Voorkeuren instellen voor Microsoft Defender voor Eindpunt in Linux
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Belangrijk
Dit artikel bevat instructies voor het instellen van voorkeuren voor Defender voor Eindpunt in Linux in bedrijfsomgevingen. Als u geïnteresseerd bent in het configureren van het product op een apparaat vanaf de opdrachtregel, raadpleegt u Resources.
In bedrijfsomgevingen kan Defender voor Eindpunt op Linux worden beheerd via een configuratieprofiel. Dit profiel wordt geïmplementeerd vanuit het beheerprogramma van uw keuze. Voorkeuren die door de onderneming worden beheerd, hebben voorrang op de voorkeuren die lokaal op het apparaat zijn ingesteld. Met andere woorden, gebruikers in uw onderneming kunnen geen voorkeuren wijzigen die via dit configuratieprofiel zijn ingesteld. Als uitsluitingen zijn toegevoegd via het beheerde configuratieprofiel, kunnen ze alleen worden verwijderd via het beheerde configuratieprofiel. De opdrachtregel werkt voor uitsluitingen die lokaal zijn toegevoegd.
In dit artikel wordt de structuur van dit profiel beschreven (inclusief een aanbevolen profiel dat u kunt gebruiken om aan de slag te gaan) en instructies voor het implementeren van het profiel.
Configuratieprofielstructuur
Het configuratieprofiel is een .json-bestand dat bestaat uit vermeldingen die worden geïdentificeerd door een sleutel (die de naam van de voorkeur aangeeft), gevolgd door een waarde, die afhankelijk is van de aard van de voorkeur. Waarden kunnen eenvoudig zijn, zoals een numerieke waarde, of complex, zoals een geneste lijst met voorkeuren.
Normaal gesproken gebruikt u een hulpprogramma voor configuratiebeheer om een bestand met de naam mdatp_managed.json op de locatie /etc/opt/microsoft/mdatp/managed/te pushen.
Het hoogste niveau van het configuratieprofiel bevat productbrede voorkeuren en vermeldingen voor subgebieden van het product, die in meer detail worden uitgelegd in de volgende secties.
Voorkeuren voor antivirusprogramma's
De sectie antivirusEngine van het configuratieprofiel wordt gebruikt om de voorkeuren van het antivirusonderdeel van het product te beheren.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | antivirusEngine | Antivirus-engine |
| Gegevenstype | Woordenlijst (geneste voorkeur) | Samengevouwen sectie |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. | Zie de volgende secties voor een beschrijving van de beleidseigenschappen. |
Afdwingingsniveau voor antivirusengine
Hiermee geeft u de afdwingingsvoorkeur van antivirus-engine op. Er zijn drie waarden voor het instellen van afdwingingsniveau:
- Realtime (
real_time): Realtime-beveiliging (bestanden scannen wanneer ze worden gewijzigd) is ingeschakeld. - Op aanvraag (
on_demand): bestanden worden alleen op aanvraag gescand. In dit:- Realtime-beveiliging is uitgeschakeld.
- Passief (
passive): hiermee wordt de antivirus-engine uitgevoerd in de passieve modus. In dit:- Realtime-beveiliging is uitgeschakeld: bedreigingen worden niet hersteld door Microsoft Defender Antivirus.
- Scannen op aanvraag is ingeschakeld: gebruik nog steeds de scanmogelijkheden op het eindpunt.
- Automatisch herstel van bedreigingen is uitgeschakeld: er worden geen bestanden verplaatst en de beveiligingsbeheerder wordt geacht de vereiste actie te ondernemen.
- Updates voor beveiligingsinformatie zijn ingeschakeld: waarschuwingen zijn beschikbaar voor de tenant van beveiligingsbeheerders.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enforcementLevel | Afdwingingsniveau |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden | real_timeon_demandpassive (standaard) |
Niet geconfigureerd Realtime OnDemand Passief (standaard) |
Opmerking
Beschikbaar in Defender voor Eindpunt versie 101.10.72 of hoger. De standaardinstelling wordt gewijzigd van real_time in passief voor eindpuntversie 101.23062.0001 of hoger. Het wordt aanbevolen om ook geplande scans te gebruiken op basis van de vereiste.
Gedragscontrole in-/uitschakelen
Bepaalt of gedragscontrole en blokkeringsfunctie is ingeschakeld op het apparaat of niet.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | behaviorMonitoring | Gedragscontrole inschakelen |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden | disabled (standaard) |
Niet geconfigureerd Uitgeschakeld (standaard) Ingeschakeld |
Opmerking
Beschikbaar in Defender voor Eindpunt versie 101.45.00 of hoger. Deze functie is alleen van toepassing wanneer Real-Time-beveiligingsfunctie is ingeschakeld.
Een scan uitvoeren nadat definities zijn bijgewerkt
Hiermee geeft u op of een processcan moet worden gestart nadat nieuwe updates voor beveiligingsupdates op het apparaat zijn gedownload. Als u deze instelling inschakelt, wordt een antivirusscan geactiveerd op de actieve processen van het apparaat.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | scanAfterDefinitionUpdate | Scannen inschakelen na definitie-update |
| Gegevenstype | Booleaanse waarde | Vervolgkeuzelijst |
| Mogelijke waarden | true (standaard) |
Niet geconfigureerd Uitgeschakeld Ingeschakeld (standaard) |
Opmerking
Beschikbaar in Defender voor Eindpunt versie 101.45.00 of hoger.
Deze functie werkt alleen wanneer het afdwingingsniveau is ingesteld op real-time.
Archieven scannen (alleen antivirusscans op aanvraag)
Hiermee geeft u op of archieven moeten worden gescand tijdens antivirusscans op aanvraag.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | scanArchives | Scannen van archieven inschakelen |
| Gegevenstype | Booleaanse waarde | Vervolgkeuzelijst |
| Mogelijke waarden | true (standaard)
|
Niet geconfigureerd Uitgeschakeld Ingeschakeld (standaard) |
Opmerking
Beschikbaar in Microsoft Defender voor Eindpunt versie 101.45.00 of hoger. Archiefbestanden worden nooit gescand tijdens realtime-beveiliging. Wanneer de bestanden in een archief worden uitgepakt, worden ze gescand. De optie scanArchives kan worden gebruikt om de scan van archieven alleen tijdens een scan op aanvraag af te dwingen.
Mate van parallelle uitvoering van scans op aanvraag
Hiermee geeft u de mate van parallellisme voor scans op aanvraag op. Dit komt overeen met het aantal threads dat wordt gebruikt om de scan uit te voeren en heeft invloed op het CPU-gebruik en de duur van de scan op aanvraag.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | maximumOnDemandScanThreads | maximum aantal scanthreads op aanvraag |
| Gegevenstype | Geheel getal | Schakeloptie & geheel getal |
| Mogelijke waarden | 2 (standaard). Toegestane waarden zijn gehele getallen tussen 1 en 64. | Niet geconfigureerd (standaardinstellingen uitschakelen op 2) Geconfigureerd (wisselknop aan) en geheel getal tussen 1 en 64. |
Opmerking
Beschikbaar in Microsoft Defender voor Eindpunt versie 101.45.00 of hoger.
Beleid voor samenvoeging van uitsluitingen
Hiermee geeft u het samenvoegbeleid voor uitsluitingen op. Dit kan een combinatie zijn van door de beheerder gedefinieerde en door de gebruiker gedefinieerde uitsluitingen (merge) of alleen door de beheerder gedefinieerde uitsluitingen (admin_only). Deze instelling kan worden gebruikt om te voorkomen dat lokale gebruikers hun eigen uitsluitingen definiëren.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | exclusionsMergePolicy | Samenvoegen van uitsluitingen |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden | merge (standaard)
|
Niet geconfigureerd samenvoegen (standaard) admin_only |
Opmerking
Beschikbaar in Defender voor Eindpunt versie 100.83.73 of hoger.
Scanuitsluitingen
Entiteiten die zijn uitgesloten van de scan. Uitsluitingen kunnen worden opgegeven door volledige paden, extensies of bestandsnamen. (Uitsluitingen worden opgegeven als een matrix met items, de beheerder kan zoveel elementen opgeven als nodig is, in elke volgorde.)
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | Uitsluitingen | Scanuitsluitingen |
| Gegevenstype | Woordenlijst (geneste voorkeur) | Lijst met dynamische eigenschappen |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Type uitsluiting
Hiermee geeft u het type inhoud dat wordt uitgesloten van de scan.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | $type | Type |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden | excludedPath
|
Pad Bestandsextensie Procesnaam |
Pad naar uitgesloten inhoud
Wordt gebruikt om inhoud van de scan uit te sluiten op het volledige bestandspad.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | pad | Pad |
| Gegevenstype | Tekenreeks | Tekenreeks |
| Mogelijke waarden | geldige paden | geldige paden |
| Opmerkingen | Alleen van toepassing als $type is uitgeslotendPath | Geopend in het pop-upvenster Exemplaar bewerken |
Padtype (bestand/map)
Geeft aan of de padeigenschap verwijst naar een bestand of map.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | isDirectory | Is-map |
| Gegevenstype | Booleaanse waarde | Vervolgkeuzelijst |
| Mogelijke waarden | false (standaard)
|
Ingeschakeld Uitgeschakeld |
| Opmerkingen | Alleen van toepassing als $type is uitgeslotendPath | Geopend in het pop-upvenster Exemplaar bewerken |
Bestandsextensie uitgesloten van de scan
Wordt gebruikt om inhoud uit te sluiten van de scan op bestandsextensie.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | extensie | Bestandsextensie |
| Gegevenstype | Tekenreeks | Tekenreeks |
| Mogelijke waarden | geldige bestandsextensies | geldige bestandsextensies |
| Opmerkingen | Alleen van toepassing als $type is uitgeslotenFileExtension | Geopend in het pop-upvenster Exemplaar configureren |
Proces dat is uitgesloten van de scan*
Hiermee geeft u een proces op waarvoor alle bestandsactiviteit wordt uitgesloten van scannen. Het proces kan worden opgegeven met de naam (bijvoorbeeld cat) of het volledige pad (bijvoorbeeld /bin/cat).
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | naam | Bestandsnaam |
| Gegevenstype | Tekenreeks | Tekenreeks |
| Mogelijke waarden | elke tekenreeks | elke tekenreeks |
| Opmerkingen | Alleen van toepassing als $typeis uitgeslotenFileName | Geopend in het pop-upvenster Exemplaar configureren |
Niet-exec-koppelingen dempen
Hiermee geeft u het gedrag van RTP op het koppelpunt gemarkeerd als noexec. Er zijn twee waarden voor de instelling:
- Niet-gedempt (
unmute): de standaardwaarde, alle koppelpunten worden gescand als onderdeel van RTP. - Gedempt (
mute): koppelpunten gemarkeerd als noexec worden niet gescand als onderdeel van RTP. Dit koppelpunt kan worden gemaakt voor:- Databasebestanden op databaseservers voor het bewaren van gegevensbestanden.
- Bestandsserver kan koppelpunten voor gegevensbestanden behouden met de optie noexec.
- Back-up kan koppelpunten voor gegevensbestanden behouden met de optie noexec.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | nonExecMountPolicy | niet uitvoeren van mount dempen |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden | unmute (standaard)
|
Niet geconfigureerd dempen opheffen (standaard) stom |
Opmerking
Beschikbaar in Defender voor Eindpunt versie 101.85.27 of hoger.
De controle van bestandssystemen opheffen
Bestandssystemen configureren om niet te worden bewaakt/uitgesloten van Real Time Protection (RTP). De geconfigureerde bestandssystemen worden gevalideerd op basis van de lijst met toegestane bestandssystemen van Microsoft Defender. Alleen na geslaagde validatie mag het bestandssysteem niet worden bewaakt. Deze geconfigureerde niet-bewaakte bestandssystemen worden nog steeds gescand door snelle, volledige en aangepaste scans.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | unmonitoredFilesystems | Niet-bewaakte bestandssystemen |
| Gegevenstype | Matrix van tekenreeksen | Lijst met dynamische tekenreeksen |
Opmerking
Geconfigureerd bestandssysteem wordt alleen niet bewaakt als het aanwezig is in de lijst met toegestane niet-bewaakte bestandssystemen van Microsoft.
Standaard worden NFS en Fuse niet gecontroleerd vanuit RTP-, Snelle en Volledige scans. Ze kunnen echter nog steeds worden gescand door een aangepaste scan. Als u bijvoorbeeld NFS wilt verwijderen uit de lijst met niet-bewaakte bestandssystemen, werkt u het beheerde configuratiebestand bij zoals hieronder wordt weergegeven. Hiermee wordt NFS automatisch toegevoegd aan de lijst met bewaakte bestandssystemen voor RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Als u zowel NFS als Fuse wilt verwijderen uit een lijst met niet-bewaakte bestandssystemen, gaat u als volgt te werk
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Opmerking
Hier; s de standaardlijst met bewaakte bestandssystemen voor RTP: btrfs, ecryptfs, ext2, ext3ext4, fuseblk, , jfs, overlay, , ramfs, , reiserfs, tmpfs, , vfat, . xfs
Als een bewaakt bestandssysteem moet worden toegevoegd aan de lijst met niet-bewaakte bestandssystemen, moet het worden geëvalueerd en ingeschakeld door Microsoft via cloudconfiguratie. Na welke klanten managed_mdatp.json kunnen bijwerken om dat bestandssysteem op te heffen.
Rekenfunctie voor bestands-hash configureren
Hiermee schakelt u de rekenfunctie voor bestands-hashs in of uit. Wanneer deze functie is ingeschakeld, rekent Defender voor Eindpunt hashes uit voor bestanden die worden gescand. Houd er rekening mee dat het inschakelen van deze functie van invloed kan zijn op de prestaties van het apparaat. Raadpleeg voor meer informatie: Indicatoren voor bestanden maken.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enableFileHashComputation | Bestandshashberekening inschakelen |
| Gegevenstype | Booleaanse waarde | Vervolgkeuzelijst |
| Mogelijke waarden | false (standaard)
|
Niet geconfigureerd Uitgeschakeld (standaard) Ingeschakeld |
Opmerking
Beschikbaar in Defender voor Eindpunt versie 101.85.27 of hoger.
Toegestane bedreigingen
Lijst met bedreigingen (aangeduid met hun naam) die niet door het product worden geblokkeerd en in plaats daarvan mogen worden uitgevoerd.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | allowedThreats | Toegestane bedreigingen |
| Gegevenstype | Matrix van tekenreeksen | Lijst met dynamische tekenreeksen |
Niet-toegestane bedreigingsacties
Hiermee worden de acties beperkt die de lokale gebruiker van een apparaat kan uitvoeren wanneer bedreigingen worden gedetecteerd. De acties in deze lijst worden niet weergegeven in de gebruikersinterface.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | disallowedThreatActions | Niet-toegestane bedreigingsacties |
| Gegevenstype | Matrix van tekenreeksen | Lijst met dynamische tekenreeksen |
| Mogelijke waarden | allow (hiermee wordt voorkomen dat gebruikers bedreigingen toestaan)
|
toestaan (hiermee wordt voorkomen dat gebruikers bedreigingen toestaan) herstellen (hiermee wordt voorkomen dat gebruikers bedreigingen uit de quarantaine kunnen herstellen) |
Opmerking
Beschikbaar in Defender voor Eindpunt versie 100.83.73 of hoger.
Instellingen voor bedreigingstype
De threatTypeSettings-voorkeur in de antivirus-engine wordt gebruikt om te bepalen hoe bepaalde bedreigingstypen door het product worden verwerkt.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | threatTypeSettings | Instellingen voor bedreigingstype |
| Gegevenstype | Woordenlijst (geneste voorkeur) | Lijst met dynamische eigenschappen |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. | Zie de volgende secties voor een beschrijving van de dynamische eigenschappen. |
Bedreigingstype
Type bedreiging waarvoor het gedrag is geconfigureerd.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | sleutel | Bedreigingstype |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden | potentially_unwanted_application
|
potentially_unwanted_application archive_bomb |
Te ondernemen actie
Actie die moet worden ondernomen bij het tegenkomen van een bedreiging van het type dat in de voorgaande sectie is opgegeven. Dit kan zijn:
- Controle: Het apparaat is niet beveiligd tegen dit type bedreiging, maar er wordt een vermelding over de bedreiging geregistreerd. (Standaard)
- Blokkeren: Het apparaat is beveiligd tegen dit type bedreiging en u krijgt een melding in de beveiligingsconsole.
- Uit: het apparaat is niet beveiligd tegen dit type bedreiging en er wordt niets geregistreerd.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | waarde | Te ondernemen actie |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden | audit (standaard)
|
audit blokkeren af |
Beleid voor het samenvoegen van instellingen voor bedreigingstypen
Hiermee geeft u het samenvoegbeleid voor instellingen voor bedreigingstypen op. Dit kan een combinatie zijn van door de beheerder gedefinieerde en door de gebruiker gedefinieerde instellingen (merge) of alleen door de beheerder gedefinieerde instellingen (admin_only). Deze instelling kan worden gebruikt om te voorkomen dat lokale gebruikers hun eigen instellingen definiëren voor verschillende bedreigingstypen.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | threatTypeSettingsMergePolicy | Instellingen voor bedreigingstype samenvoegen |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden | samenvoegen (standaard) admin_only |
Niet geconfigureerd samenvoegen (standaard) admin_only |
Opmerking
Beschikbaar in Defender voor Eindpunt versie 100.83.73 of hoger.
Retentie van antivirusscangeschiedenis (in dagen)
Geef het aantal dagen op dat de resultaten worden bewaard in de scangeschiedenis op het apparaat. Oude scanresultaten worden uit de geschiedenis verwijderd. Oude in quarantaine geplaatste bestanden die ook van de schijf worden verwijderd.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | scanResultsRetentionDays | Retentie van scanresultaten |
| Gegevenstype | Tekenreeks | Schakelaar en geheel getal in-/uitschakelen |
| Mogelijke waarden | 90 (standaard). Toegestane waarden liggen tussen 1 dag en 180 dagen. | Niet geconfigureerd (uitschakelen - standaard 90 dagen) Geconfigureerd (wisselknop aan) en toegestane waarde 1 tot 180 dagen. |
Opmerking
Beschikbaar in Defender voor Eindpunt versie 101.04.76 of hoger.
Maximum aantal items in de antivirusscangeschiedenis
Geef het maximum aantal vermeldingen op dat in de scangeschiedenis moet worden bewaard. Vermeldingen omvatten alle scans op aanvraag die in het verleden zijn uitgevoerd en alle antivirusdetecties.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | scanHistoryMaximumItems | Grootte van scangeschiedenis |
| Gegevenstype | Tekenreeks | Wisselknop en geheel getal |
| Mogelijke waarden | 10000 (standaard). Toegestane waarden variëren van 5000 items tot 15000 items. | Niet geconfigureerd (uitschakelen - standaard 10000) Geconfigureerd (wisselknop aan) en toegestane waarde van 5000 tot 15000 items. |
Opmerking
Beschikbaar in Defender voor Eindpunt versie 101.04.76 of hoger.
Geavanceerde scanopties
De volgende instellingen kunnen worden geconfigureerd om bepaalde geavanceerde scanfuncties in te schakelen.
Opmerking
Het inschakelen van deze functies kan van invloed zijn op de prestaties van het apparaat. Daarom wordt aanbevolen om de standaardwaarden te behouden.
Scannen van bestandsmachtigingen configureren
Wanneer deze functie is ingeschakeld, scant Defender voor Eindpunt bestanden wanneer hun machtigingen zijn gewijzigd om de uitvoeringsbit(en) in te stellen.
Opmerking
Deze functie is alleen van toepassing wanneer de enableFilePermissionEvents functie is ingeschakeld. Zie de sectie Geavanceerde optionele functies hieronder voor meer informatie.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | scanFileModifyPermissions | Niet beschikbaar |
| Gegevenstype | Booleaanse waarde | n.v.t. |
| Mogelijke waarden | false (standaard) waar |
n.v.t. |
Opmerking
Beschikbaar in Defender voor Eindpunt versie 101.23062.0010 of hoger.
Scannen van eigendomsevenementen voor het wijzigen van bestanden configureren
Wanneer deze functie is ingeschakeld, scant Defender voor Eindpunt bestanden waarvan het eigendom is gewijzigd.
Opmerking
Deze functie is alleen van toepassing wanneer de enableFileOwnershipEvents functie is ingeschakeld. Zie de sectie Geavanceerde optionele functies hieronder voor meer informatie.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | scanFileModifyOwnership | Niet beschikbaar |
| Gegevenstype | Booleaanse waarde | n.v.t. |
| Mogelijke waarden | false (standaard) waar |
n.v.t. |
Opmerking
Beschikbaar in Defender voor Eindpunt versie 101.23062.0010 of hoger.
Scannen van onbewerkte socket-gebeurtenissen configureren
Wanneer deze functie is ingeschakeld, scant Defender voor Eindpunt netwerksocket-gebeurtenissen, zoals het maken van onbewerkte sockets/pakketsockets of het instellen van de socketoptie.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
Deze functie is alleen van toepassing wanneer de enableRawSocketEvent functie is ingeschakeld. Zie de sectie Geavanceerde optionele functies hieronder voor meer informatie.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | scanNetworkSocketEvent | Niet beschikbaar |
| Gegevenstype | Booleaanse waarde | n.v.t. |
| Mogelijke waarden | false (standaard) waar |
n.v.t. |
Opmerking
Beschikbaar in Defender voor Eindpunt versie 101.23062.0010 of hoger.
Cloudbeveiligingsvoorkeuren
De vermelding cloudService in het configuratieprofiel wordt gebruikt om de cloudgestuurde beveiligingsfunctie van het product te configureren.
Opmerking
Cloudbeveiliging is van toepassing met alle instellingen voor afdwingingsniveaus (real_time, on_demand, passief).
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | cloudService | Cloudbeveiligingsvoorkeuren |
| Gegevenstype | Woordenlijst (geneste voorkeur) | Samengevouwen sectie |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. | Zie de volgende secties voor een beschrijving van de instellingen van het beleid. |
Cloudbeveiliging in- of uitschakelen
Bepaalt of cloudbeveiliging is ingeschakeld op het apparaat of niet. Om de beveiliging van uw services te verbeteren, raden we u aan deze functie ingeschakeld te houden.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | Ingeschakeld | Cloudbeveiliging inschakelen |
| Gegevenstype | Booleaanse waarde | Vervolgkeuzelijst |
| Mogelijke waarden | true (standaard)
|
Niet geconfigureerd Uitgeschakeld Ingeschakeld (standaard) |
Niveau van diagnostische verzameling
Diagnostische gegevens worden gebruikt om Defender voor Eindpunt veilig en up-to-date te houden, problemen te detecteren, te diagnosticeren en op te lossen, en ook om productverbeteringen aan te brengen. Deze instelling bepaalt het niveau van de diagnostische gegevens die door het product naar Microsoft worden verzonden. Zie Privacy voor Microsoft Defender voor Eindpunt op Linux voor meer informatie.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | diagnosticLevel | Niveau voor het verzamelen van diagnostische gegevens |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden | optional
|
Niet geconfigureerd optioneel (standaard) Vereist |
Cloudblokniveau configureren
Deze instelling bepaalt hoe agressief Defender voor Eindpunt verdachte bestanden blokkeert en scant. Als deze instelling is ingeschakeld, is Defender voor Eindpunt agressiever bij het identificeren van verdachte bestanden die moeten worden geblokkeerd en gescand. anders is het minder agressief en blokkeert en scant het met minder frequentie.
Er zijn vijf waarden voor het instellen van cloudblokniveau:
- Normaal (
normal): het standaardblokkeringsniveau. - Gemiddeld (
moderate): levert alleen een oordeel voor detecties met hoge betrouwbaarheid. - Hoog (
high): Onbekende bestanden worden agressief geblokkeerd terwijl ze worden geoptimaliseerd voor prestaties (grotere kans op het blokkeren van niet-schadelijke bestanden). - Hoog pluspunt (
high_plus): onbekende bestanden worden agressief geblokkeerd en aanvullende beveiligingsmaatregelen toegepast (mogelijk van invloed op de prestaties van clientapparaten). - Nultolerantie (
zero_tolerance): blokkeert alle onbekende programma's.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | cloudBlockLevel | Cloudblokniveau configureren |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden | normal (standaard)
|
Niet geconfigureerd Normaal (standaard) Gemiddeld Hoog High_Plus Zero_Tolerance |
Opmerking
Beschikbaar in Defender voor Eindpunt versie 101.56.62 of hoger.
Automatische voorbeeldinzendingen in- of uitschakelen
Bepaalt of verdachte voorbeelden (die waarschijnlijk bedreigingen bevatten) naar Microsoft worden verzonden. Er zijn drie niveaus voor het beheren van het indienen van voorbeelden:
- Geen: er worden geen verdachte voorbeelden naar Microsoft verzonden.
- Veilig: alleen verdachte steekproeven die geen persoonlijk identificeerbare informatie (PII) bevatten, worden automatisch verzonden. Dit is de standaardwaarde voor deze instelling.
- Alle: alle verdachte voorbeelden worden verzonden naar Microsoft.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | automaticSampleSubmissionConsent | Automatische voorbeeldinzendingen inschakelen |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden | none
|
Niet geconfigureerd Geen Veilig (standaard) Alles |
Automatische updates voor beveiligingsinformatie in- of uitschakelen
Bepaalt of updates voor beveiligingsinformatie automatisch worden geïnstalleerd:
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | automaticDefinitionUpdateEnabled | Automatische updates voor beveiligingsinformatie |
| Gegevenstype | Booleaanse waarde | Vervolgkeuzelijst |
| Mogelijke waarden | true (standaard)
|
Niet geconfigureerd Uitgeschakeld Ingeschakeld (standaard) |
Geavanceerde optionele functies
De volgende instellingen kunnen worden geconfigureerd om bepaalde geavanceerde functies in te schakelen.
Opmerking
Het inschakelen van deze functies kan van invloed zijn op de prestaties van het apparaat. Het wordt aanbevolen om de standaardwaarden te behouden.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | Functies | Niet beschikbaar |
| Gegevenstype | Woordenlijst (geneste voorkeur) | n.v.t. |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Functie module laden
Bepaalt of gebeurtenissen voor het laden van modules (bestandsopen-gebeurtenissen in gedeelde bibliotheken) worden bewaakt.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | moduleLoaden | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t. |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t. |
| Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.68.80 of hoger. |
Aanvullende sensorconfiguraties
De volgende instellingen kunnen worden gebruikt om bepaalde geavanceerde aanvullende sensorfuncties te configureren.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | supplementarySensorConfigurations | Niet beschikbaar |
| Gegevenstype | Woordenlijst (geneste voorkeur) | n.v.t. |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Bewaking van bestandsmachtigingen configureren
Bepaalt of bestandsmachtigingen (chmod) worden bewaakt.
Opmerking
Wanneer deze functie is ingeschakeld, controleert Defender voor Eindpunt wijzigingen in de uitvoeringsbits van bestanden, maar scant deze gebeurtenissen niet. Zie de sectie Geavanceerde scanfuncties voor meer informatie.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enableFilePermissionEvents | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t. |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t. |
| Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.23062.0010 of hoger. |
Bewaking van eigendomsevenementen voor het wijzigen van bestanden configureren
Bepaalt of gebeurtenissen van bestandseigendom (chown) worden bewaakt.
Opmerking
Wanneer deze functie is ingeschakeld, bewaakt Defender voor Eindpunt wijzigingen in het eigendom van bestanden, maar scant deze gebeurtenissen niet. Zie de sectie Geavanceerde scanfuncties voor meer informatie.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enableFileOwnershipEvents | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t. |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t. |
| Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.23062.0010 of hoger. |
Bewaking van onbewerkte socket-gebeurtenissen configureren
Bepaalt of netwerksocket-gebeurtenissen met betrekking tot het maken van onbewerkte sockets/pakketsockets of het instellen van de socketoptie worden bewaakt.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld. Wanneer deze functie is ingeschakeld, bewaakt Defender voor Eindpunt deze netwerksocket-gebeurtenissen, maar scant deze gebeurtenissen niet. Zie de sectie Geavanceerde scanfuncties hierboven voor meer informatie.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enableRawSocketEvent | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t. |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t. |
| Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.23062.0010 of hoger. |
Bewaking van opstartlaadprogramma-gebeurtenissen configureren
Bepaalt of gebeurtenissen van het opstartlaadprogramma worden bewaakt en gescand.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enableBootLoaderCalls | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t. |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t. |
| Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.68.80 of hoger. |
Bewaking van ptrace-gebeurtenissen configureren
Bepaalt of ptrace-gebeurtenissen worden bewaakt en gescand.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enableProcessCalls | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t. |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t. |
| Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.68.80 of hoger. |
Bewaking van pseudofs-gebeurtenissen configureren
Bepaalt of pseudofs-gebeurtenissen worden bewaakt en gescand.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enablePseudofsCalls | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t. |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t. |
| Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.68.80 of hoger. |
Bewaking van modulelaadbeurtenissen configureren met behulp van eBPF
Bepaalt of gebeurtenissen voor het laden van modules worden bewaakt met behulp van eBPF en worden gescand.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enableEbpfModuleLoadEvents | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t. |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t. |
| Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.68.80 of hoger. |
Av-verdachte gebeurtenissen rapporteren aan EDR
Bepaalt of verdachte gebeurtenissen van Antivirus worden gerapporteerd aan EDR.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | sendLowfiEvents | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t. |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t. |
| Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.23062.0010 of hoger. |
Configuraties voor netwerkbeveiliging
De volgende instellingen kunnen worden gebruikt voor het configureren van geavanceerde netwerkbeveiligingsinspectiefuncties om te bepalen welk verkeer wordt geïnspecteerd door Netwerkbeveiliging.
Opmerking
Om deze effectief te maken, moet Netwerkbeveiliging zijn ingeschakeld. Zie Netwerkbeveiliging inschakelen voor Linux voor meer informatie.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | networkProtection | Netwerkbeveiliging |
| Gegevenstype | Woordenlijst (geneste voorkeur) | Samengevouwen sectie |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. | Zie de volgende secties voor een beschrijving van de beleidsinstellingen. |
Afdwingingsniveau
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enforcementLevel | Afdwingingsniveau |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden | disabled (standaard)audit block |
Niet geconfigureerd uitgeschakeld (standaard) audit blokkeren |
ICMP-inspectie configureren
Bepaalt of ICMP-gebeurtenissen worden bewaakt en gescand.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | disableIcmpInspection | Niet beschikbaar |
| Gegevenstype | Booleaanse waarde | n.v.t. |
| Mogelijke waarden | true (standaard)
|
n.v.t. |
| Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.23062.0010 of hoger. |
Aanbevolen configuratieprofiel
Om aan de slag te gaan, raden we u aan het volgende configuratieprofiel voor uw bedrijf te gebruiken om te profiteren van alle beveiligingsfuncties die Defender voor Eindpunt biedt.
Het volgende configuratieprofiel zal:
- Realtime-beveiliging (RTP) inschakelen
- Geef op hoe de volgende bedreigingstypen worden verwerkt:
- Mogelijk ongewenste toepassingen (PUA) worden geblokkeerd
- Archiefbommen (bestand met een hoge compressiesnelheid) worden gecontroleerd in de productlogboeken
- Automatische updates voor beveiligingsinformatie inschakelen
- Cloudbeveiliging inschakelen
- Automatische voorbeeldinzending op
safeniveau inschakelen
Voorbeeldprofiel
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Voorbeeld van volledig configuratieprofiel
Het volgende configuratieprofiel bevat vermeldingen voor alle instellingen die in dit document worden beschreven en kan worden gebruikt voor meer geavanceerde scenario's waarin u meer controle over het product wilt.
Opmerking
Het is niet mogelijk om alle communicatie van Microsoft Defender voor Eindpunt te beheren met alleen een proxy-instelling in deze JSON.
Volledig profiel
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Tag of groeps-id toevoegen aan het configuratieprofiel
Wanneer u de opdracht voor het mdatp health eerst uitvoert, zijn de waarde voor de tag en de groeps-id leeg. Volg de onderstaande stappen om een tag of groeps-id toe te voegen aan het mdatp_managed.json bestand:
- Open het configuratieprofiel vanuit het pad
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json. - Ga omlaag naar de onderkant van het bestand, waar het
cloudServiceblok zich bevindt. - Voeg de vereiste tag of groeps-id toe zoals in het volgende voorbeeld aan het einde van de accolade sluiten voor de
cloudService.
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
Opmerking
Voeg de komma toe na de accolade sluiten aan het einde van het cloudService blok. Zorg er ook voor dat er twee accolades sluiten na het toevoegen van het tag- of groeps-id-blok (zie het bovenstaande voorbeeld). Op dit moment is GROUPde enige ondersteunde sleutelnaam voor tags .
Validatie van configuratieprofiel
Het configuratieprofiel moet een geldig bestand met JSON-indeling zijn. Er zijn veel hulpprogramma's die kunnen worden gebruikt om dit te controleren. Als u bijvoorbeeld op uw apparaat hebt python geïnstalleerd:
python -m json.tool mdatp_managed.json
Als de JSON goed is opgemaakt, voert de bovenstaande opdracht deze terug naar de Terminal en retourneert de afsluitcode van 0. Anders wordt een fout weergegeven die het probleem beschrijft en retourneert de opdracht een afsluitcode van 1.
Controleren of het mdatp_managed.json-bestand werkt zoals verwacht
Als u wilt controleren of uw /etc/opt/microsoft/mdatp/managed/mdatp_managed.json correct werkt, ziet u '[managed]' naast deze instellingen:
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
Opmerking
Er is geen herstart van mdatp-daemon vereist om wijzigingen in de meeste configuraties in mdatp_managed.json van kracht te laten worden. Uitzondering: Voor de volgende configuraties moet de daemon opnieuw worden opgestart om van kracht te worden:
- clouddiagnose
- log-rotation-parameters
Implementatie van configuratieprofiel
Zodra u het configuratieprofiel voor uw onderneming hebt gemaakt, kunt u het implementeren via het beheerprogramma dat uw onderneming gebruikt. Defender voor Eindpunt op Linux leest de beheerde configuratie uit het bestand /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor