |
| Mulige verdier | usann (standard) sann |
I/T |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.23062.0010 eller nyere.
Konfigurere skanning av eierskapshendelser for filmodifiserende
Når denne funksjonen er aktivert, skanner Defender for Endpoint filer som eierskapet er endret for.
Obs!
Denne funksjonen gjelder bare når enableFileOwnershipEvents funksjonen er aktivert. Hvis du vil ha mer informasjon, kan du se avsnittet Avanserte valgfrie funksjoner nedenfor for mer informasjon.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | scanFileModifyOwnership | Ikke tilgjengelig |
| Datatype | Boolsk | I/T |
| Mulige verdier | usann (standard) sann |
I/T |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.23062.0010 eller nyere.
Konfigurer skanning av rå sockethendelser
Når denne funksjonen er aktivert, skanner Defender for Endpoint nettverkskontakthendelser, for eksempel opprettelse av rå stikkontakter/pakkekontakter eller å angi socket-alternativet.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
Denne funksjonen gjelder bare når enableRawSocketEvent funksjonen er aktivert. Hvis du vil ha mer informasjon, kan du se avsnittet Avanserte valgfrie funksjoner nedenfor for mer informasjon.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | scanNetworkSocketEvent | Ikke tilgjengelig |
| Datatype | Boolsk | I/T |
| Mulige verdier | usann (standard) sann |
I/T |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.23062.0010 eller nyere.
Skyleverte beskyttelsesinnstillinger
CloudService-oppføringen i konfigurasjonsprofilen brukes til å konfigurere den skydrevne beskyttelsesfunksjonen for produktet.
Obs!
Skybasert beskyttelse gjelder for eventuelle innstillinger for håndhevelsesnivå (real_time, on_demand, passiv).
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | cloudService | Skyleverte beskyttelsesinnstillinger |
| Datatype | Ordliste (nestet innstilling) | Skjult inndeling |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. | Se avsnittene nedenfor for en beskrivelse av policyinnstillingene. |
Aktiver/deaktiver skybasert levert beskyttelse
Bestemmer om skybasert beskyttelse er aktivert på enheten eller ikke. Hvis du vil forbedre sikkerheten til tjenestene, anbefaler vi at du holder denne funksjonen aktivert.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | Aktivert | Aktiver skybasert levert beskyttelse |
| Datatype | Boolsk | Rullegardinliste |
| Mulige verdier |
true (standard)
|
Ikke konfigurert Ufør Aktivert (standard) |
Diagnosedatasamlingsnivå
Diagnosedata brukes til å holde Defender for endepunkt sikkert og oppdatert, oppdage, diagnostisere og løse problemer og også gjøre produktforbedringer. Denne innstillingen bestemmer diagnosenivået som sendes av produktet til Microsoft. Hvis du vil ha mer informasjon, kan du se Personvern for Microsoft Defender for endepunkt på Linux.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | diagnosticLevel | Nivå for innsamling av diagnosedata |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier | optional
|
Ikke konfigurert valgfritt (standard) påkrevd |
Konfigurer skyblokknivå
Denne innstillingen bestemmer hvor aggressiv Defender for Endpoint er når det gjelder blokkering og skanning av mistenkelige filer. Hvis denne innstillingen er aktivert, er Defender for Endpoint mer aggressiv når du identifiserer mistenkelige filer som skal blokkeres og skannes. Ellers er det mindre aggressivt og blokkerer og skanner derfor med mindre frekvens.
Det finnes fem verdier for å angi skyblokknivå:
- Normal (
normal): Standard blokkeringsnivå. - Moderat (
moderate): Leverer dom bare for oppdagelser med høy konfidens. - Høy (
high): Blokkerer ukjente filer aggressivt mens du optimaliserer for ytelse (større sjanse for å blokkere ikke-skadelige filer). - High Plus (
high_plus): Blokkerer ukjente filer aggressivt og bruker ekstra beskyttelsestiltak (kan påvirke klientens enhetsytelse). - Nulltoleranse (
zero_tolerance): Blokkerer alle ukjente programmer.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | cloudBlockLevel | Konfigurer skyblokknivå |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier |
normal (standard)
|
Ikke konfigurert Normal (standard) Moderat Høy High_Plus Zero_Tolerance |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.56.62 eller nyere.
Aktiver/deaktiver automatiske eksempelinnsendinger
Bestemmer om mistenkelige eksempler (som sannsynligvis inneholder trusler) sendes til Microsoft. Det finnes tre nivåer for å kontrollere innsending av eksempler:
- Ingen: ingen mistenkelige eksempler sendes til Microsoft.
- Trygt: Bare mistenkelige eksempler som ikke inneholder personlig identifiserbar informasjon (PII), sendes automatisk. Dette er standardverdien for denne innstillingen.
- Alle: alle mistenkelige eksempler sendes til Microsoft.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | automaticSampleSubmissionConsent | Aktiver automatiske eksempelinnsendinger |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier | none
|
Ikke konfigurert Ingen Sikker (standard) Alle |
Aktiver/deaktiver automatiske sikkerhetsopplysninger
Bestemmer om sikkerhetsanalyseoppdateringer installeres automatisk:
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | automaticDefinitionUpdateEnabled | Automatiske sikkerhetsanalyseoppdateringer |
| Datatype | Boolsk | Rullegardinliste |
| Mulige verdier |
true (standard)
|
Ikke konfigurert Ufør Aktivert (standard) |
Avanserte valgfrie funksjoner
Følgende innstillinger kan konfigureres for å aktivere bestemte avanserte funksjoner.
Obs!
Aktivering av disse funksjonene kan påvirke enhetsytelsen. Det anbefales å beholde standardinnstillingene.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | Funksjoner | Ikke tilgjengelig |
| Datatype | Ordliste (nestet innstilling) | I/T |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Modulinnlastingsfunksjon
Bestemmer om modulinnlastingshendelser (filåpningshendelser på delte biblioteker) overvåkes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | moduleLoad | Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier | deaktivert (standard) Aktivert |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.68.80 eller nyere. |
Tilleggssensorkonfigurasjoner
Følgende innstillinger kan brukes til å konfigurere visse avanserte tilleggssensorfunksjoner.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | supplementarySensorConfigurations | Ikke tilgjengelig |
| Datatype | Ordliste (nestet innstilling) | I/T |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Konfigurer overvåking av hendelser for filmodifiserende tillatelser
Bestemmer om hendelser for filmodifiserende tillatelser (chmod) overvåkes.
Obs!
Når denne funksjonen er aktivert, overvåker Defender for Endpoint endringer i utføringsbitene av filer, men skanner ikke disse hendelsene. Hvis du vil ha mer informasjon, kan du se avsnittet Avanserte skannefunksjoner for mer informasjon.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | enableFilePermissionEvents | Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier | deaktivert (standard) Aktivert |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.23062.0010 eller nyere. |
Konfigurer overvåking av eierskapshendelser for filmodifiserende
Bestemmer om eierskapshendelser (chown) overvåkes.
Obs!
Når denne funksjonen er aktivert, vil Defender for Endpoint overvåke endringer i eierskapet til filer, men ikke skanne disse hendelsene. Hvis du vil ha mer informasjon, kan du se avsnittet Avanserte skannefunksjoner for mer informasjon.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | enableFileOwnershipEvents | Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier | deaktivert (standard) Aktivert |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.23062.0010 eller nyere. |
Konfigurer overvåking av rå sockethendelser
Bestemmer om nettverkskontakthendelser som involverer oppretting av rå stikkontakter/pakkekontakter, eller om du angir socket-alternativet, overvåkes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert. Når denne funksjonen er aktivert, vil Defender for Endpoint overvåke disse nettverkskontakthendelsene, men ikke skanne disse hendelsene. Hvis du vil ha mer informasjon, kan du se delen Avanserte skannefunksjoner ovenfor for mer informasjon.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | enableRawSocketEvent | Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier | deaktivert (standard) Aktivert |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.23062.0010 eller nyere. |
Konfigurer overvåking av oppstartslasterhendelser
Bestemmer om oppstartslasterhendelser overvåkes og skannes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | enableBootLoaderCalls | Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier | deaktivert (standard) Aktivert |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.68.80 eller nyere. |
Konfigurer overvåking av sporingshendelser
Bestemmer om sporingshendelser overvåkes og skannes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | enableProcessCalls | Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier | deaktivert (standard) Aktivert |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.68.80 eller nyere. |
Konfigurer overvåking av pseudof-hendelser
Bestemmer om pseudof-hendelser overvåkes og skannes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | enablePseudofsCalls | Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier | deaktivert (standard) Aktivert |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.68.80 eller nyere. |
Konfigurer overvåking av modulinnlastingshendelser ved hjelp av eBPF
Bestemmer om modulinnlastingshendelser overvåkes ved hjelp av eBPF og skannes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | enableEbpfModuleLoadEvents | Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier | deaktivert (standard) Aktivert |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.68.80 eller nyere. |
Rapporter AV mistenkelige hendelser til EDR
Bestemmer om mistenkelige hendelser fra Antivirus rapporteres til EDR.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | sendLowfiEvents | Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier | deaktivert (standard) Aktivert |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.23062.0010 eller nyere. |
Konfigurasjoner for nettverksbeskyttelse
Følgende innstillinger kan brukes til å konfigurere avanserte inspeksjonsfunksjoner for nettverksbeskyttelse for å kontrollere hvilken trafikk som undersøkes av Nettverksbeskyttelse.
Obs!
For at disse skal være effektive, må nettverksbeskyttelse være slått på. Hvis du vil ha mer informasjon, kan du se Slå på nettverksbeskyttelse for Linux.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | networkProtection | Nettverksbeskyttelse |
| Datatype | Ordliste (nestet innstilling) | Skjult inndeling |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. | Se avsnittene nedenfor for en beskrivelse av policyinnstillingene. |
Håndhevelsesnivå
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | håndhevelsesnivå | Håndhevelsesnivå |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier |
disabled (standard)audit block |
Ikke konfigurert deaktivert (standard) revisjon sperre |
Konfigurer ICMP-inspeksjon
Bestemmer om ICMP-hendelser overvåkes og skannes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | disableIcmpInspection | Ikke tilgjengelig |
| Datatype | Boolsk | I/T |
| Mulige verdier |
true (standard)
|
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.23062.0010 eller nyere. |
Anbefalt konfigurasjonsprofil
For å komme i gang anbefaler vi følgende konfigurasjonsprofil for virksomheten å dra nytte av alle beskyttelsesfunksjoner som Defender for Endpoint tilbyr.
Følgende konfigurasjonsprofil:
- Aktiverer sanntidsbeskyttelse (RTP)
- Angir hvordan følgende trusseltyper håndteres:
- Potensielt uønskede programmer (PUA) blokkeres
- Arkivbomber (fil med høy komprimeringshastighet) overvåkes til produktloggene
- Aktiverer automatiske sikkerhetsanalyseoppdateringer
- Aktiverer skylevert beskyttelse
- Aktiverer automatisk innsending av eksempel på
safenivå
Eksempelprofil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Eksempel på fullstendig konfigurasjonsprofil
Følgende konfigurasjonsprofil inneholder oppføringer for alle innstillingene som er beskrevet i dette dokumentet, og kan brukes til mer avanserte scenarioer der du vil ha mer kontroll over produktet.
Obs!
Det er ikke mulig å kontrollere all Kommunikasjon med Microsoft Defender for endepunkt med bare en proxy-innstilling i denne JSON-en.
Fullstendig profil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Legge til kode eller gruppe-ID i konfigurasjonsprofilen
Når du kjører mdatp health kommandoen for første gang, vil verdien for koden og gruppe-ID-en være tom. Følg fremgangsmåten nedenfor for å legge til mdatp_managed.json merke- eller gruppe-ID i filen:
Åpne konfigurasjonsprofilen fra banen
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json.Gå ned til bunnen av filen, der
cloudServiceblokken er plassert.Legg til den nødvendige koden eller gruppe-ID-en som følgende eksempel på slutten av den avsluttende klammeparentesen
cloudServicefor .}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }
Obs!
Legg til kommaet etter den avsluttende klammeparentesen på slutten av cloudService blokken. Kontroller også at det er to avsluttende klammeparenteser etter at du har lagt til kode- eller gruppe-ID-blokk (se eksemplet ovenfor). For øyeblikket er GROUPdet eneste støttede nøkkelnavnet for koder .
Validering av konfigurasjonsprofil
Konfigurasjonsprofilen må være en gyldig JSON-formatert fil. Det finnes mange verktøy som kan brukes til å bekrefte dette. Hvis du for eksempel har python installert på enheten:
python -m json.tool mdatp_managed.json
Hvis JSON er riktig utformet, sender kommandoen ovenfor den tilbake til terminalen og returnerer en avslutningskode for 0. Ellers vises en feil som beskriver problemet, og kommandoen returnerer en avslutningskode for 1.
Kontrollerer at mdatp_managed.json-filen fungerer som forventet
Hvis du vil bekrefte at /etc/opt/microsoft/mdatp/managed/mdatp_managed.json fungerer som den skal, skal du se «[administrert]» ved siden av disse innstillingene:
cloud_enabledcloud_automatic_sample_submission_consentpassive_mode_enabledreal_time_protection_enabledautomatic_definition_update_enabled
Obs!
Det kreves ingen omstart av mdatp daemon for at endringer i de fleste konfigurasjoner skal tre i mdatp_managed.json kraft.
Unntak: Følgende konfigurasjoner krever en daemon-omstart for å tre i kraft:
cloud-diagnosticlog-rotation-parameters
Distribusjon av konfigurasjonsprofil
Når du har bygget konfigurasjonsprofilen for virksomheten, kan du distribuere den gjennom administrasjonsverktøyet som virksomheten bruker. Defender for Endpoint på Linux leser den administrerte konfigurasjonen /etc/opt/microsoft/mdatp/managed/mdatp_managed.json fra filen.
Tips
Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for