Ustaw preferencje dla ochrony punktu końcowego w usłudze Microsoft Defender w systemie Linux
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Ważna
Ten artykuł zawiera instrukcje dotyczące ustawiania preferencji dla usługi Defender dla punktu końcowego w systemie Linux w środowiskach przedsiębiorstwa. Jeśli chcesz skonfigurować produkt na urządzeniu z poziomu wiersza polecenia, zobacz Zasoby.
W środowiskach przedsiębiorstwa usługą Defender for Endpoint w systemie Linux można zarządzać za pośrednictwem profilu konfiguracji. Ten profil jest wdrażany z wybranego narzędzia do zarządzania. Preferencje zarządzane przez przedsiębiorstwo mają pierwszeństwo przed preferencjami ustawionymi lokalnie na urządzeniu. Innymi słowy, użytkownicy w przedsiębiorstwie nie mogą zmieniać preferencji ustawionych za pomocą tego profilu konfiguracji. Jeśli wykluczenia zostały dodane za pośrednictwem profilu konfiguracji zarządzanej, można je usunąć tylko za pośrednictwem profilu konfiguracji zarządzanej. Wiersz polecenia działa w przypadku wykluczeń, które zostały dodane lokalnie.
W tym artykule opisano strukturę tego profilu (w tym zalecany profil, którego można użyć do rozpoczęcia pracy) oraz instrukcje dotyczące sposobu wdrażania profilu.
Struktura profilu konfiguracji
Profil konfiguracji jest plikiem .json, który składa się z wpisów zidentyfikowanych przez klucz (co oznacza nazwę preferencji), po którym następuje wartość, która zależy od charakteru preferencji. Wartości mogą być proste, takie jak wartość liczbowa lub złożone, takie jak zagnieżdżona lista preferencji.
Zazwyczaj należy użyć narzędzia do zarządzania konfiguracją, aby wypchnąć plik o nazwie mdatp_managed.json w lokalizacji /etc/opt/microsoft/mdatp/managed/.
Najwyższy poziom profilu konfiguracji zawiera preferencje dla całego produktu i wpisy dla obszarów podrzędnych produktu, co opisano bardziej szczegółowo w następnych sekcjach.
Preferencje aparatu antywirusowego
Sekcja antivirusEngine profilu konfiguracji służy do zarządzania preferencjami składnika antywirusowego produktu.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | antivirusEngine | Aparat antywirusowy |
| Typ danych | Słownik (preferencja zagnieżdżona) | Zwinięta sekcja |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. | Opis właściwości zasad można znaleźć w poniższych sekcjach. |
Poziom wymuszania dla aparatu antywirusowego
Określa preferencje wymuszania aparatu antywirusowego. Istnieją trzy wartości dotyczące ustawiania poziomu wymuszania:
- W czasie rzeczywistym (
real_time): włączono ochronę w czasie rzeczywistym (skanuj pliki w miarę ich modyfikowania). - Na żądanie (
on_demand): pliki są skanowane tylko na żądanie. W tym:- Ochrona w czasie rzeczywistym jest wyłączona.
- Pasywne (
passive): uruchamia aparat antywirusowy w trybie pasywnym. W tym:- Ochrona w czasie rzeczywistym jest wyłączona: zagrożenia nie są korygowane przez program antywirusowy Microsoft Defender.
- Skanowanie na żądanie jest włączone: nadal używaj możliwości skanowania w punkcie końcowym.
- Automatyczne korygowanie zagrożeń jest wyłączone: żadne pliki nie zostaną przeniesione, a administrator zabezpieczeń powinien podjąć wymagane działania.
- Aktualizacje analizy zabezpieczeń są włączone: alerty będą dostępne w dzierżawie administratorów zabezpieczeń.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | enforcementLevel | Poziom wymuszania |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości | real_timeon_demandpassive (wartość domyślna) |
Nie skonfigurowano Czas rzeczywisty OnDemand Pasywne (domyślne) |
Uwaga
Dostępne w usłudze Defender for Endpoint w wersji 101.10.72 lub nowszej. Wartość domyślna została zmieniona z real_time na pasywną dla punktu końcowego w wersji 101.23062.0001 lub nowszej. Zaleca się również używanie zaplanowanych skanów zgodnie z wymaganiami.
Włączanie/wyłączanie monitorowania zachowania
Określa, czy funkcja monitorowania i blokowania zachowania jest włączona na urządzeniu, czy nie.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | behaviorMonitoring | Włączanie monitorowania zachowania |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości | disabled (wartość domyślna) |
Nie skonfigurowano Wyłączone (domyślne) Włączone |
Uwaga
Dostępne w usłudze Defender for Endpoint w wersji 101.45.00 lub nowszej. Ta funkcja ma zastosowanie tylko wtedy, gdy funkcja ochrony Real-Time jest włączona.
Uruchamianie skanowania po zaktualizowaniu definicji
Określa, czy należy rozpocząć skanowanie procesu po pobraniu nowych aktualizacji analizy zabezpieczeń na urządzeniu. Włączenie tego ustawienia powoduje uruchomienie skanowania antywirusowego w uruchomionych procesach urządzenia.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | scanAfterDefinitionUpdate | Włączanie skanowania po aktualizacji definicji |
| Typ danych | Wartość logiczna | Lista rozwijana |
| Dopuszczalne wartości | true (wartość domyślna) |
Nie skonfigurowano Wyłączona Włączone (domyślne) |
Uwaga
Dostępne w usłudze Defender for Endpoint w wersji 101.45.00 lub nowszej.
Ta funkcja działa tylko wtedy, gdy poziom wymuszania jest ustawiony na real-time.
Skanuj archiwa (tylko skanowanie antywirusowe na żądanie)
Określa, czy skanować archiwa podczas skanowania antywirusowego na żądanie.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | scanArchives | Włączanie skanowania archiwów |
| Typ danych | Wartość logiczna | Lista rozwijana |
| Dopuszczalne wartości | true (wartość domyślna)
|
Nie skonfigurowano Wyłączona Włączone (domyślne) |
Uwaga
Dostępne w usłudze Microsoft Defender dla punktu końcowego w wersji 101.45.00 lub nowszej. Pliki archiwum nigdy nie są skanowane podczas ochrony w czasie rzeczywistym. Po wyodrębnieniu plików w archiwum są one skanowane. Opcja scanArchives może służyć do wymuszania skanowania archiwów tylko podczas skanowania na żądanie.
Stopień równoległości skanowania na żądanie
Określa stopień równoległości skanowania na żądanie. Odpowiada to liczbie wątków używanych do skanowania i wpływa na użycie procesora CPU oraz czas trwania skanowania na żądanie.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | maximumOnDemandScanThreads | maksymalna liczba wątków skanowania na żądanie |
| Typ danych | Liczba całkowita | Przełącz przełącznik & liczba całkowita |
| Dopuszczalne wartości | 2 (wartość domyślna). Dozwolone wartości to liczby całkowite z zakresu od 1 do 64. | Nie skonfigurowano (ustawienie domyślne powoduje wyłączenie ustawień domyślnych na 2) Skonfigurowano (włącz) i liczbę całkowitą z zakresu od 1 do 64. |
Uwaga
Dostępne w usłudze Microsoft Defender dla punktu końcowego w wersji 101.45.00 lub nowszej.
Zasady scalania wykluczeń
Określa zasady scalania dla wykluczeń. Może to być kombinacja wykluczeń zdefiniowanych przez administratora i zdefiniowanych przez użytkownika (merge) lub tylko wykluczeń zdefiniowanych przez administratora (admin_only). To ustawienie może służyć do ograniczania użytkownikom lokalnym definiowania własnych wykluczeń.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | exclusionsMergePolicy | Scalanie wykluczeń |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości | merge (wartość domyślna)
|
Nie skonfigurowano scalanie (domyślne) admin_only |
Uwaga
Dostępne w usłudze Defender for Endpoint w wersji 100.83.73 lub nowszej.
Wykluczeń skanowania
Jednostki, które zostały wykluczone ze skanowania. Wykluczenia można określić za pomocą pełnych ścieżek, rozszerzeń lub nazw plików. (Wykluczenia są określane jako tablica elementów, administrator może określić dowolną liczbę elementów w dowolnej kolejności).
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | Wykluczenia | Wykluczeń skanowania |
| Typ danych | Słownik (preferencja zagnieżdżona) | Lista właściwości dynamicznych |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Typ wykluczenia
Określa typ zawartości wykluczonej ze skanowania.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | $type | Wpisać |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości | excludedPath
|
Ścieżka Formatem Nazwa procesu |
Ścieżka do wykluczonej zawartości
Służy do wykluczania zawartości ze skanowania za pomocą pełnej ścieżki pliku.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | ścieżka | Ścieżka |
| Typ danych | Ciąg | Ciąg |
| Dopuszczalne wartości | prawidłowe ścieżki | prawidłowe ścieżki |
| Komentarze | Dotyczy tylko wtedy, gdy $type jest excludedPath | Dostęp w oknie podręcznym Edytuj wystąpienie |
Typ ścieżki (plik/katalog)
Wskazuje, czy właściwość path odwołuje się do pliku lub katalogu.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | isDirectory | Czy katalog |
| Typ danych | Wartość logiczna | Lista rozwijana |
| Dopuszczalne wartości | false (wartość domyślna)
|
Włączone Wyłączona |
| Komentarze | Dotyczy tylko wtedy, gdy $type jest excludedPath | Dostęp w oknie podręcznym Edytuj wystąpienie |
Rozszerzenie pliku wykluczone ze skanowania
Służy do wykluczania zawartości ze skanowania według rozszerzenia pliku.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | rozszerzenie | Formatem |
| Typ danych | Ciąg | Ciąg |
| Dopuszczalne wartości | prawidłowe rozszerzenia plików | prawidłowe rozszerzenia plików |
| Komentarze | Dotyczy tylko wtedy, gdy $type jest wykluczoneFileExtension | Dostęp w oknie podręcznym Konfigurowanie wystąpienia |
Proces wykluczony ze skanowania*
Określa proces, dla którego wszystkie działania plików są wykluczone ze skanowania. Proces można określić za pomocą jego nazwy (na przykład cat) lub pełnej ścieżki (na przykład /bin/cat).
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | nazwa | Nazwa pliku |
| Typ danych | Ciąg | Ciąg |
| Dopuszczalne wartości | dowolny ciąg | dowolny ciąg |
| Komentarze | Dotyczy tylko wtedy, gdy $type jest wykluczoneFileName | Dostęp w oknie podręcznym Konfigurowanie wystąpienia |
Wyciszenie instalacji innych niż Exec
Określa zachowanie protokołu RTP w punkcie instalacji oznaczonym jako noexec. Istnieją dwie wartości ustawienia:
- Unmuted (
unmute): wartość domyślna, wszystkie punkty instalacji są skanowane w ramach rtp. - Wyciszony (
mute): punkty instalacji oznaczone jako noexec nie są skanowane w ramach rtp, te punkty instalacji można utworzyć dla:- Pliki bazy danych na serwerach bazy danych do przechowywania plików bazowych danych.
- Serwer plików może przechowywać punkty instalacji plików danych z opcją noexec.
- Tworzenie kopii zapasowej umożliwia przechowywanie punktów instalacji plików danych z opcją noexec.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | nonExecMountPolicy | nie wykonać wyciszenia instalacji |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości | unmute (wartość domyślna)
|
Nie skonfigurowano unmute (wartość domyślna) niemy |
Uwaga
Dostępne w usłudze Defender for Endpoint w wersji 101.85.27 lub nowszej.
Niemonitoruj systemów plików
Skonfiguruj systemy plików tak, aby były niemonitorowane/wykluczone z ochrony czasu rzeczywistego(RTP). Skonfigurowane systemy plików są weryfikowane pod kątem listy dozwolonych systemów plików usługi Microsoft Defender. Tylko po pomyślnej weryfikacji system plików będzie mógł być niemonitorowany. Te skonfigurowane niemonitorowane systemy plików będą nadal skanowane za pomocą szybkich, pełnych i niestandardowych skanów.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | unmonitoredFilesystems | Niemonitorowane systemy plików |
| Typ danych | Tablica ciągów | Dynamiczna lista ciągów |
Uwaga
Skonfigurowany system plików będzie niemonitorowany tylko wtedy, gdy znajduje się na liście dozwolonych niemonitorowanych systemów plików firmy Microsoft.
Domyślnie NFS i Fuse są niemonitorowane z rtp, szybkie i pełne skanowania. Jednak nadal można je skanować za pomocą skanowania niestandardowego. Aby na przykład usunąć system plików NFS z listy niemonitorowanych systemów plików, zaktualizuj zarządzany plik konfiguracji, jak pokazano poniżej. Spowoduje to automatyczne dodanie systemu plików NFS do listy monitorowanych systemów plików dla protokołu RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Aby usunąć systemy plików NFS i Fuse z niemonitorowanej listy systemów plików, wykonaj następujące czynności
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Uwaga
Tu; s domyślną listę monitorowanych systemów plików dla rtp: , , , , , ext4, fuseblk, jfs, , overlay, ramfs, reiserfs, , , tmpfs, vfatxfs. ext3ext2ecryptfsbtrfs
Jeśli jakikolwiek monitorowany system plików musi zostać dodany do listy niemonitorowanych systemów plików, musi zostać oceniony i włączony przez firmę Microsoft za pośrednictwem konfiguracji w chmurze. Po tym, którzy klienci mogą zaktualizować managed_mdatp.json, aby niemonitorować tego systemu plików.
Konfigurowanie funkcji obliczania skrótów plików
Włącza lub wyłącza funkcję obliczania skrótów plików. Po włączeniu tej funkcji usługa Defender for Endpoint oblicza skróty skanujących plików. Należy pamiętać, że włączenie tej funkcji może mieć wpływ na wydajność urządzenia. Aby uzyskać więcej informacji, zobacz: Tworzenie wskaźników dla plików.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | enableFileHashComputation | Włączanie obliczeń skrótów plików |
| Typ danych | Wartość logiczna | Lista rozwijana |
| Dopuszczalne wartości | false (wartość domyślna)
|
Nie skonfigurowano Wyłączone (ustawienie domyślne) Włączone |
Uwaga
Dostępne w usłudze Defender for Endpoint w wersji 101.85.27 lub nowszej.
Dozwolone zagrożenia
Lista zagrożeń (identyfikowanych przez ich nazwę), które nie są blokowane przez produkt i zamiast tego mogą być uruchamiane.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | allowedThreats | Dozwolone zagrożenia |
| Typ danych | Tablica ciągów | Dynamiczna lista ciągów |
Niedozwolone akcje zagrożeń
Ogranicza akcje, które może wykonać lokalny użytkownik urządzenia po wykryciu zagrożeń. Akcje zawarte na tej liście nie są wyświetlane w interfejsie użytkownika.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | disallowedThreatActions | Niedozwolone akcje zagrożeń |
| Typ danych | Tablica ciągów | Dynamiczna lista ciągów |
| Dopuszczalne wartości | allow (ogranicza użytkownikom możliwość zezwalania na zagrożenia)
|
zezwalaj (ogranicza użytkownikom możliwość zezwalania na zagrożenia) przywracanie (ogranicza użytkownikom możliwość przywracania zagrożeń z kwarantanny) |
Uwaga
Dostępne w usłudze Defender for Endpoint w wersji 100.83.73 lub nowszej.
Ustawienia typu zagrożenia
Preferencja threatTypeSettings w aparacie antywirusowym służy do kontrolowania sposobu obsługi określonych typów zagrożeń przez produkt.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | threatTypeSettings | Ustawienia typu zagrożenia |
| Typ danych | Słownik (preferencja zagnieżdżona) | Lista właściwości dynamicznych |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. | Opis właściwości dynamicznych można znaleźć w poniższych sekcjach. |
Typ zagrożenia
Typ zagrożenia, dla którego skonfigurowano zachowanie.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | klucz | Typ zagrożenia |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości | potentially_unwanted_application
|
potentially_unwanted_application archive_bomb |
Akcja do wykonania
Akcja do wykonania w przypadku wystąpienia zagrożenia typu określonego w poprzedniej sekcji. Może to być:
- Inspekcja: urządzenie nie jest chronione przed tego typu zagrożeniem, ale wpis dotyczący zagrożenia jest rejestrowany. (Ustawienie domyślne)
- Blokuj: urządzenie jest chronione przed tego typu zagrożeniem i otrzymujesz powiadomienie w konsoli zabezpieczeń.
- Wyłączone: urządzenie nie jest chronione przed tego typu zagrożeniem i nic nie jest rejestrowane.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | wartość | Akcja do wykonania |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości | audit (wartość domyślna)
|
audyt blok od |
Zasady scalania ustawień typu zagrożenia
Określa zasady scalania dla ustawień typu zagrożenia. Może to być kombinacja ustawień zdefiniowanych przez administratora i zdefiniowanych przez użytkownika (merge) lub tylko ustawień zdefiniowanych przez administratora (admin_only). To ustawienie może służyć do ograniczania użytkownikom lokalnym możliwości definiowania własnych ustawień dla różnych typów zagrożeń.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | threatTypeSettingsMergePolicy | Scalanie ustawień typu zagrożenia |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości | scalanie (domyślne) admin_only |
Nie skonfigurowano scalanie (domyślne) admin_only |
Uwaga
Dostępne w usłudze Defender for Endpoint w wersji 100.83.73 lub nowszej.
Przechowywanie historii skanowania antywirusowego (w dniach)
Określ liczbę dni przechowywania wyników w historii skanowania na urządzeniu. Stare wyniki skanowania są usuwane z historii. Stare pliki poddane kwarantannie, które również są usuwane z dysku.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | scanResultsRetentionDays | Przechowywanie wyników skanowania |
| Typ danych | Ciąg | Przełączanie przełącznika i liczby całkowitej |
| Dopuszczalne wartości | 90 (wartość domyślna). Dozwolone wartości to od 1 dnia do 180 dni. | Nieskonfigurowane (ustawienie wyłączone — domyślne 90-dniowe) Skonfigurowano (włącz) i dozwoloną wartość od 1 do 180 dni. |
Uwaga
Dostępne w usłudze Defender for Endpoint w wersji 101.04.76 lub nowszej.
Maksymalna liczba elementów w historii skanowania antywirusowego
Określ maksymalną liczbę wpisów do zachowania w historii skanowania. Wpisy obejmują wszystkie skany na żądanie wykonywane w przeszłości i wszystkie wykrycia antywirusowe.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | scanHistoryMaximumItems | Rozmiar historii skanowania |
| Typ danych | Ciąg | Przełączanie i liczba całkowita |
| Dopuszczalne wartości | 10000 (wartość domyślna). Dozwolone wartości to od 5000 do 15000 elementów. | Nie skonfigurowano (ustawienie wyłączone — domyślne 10000) Skonfigurowano (włącz) i dozwoloną wartość od 5000 do 15000 elementów. |
Uwaga
Dostępne w usłudze Defender for Endpoint w wersji 101.04.76 lub nowszej.
Zaawansowane opcje skanowania
Następujące ustawienia można skonfigurować w celu włączenia niektórych zaawansowanych funkcji skanowania.
Uwaga
Włączenie tych funkcji może mieć wpływ na wydajność urządzenia. W związku z tym zaleca się zachowanie wartości domyślnych.
Konfigurowanie skanowania zdarzeń uprawnień modyfikowania pliku
Po włączeniu tej funkcji usługa Defender dla punktu końcowego będzie skanować pliki po zmianie ich uprawnień w celu ustawienia bitów wykonywania.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy funkcja jest włączona enableFilePermissionEvents . Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje opcjonalne poniżej, aby uzyskać szczegółowe informacje.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | scanFileModifyPermissions | Niedostępny |
| Typ danych | Wartość logiczna | nie dotyczy |
| Dopuszczalne wartości | false (wartość domyślna) prawdziwy |
nie dotyczy |
Uwaga
Dostępne w usłudze Defender for Endpoint w wersji 101.23062.0010 lub nowszej.
Konfigurowanie skanowania zdarzeń własności modyfikowania plików
Po włączeniu tej funkcji usługa Defender for Endpoint przeskanuje pliki, dla których zmieniono własność.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy funkcja jest włączona enableFileOwnershipEvents . Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje opcjonalne poniżej, aby uzyskać szczegółowe informacje.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | scanFileModifyOwnership | Niedostępny |
| Typ danych | Wartość logiczna | nie dotyczy |
| Dopuszczalne wartości | false (wartość domyślna) prawdziwy |
nie dotyczy |
Uwaga
Dostępne w usłudze Defender for Endpoint w wersji 101.23062.0010 lub nowszej.
Konfigurowanie skanowania nieprzetworzonych zdarzeń gniazd
Po włączeniu tej funkcji usługa Defender for Endpoint przeskanuje zdarzenia gniazd sieciowych, takie jak tworzenie nieprzetworzonych gniazd/gniazd pakietów lub opcja gniazda ustawień.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
Ta funkcja ma zastosowanie tylko wtedy, gdy funkcja jest włączona enableRawSocketEvent . Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje opcjonalne poniżej, aby uzyskać szczegółowe informacje.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | scanNetworkSocketEvent | Niedostępny |
| Typ danych | Wartość logiczna | nie dotyczy |
| Dopuszczalne wartości | false (wartość domyślna) prawdziwy |
nie dotyczy |
Uwaga
Dostępne w usłudze Defender for Endpoint w wersji 101.23062.0010 lub nowszej.
Preferencje ochrony dostarczanej w chmurze
Wpis cloudService w profilu konfiguracji służy do konfigurowania funkcji ochrony opartej na chmurze produktu.
Uwaga
Ochrona dostarczana w chmurze ma zastosowanie do wszystkich ustawień poziomu wymuszania (real_time, on_demand, pasywnych).
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | cloudService | Preferencje ochrony dostarczanej w chmurze |
| Typ danych | Słownik (preferencja zagnieżdżona) | Zwinięta sekcja |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. | Zapoznaj się z poniższymi sekcjami, aby uzyskać opis ustawień zasad. |
Włączanie/wyłączanie ochrony dostarczanej w chmurze
Określa, czy ochrona dostarczana w chmurze jest włączona na urządzeniu, czy nie. Aby zwiększyć bezpieczeństwo usług, zalecamy włączenie tej funkcji.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | Włączone | Włączanie ochrony dostarczanej w chmurze |
| Typ danych | Wartość logiczna | Lista rozwijana |
| Dopuszczalne wartości | true (wartość domyślna)
|
Nie skonfigurowano Wyłączona Włączone (domyślne) |
Poziom kolekcji diagnostycznej
Dane diagnostyczne służą do zapewnienia bezpieczeństwa i aktualności usługi Defender for Endpoint, wykrywania, diagnozowania i rozwiązywania problemów, a także wprowadzania ulepszeń produktu. To ustawienie określa poziom diagnostyki wysyłanej przez produkt do firmy Microsoft. Aby uzyskać więcej informacji, zobacz Prywatność dla usługi Microsoft Defender dla punktu końcowego w systemie Linux.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | diagnosticLevel | Poziom zbierania danych diagnostycznych |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości | optional
|
Nie skonfigurowano opcjonalne (domyślne) Wymagane |
Konfigurowanie poziomu bloku chmury
To ustawienie określa, jak agresywna usługa Defender dla punktu końcowego blokuje i skanuje podejrzane pliki. Jeśli to ustawienie jest włączone, usługa Defender for Endpoint jest bardziej agresywna podczas identyfikowania podejrzanych plików do zablokowania i skanowania; W przeciwnym razie jest mniej agresywny, dlatego blokuje i skanuje z mniejszą częstotliwością.
Istnieje pięć wartości dotyczących ustawiania poziomu bloku chmury:
- Normalny (
normal): domyślny poziom blokowania. - Umiarkowane (
moderate): Dostarcza werdykt tylko w przypadku wykrywania wysokiej ufności. - Wysoka (
high): Agresywnie blokuje nieznane pliki, optymalizując pod kątem wydajności (większe prawdopodobieństwo zablokowania nie szkodliwych plików). - Wysoki plus (
high_plus): agresywnie blokuje nieznane pliki i stosuje dodatkowe środki ochrony (może mieć wpływ na wydajność urządzenia klienckiego). - Zero tolerancji (
zero_tolerance): blokuje wszystkie nieznane programy.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | cloudBlockLevel | Konfigurowanie poziomu bloku chmury |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości | normal (wartość domyślna)
|
Nie skonfigurowano Normalny (domyślny) Umiarkowany High (Wysoki) High_Plus Zero_Tolerance |
Uwaga
Dostępne w usłudze Defender for Endpoint w wersji 101.56.62 lub nowszej.
Włączanie/wyłączanie automatycznych przesyłania przykładów
Określa, czy podejrzane próbki (które mogą zawierać zagrożenia) są wysyłane do firmy Microsoft. Istnieją trzy poziomy kontroli przesyłania przykładów:
- Brak: firma Microsoft nie przesyła żadnych podejrzanych przykładów.
- Bezpieczne: tylko podejrzane próbki, które nie zawierają danych osobowych, są przesyłane automatycznie. Jest to wartość domyślna dla tego ustawienia.
- Wszystkie: wszystkie podejrzane przykłady są przesyłane do firmy Microsoft.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | automaticSampleSubmissionConsent | Włączanie automatycznego przesyłania przykładów |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości | none
|
Nie skonfigurowano Brak Bezpieczne (domyślne) Wszystkie |
Włączanie/wyłączanie automatycznych aktualizacji analizy zabezpieczeń
Określa, czy aktualizacje analizy zabezpieczeń są instalowane automatycznie:
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | automaticDefinitionUpdateEnabled | Automatyczne aktualizacje analizy zabezpieczeń |
| Typ danych | Wartość logiczna | Lista rozwijana |
| Dopuszczalne wartości | true (wartość domyślna)
|
Nie skonfigurowano Wyłączona Włączone (domyślne) |
Zaawansowane funkcje opcjonalne
Następujące ustawienia można skonfigurować w celu włączenia niektórych zaawansowanych funkcji.
Uwaga
Włączenie tych funkcji może mieć wpływ na wydajność urządzenia. Zaleca się zachowanie wartości domyślnych.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | Funkcje | Niedostępny |
| Typ danych | Słownik (preferencja zagnieżdżona) | nie dotyczy |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Funkcja ładowania modułu
Określa, czy zdarzenia ładowania modułu (zdarzenia otwierania pliku w bibliotekach udostępnionych) są monitorowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | moduleLoad | Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.68.80 lub nowszej. |
Dodatkowe konfiguracje czujników
Poniższe ustawienia mogą służyć do konfigurowania niektórych zaawansowanych funkcji dodatkowych czujników.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | supplementarySensorConfigurations | Niedostępny |
| Typ danych | Słownik (preferencja zagnieżdżona) | nie dotyczy |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Konfigurowanie monitorowania zdarzeń uprawnień modyfikowania plików
Określa, czy zdarzenia uprawnień modyfikowania pliku (chmod) są monitorowane.
Uwaga
Po włączeniu tej funkcji usługa Defender dla punktu końcowego będzie monitorować zmiany w wykonywaniu bitów plików, ale nie skanuje tych zdarzeń. Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje skanowania , aby uzyskać więcej informacji.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | enableFilePermissionEvents | Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.23062.0010 lub nowszej. |
Konfigurowanie monitorowania zdarzeń dotyczących modyfikowania plików
Określa, czy zdarzenia własności modyfikowania pliku (chown) są monitorowane.
Uwaga
Po włączeniu tej funkcji usługa Defender for Endpoint będzie monitorować zmiany własności plików, ale nie skanuje tych zdarzeń. Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje skanowania , aby uzyskać więcej informacji.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | enableFileOwnershipEvents | Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.23062.0010 lub nowszej. |
Konfigurowanie monitorowania nieprzetworzonych zdarzeń gniazd
Określa, czy zdarzenia gniazd sieciowych związane z tworzeniem nieprzetworzonych gniazd/gniazd pakietów lub opcją gniazda ustawień są monitorowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania. Po włączeniu tej funkcji usługa Defender dla punktu końcowego będzie monitorować te zdarzenia gniazd sieciowych, ale nie będzie skanować tych zdarzeń. Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje skanowania powyżej, aby uzyskać więcej informacji.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | enableRawSocketEvent | Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.23062.0010 lub nowszej. |
Konfigurowanie monitorowania zdarzeń modułu ładującego rozruch
Określa, czy zdarzenia modułu ładującego rozruchu są monitorowane i skanowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | enableBootLoaderCalls | Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.68.80 lub nowszej. |
Konfigurowanie monitorowania zdarzeń śledzenia
Określa, czy zdarzenia śledzenia są monitorowane i skanowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | enableProcessCalls | Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.68.80 lub nowszej. |
Konfigurowanie monitorowania zdarzeń pseudofs
Określa, czy zdarzenia pseudofs są monitorowane i skanowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | enablePseudofsCalls | Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.68.80 lub nowszej. |
Konfigurowanie monitorowania zdarzeń ładowania modułu przy użyciu eBPF
Określa, czy zdarzenia ładowania modułu są monitorowane przy użyciu eBPF i skanowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | enableEbpfModuleLoadEvents | Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.68.80 lub nowszej. |
Zgłaszanie podejrzanych zdarzeń av do EDR
Określa, czy podejrzane zdarzenia z programu antywirusowego są zgłaszane do EDR.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | sendLowfiEvents | Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.23062.0010 lub nowszej. |
Konfiguracje ochrony sieci
Poniższe ustawienia mogą służyć do konfigurowania zaawansowanych funkcji inspekcji ochrony sieci w celu kontrolowania ruchu sprawdzanego przez usługę Network Protection.
Uwaga
Aby były one skuteczne, należy włączyć ochronę sieci. Aby uzyskać więcej informacji, zobacz Włączanie ochrony sieci dla systemu Linux.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | networkProtection | Ochrona sieci |
| Typ danych | Słownik (preferencja zagnieżdżona) | Zwinięta sekcja |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. | Opis ustawień zasad można znaleźć w poniższych sekcjach. |
Poziom wymuszania
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | enforcementLevel | Poziom wymuszania |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości | disabled (wartość domyślna)audit block |
Nie skonfigurowano wyłączone (ustawienie domyślne) audyt blok |
Konfigurowanie inspekcji protokołu ICMP
Określa, czy zdarzenia ICMP są monitorowane i skanowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | disableIcmpInspection | Niedostępny |
| Typ danych | Wartość logiczna | nie dotyczy |
| Dopuszczalne wartości | true (wartość domyślna)
|
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.23062.0010 lub nowszej. |
Zalecany profil konfiguracji
Aby rozpocząć pracę, zalecamy korzystanie ze wszystkich funkcji ochrony udostępnianych przez usługę Defender for Endpoint w następującym profilu konfiguracji dla przedsiębiorstwa.
Następujący profil konfiguracji:
- Włączanie ochrony w czasie rzeczywistym (RTP)
- Określ sposób obsługi następujących typów zagrożeń:
- Potencjalnie niechciane aplikacje (PUA) są blokowane
- Bomby archiwalne (plik o wysokiej szybkości kompresji) są poddawane inspekcji w dziennikach produktów
- Włączanie automatycznych aktualizacji analizy zabezpieczeń
- Włączanie ochrony dostarczanej w chmurze
- Włączanie automatycznego przesyłania przykładów na
safepoziomie
Przykładowy profil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Przykład pełnego profilu konfiguracji
Poniższy profil konfiguracji zawiera wpisy dla wszystkich ustawień opisanych w tym dokumencie i może służyć do bardziej zaawansowanych scenariuszy, w których chcesz mieć większą kontrolę nad produktem.
Uwaga
Nie można kontrolować całej komunikacji z usługą Microsoft Defender for Endpoint tylko za pomocą ustawienia serwera proxy w tym formacie JSON.
Pełny profil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Dodawanie tagu lub identyfikatora grupy do profilu konfiguracji
Po pierwszym uruchomieniu mdatp health polecenia wartość tagu i identyfikatora grupy będzie pusta. Aby dodać tag lub identyfikator grupy do mdatp_managed.json pliku, wykonaj poniższe kroki:
- Otwórz profil konfiguracji ze ścieżki
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json. - Przejdź do dolnej części pliku, gdzie
cloudServiceznajduje się blok. - Dodaj wymagany tag lub identyfikator grupy jako poniższy przykład na końcu zamykającego nawiasu klamrowego
cloudServicedla elementu .
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
Uwaga
Dodaj przecinek po zamykającym nawiasie klamrowym na końcu cloudService bloku. Upewnij się również, że istnieją dwa zamykające nawiasy klamrowe po dodaniu bloku Tag lub Identyfikator grupy (zobacz powyższy przykład). Obecnie jedyną obsługiwaną nazwą klucza tagów jest GROUP.
Sprawdzanie poprawności profilu konfiguracji
Profil konfiguracji musi być prawidłowym plikiem w formacie JSON. Istnieje wiele narzędzi, których można użyć do zweryfikowania tego. Jeśli na przykład python zainstalowano na urządzeniu:
python -m json.tool mdatp_managed.json
Jeśli kod JSON jest dobrze sformułowany, powyższe polecenie wyprowadza go z powrotem do terminalu i zwraca kod zakończenia .0 W przeciwnym razie zostanie wyświetlony błąd opisujący problem, a polecenie zwróci kod zakończenia .1
Sprawdzanie, czy plik mdatp_managed.json działa zgodnie z oczekiwaniami
Aby sprawdzić, czy /etc/opt/microsoft/mdatp/managed/mdatp_managed.json działa prawidłowo, obok tych ustawień powinien zostać wyświetlony komunikat "[managed]":
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
Uwaga
Aby zmiany większości konfiguracji w mdatp_managed.json zaczęły obowiązywać, nie jest wymagane ponowne uruchomienie demona mdatp. Wyjątek: Następujące konfiguracje wymagają ponownego uruchomienia demona, aby obowiązywać:
- cloud-diagnostic
- log-rotation-parameters
Wdrażanie profilu konfiguracji
Po utworzeniu profilu konfiguracji dla przedsiębiorstwa można go wdrożyć za pomocą narzędzia do zarządzania używanego przez przedsiębiorstwo. Usługa Defender for Endpoint w systemie Linux odczytuje konfigurację zarządzana z pliku /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .
Porada
Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla