Ustaw preferencje dla ochrony punktu końcowego w usłudze Microsoft Defender w systemie Linux
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Ważna
Ten temat zawiera instrukcje dotyczące ustawiania preferencji dla usługi Defender dla punktu końcowego w systemie Linux w środowiskach przedsiębiorstwa. Jeśli chcesz skonfigurować produkt na urządzeniu z poziomu wiersza polecenia, zobacz Zasoby.
W środowiskach przedsiębiorstwa usługą Defender for Endpoint w systemie Linux można zarządzać za pośrednictwem profilu konfiguracji. Ten profil jest wdrażany z wybranego narzędzia do zarządzania. Preferencje zarządzane przez przedsiębiorstwo mają pierwszeństwo przed preferencjami ustawionymi lokalnie na urządzeniu. Innymi słowy, użytkownicy w przedsiębiorstwie nie mogą zmieniać preferencji ustawionych za pomocą tego profilu konfiguracji. Jeśli wykluczenia zostały dodane za pośrednictwem profilu konfiguracji zarządzanej, można je usunąć tylko za pośrednictwem profilu konfiguracji zarządzanej. Wiersz polecenia działa w przypadku wykluczeń, które zostały dodane lokalnie.
W tym artykule opisano strukturę tego profilu (w tym zalecany profil, którego można użyć do rozpoczęcia pracy) oraz instrukcje dotyczące sposobu wdrażania profilu.
Struktura profilu konfiguracji
Profil konfiguracji jest plikiem .json, który składa się z wpisów zidentyfikowanych przez klucz (co oznacza nazwę preferencji), po którym następuje wartość, która zależy od charakteru preferencji. Wartości mogą być proste, takie jak wartość liczbowa lub złożone, takie jak zagnieżdżona lista preferencji.
Zazwyczaj należy użyć narzędzia do zarządzania konfiguracją, aby wypchnąć plik o nazwie mdatp_managed.json w lokalizacji /etc/opt/microsoft/mdatp/managed/.
Najwyższy poziom profilu konfiguracji zawiera preferencje dla całego produktu i wpisy dla obszarów podrzędnych produktu, co opisano bardziej szczegółowo w następnych sekcjach.
Preferencje aparatu antywirusowego
Sekcja antivirusEngine profilu konfiguracji służy do zarządzania preferencjami składnika antywirusowego produktu.
| Opis | Value |
|---|---|
| Klucz | antivirusEngine |
| Typ danych | Słownik (preferencja zagnieżdżona) |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Poziom wymuszania dla aparatu antywirusowego
Określa preferencje wymuszania aparatu antywirusowego. Istnieją trzy wartości dotyczące ustawiania poziomu wymuszania:
- W czasie rzeczywistym (
real_time): włączono ochronę w czasie rzeczywistym (skanuj pliki w miarę ich modyfikowania). - Na żądanie (
on_demand): pliki są skanowane tylko na żądanie. W tym:- Ochrona w czasie rzeczywistym jest wyłączona.
- Pasywne (
passive): uruchamia aparat antywirusowy w trybie pasywnym. W tym:- Ochrona w czasie rzeczywistym jest wyłączona: zagrożenia nie są korygowane przez program antywirusowy Microsoft Defender.
- Skanowanie na żądanie jest włączone: nadal używaj możliwości skanowania w punkcie końcowym.
- Automatyczne korygowanie zagrożeń jest wyłączone: żadne pliki nie zostaną przeniesione, a administrator zabezpieczeń powinien podjąć wymagane działania.
- Aktualizacje analizy zabezpieczeń są włączone: alerty będą dostępne w dzierżawie administratorów zabezpieczeń.
| Opis | Value |
|---|---|
| Klucz | enforcementLevel |
| Typ danych | Ciąg |
| Dopuszczalne wartości | real_time on_demand passive (wartość domyślna) |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.10.72 lub nowszej. Wartość domyślna została zmieniona z real_time na pasywną dla punktu końcowego w wersji 101.23062.0001 lub nowszej. |
Włączanie/wyłączanie monitorowania zachowania
Określa, czy funkcja monitorowania i blokowania zachowania jest włączona na urządzeniu, czy nie.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy funkcja ochrony Real-Time jest włączona.
| Opis | Value |
|---|---|
| Klucz | behaviorMonitoring |
| Typ danych | Ciąg |
| Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.45.00 lub nowszej. |
Uruchamianie skanowania po zaktualizowaniu definicji
Określa, czy należy rozpocząć skanowanie procesu po pobraniu nowych aktualizacji analizy zabezpieczeń na urządzeniu. Włączenie tego ustawienia powoduje uruchomienie skanowania antywirusowego w uruchomionych procesach urządzenia.
| Opis | Value |
|---|---|
| Klucz | scanAfterDefinitionUpdate |
| Typ danych | Wartość logiczna |
| Dopuszczalne wartości | true (wartość domyślna) False |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.45.00 lub nowszej. |
Skanuj archiwa (tylko skanowanie antywirusowe na żądanie)
Określa, czy skanować archiwa podczas skanowania antywirusowego na żądanie.
Uwaga
Pliki archiwum nigdy nie są skanowane podczas ochrony w czasie rzeczywistym. Po wyodrębnieniu plików w archiwum są one skanowane. Opcja scanArchives może służyć do wymuszania skanowania archiwów tylko podczas skanowania na żądanie.
| Opis | Value |
|---|---|
| Klucz | scanArchives |
| Typ danych | Wartość logiczna |
| Dopuszczalne wartości | true (wartość domyślna) False |
| Komentarze | Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji 101.45.00 lub nowszej. |
Stopień równoległości skanowania na żądanie
Określa stopień równoległości skanowania na żądanie. Odpowiada to liczbie wątków używanych do skanowania i wpływa na użycie procesora CPU oraz czas trwania skanowania na żądanie.
| Opis | Value |
|---|---|
| Klucz | maximumOnDemandScanThreads |
| Typ danych | Liczba całkowita |
| Dopuszczalne wartości | 2 (wartość domyślna). Dozwolone wartości to liczby całkowite z zakresu od 1 do 64. |
| Komentarze | Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji 101.45.00 lub nowszej. |
Zasady scalania wykluczeń
Określa zasady scalania dla wykluczeń. Może to być kombinacja wykluczeń zdefiniowanych przez administratora i zdefiniowanych przez użytkownika (merge) lub tylko wykluczeń zdefiniowanych przez administratora (admin_only). To ustawienie może służyć do ograniczania użytkownikom lokalnym definiowania własnych wykluczeń.
| Opis | Value |
|---|---|
| Klucz | exclusionsMergePolicy |
| Typ danych | Ciąg |
| Dopuszczalne wartości | scalanie (domyślne) admin_only |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 100.83.73 lub nowszej. |
Wykluczeń skanowania
Jednostki, które zostały wykluczone ze skanowania. Wykluczenia można określić za pomocą pełnych ścieżek, rozszerzeń lub nazw plików. (Wykluczenia są określane jako tablica elementów, administrator może określić dowolną liczbę elementów w dowolnej kolejności).
| Opis | Value |
|---|---|
| Klucz | Wykluczenia |
| Typ danych | Słownik (preferencja zagnieżdżona) |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Typ wykluczenia
Określa typ zawartości wykluczonej ze skanowania.
| Opis | Value |
|---|---|
| Klucz | $type |
| Typ danych | Ciąg |
| Dopuszczalne wartości | excludedPath excludedFileExtension excludedFileName |
Ścieżka do wykluczonej zawartości
Służy do wykluczania zawartości ze skanowania za pomocą pełnej ścieżki pliku.
| Opis | Value |
|---|---|
| Klucz | Ścieżka |
| Typ danych | Ciąg |
| Dopuszczalne wartości | prawidłowe ścieżki |
| Komentarze | Dotyczy tylko wtedy, gdy $type jest excludedPath |
Typ ścieżki (plik/katalog)
Wskazuje, czy właściwość path odwołuje się do pliku lub katalogu.
| Opis | Value |
|---|---|
| Klucz | isDirectory |
| Typ danych | Wartość logiczna |
| Dopuszczalne wartości | false (wartość domyślna) True |
| Komentarze | Dotyczy tylko wtedy, gdy $type jest excludedPath |
Rozszerzenie pliku wykluczone ze skanowania
Służy do wykluczania zawartości ze skanowania według rozszerzenia pliku.
| Opis | Value |
|---|---|
| Klucz | Rozszerzenie |
| Typ danych | Ciąg |
| Dopuszczalne wartości | prawidłowe rozszerzenia plików |
| Komentarze | Dotyczy tylko wtedy, gdy $type jest wykluczoneFileExtension |
Proces wykluczony ze skanowania*
Określa proces, dla którego wszystkie działania plików są wykluczone ze skanowania. Proces można określić za pomocą jego nazwy (na przykład cat) lub pełnej ścieżki (na przykład /bin/cat).
| Opis | Value |
|---|---|
| Klucz | Nazwa |
| Typ danych | Ciąg |
| Dopuszczalne wartości | dowolny ciąg |
| Komentarze | Dotyczy tylko wtedy, gdy $type jest wykluczoneFileName |
Wyciszenie instalacji innych niż Exec
Określa zachowanie protokołu RTP w punkcie instalacji oznaczonym jako noexec. Istnieją dwie wartości ustawienia:
- Unmuted (
unmute): wartość domyślna, wszystkie punkty instalacji są skanowane w ramach rtp. - Wyciszony (
mute): punkty instalacji oznaczone jako noexec nie są skanowane w ramach rtp, te punkty instalacji można utworzyć dla:- Pliki bazy danych na serwerach bazy danych do przechowywania plików bazowych danych.
- Serwer plików może przechowywać punkty instalacji plików danych z opcją noexec.
- Tworzenie kopii zapasowej umożliwia przechowywanie punktów instalacji plików danych z opcją noexec.
| Opis | Value |
|---|---|
| Klucz | nonExecMountPolicy |
| Typ danych | Ciąg |
| Dopuszczalne wartości | unmute (wartość domyślna) Wycisz |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.85.27 lub nowszej. |
Niemonitoruj systemów plików
Skonfiguruj systemy plików tak, aby były niemonitorowane/wykluczone z ochrony czasu rzeczywistego(RTP). Skonfigurowane systemy plików są weryfikowane względem listy dozwolonych systemów plików Microsoft Defender. Tylko po pomyślnej weryfikacji system plików będzie mógł być niemonitorowany. Te skonfigurowane niemonitorowane systemy plików będą nadal skanowane za pomocą szybkich, pełnych i niestandardowych skanów.
| Opis | Value |
|---|---|
| Klucz | unmonitoredFilesystems |
| Typ danych | Tablica ciągów |
| Komentarze | Skonfigurowany system plików będzie niemonitorowany tylko wtedy, gdy znajduje się na liście dozwolonych niemonitorowanych systemów plików firmy Microsoft. |
Domyślnie NFS i Fuse są niemonitorowane z rtp, szybkie i pełne skanowania. Jednak nadal można je skanować za pomocą skanowania niestandardowego. Aby na przykład usunąć system plików NFS z listy niemonitorowanych systemów plików, zaktualizuj zarządzany plik konfiguracji, jak pokazano poniżej. Spowoduje to automatyczne dodanie systemu plików NFS do listy monitorowanych systemów plików dla protokołu RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Aby usunąć systemy plików NFS i Fuse z niemonitorowanej listy systemów plików, wykonaj następujące czynności
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Uwaga
Poniżej znajduje się domyślna lista monitorowanych systemów plików dla rtp -
[btrfs, ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, reiserfs, tmpfs, vfat, xfs]
Jeśli jakikolwiek monitorowany system plików musi zostać dodany do listy niemonitorowanych systemów plików, musi zostać oceniony i włączony przez firmę Microsoft za pośrednictwem konfiguracji w chmurze. Po tym, którzy klienci mogą zaktualizować managed_mdatp.json, aby niemonitorować tego systemu plików.
Konfigurowanie funkcji obliczania skrótów plików
Włącza lub wyłącza funkcję obliczania skrótów plików. Po włączeniu tej funkcji usługa Defender for Endpoint oblicza skróty skanujących plików. Należy pamiętać, że włączenie tej funkcji może mieć wpływ na wydajność urządzenia. Aby uzyskać więcej informacji, zobacz: Twórca wskaźniki dla plików.
| Opis | Value |
|---|---|
| Klucz | enableFileHashComputation |
| Typ danych | Wartość logiczna |
| Dopuszczalne wartości | false (wartość domyślna) True |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.85.27 lub nowszej. |
Dozwolone zagrożenia
Lista zagrożeń (identyfikowanych przez ich nazwę), które nie są blokowane przez produkt i zamiast tego mogą być uruchamiane.
| Opis | Value |
|---|---|
| Klucz | allowedThreats |
| Typ danych | Tablica ciągów |
Niedozwolone akcje zagrożeń
Ogranicza akcje, które może wykonać lokalny użytkownik urządzenia po wykryciu zagrożeń. Akcje zawarte na tej liście nie są wyświetlane w interfejsie użytkownika.
| Opis | Value |
|---|---|
| Klucz | disallowedThreatActions |
| Typ danych | Tablica ciągów |
| Dopuszczalne wartości | zezwalaj (ogranicza użytkownikom możliwość zezwalania na zagrożenia) przywracanie (ogranicza użytkownikom możliwość przywracania zagrożeń z kwarantanny) |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 100.83.73 lub nowszej. |
Ustawienia typu zagrożenia
Preferencja threatTypeSettings w aparacie antywirusowym służy do kontrolowania sposobu obsługi określonych typów zagrożeń przez produkt.
| Opis | Value |
|---|---|
| Klucz | threatTypeSettings |
| Typ danych | Słownik (preferencja zagnieżdżona) |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Typ zagrożenia
Typ zagrożenia, dla którego skonfigurowano zachowanie.
| Opis | Value |
|---|---|
| Klucz | Klucz |
| Typ danych | Ciąg |
| Dopuszczalne wartości | potentially_unwanted_application archive_bomb |
Akcja do wykonania
Akcja do wykonania w przypadku wystąpienia zagrożenia typu określonego w poprzedniej sekcji. Może to być:
- Inspekcja: urządzenie nie jest chronione przed tego typu zagrożeniem, ale wpis dotyczący zagrożenia jest rejestrowany.
- Blokuj: urządzenie jest chronione przed tego typu zagrożeniem i otrzymujesz powiadomienie w konsoli zabezpieczeń.
- Wyłączone: urządzenie nie jest chronione przed tego typu zagrożeniem i nic nie jest rejestrowane.
| Opis | Value |
|---|---|
| Klucz | Wartość |
| Typ danych | Ciąg |
| Dopuszczalne wartości | audit (wartość domyślna) Bloku wyłączone |
Zasady scalania ustawień typu zagrożenia
Określa zasady scalania dla ustawień typu zagrożenia. Może to być kombinacja ustawień zdefiniowanych przez administratora i zdefiniowanych przez użytkownika (merge) lub tylko ustawień zdefiniowanych przez administratora (admin_only). To ustawienie może służyć do ograniczania użytkownikom lokalnym możliwości definiowania własnych ustawień dla różnych typów zagrożeń.
| Opis | Value |
|---|---|
| Klucz | threatTypeSettingsMergePolicy |
| Typ danych | Ciąg |
| Dopuszczalne wartości | scalanie (domyślne) admin_only |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 100.83.73 lub nowszej. |
Przechowywanie historii skanowania antywirusowego (w dniach)
Określ liczbę dni przechowywania wyników w historii skanowania na urządzeniu. Stare wyniki skanowania są usuwane z historii. Stare pliki poddane kwarantannie, które również są usuwane z dysku.
| Opis | Value |
|---|---|
| Klucz | scanResultsRetentionDays |
| Typ danych | Ciąg |
| Dopuszczalne wartości | 90 (wartość domyślna). Dozwolone wartości to od 1 dnia do 180 dni. |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.04.76 lub nowszej. |
Maksymalna liczba elementów w historii skanowania antywirusowego
Określ maksymalną liczbę wpisów do zachowania w historii skanowania. Wpisy obejmują wszystkie skany na żądanie wykonywane w przeszłości i wszystkie wykrycia antywirusowe.
| Opis | Value |
|---|---|
| Klucz | scanHistoryMaximumItems |
| Typ danych | Ciąg |
| Dopuszczalne wartości | 10000 (wartość domyślna). Dozwolone wartości to od 5000 do 15000 elementów. |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.04.76 lub nowszej. |
Zaawansowane opcje skanowania
Następujące ustawienia można skonfigurować w celu włączenia niektórych zaawansowanych funkcji skanowania.
Uwaga
Włączenie tych funkcji może mieć wpływ na wydajność urządzenia. W związku z tym zaleca się zachowanie wartości domyślnych.
Konfigurowanie skanowania zdarzeń uprawnień modyfikowania pliku
Po włączeniu tej funkcji usługa Defender dla punktu końcowego będzie skanować pliki po zmianie ich uprawnień w celu ustawienia bitów wykonywania.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy funkcja jest włączona enableFilePermissionEvents . Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje opcjonalne poniżej, aby uzyskać szczegółowe informacje.
| Opis | Value |
|---|---|
| Klucz | scanFileModifyPermissions |
| Typ danych | Wartość logiczna |
| Dopuszczalne wartości | false (wartość domyślna) True |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.23062.0010 lub nowszej. |
Konfigurowanie skanowania zdarzeń własności modyfikowania plików
Po włączeniu tej funkcji usługa Defender for Endpoint przeskanuje pliki, dla których zmieniono własność.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy funkcja jest włączona enableFileOwnershipEvents . Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje opcjonalne poniżej, aby uzyskać szczegółowe informacje.
| Opis | Value |
|---|---|
| Klucz | scanFileModifyOwnership |
| Typ danych | Wartość logiczna |
| Dopuszczalne wartości | false (wartość domyślna) True |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.23062.0010 lub nowszej. |
Konfigurowanie skanowania nieprzetworzonych zdarzeń gniazd
Po włączeniu tej funkcji usługa Defender for Endpoint przeskanuje zdarzenia gniazd sieciowych, takie jak tworzenie nieprzetworzonych gniazd/gniazd pakietów lub opcja gniazda ustawień.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy funkcja jest włączona enableRawSocketEvent . Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje opcjonalne poniżej, aby uzyskać szczegółowe informacje.
| Opis | Value |
|---|---|
| Klucz | scanNetworkSocketEvent |
| Typ danych | Wartość logiczna |
| Dopuszczalne wartości | false (wartość domyślna) True |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.23062.0010 lub nowszej. |
Preferencje ochrony dostarczanej w chmurze
Wpis cloudService w profilu konfiguracji służy do konfigurowania funkcji ochrony opartej na chmurze produktu.
Uwaga
Ochrona dostarczana w chmurze ma zastosowanie do wszystkich ustawień poziomu wymuszania (real_time, on_demand, pasywnych).
| Opis | Value |
|---|---|
| Klucz | cloudService |
| Typ danych | Słownik (preferencja zagnieżdżona) |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Włączanie/wyłączanie ochrony dostarczanej w chmurze
Określa, czy ochrona dostarczana w chmurze jest włączona na urządzeniu, czy nie. Aby zwiększyć bezpieczeństwo usług, zalecamy włączenie tej funkcji.
| Opis | Value |
|---|---|
| Klucz | Włączone |
| Typ danych | Wartość logiczna |
| Dopuszczalne wartości | true (wartość domyślna) False |
Poziom kolekcji diagnostycznej
Dane diagnostyczne służą do zapewnienia bezpieczeństwa i aktualności usługi Defender for Endpoint, wykrywania, diagnozowania i rozwiązywania problemów, a także wprowadzania ulepszeń produktu. To ustawienie określa poziom diagnostyki wysyłanej przez produkt do firmy Microsoft.
| Opis | Value |
|---|---|
| Klucz | diagnosticLevel |
| Typ danych | Ciąg |
| Dopuszczalne wartości | Opcjonalne required (wartość domyślna) |
Konfigurowanie poziomu bloku chmury
To ustawienie określa, jak agresywna usługa Defender dla punktu końcowego blokuje i skanuje podejrzane pliki. Jeśli to ustawienie jest włączone, usługa Defender for Endpoint jest bardziej agresywna podczas identyfikowania podejrzanych plików do zablokowania i skanowania; W przeciwnym razie jest mniej agresywny, dlatego blokuje i skanuje z mniejszą częstotliwością.
Istnieje pięć wartości dotyczących ustawiania poziomu bloku chmury:
- Normalny (
normal): domyślny poziom blokowania. - Umiarkowane (
moderate): Dostarcza werdykt tylko w przypadku wykrywania wysokiej ufności. - Wysoka (
high): Agresywnie blokuje nieznane pliki, optymalizując pod kątem wydajności (większe prawdopodobieństwo zablokowania nie szkodliwych plików). - Wysoki plus (
high_plus): agresywnie blokuje nieznane pliki i stosuje dodatkowe środki ochrony (może mieć wpływ na wydajność urządzenia klienckiego). - Zero tolerancji (
zero_tolerance): blokuje wszystkie nieznane programy.
| Opis | Value |
|---|---|
| Klucz | cloudBlockLevel |
| Typ danych | Ciąg |
| Dopuszczalne wartości | normalny (domyślny) Umiarkowane Wysokiej high_plus zero_tolerance |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.56.62 lub nowszej. |
Włączanie/wyłączanie automatycznych przesyłania przykładów
Określa, czy podejrzane próbki (które mogą zawierać zagrożenia) są wysyłane do firmy Microsoft. Istnieją trzy poziomy kontroli przesyłania przykładów:
- Brak: firma Microsoft nie przesyła żadnych podejrzanych przykładów.
- Bezpieczne: tylko podejrzane próbki, które nie zawierają danych osobowych, są przesyłane automatycznie. Jest to wartość domyślna dla tego ustawienia.
- Wszystkie: wszystkie podejrzane przykłady są przesyłane do firmy Microsoft.
| Opis | Value |
|---|---|
| Klucz | automaticSampleSubmissionConsent |
| Typ danych | Ciąg |
| Dopuszczalne wartości | brak safe (wartość domyślna) Wszystkie |
Włączanie/wyłączanie automatycznych aktualizacji analizy zabezpieczeń
Określa, czy aktualizacje analizy zabezpieczeń są instalowane automatycznie:
| Opis | Value |
|---|---|
| Klucz | automaticDefinitionUpdateEnabled |
| Typ danych | Wartość logiczna |
| Dopuszczalne wartości | true (wartość domyślna) False |
Zaawansowane funkcje opcjonalne
Następujące ustawienia można skonfigurować w celu włączenia niektórych zaawansowanych funkcji.
Uwaga
Włączenie tych funkcji może mieć wpływ na wydajność urządzenia. Zaleca się zachowanie wartości domyślnych.
| Opis | Value |
|---|---|
| Klucz | Funkcje |
| Typ danych | Słownik (preferencja zagnieżdżona) |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Funkcja ładowania modułu
Określa, czy zdarzenia ładowania modułu (zdarzenia otwierania pliku w bibliotekach udostępnionych) są monitorowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
| Opis | Value |
|---|---|
| Klucz | moduleLoad |
| Typ danych | Ciąg |
| Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.68.80 lub nowszej. |
Dodatkowe konfiguracje czujników
Poniższe ustawienia mogą służyć do konfigurowania niektórych zaawansowanych funkcji dodatkowych czujników.
| Opis | Value |
|---|---|
| Klucz | supplementarySensorConfigurations |
| Typ danych | Słownik (preferencja zagnieżdżona) |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Konfigurowanie monitorowania zdarzeń uprawnień modyfikowania plików
Określa, czy zdarzenia uprawnień modyfikowania pliku (chmod) są monitorowane.
Uwaga
Po włączeniu tej funkcji usługa Defender dla punktu końcowego będzie monitorować zmiany w wykonywaniu bitów plików, ale nie skanuje tych zdarzeń. Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje skanowania , aby uzyskać więcej informacji.
| Opis | Value |
|---|---|
| Klucz | enableFilePermissionEvents |
| Typ danych | Ciąg |
| Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.23062.0010 lub nowszej. |
Konfigurowanie monitorowania zdarzeń dotyczących modyfikowania plików
Określa, czy zdarzenia własności modyfikowania pliku (chown) są monitorowane.
Uwaga
Po włączeniu tej funkcji usługa Defender for Endpoint będzie monitorować zmiany własności plików, ale nie skanuje tych zdarzeń. Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje skanowania , aby uzyskać więcej informacji.
| Opis | Value |
|---|---|
| Klucz | enableFileOwnershipEvents |
| Typ danych | Ciąg |
| Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.23062.0010 lub nowszej. |
Konfigurowanie monitorowania nieprzetworzonych zdarzeń gniazd
Określa, czy zdarzenia gniazd sieciowych związane z tworzeniem nieprzetworzonych gniazd/gniazd pakietów lub opcją gniazda ustawień są monitorowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
Uwaga
Po włączeniu tej funkcji usługa Defender dla punktu końcowego będzie monitorować te zdarzenia gniazd sieciowych, ale nie będzie skanować tych zdarzeń. Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje skanowania powyżej, aby uzyskać więcej informacji.
| Opis | Value |
|---|---|
| Klucz | enableRawSocketEvent |
| Typ danych | Ciąg |
| Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.23062.0010 lub nowszej. |
Konfigurowanie monitorowania zdarzeń modułu ładującego rozruch
Określa, czy zdarzenia modułu ładującego rozruchu są monitorowane i skanowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
| Opis | Value |
|---|---|
| Klucz | enableBootLoaderCalls |
| Typ danych | Ciąg |
| Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.68.80 lub nowszej. |
Konfigurowanie monitorowania zdarzeń śledzenia
Określa, czy zdarzenia śledzenia są monitorowane i skanowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
| Opis | Value |
|---|---|
| Klucz | enableProcessCalls |
| Typ danych | Ciąg |
| Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.68.80 lub nowszej. |
Konfigurowanie monitorowania zdarzeń pseudofs
Określa, czy zdarzenia pseudofs są monitorowane i skanowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
| Opis | Value |
|---|---|
| Klucz | enablePseudofsCalls |
| Typ danych | Ciąg |
| Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.68.80 lub nowszej. |
Konfigurowanie monitorowania zdarzeń ładowania modułu przy użyciu eBPF
Określa, czy zdarzenia ładowania modułu są monitorowane przy użyciu eBPF i skanowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
| Opis | Value |
|---|---|
| Klucz | enableEbpfModuleLoadEvents |
| Typ danych | Ciąg |
| Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.68.80 lub nowszej. |
Zgłaszanie podejrzanych zdarzeń av do EDR
Określa, czy podejrzane zdarzenia z programu antywirusowego są zgłaszane do EDR.
| Opis | Value |
|---|---|
| Klucz | sendLowfiEvents |
| Typ danych | Ciąg |
| Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.23062.0010 lub nowszej. |
Konfiguracje ochrony sieci
Poniższe ustawienia mogą służyć do konfigurowania zaawansowanych funkcji inspekcji ochrony sieci w celu kontrolowania ruchu sprawdzanego przez usługę Network Protection.
Uwaga
Aby były one skuteczne, należy włączyć ochronę sieci. Aby uzyskać więcej informacji, zobacz Włączanie ochrony sieci dla systemu Linux.
| Opis | Value |
|---|---|
| Klucz | networkProtection |
| Typ danych | Słownik (preferencja zagnieżdżona) |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Konfigurowanie inspekcji protokołu ICMP
Określa, czy zdarzenia ICMP są monitorowane i skanowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
| Opis | Value |
|---|---|
| Klucz | disableIcmpInspection |
| Typ danych | Wartość logiczna |
| Dopuszczalne wartości | true (wartość domyślna) False |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.23062.0010 lub nowszej. |
Zalecany profil konfiguracji
Aby rozpocząć pracę, zalecamy korzystanie ze wszystkich funkcji ochrony udostępnianych przez usługę Defender for Endpoint w następującym profilu konfiguracji dla przedsiębiorstwa.
Następujący profil konfiguracji:
- Włączanie ochrony w czasie rzeczywistym (RTP)
- Określ sposób obsługi następujących typów zagrożeń:
- Potencjalnie niechciane aplikacje (PUA) są blokowane
- Bomby archiwalne (plik o wysokiej szybkości kompresji) są poddawane inspekcji w dziennikach produktów
- Włączanie automatycznych aktualizacji analizy zabezpieczeń
- Włączanie ochrony dostarczanej w chmurze
- Włączanie automatycznego przesyłania przykładów na
safepoziomie
Przykładowy profil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Przykład pełnego profilu konfiguracji
Poniższy profil konfiguracji zawiera wpisy dla wszystkich ustawień opisanych w tym dokumencie i może służyć do bardziej zaawansowanych scenariuszy, w których chcesz mieć większą kontrolę nad produktem.
Uwaga
Nie można kontrolować wszystkich Ochrona punktu końcowego w usłudze Microsoft Defender komunikacji tylko z ustawieniem serwera proxy w tym formacie JSON.
Pełny profil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Dodawanie tagu lub identyfikatora grupy do profilu konfiguracji
Po pierwszym uruchomieniu mdatp health polecenia wartość tagu i identyfikatora grupy będzie pusta. Aby dodać tag lub identyfikator grupy do mdatp_managed.json pliku, wykonaj poniższe kroki:
- Otwórz profil konfiguracji ze ścieżki
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json. - Przejdź do dolnej części pliku, gdzie
cloudServiceznajduje się blok. - Dodaj wymagany tag lub identyfikator grupy jako poniższy przykład na końcu zamykającego nawiasu klamrowego
cloudServicedla elementu .
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
Uwaga
Dodaj przecinek po zamykającym nawiasie klamrowym na końcu cloudService bloku. Upewnij się również, że istnieją dwa zamykające nawiasy klamrowe po dodaniu bloku Tag lub Identyfikator grupy (zobacz powyższy przykład). Obecnie jedyną obsługiwaną nazwą klucza tagów jest GROUP.
Sprawdzanie poprawności profilu konfiguracji
Profil konfiguracji musi być prawidłowym plikiem w formacie JSON. Istnieje wiele narzędzi, których można użyć do zweryfikowania tego. Jeśli na przykład python zainstalowano na urządzeniu:
python -m json.tool mdatp_managed.json
Jeśli kod JSON jest dobrze sformułowany, powyższe polecenie wyprowadza go z powrotem do terminalu i zwraca kod zakończenia .0 W przeciwnym razie zostanie wyświetlony błąd opisujący problem, a polecenie zwróci kod zakończenia .1
Sprawdzanie, czy plik mdatp_managed.json działa zgodnie z oczekiwaniami
Aby sprawdzić, czy /etc/opt/microsoft/mdatp/managed/mdatp_managed.json działa prawidłowo, obok tych ustawień powinien zostać wyświetlony komunikat "[managed]":
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
Uwaga
Aby zmiany większości konfiguracji w mdatp_managed.json zaczęły obowiązywać, nie jest wymagane ponowne uruchomienie demona mdatp. Wyjątek: Następujące konfiguracje wymagają ponownego uruchomienia demona, aby obowiązywać:
- cloud-diagnostic
- log-rotation-parameters
Wdrażanie profilu konfiguracji
Po utworzeniu profilu konfiguracji dla przedsiębiorstwa można go wdrożyć za pomocą narzędzia do zarządzania używanego przez przedsiębiorstwo. Usługa Defender for Endpoint w systemie Linux odczytuje konfigurację zarządzana z pliku /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla