Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Konfigurere sikkerhetsinnstillingene
Microsoft Defender for endepunkt på Linux inkluderer antivirus, beskyttelse mot skadelig programvare, endepunktgjenkjenning og responsfunksjoner. Denne artikkelen oppsummerer viktige sikkerhetsinnstillinger for å konfigurere og inneholder koblinger til flere ressurser.
| Innstillinger | Beskrivelse |
|---|---|
| 1. Konfigurer statisk proxy-søk. | Konfigurering av en statisk proxy bidrar til å sikre at telemetri sendes inn og bidrar til å unngå tidsavbrudd i nettverket. Utfør denne oppgaven under og etter installasjonen av Defender for Endpoint. Se Konfigurer Microsoft Defender for endepunkt på Linux for statisk proxy-søk. |
| 2. Konfigurer antivirusskanningene. | Du kan planlegge automatiske antivirusskanninger ved hjelp av Anacron eller Crontab. Se følgende artikler: - Bruke Anacron til å planlegge en antivirusskanning i Microsoft Defender for endepunkt på Linux - Bruke Crontab til å planlegge en antivirusskanning i Microsoft Defender for endepunkt på Linux |
| 3. Konfigurer sikkerhetsinnstillingene og policyene. | Du kan bruke Microsoft Defender-portalen (Defender for Behandling av sikkerhetsinnstillinger for endepunkt) eller en konfigurasjonsprofil (.jsonfil) til å konfigurere Defender for Endpoint på Linux. Hvis du foretrekker det, kan du også bruke kommandolinjen til å konfigurere bestemte innstillinger. Se følgende artikler: - Behandling av sikkerhetsinnstillinger for Defender for endepunkt - Konfigurasjonsprofil - Kommandolinje |
| 4. Konfigurere og validere utelatelser (etter behov) | Du kan utelate bestemte filer, mapper, prosesser og prosessåpningsfiler fra Defender for Endpoint på Linux. Globale utelatelser gjelder for sanntidsbeskyttelse (RTP), overvåking av virkemåte (BM) og gjenkjenning og respons for endepunkt (EDR), og dermed stopper alle tilknyttede antivirusgjenkjenninger, EDR-varsler og synlighet for det ekskluderte elementet. Se Konfigurere og validere utelatelser for Microsoft Defender for endepunkt på Linux. |
| 5. Konfigurer den eBPF-baserte sensoren. | Det utvidede Berkeley-pakkefilteret (eBPF) for Microsoft Defender for endepunkt på Linux aktiveres automatisk for alle kunder som standard for agentversjoner og nyere versjoner101.23082.0006. Det gir supplerende hendelsesdata for Linux operativsystemer og bidrar til å redusere muligheten for konflikter mellom programmer. Se Bruke eBPF-basert sensor for Microsoft Defender for endepunkt på Linux. |
| 6. Konfigurer oppdatering av frakoblet sikkerhetsintelligens (etter behov) | Med frakoblet sikkerhetsintelligensoppdatering kan du konfigurere sikkerhetsanalyseoppdateringer for Linux-servere som har begrenset eller ingen eksponering for Internett. Du kan konfigurere en lokal vertsserver (speilserver) som kan koble til Microsoft-skyen for å laste ned signaturene. Andre Linux-endepunkter kan hente oppdateringene fra speilserveren med et forhåndsdefinert intervall. Se Konfigurere oppdatering av frakoblet sikkerhetsintelligens for Microsoft Defender for endepunkt på Linux. |
| 7. Distribuer oppdateringer. | Microsoft publiserer jevnlig programvareoppdateringer for å forbedre ytelsen, sikkerheten og levere nye funksjoner. Se Distribuer oppdateringer for Microsoft Defender for endepunkt på Linux. |
| 8. Konfigurere nettverksbeskyttelse (forhåndsversjon) | Nettverksbeskyttelse hindrer ansatte i å bruke et program til å få tilgang til farlige domener som kan være vert for phishingsvindel, utnyttelser og annet skadelig innhold på Internett. Se Nettverksbeskyttelse for Linux. |
Viktig
Hvis du vil kjøre flere sikkerhetsløsninger side ved side, kan du se Vurderinger for ytelse, konfigurasjon og støtte.
Du har kanskje allerede konfigurert gjensidige sikkerhetsutelukker for enheter som er pålastet til Microsoft Defender for endepunkt. Hvis du fortsatt trenger å angi gjensidige utelatelser for å unngå konflikter, kan du se Legge til Microsoft Defender for endepunkt i utelatelseslisten for den eksisterende løsningen.
Alternativer for konfigurering av sikkerhetsinnstillinger
Hvis du vil konfigurere sikkerhetsinnstillingene i Defender for Endpoint på Linux, har du to hovedalternativer:
- Bruk Microsoft Defender-portalen (Defender for behandling av sikkerhetsinnstillinger for endepunkt), eller
- Bruke en konfigurasjonsprofil
Hvis du foretrekker å bruke kommandolinjen, kan du bruke den til å konfigurere bestemte innstillinger, samle inn diagnostikk, kjøre skanninger og mer. Se Linux-ressurser: Konfigurere ved hjelp av kommandolinjen.
Behandling av sikkerhetsinnstillinger for Defender for endepunkt
Du kan konfigurere Defender for Endpoint på Linux i Microsoft Defender portal (https://security.microsoft.com) gjennom funksjonalitet kjent som Defender for Endpoint Security Settings Management. Hvis du vil ha mer informasjon, inkludert hvordan du oppretter, redigerer og bekrefter sikkerhetspolicyer, kan du se Bruke Microsoft Defender for endepunkt Administrasjon av sikkerhetsinnstillinger til å administrere Microsoft Defender Antivirus.
Konfigurasjonsprofil
Du kan konfigurere innstillinger i Defender for Endpoint på Linux gjennom en konfigurasjonsprofil som bruker en .json fil. Når du har konfigurert profilen, kan du distribuere den ved hjelp av det administreringsverktøyet du ønsker. Innstillinger som administreres av virksomheten, har forrang over de som er angitt lokalt på enheten. Brukere i virksomheten kan med andre ord ikke endre preferanser som er angitt gjennom denne konfigurasjonsprofilen. Hvis utelatelser ble lagt til via den administrerte konfigurasjonsprofilen, kan de bare fjernes via den administrerte konfigurasjonsprofilen. Kommandolinjen fungerer for utelatelser som ble lagt til lokalt.
Denne artikkelen beskriver strukturen i denne profilen (inkludert en anbefalt profil som du kan bruke til å komme i gang) og instruksjoner om hvordan du distribuerer profilen.
Struktur for konfigurasjonsprofil
Konfigurasjonsprofilen er en .json fil som består av oppføringer som identifiseres av en nøkkel (som angir navnet på innstillingen), etterfulgt av en verdi, som avhenger av hva preferansen foretrekker. Verdier kan være enkle, for eksempel en numerisk verdi eller kompleks, for eksempel en nestet liste over innstillinger.
Vanligvis bruker du et konfigurasjonsbehandlingsverktøy til å sende en fil med navnet mdatp_managed.json på plasseringen /etc/opt/microsoft/mdatp/managed/.
Det øverste nivået i konfigurasjonsprofilen inkluderer produktomfattende innstillinger og oppføringer for underområder av produktet, som forklares mer detaljert i de neste delene.
Anbefalt konfigurasjonsprofil
Denne delen inneholder to eksempler på konfigurasjonsprofil:
- Eksempelprofil som hjelper deg med å komme i gang med anbefalte innstillinger.
- Eksempel på full konfigurasjonsprofil for organisasjoner som ønsker mer detaljert kontroll over sikkerhetsinnstillingene.
For å komme i gang anbefaler vi at du bruker den første eksempelprofilen for organisasjonen. Hvis du vil ha mer detaljert kontroll, kan du bruke det fullstendige profileksemplet for konfigurasjon i stedet.
Eksempelprofil
Det hjelper deg med å dra nytte av viktige beskyttelsesfunksjoner som Defender for Endpoint på Linux tilbyr. Følgende konfigurasjonsprofil:
- Aktiverer sanntidsbeskyttelse (RTP)
- Angir hvordan følgende trusseltyper håndteres:
- Potensielt uønskede programmer (PUA) blokkeres
- Arkiv bomber (fil med høy komprimeringshastighet) overvåkes til produktloggene
- Aktiverer automatiske sikkerhetsanalyseoppdateringer
- Aktiverer skylevert beskyttelse
- Aktiverer automatisk innsending av eksempel på
safenivå
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Eksempel på fullstendig konfigurasjonsprofil
Følgende konfigurasjonsprofil inneholder oppføringer for alle innstillingene som er beskrevet i dette dokumentet, og kan brukes til mer avanserte scenarioer der du vil ha mer kontroll over produktet.
{
"antivirusEngine":{
"enforcementLevel":"passive",
"behaviorMonitoring": "disabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"enableFileHashComputation": false,
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
],
"scanFileModifyPermissions":false,
"scanFileModifyOwnership":false,
"scanNetworkSocketEvent":false,
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
"offlineDefinitionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate":"disabled"
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
"definitionUpdatesInterval":28800
},
"features":{
"moduleLoad":"disabled",
"supplementarySensorConfigurations":{
"enableFilePermissionEvents":"disabled",
"enableFileOwnershipEvents":"disabled",
"enableRawSocketEvent":"disabled",
"enableBootLoaderCalls":"disabled",
"enableProcessCalls":"disabled",
"enablePseudofsCalls":"diabled",
"enableEbpfModuleLoadEvents":"disabled",
"sendLowfiEvents":"disabled"
},
"ebpfSupplementaryEventProvider":"enabled",
"offlineDefinitionUpdateVerifySig": "disabled"
},
"networkProtection":{
"enforcementLevel":"disabled",
"disableIcmpInspection":true
},
"edr":{
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Innstillinger for antivirus, beskyttelse mot skadelig programvare og EDR i Defender for Endpoint på Linux
Enten du bruker en konfigurasjonsprofil (.json fil) eller Microsoft Defender-portalen (Security Settings Management), kan du konfigurere innstillingene for antivirus, beskyttelse mot skadelig programvare og EDR i Defender for Endpoint på Linux. Avsnittene nedenfor beskriver hvor og hvordan du konfigurerer innstillingene.
Innstillinger for antivirusmotor
Antivirusengine-delen av konfigurasjonsprofilen brukes til å administrere innstillingene for antiviruskomponenten for produktet.
| Beskrivelse | JSON-verdi | Defender-portalverdi |
|---|---|---|
| Nøkkel | antivirusEngine |
Antivirusmotor |
| Datatype | Ordliste (nestet innstilling) | Skjult inndeling |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. | Se avsnittene nedenfor for en beskrivelse av policyegenskapene. |
Håndhevelsesnivå for Microsoft Defender Antivirus
Angir håndhevelsesinnstillingen for antivirusmotoren. Det finnes tre verdier for å angi håndhevelsesnivå:
Sanntid (
real_time): Sanntidsbeskyttelse (skanne filer etter hvert som de endres) er aktivert.Behovsbetingede (
on_demand): Filer skannes bare ved behov. I dette:- Sanntidsbeskyttelse er deaktivert.
- Definisjonsoppdateringer skjer bare når en skanning starter, selv om
automaticDefinitionUpdateEnabledden er satt tiltruei behovsbetinget modus.
Passiv (
passive): Kjører antivirusmotoren i passiv modus. I dette tilfellet gjelder alle følgende:- Sanntidsbeskyttelse er deaktivert: Trusler utbedres ikke av Microsoft Defender Antivirus.
- Skanning ved behov er aktivert: Bruk likevel skannefunksjonene på endepunktet.
- Automatisk utbedring av trusler er deaktivert: Ingen filer flyttes, og sikkerhetsadministratoren forventes å utføre nødvendige tiltak.
- Sikkerhetsanalyseoppdateringer er aktivert: Varsler er tilgjengelige i sikkerhetsadministratorens leier.
- Definisjonsoppdateringer skjer bare når en skanning starter, selv om
automaticDefinitionUpdateEnabledden er satt tiltruepassiv modus.
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.10.72 eller nyere. Standard er endret fra real_time til passive i Defender for Endpoint-versjon 101.23062.0001 eller nyere.
Det anbefales også å bruke planlagte skanninger etter behov.
Aktiver eller deaktiver overvåking av virkemåte (hvis RTP er aktivert)
Viktig
Denne funksjonen fungerer bare når håndhevelsesnivået er satt til real-time.
Bestemmer om virkemåteovervåking og blokkeringsfunksjonalitet er aktivert på enheten eller ikke.
| Beskrivelse | JSON-verdi | Defender-portalverdi |
|---|---|---|
| Nøkkel | behaviorMonitoring | Aktiver overvåking av virkemåte |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier |
disabled (standard)enabled |
Ikke konfigurert Deaktivert (standard) Aktivert |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.45.00 eller nyere.
Kjør en skanning etter at definisjoner er oppdatert
Viktig
Denne funksjonen fungerer bare når håndhevelsesnivået er satt til real-time.
Angir om du vil starte en prosessskanning etter at nye sikkerhetsanalyseoppdateringer er lastet ned på enheten. Aktivering av denne innstillingen utløser en antivirusskanning på prosessene som kjører på enheten.
| Beskrivelse | JSON-verdi | Defender-portalverdi |
|---|---|---|
| Nøkkel | scanAfterDefinitionUpdate |
Aktiver skanning etter definisjonsoppdatering |
| Datatype | Boolsk | Rullegardinliste |
| Mulige verdier |
true (standard)false |
Not configuredDisabledEnabled (Standard) |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.45.00 eller nyere.
Skanne arkiver (bare på forespørsel antivirusskanninger)
Angir om du vil skanne arkiver under behovsbetingede antivirusskanninger.
| Beskrivelse | JSON-verdi | Defender-portalverdi |
|---|---|---|
| Nøkkel | scanArchives |
Aktiver skanning av arkiver |
| Datatype | Boolsk | Rullegardinliste |
| Mulige verdier |
true (standard)false |
Ikke konfigurert Ufør Aktivert (standard) |
Obs!
Tilgjengelig i Microsoft Defender for endepunkt versjon 101.45.00 eller nyere.
Arkiv blir aldri skannet under sanntidsbeskyttelse. Når filene i et arkiv pakkes ut, skannes de. Alternativet scanArchives kan brukes til å fremtvinge skanning av arkiver bare under behovsbetingede skanninger.
Graden av parallellitet for behovsbetingede skanninger
Angir graden av parallellitet for behovsbetingede skanninger. Dette tilsvarer antall tråder som brukes til å utføre skanningen og påvirker CPU-bruken, og varigheten av den behovsbetingede skanningen.
| Beskrivelse | JSON-verdi | Defender-portalverdi |
|---|---|---|
| Nøkkel | maximumOnDemandScanThreads |
maksimalt behovsbetingede skannetråder |
| Datatype | Heltall | Aktiver/deaktiver & heltall |
| Mulige verdier |
2 (standard). Tillatte verdier er heltall mellom 1 og 64. |
Not Configured (Standard aktiver/deaktiver standardinnstillinger til 2)Configured (aktiver/deaktiver) og heltall mellom 1 og 64. |
Obs!
Tilgjengelig i Microsoft Defender for endepunkt versjon 101.45.00 eller nyere.
Policy for utelukkelsesfletting
Angir flettepolicyen for utelatelser. Det kan være en kombinasjon av administratordefinerte og brukerdefinerte utelatelser (merge) eller bare administratordefinerte utelatelser (admin_only). Administratordefinerte (admin_only) er utelatelser som konfigureres av Defender for Endpoint-policyen. Denne innstillingen kan brukes til å begrense lokale brukere fra å definere sine egne utelatelser.
Siden den er under antivirusteknikk, gjelder denne policyen bare for epp utelatelser, med mindre mergePolicy exclusionSettings er konfigurert som (admin_only).
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | exclusionsMergePolicy |
Fletting av unntak |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier |
merge (standard)admin_only |
Not configuredmerge (Standard)admin_only |
Obs!
Tilgjengelig i Defender for endpoint-versjon 100.83.73 eller nyere.
Vi anbefaler at du konfigurerer utelatelser og flettepolicyen under exclusionSettings, som gjør det mulig å konfigurere utelukkelse av både epp og global omfang med én enkelt mergePolicy.
Skann utelatelser
Enheter som er utelatt fra skanningen. Unntak kan angis med fullstendige baner, filtyper eller filnavn. (Unntak angis som en matrise med elementer, administrator kan angi så mange elementer som nødvendig, i hvilken som helst rekkefølge.)
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | exclusions |
Skann utelatelser |
| Datatype | Ordliste (nestet innstilling) | Liste over dynamiske egenskaper |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Type utelukkelse
Angir innholdstypen som er utelatt fra skanningen.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | $type |
Type: |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier | excludedPath excludedFileExtension excludedFileName |
Bane Filtype Prosessnavn |
Bane til utelatt innhold
Brukes til å utelate innhold fra skanningen etter fullstendig filbane.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | sti | Bane |
| Datatype | Streng | Streng |
| Mulige verdier | gyldige baner | gyldige baner |
| Kommentarer | Gjelder bare hvis $typeexcludedPath |
Åpnes i hurtigmeny for Redigeringsforekomst |
Banetype (fil/katalog)
Angir om baneegenskapen refererer til en fil eller katalog.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | isDirectory |
Er katalog |
| Datatype | Boolsk | Rullegardinliste |
| Mulige verdier |
false (standard)true |
EnabledDisabled |
| Kommentarer | Gjelder bare hvis $type er ekskludertPath | Åpnes i hurtigmeny for Redigeringsforekomst |
Filtype utelatt fra skanningen
Brukes til å utelate innhold fra skanningen etter filtype.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | forlengelse | Filtype |
| Datatype | Streng | Streng |
| Mulige verdier | gyldige filtyper | gyldige filtyper |
| Kommentarer | Gjelder bare hvis $type er utelattFileExtension | Åpnes i hurtigmeny for Konfigurer forekomst |
Prosessen er utelatt fra skanningen
Angir en prosess der all filaktivitet utelates fra skanning. Prosessen kan angis enten med navnet (for eksempel cat) eller den fullstendige banen (for eksempel /bin/cat).
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | navn | Filnavn |
| Datatype | Streng | Streng |
| Mulige verdier | hvilken som helst streng | hvilken som helst streng |
| Kommentarer | Gjelder bare hvis $type er utelattFilnavn | Åpnes i hurtigmeny for Konfigurer forekomst |
Demping av ikke-xec-monteringer
Angir virkemåten til RTP på monteringspunkt merket som noexec. Det finnes to verdier for innstilling:
- Opphev demping (
unmute): Standardverdien, alle monteringspunkter skannes som en del av RTP. - Dempet (
mute): Monteringspunkter merket somnoexecikke skannes som en del av RTP, kan du opprette disse monteringspunktene for:- Databasefiler på databaseservere for å beholde databasefiler.
- Filserveren kan holde datafiler montert med
noexecalternativ. - Sikkerhetskopiering kan holde datafiler montert med
noexecalternativ.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | nonExecMountPolicy |
non execute mount mute |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier |
unmute (standard)mute |
Not configured unmute (Standard)mute |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.85.27 eller nyere.
Uovervåk filsystemer
Konfigurer filsystemer som skal uovervåkes/utelukkes fra sanntidsbeskyttelse (RTP). De konfigurerte filsystemene valideres mot Microsoft Defender liste over tillatte filsystemer. Filsystemer kan bare overvåkes etter vellykket validering. Disse konfigurerte uovervåkede filsystemene skannes fortsatt av hurtigskanninger, fullstendige og egendefinerte skanninger i Microsoft Defender Antivirus.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | unmonitoredFilesystems |
Uovervåkede filsystemer |
| Datatype | Matrise med strenger | Dynamisk strengliste |
Obs!
Konfigurert filsystem er bare uovervåket hvis det finnes i Microsofts liste over tillatte uovervåkede filsystemer.
Som standard cifser , fuse, nfsog nfs4smb uovervåket fra RTP-, Hurtig- og Fullstendige skanninger. De kan imidlertid fortsatt skannes av en egendefinert skanning. Hvis du for eksempel vil fjerne nfs og nfs4 fra listen over uovervåkede filsystemer, oppdaterer du den administrerte konfigurasjonsfilen som vist nedenfor. Dette legges nfs/nfs4 til i listen over overvåkede filsystemer for RTP.
For øyeblikket overvåkes nfs4, cifs og smb filsystemene er i forhåndsvisningsmodus for RTP-modus.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["cifs","fuse","smb"]
}
}
Hvis du vil fjerne alle oppføringer fra uovervåket liste over filsystemer, bruker du følgende kodesnutt:
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Obs!
Her er standardlisten over overvåkede filsystemer for RTP: btrfs, , ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, , reiserfs, tmpfs, , vfatog xfs.
Hvis et overvåket filsystem må legges til i listen over uovervåkede filsystemer, må det evalueres og aktiveres av Microsoft via skykonfigurasjon. Etter hvilke kunder som kan oppdatere managed_mdatp.json til å uovervåke dette filsystemet.
Konfigurer funksjonen for hash-kode for fil
Aktiverer eller deaktiverer funksjonen for hash-kode for fil. Når denne funksjonen er aktivert, beregner Defender for Endpoint hash-koder for filer den skanner. Aktivering av denne funksjonen kan påvirke enhetsytelsen. Hvis du vil ha mer informasjon, kan du se: Opprette indikatorer for filer.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | enableFileHashComputation |
Aktiver hash-kodebehandling for fil |
| Datatype | Boolsk | Rullegardinliste |
| Mulige verdier |
false (standard)true |
Not configuredDisabled (standard)Enabled |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.85.27 eller nyere.
Tillatte trusler
Liste over trusler (identifisert med navnet) som ikke er blokkert av produktet, og som i stedet har tillatelse til å kjøre.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | allowedThreats |
Tillatte trusler |
| Datatype | Matrise med strenger | Dynamisk strengliste |
Ikke tillatte trusselhandlinger
Begrenser handlingene som den lokale brukeren av en enhet kan utføre når trusler oppdages. Handlingene som er inkludert i denne listen, vises ikke i brukergrensesnittet.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | disallowedThreatActions |
Ikke tillatte trusselhandlinger |
| Datatype | Matrise med strenger | Dynamisk strengliste |
| Mulige verdier |
allow (begrenser brukere fra å tillate trusler)restore (begrenser brukere fra å gjenopprette trusler fra karantene) |
allow (begrenser brukere fra å tillate trusler)restore (begrenser brukere fra å gjenopprette trusler fra karantene) |
Obs!
Tilgjengelig i Defender for endpoint-versjon 100.83.73 eller nyere.
Innstillinger for trusseltype
ThreatTypeSettings-preferansen i antivirusmotoren brukes til å kontrollere hvordan visse trusseltyper håndteres av produktet.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | threatTypeSettings |
Innstillinger for trusseltype |
| Datatype | Ordliste (nestet innstilling) | Liste over dynamiske egenskaper |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. | Se avsnittene nedenfor for en beskrivelse av de dynamiske egenskapene. |
Trusseltype
Type trussel som virkemåten er konfigurert for.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | nøkkel | Trusseltype |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier | potentially_unwanted_application archive_bomb |
potentially_unwanted_application archive_bomb |
Handling som skal utføres
Handling som skal utføres når du kommer over en trussel av typen som er angitt i forrige del. Kan være:
- Overvåking: Enheten er ikke beskyttet mot denne typen trussel, men en oppføring om trusselen logges. (Standard)
- Blokk: Enheten er beskyttet mot denne typen trussel, og du blir varslet i Microsoft Defender-portalen.
- Av: Enheten er ikke beskyttet mot denne typen trussel, og ingenting logges.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | verdi | Handling som skal utføres |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier |
audit (standard)block off |
audit block av |
Policy for sammenslåing av trusseltypeinnstillinger
Angir flettepolicyen for innstillinger for trusseltype. Dette kan være en kombinasjon av administratordefinerte og brukerdefinerte innstillinger (merge) eller bare administratordefinerte innstillinger (admin_only). Administratordefinerte (admin_only) er innstillinger for trusseltype som konfigureres av Defender for endepunktpolicy. Denne innstillingen kan brukes til å begrense lokale brukere fra å definere sine egne innstillinger for ulike trusseltyper.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | threatTypeSettingsMergePolicy |
Slå sammen innstillinger for trusseltype |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier |
merge (standard)admin_only |
Not configuredmerge (Standard)admin_only |
Obs!
Tilgjengelig i Defender for endpoint-versjon 100.83.73 eller nyere.
Oppbevaring av antivirusskanningslogg (i dager)
Angi antall dager resultatene beholdes i skanneloggen på enheten. Gamle skanneresultater fjernes fra loggen. Gamle filer i karantene som også fjernes fra disken.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | scanResultsRetentionDays |
Oppbevaring av skanneresultater |
| Datatype | Streng | Vekslebryter og heltall |
| Mulige verdier |
90 (standard). Tillatte verdier er fra 1 dag til 180 dager. |
Not configured (aktiver/deaktiver - 90-dagers standard)Configured (aktiver/deaktiver) og tillatt verdi fra 1 til 180 dager. |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.04.76 eller nyere.
Maksimalt antall elementer i loggen for antivirusskanning
Angi maksimalt antall oppføringer som skal beholdes i skanneloggen. Oppføringer omfatter alle behovsbetingede skanninger utført tidligere og alle antivirusregistreringer.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | scanHistoryMaximumItems |
Størrelse på skannelogg |
| Datatype | Streng | Aktiver/deaktiver heltall |
| Mulige verdier |
10000 (standard). Tillatte verdier er fra 5000 elementer til 15000 elementer. |
Ikke konfigurert (aktiver/deaktiver - 10000 standard)Configured (slå på) og tillatt verdi fra 5000 til 15 000 elementer. |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.04.76 eller nyere.
Innstillinger for utelukkelsesinnstilling
Obs!
Globale utelatelser er tilgjengelige i Defender for endepunkt som begynner med versjon 101.24092.0001 eller høyere.
Delen exclusionSettings av konfigurasjonsprofilen brukes til å konfigurere ulike unntak for Microsoft Defender for endepunkt for Linux.
| Beskrivelse | JSON-verdi |
|---|---|
| Nøkkel | exclusionSettings |
| Datatype | Ordliste (nestet innstilling) |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Obs!
Allerede konfigurerte antivirusutelukker under (antivirusEngine) i administrert JSON fortsetter å fungere som uten innvirkning. Alle nye utelatelser , inkludert antivirusutelukkelser, kan legges til under denne nye inndelingen (exclusionSettings). Denne inndelingen er utenfor (antivirusEngine)-merket som sin dedikerte utelukkende for å konfigurere alle typer utelatelser som kommer i fremtiden. Du kan også fortsette å bruke (antivirusEngine) til å konfigurere antivirusutelukkelser.
Flettepolicy
Angir flettepolicyen for utelatelser. Den angir om det kan være en kombinasjon av administratordefinerte og brukerdefinerte utelatelser (merge) eller bare administratordefinerte utelatelser (admin_only). Denne innstillingen kan brukes til å begrense lokale brukere fra å definere sine egne utelatelser. Den gjelder for utelukkelser av alle omfang.
| Beskrivelse | JSON-verdi |
|---|---|
| Nøkkel | mergePolicy |
| Datatype | Streng |
| Mulige verdier |
merge (standard)admin_only |
| Kommentarer | Tilgjengelig i Defender for endepunktversjon september 2023 eller nyere. |
Utelatelser
Enheter som må utelates, kan angis av fullstendige baner, filtyper eller filnavn. Hver utelatelsesenhet, dvs. hele banen, filtypen eller filnavnet, har et valgfritt omfang som kan angis. Hvis det ikke er angitt, er standardverdien for omfanget i denne delen global. (Unntak angis som en matrise med elementer, administrator kan angi så mange elementer som nødvendig, i hvilken som helst rekkefølge.)
| Beskrivelse | JSON-verdi |
|---|---|
| Nøkkel | exclusions |
| Datatype | Ordliste (nestet innstilling) |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Type utelukkelse
Angir innholdstypen som er utelatt fra skanningen.
| Beskrivelse | JSON-verdi |
|---|---|
| Nøkkel | $type |
| Datatype | Streng |
| Mulige verdier | excludedPathexcludedFileExtension excludedFileName |
Omfang for utelukkelse (valgfritt)
Angir settet med utelatelsesomfang for innhold som utelates. Omfang som støttes for øyeblikket, er epp og global.
Hvis ingenting er angitt for en utelatelse under exclusionSettings i administrert konfigurasjon, anses det global som omfang.
Obs!
Tidligere konfigurerte antivirusutelukker under (antivirusEngine) i administrert JSON fortsetter å fungere, og omfanget vurderes (epp) siden de ble lagt til som antivirusutelukkelser.
| Beskrivelse | JSON-verdi |
|---|---|
| Nøkkel | Omfang |
| Datatype | Sett med strenger |
| Mulige verdier | epp global |
Obs!
Tidligere brukte utelatelser ved hjelp av (mdatp_managed.json) eller av CLI vil forbli upåvirket. Omfanget for disse utelukkelsene er (epp) siden de ble lagt til under (antivirusEngine).
Bane til utelatt innhold
Brukes til å utelate innhold fra skanningen etter fullstendig filbane.
| Beskrivelse | JSON-verdi |
|---|---|
| Nøkkel | sti |
| Datatype | Streng |
| Mulige verdier | gyldige baner |
| Kommentarer | Gjelder bare hvis $type er ekskludertPath. Jokertegn støttes ikke hvis utelukkelsen har global verdi som omfang. |
Banetype (fil/katalog)
Angir om baneegenskapen refererer til en fil eller katalog.
Obs!
Filbanen må allerede finnes hvis du legger til filutelukkelse med globalt omfang.
| Beskrivelse | JSON-verdi |
|---|---|
| Nøkkel | isDirectory |
| Datatype | Boolsk |
| Mulige verdier |
false (standard)true |
| Kommentarer | Gjelder bare hvis $type er ekskludertPath. Jokertegn støttes ikke hvis utelukkelsen har global verdi som omfang. |
Filtype utelatt fra skanningen
Brukes til å utelate innhold fra skanningen etter filtype.
| Beskrivelse | JSON-verdi |
|---|---|
| Nøkkel | forlengelse |
| Datatype | Streng |
| Mulige verdier | gyldige filtyper |
| Kommentarer | Gjelder bare hvis $type er utelattFileExtension. Støttes ikke hvis utelukkelsen har global verdi som omfang. |
Prosessen er utelatt fra skanningen
Angir en prosess der all filaktivitet utelates fra skanning. Prosessen kan angis enten med navnet (for eksempel cat) eller den fullstendige banen (for eksempel /bin/cat).
| Beskrivelse | JSON-verdi |
|---|---|
| Nøkkel | navn |
| Datatype | Streng |
| Mulige verdier | hvilken som helst streng |
| Kommentarer | Gjelder bare hvis $type er utelattFilnavn. Jokertegn og prosessnavn støttes ikke hvis utelukkelsen er global som et omfang, må angi fullstendig bane. |
Avanserte skannealternativer
Følgende innstillinger kan konfigureres for å aktivere bestemte avanserte skannefunksjoner.
Viktig
Aktivering av disse funksjonene kan påvirke enhetsytelsen. Derfor anbefales det å beholde standardinnstillingene med mindre annet anbefales av Microsoft Kundestøtte.
Konfigurer skanning av hendelser for filmodifiserende tillatelser
Når denne funksjonen er aktivert, skanner Defender for Endpoint filer når tillatelsene er endret for å angi de utførte bitene.
Obs!
Denne funksjonen gjelder bare når enableFilePermissionEvents funksjonen er aktivert. Hvis du vil ha mer informasjon, kan du se avsnittet Avanserte valgfrie funksjoner nedenfor for mer informasjon.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | scanFileModifyPermissions |
Ikke tilgjengelig |
| Datatype | Boolsk | I/T |
| Mulige verdier |
false (standard)true |
I/T |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.23062.0010 eller nyere.
Konfigurere skanning av eierskapshendelser for filmodifiserende
Når denne funksjonen er aktivert, skanner Defender for Endpoint filer som eierskapet er endret for.
Obs!
Denne funksjonen gjelder bare når enableFileOwnershipEvents funksjonen er aktivert. Hvis du vil ha mer informasjon, kan du se avsnittet Avanserte valgfrie funksjoner nedenfor for mer informasjon.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | scanFileModifyOwnership |
Ikke tilgjengelig |
| Datatype | Boolsk | I/T |
| Mulige verdier |
false (standard)true |
I/T |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.23062.0010 eller nyere.
Konfigurer skanning av rå sockethendelser
Når denne funksjonen er aktivert, skanner Defender for Endpoint nettverkskontakthendelser, for eksempel oppretting av rå stikkontakter/pakkekontakter eller å angi socket-alternativet.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
Denne funksjonen gjelder bare når enableRawSocketEvent funksjonen er aktivert. Hvis du vil ha mer informasjon, kan du se avsnittet Avanserte valgfrie funksjoner nedenfor for mer informasjon.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | scanNetworkSocketEvent |
Ikke tilgjengelig |
| Datatype | Boolsk | I/T |
| Mulige verdier |
false (standard)true |
I/T |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.23062.0010 eller nyere.
Skyleverte beskyttelsesinnstillinger
CloudService-oppføringen i konfigurasjonsprofilen brukes til å konfigurere den skydrevne beskyttelsesfunksjonen for produktet.
Obs!
Skybasert beskyttelse gjelder for alle innstillinger for håndhevelsesnivå (sanntid, on_demand, passiv).
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | cloudService |
Skyleverte beskyttelsesinnstillinger |
| Datatype | Ordliste (nestet innstilling) | Skjult inndeling |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. | Se avsnittene nedenfor for en beskrivelse av policyinnstillingene. |
Aktiver eller deaktiver skybasert levert beskyttelse
Bestemmer om skybasert beskyttelse er aktivert på enheten eller ikke. Hvis du vil forbedre sikkerheten til tjenestene, anbefaler vi at du holder denne funksjonen aktivert.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | enabled |
Aktiver skybasert levert beskyttelse |
| Datatype | Boolsk | Rullegardinliste |
| Mulige verdier |
true (standard)false |
Ikke konfigurert Ufør Aktivert (standard) |
Diagnosedatasamlingsnivå
Diagnosedata brukes til å holde Defender for endepunkt sikkert og oppdatert, oppdage, diagnostisere og løse problemer og også gjøre produktforbedringer. Denne innstillingen bestemmer diagnosenivået som sendes av produktet til Microsoft. Hvis du vil ha mer informasjon, kan du se Personvern for Microsoft Defender for endepunkt på Linux.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | diagnosticLevel |
Nivå for innsamling av diagnosedata |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier | optional required (standard) |
Not configuredoptional (Standard)required |
Konfigurer skyblokknivå
Denne innstillingen bestemmer hvor aggressiv Defender for Endpoint er når det gjelder blokkering og skanning av mistenkelige filer. Hvis denne innstillingen er aktivert, er Defender for Endpoint mer aggressiv når du identifiserer mistenkelige filer som skal blokkeres og skannes. Ellers er den mindre aggressiv og blokkerer og skanner derfor med mindre frekvens.
Det finnes fem verdier for å angi skyblokknivå:
- Normal (
normal): Standard blokkeringsnivå. - Moderat (
moderate): Leverer dom bare for oppdagelser med høy konfidens. - Høy (
high): Blokkerer ukjente filer aggressivt mens du optimaliserer for ytelse (større sjanse for å blokkere ikke-harmful filer). - High Plus (
high_plus): Blokkerer ukjente filer aggressivt og bruker ekstra beskyttelsestiltak (kan påvirke klientens enhetsytelse). - Nulltoleranse (
zero_tolerance): Blokkerer alle ukjente programmer.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | cloudBlockLevel |
Konfigurer skyblokknivå |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier |
normal (standard)moderate high high_plus zero_tolerance |
Not configuredNormal (standard)Moderate High High_Plus Zero_Tolerance |
Obs!
Tilgjengelig i Defender for endpoint-versjon 101.56.62 eller nyere.
Aktivere eller deaktivere automatiske eksempelinnsendinger
Bestemmer om mistenkelige eksempler (som sannsynligvis inneholder trusler) sendes til Microsoft. Det finnes tre nivåer for å kontrollere innsending av eksempler:
- Ingen: ingen mistenkelige eksempler sendes til Microsoft.
- Trygt: Bare mistenkelige eksempler som ikke inneholder personlig identifiserbar informasjon (PII), sendes automatisk. Dette er standardverdien for denne innstillingen.
- Alle: alle mistenkelige eksempler sendes til Microsoft.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | automaticSampleSubmissionConsent |
Aktiver automatiske eksempelinnsendinger |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier | none safe (standard)all |
Not configuredNoneSafe (Standard)All |
Aktivere eller deaktivere automatiske sikkerhetsopplysninger
Bestemmer om sikkerhetsanalyseoppdateringer installeres automatisk:
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | automaticDefinitionUpdateEnabled |
Automatiske sikkerhetsanalyseoppdateringer |
| Datatype | Boolsk | Rullegardinliste |
| Mulige verdier |
true (standard)false |
Not configuredDisabledEnabled (Standard) |
Avhengig av håndhevelsesnivået installeres de automatiske sikkerhetsanalyseoppdateringene på en annen måte. Oppdateringer installeres regelmessig i RTP-modus. I passive/ behovsbetingede modusoppdateringer installeres før hver skanning.
Avanserte valgfrie funksjoner
Følgende innstillinger kan konfigureres for å aktivere bestemte avanserte funksjoner.
Viktig
Aktivering av disse funksjonene kan påvirke enhetsytelsen. Det anbefales å beholde standardinnstillingene med mindre annet anbefales av Microsoft Kundestøtte.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | Funksjoner | Ikke tilgjengelig |
| Datatype | Ordliste (nestet innstilling) | I/T |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Modulinnlastingsfunksjon
Bestemmer om modulinnlastingshendelser (filåpningshendelser på delte biblioteker) overvåkes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | moduleLoad |
Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier |
disabled (standard)enabled |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.68.80 eller nyere. |
Utbedr funksjonen Infisert fil
Bestemmer om infiserte prosesser som åpner eller laster inn en infisert fil, utbedres eller ikke.
Obs!
Når dette er aktivert, utbedres prosessene som åpner eller laster inn en infisert fil, i RTP-modus. Disse prosessene vises ikke i trussellisten fordi de ikke er skadelige, men avsluttes bare fordi de laster inn trusselfilen i minnet.
| Beskrivelse | JSON-verdi | Defender Portal-verdi |
|---|---|---|
| Nøkkel | remediateInfectedFile | Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier | deaktivert (standard) Aktivert |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.24122.0001 eller nyere. |
Tilleggssensorkonfigurasjoner
Følgende innstillinger kan brukes til å konfigurere visse avanserte tilleggssensorfunksjoner.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | supplementarySensorConfigurations |
Ikke tilgjengelig |
| Datatype | Ordliste (nestet innstilling) | I/T |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Konfigurer overvåking av hendelser for filmodifiserende tillatelser
Bestemmer om hendelser for filmodifiserende tillatelser (chmod) overvåkes.
Obs!
Når denne funksjonen er aktivert, overvåker Defender for Endpoint endringer i de utførte filbitene, men skanner ikke disse hendelsene. Hvis du vil ha mer informasjon, kan du se avsnittet Avanserte skannefunksjoner for mer informasjon.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | enableFilePermissionEvents |
Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier |
disabled (standard)enabled |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.23062.0010 eller nyere. |
Konfigurer overvåking av eierskapshendelser for filmodifiserende
Bestemmer om eierskapshendelser for filmodi endres (chown) overvåkes.
Obs!
Når denne funksjonen er aktivert, overvåker Defender for Endpoint endringer i eierskapet til filer, men ikke skanner disse hendelsene. Hvis du vil ha mer informasjon, kan du se avsnittet Avanserte skannefunksjoner for mer informasjon.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | enableFileOwnershipEvents |
Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier |
disabled (standard)enabled |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.23062.0010 eller nyere. |
Konfigurer overvåking av rå sockethendelser
Bestemmer om nettverkskontakthendelser som involverer oppretting av rå stikkontakter/pakkekontakter, eller om du angir socket-alternativet, overvåkes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert. Når denne funksjonen er aktivert, overvåker Defender for Endpoint disse nettverkskontakthendelsene, men skanner ikke disse hendelsene. Hvis du vil ha mer informasjon, kan du se delen Avanserte skannefunksjoner ovenfor for mer informasjon.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | enableRawSocketEvent |
Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier |
disabled (standard)enabled |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.23062.0010 eller nyere. |
Konfigurer overvåking av oppstartslasterhendelser
Bestemmer om oppstartslasterhendelser overvåkes og skannes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | enableBootLoaderCalls |
Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier |
disabled (standard)enabled |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.68.80 eller nyere. |
Konfigurer overvåking av sporingshendelser
Bestemmer om sporingshendelser overvåkes og skannes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | enableProcessCalls |
Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier |
disabled (standard)enabled |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.68.80 eller nyere. |
Konfigurer overvåking av pseudof-hendelser
Bestemmer om pseudof-hendelser overvåkes og skannes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | enablePseudofsCalls |
Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier |
disabled (standard)enabled |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.68.80 eller nyere. |
Konfigurer overvåking av modulinnlastingshendelser ved hjelp av eBPF
Bestemmer om modulinnlastingshendelser overvåkes ved hjelp av eBPF og skannes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | enableEbpfModuleLoadEvents |
Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier |
disabled (standard)enabled |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.68.80 eller nyere. |
Konfigurer overvåking av åpne hendelser fra bestemte filsystemer ved hjelp av eBPF
Bestemmer om åpne hendelser fra procfs overvåkes av eBPF.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | enableOtherFsOpenEvents |
Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier |
disabled (standard)enabled |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.24072.0001 eller nyere. |
Konfigurer kildeberikelse av hendelser ved hjelp av eBPF
Bestemmer om hendelser er beriket med metadata ved kilden i eBPF.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | enableEbpfSourceEnrichment |
Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier |
disabled (standard)enabled |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.24072.0001 eller nyere. |
Aktiver hurtigbuffer for antivirusmotor
Bestemmer om metadata for hendelser som skannes av antivirusmotoren bufres eller ikke.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | enableAntivirusEngineCache |
Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier |
disabled (standard)enabled |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.24072.0001 eller nyere. |
Rapporter AV mistenkelige hendelser til EDR
Bestemmer om mistenkelige hendelser fra Antivirus rapporteres til EDR.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | sendLowfiEvents |
Ikke tilgjengelig |
| Datatype | Streng | I/T |
| Mulige verdier |
disabled (standard)enabled |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.23062.0010 eller nyere. |
Konfigurasjoner for nettverksbeskyttelse
Obs!
Dette er en forhåndsvisningsfunksjon. For at disse skal være effektive, må nettverksbeskyttelse være slått på. Hvis du vil ha mer informasjon, kan du se Slå på nettverksbeskyttelse for Linux.
Følgende innstillinger kan brukes til å konfigurere avanserte inspeksjonsfunksjoner for nettverksbeskyttelse for å kontrollere hvilken trafikk som undersøkes av Nettverksbeskyttelse.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | networkProtection |
Nettverksbeskyttelse |
| Datatype | Ordliste (nestet innstilling) | Skjult inndeling |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. | Se avsnittene nedenfor for en beskrivelse av policyinnstillingene. |
Håndhevelsesnivå
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | enforcementLevel |
Håndhevelsesnivå |
| Datatype | Streng | Rullegardinliste |
| Mulige verdier |
disabled (standard)audit block |
Not configureddisabled (standard)auditblock |
Konfigurer ICMP-inspeksjon
Bestemmer om ICMP-hendelser overvåkes og skannes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
| Beskrivelse | JSON-verdi | Microsoft Defender portalverdi |
|---|---|---|
| Nøkkel | disableIcmpInspection |
Ikke tilgjengelig |
| Datatype | Boolsk | I/T |
| Mulige verdier |
true (standard)false |
I/T |
| Kommentarer | Tilgjengelig i Defender for endpoint-versjon 101.23062.0010 eller nyere. |
Legge til kode eller gruppe-ID i konfigurasjonsprofilen
Når du kjører mdatp health kommandoen for første gang, vil verdien for koden og gruppe-ID-en være tom. Følg fremgangsmåten nedenfor for å legge til mdatp_managed.json merke- eller gruppe-ID i filen:
Åpne konfigurasjonsprofilen fra banen
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json.Gå ned til bunnen av filen, der
cloudServiceblokken er plassert.Legg til den nødvendige koden eller gruppe-ID-en som følgende eksempel på slutten av den avsluttende klammeparentesen
cloudServicefor .}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }Obs!
Legg til kommaet etter den avsluttende klammeparentesen på slutten av
cloudServiceblokken. Kontroller også at det er to avsluttende klammeparenteser etter at du har lagt til kode- eller gruppe-ID-blokk (se eksemplet ovenfor). For øyeblikket erGROUPdet eneste støttede nøkkelnavnet for koder .
Validering av konfigurasjonsprofil
Konfigurasjonsprofilen må være en gyldig JSON-formatert fil. Det finnes mange verktøy som kan brukes til å bekrefte dette. Hvis du for eksempel har python installert på enheten:
python -m json.tool mdatp_managed.json
Hvis JSON er riktig utformet, sender kommandoen ovenfor den tilbake til terminalen og returnerer en avslutningskode for 0. Ellers vises en feil som beskriver problemet, og kommandoen returnerer en avslutningskode for 1.
Kontrollerer at mdatp_managed.json-filen fungerer som forventet
Hvis du vil bekrefte at du /etc/opt/microsoft/mdatp/managed/mdatp_managed.json fungerer som den skal, skal du se «[administrert]» ved siden av disse innstillingene:
cloud_enabledcloud_automatic_sample_submission_consentpassive_mode_enabledreal_time_protection_enabledautomatic_definition_update_enabled
Obs!
Det kreves ingen omstart av mdatp daemon for at endringer i de fleste konfigurasjoner skal tre i mdatp_managed.json kraft.
Unntak: Følgende konfigurasjoner krever en daemon-omstart for å tre i kraft:
cloud-diagnosticlog-rotation-parameters
Distribusjon av konfigurasjonsprofil
Når du har bygget konfigurasjonsprofilen for virksomheten, kan du distribuere den gjennom administrasjonsverktøyet som virksomheten bruker. Defender for Endpoint på Linux leser den administrerte konfigurasjonen fra /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.