Wykrywanie i blokowanie potencjalnie niechcianych aplikacji za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Funkcja ochrony potencjalnie niechcianej aplikacji (PUA) w usłudze Defender for Endpoint w systemie Linux może wykrywać i blokować pliki PUA w punktach końcowych w sieci.

Te aplikacje nie są uważane za wirusy, złośliwe oprogramowanie ani inne typy zagrożeń, ale mogą wykonywać akcje w punktach końcowych, które niekorzystnie wpływają na ich wydajność lub użycie. Usługa PUA może również odwoływać się do aplikacji, które są uważane za mające słabą reputację.

Te aplikacje mogą zwiększyć ryzyko zainfekowania sieci złośliwym oprogramowaniem, spowodować, że infekcje złośliwego oprogramowania będą trudniejsze do zidentyfikowania i mogą marnować zasoby IT podczas czyszczenia aplikacji.

Jak to działa

Usługa Defender for Endpoint w systemie Linux może wykrywać i zgłaszać pliki PUA. Po skonfigurowaniu w trybie blokowania pliki PUA są przenoszone do kwarantanny.

Po wykryciu pua w punkcie końcowym, defender dla punktu końcowego w systemie Linux przechowuje zapis infekcji w historii zagrożeń. Historię można zwizualizować z portalu Microsoft Defender lub za pomocą narzędzia wiersza mdatp polecenia. Nazwa zagrożenia będzie zawierać słowo "Aplikacja".

Konfigurowanie ochrony pua

Ochronę pua w usłudze Defender dla punktu końcowego w systemie Linux można skonfigurować na jeden z następujących sposobów:

  • Wyłączone: ochrona pua jest wyłączona.
  • Inspekcja: pliki PUA są zgłaszane w dziennikach produktów, ale nie w Microsoft Defender XDR. Żaden zapis zakażenia nie jest przechowywany w historii zagrożeń i produkt nie podejmuje żadnych działań.
  • Blokuj: pliki PUA są zgłaszane w dziennikach produktów i w Microsoft Defender XDR. Zapis zakażenia jest przechowywany w historii zagrożeń, a produkt podejmuje działania.

Ostrzeżenie

Domyślnie ochrona pua jest skonfigurowana w trybie inspekcji .

Sposób obsługi plików PUA można skonfigurować z poziomu wiersza polecenia lub konsoli zarządzania.

Użyj narzędzia wiersza polecenia, aby skonfigurować ochronę pua:

W terminalu wykonaj następujące polecenie, aby skonfigurować ochronę pua:

mdatp threat policy set --type potentially_unwanted_application --action [off|audit|block]

Użyj konsoli zarządzania, aby skonfigurować ochronę pua:

W przedsiębiorstwie można skonfigurować ochronę pua z poziomu konsoli zarządzania, takiej jak Puppet lub Ansible, podobnie jak w przypadku innych ustawień produktu. Aby uzyskać więcej informacji, zobacz sekcję Ustawienia typu zagrożenia w artykule Ustawianie preferencji dla usługi Defender dla punktu końcowego w systemie Linux .

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.