Definir preferências para o Microsoft Defender para Ponto de Extremidade no Linux
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Importante
Este tópico contém instruções de como definir preferências para o Defender para Ponto de Extremidade no Linux em ambientes corporativos. Se você estiver interessado em configurar o produto em um dispositivo na linha de comando, consulte Recursos.
Em ambientes corporativos, o Defender para Ponto de Extremidade no Linux pode ser gerenciado por meio de um perfil de configuração. Esse perfil é implantado a partir da ferramenta de gerenciamento de sua escolha. As preferências gerenciadas pela empresa têm precedência sobre as definidas localmente no dispositivo. Em outras palavras, os usuários da sua empresa não podem alterar as preferências definidas por meio desse perfil de configuração. Se as exclusões foram adicionadas por meio do perfil de configuração gerenciada, elas só poderão ser removidas por meio do perfil de configuração gerenciada. A linha de comando funciona para exclusões que foram adicionadas localmente.
Este artigo descreve a estrutura desse perfil (incluindo um perfil recomendado que você pode usar para começar) e instruções sobre como implantar o perfil.
Estrutura de perfil de configuração
O perfil de configuração é um arquivo .json que consiste em entradas identificadas por uma chave (que denota o nome da preferência), seguida por um valor, que depende da natureza da preferência. Os valores podem ser simples, como um valor numérico ou complexo, como uma lista aninhada de preferências.
Normalmente, você usaria uma ferramenta de gerenciamento de configuração para empurrar um arquivo com o nome mdatp_managed.json no local /etc/opt/microsoft/mdatp/managed/.
O nível superior do perfil de configuração inclui preferências e entradas em todo o produto para subáreas do produto, que são explicadas com mais detalhes nas próximas seções.
Preferências do mecanismo antivírus
A seção antivírusEngine do perfil de configuração é usada para gerenciar as preferências do componente antivírus do produto.
| Descrição | Valor |
|---|---|
| Chave | antivírusEngine |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as seções a seguir para obter uma descrição do conteúdo do dicionário. |
Nível de imposição do mecanismo antivírus
Especifica a preferência de imposição do mecanismo antivírus. Há três valores para definir o nível de imposição:
- Em tempo real (
real_time): a proteção em tempo real (verificação de arquivos à medida que são modificados) está habilitada. - Sob demanda (
on_demand): os arquivos são verificados somente sob demanda. Neste:- A proteção em tempo real está desativada.
- Passivo (
passive): executa o mecanismo antivírus no modo passivo. Neste:- A proteção em tempo real é desativada: as ameaças não são corrigidas por Microsoft Defender Antivírus.
- A verificação sob demanda está ativada: ainda use os recursos de verificação no ponto de extremidade.
- A correção automática de ameaças está desativada: nenhum arquivo será movido e espera-se que o administrador de segurança tome as medidas necessárias.
- As atualizações de inteligência de segurança estão ativadas: os alertas estarão disponíveis no locatário de administradores de segurança.
| Descrição | Valor |
|---|---|
| Chave | enforcementLevel |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | real_time on_demand passivo (padrão) |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.10.72 ou superior. O padrão é alterado de real_time para passivo para Endpoint versão 101.23062.0001 ou superior. |
Habilitar/desabilitar o monitoramento de comportamento
Determina se o monitoramento de comportamento e a capacidade de bloqueio estão habilitados no dispositivo ou não.
Observação
Esse recurso só é aplicável quando Real-Time Recurso de Proteção está habilitado.
| Descrição | Valor |
|---|---|
| Chave | behaviorMonitoring |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | Desabilitado (padrão) habilitadas |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.45.00 ou superior. |
Executar uma verificação depois que as definições forem atualizadas
Especifica se é necessário iniciar uma verificação de processo depois que novas atualizações de inteligência de segurança forem baixadas no dispositivo. Habilitar essa configuração dispara uma verificação antivírus nos processos em execução do dispositivo.
| Descrição | Valor |
|---|---|
| Chave | scanAfterDefinitionUpdate |
| Tipo de dados | Booliano |
| Valores possíveis | true (padrão) falso |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.45.00 ou superior. |
Verificar arquivos (somente verificações antivírus sob demanda)
Especifica se é necessário verificar arquivos durante verificações de antivírus sob demanda.
Observação
Os arquivos de arquivo nunca são verificados durante a proteção em tempo real. Quando os arquivos em um arquivo são extraídos, eles são verificados. A opção scanArchives pode ser usada para forçar a verificação de arquivos somente durante a verificação sob demanda.
| Descrição | Valor |
|---|---|
| Chave | scanArchives |
| Tipo de dados | Booliano |
| Valores possíveis | true (padrão) falso |
| Comentários | Disponível em Microsoft Defender para Ponto de Extremidade versão 101.45.00 ou superior. |
Grau de paralelismo para exames sob demanda
Especifica o grau de paralelismo para exames sob demanda. Isso corresponde ao número de threads usados para executar a verificação e afeta o uso da CPU e a duração da verificação sob demanda.
| Descrição | Valor |
|---|---|
| Chave | maximumOnDemandScanThreads |
| Tipo de dados | Número inteiro |
| Valores possíveis | 2 (padrão). Os valores permitidos são inteiros entre 1 e 64. |
| Comentários | Disponível em Microsoft Defender para Ponto de Extremidade versão 101.45.00 ou superior. |
Política de mesclagem de exclusão
Especifica a política de mesclagem para exclusões. Pode ser uma combinação de exclusões definidas pelo administrador e definidas pelo usuário (merge) ou apenas exclusões definidas pelo administrador (admin_only). Essa configuração pode ser usada para restringir os usuários locais de definir suas próprias exclusões.
| Descrição | Valor |
|---|---|
| Chave | excludesMergePolicy |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | mesclagem (padrão) admin_only |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 100.83.73 ou superior. |
Exclusões de verificação
Entidades que foram excluídas da verificação. As exclusões podem ser especificadas por caminhos completos, extensões ou nomes de arquivo. (As exclusões são especificadas como uma matriz de itens, o administrador pode especificar quantos elementos forem necessários, em qualquer ordem.)
| Descrição | Valor |
|---|---|
| Chave | Exclusões |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as seções a seguir para obter uma descrição do conteúdo do dicionário. |
Tipo de exclusão
Especifica o tipo de conteúdo excluído da verificação.
| Descrição | Valor |
|---|---|
| Chave | $type |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | excludeedPath excludeedFileExtension excludeedFileName |
Caminho para conteúdo excluído
Usado para excluir o conteúdo da verificação por caminho de arquivo completo.
| Descrição | Valor |
|---|---|
| Chave | caminho |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | caminhos válidos |
| Comentários | Aplicável somente se $type for excluídoPath |
Tipo de caminho (arquivo/diretório)
Indica se a propriedade path se refere a um arquivo ou diretório.
| Descrição | Valor |
|---|---|
| Chave | Isdirectory |
| Tipo de dados | Booliano |
| Valores possíveis | falso (padrão) verdadeiro |
| Comentários | Aplicável somente se $type for excluídoPath |
Extensão de arquivo excluída da verificação
Usado para excluir o conteúdo da verificação por extensão de arquivo.
| Descrição | Valor |
|---|---|
| Chave | Extensão |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | extensões de arquivo válidas |
| Comentários | Aplicável somente se $type for excluídoFileExtension |
Processo excluído da verificação*
Especifica um processo para o qual todas as atividades de arquivo são excluídas da verificação. O processo pode ser especificado pelo nome (por exemplo, cat) ou pelo caminho completo (por exemplo, /bin/cat).
| Descrição | Valor |
|---|---|
| Chave | nome |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | qualquer cadeia de caracteres |
| Comentários | Aplicável somente se $type for excluídoFileName |
Muting Non Exec mounts
Especifica o comportamento do RTP no ponto de montagem marcado como noexec. Há dois valores para a configuração são:
- Desmutado (
unmute): O valor padrão, todos os pontos de montagem são verificados como parte do RTP. - Muted (
mute): Os pontos de montagem marcados como noexec não são verificados como parte do RTP, esses pontos de montagem podem ser criados para:- Arquivos de banco de dados em servidores de banco de dados para manter arquivos de base de dados.
- O servidor de arquivos pode manter os pontos de montagem de arquivos de dados com a opção noexec.
- O backup pode manter os pontos de montagem de arquivos de dados com a opção noexec.
| Descrição | Valor |
|---|---|
| Chave | nonExecMountPolicy |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | unmute (padrão) Mudo |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.85.27 ou superior. |
Sistemas de arquivos unmonitor
Configure os sistemas de arquivos a serem não monitorados/excluídos da RTP (Proteção em Tempo Real). Os sistemas de arquivos configurados são validados na lista de sistemas de arquivos permitidos do Microsoft Defender. Somente após a validação bem-sucedida, o sistema de arquivos poderá ser não monitorado. Esses sistemas de arquivos não monitorados configurados ainda serão verificados por verificações rápidas, completas e personalizadas.
| Descrição | Valor |
|---|---|
| Chave | unmonitoredFilesystems |
| Tipo de dados | Matriz de cadeias de caracteres |
| Comentários | O sistema de arquivos configurado só será monitorado se ele estiver presente na lista de sistemas de arquivos não monitorados permitidos pela Microsoft. |
Por padrão, NFS e Fuse não são monitorados de rtp, verificações rápidas e completas. No entanto, eles ainda podem ser verificados por uma verificação personalizada. Por exemplo, para remover o NFS da lista de sistemas de arquivos não monitorados, atualize o arquivo de configuração gerenciado conforme mostrado abaixo. Isso adicionará automaticamente o NFS à lista de sistemas de arquivos monitorados para RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Para remover o NFS e o Fusível da lista não monitorada de sistemas de arquivos, faça o seguinte
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Observação
Abaixo está a lista padrão de sistemas de arquivos monitorados para RTP –
[btrfs, ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, reiserfs, tmpfs, vfat, xfs]
Se qualquer sistema de arquivos monitorado precisar ser adicionado à lista de sistemas de arquivos não monitorados, ele precisará ser avaliado e habilitado pela Microsoft por meio da configuração de nuvem. Seguindo quais clientes podem atualizar managed_mdatp.json para desmonitorar esse sistema de arquivos.
Configurar o recurso de computação de hash de arquivo
Habilita ou desabilita o recurso de computação de hash do arquivo. Quando esse recurso está habilitado, o Defender para Ponto de Extremidade calcula hashes para arquivos que ele verifica. Observe que habilitar esse recurso pode afetar o desempenho do dispositivo. Para obter mais detalhes, consulte: Create indicadores para arquivos.
| Descrição | Valor |
|---|---|
| Chave | enableFileHashComputation |
| Tipo de dados | Booliano |
| Valores possíveis | falso (padrão) verdadeiro |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.85.27 ou superior. |
Ameaças permitidas
Lista de ameaças (identificadas pelo nome) que não são bloqueadas pelo produto e podem ser executadas.
| Descrição | Valor |
|---|---|
| Chave | allowedThreats |
| Tipo de dados | Matriz de cadeias de caracteres |
Ações de ameaça não permitidas
Restringe as ações que o usuário local de um dispositivo pode executar quando as ameaças são detectadas. As ações incluídas nesta lista não são exibidas na interface do usuário.
| Descrição | Valor |
|---|---|
| Chave | disallowedThreatActions |
| Tipo de dados | Matriz de cadeias de caracteres |
| Valores possíveis | permitir (restringe os usuários de permitir ameaças) restauração (restringe os usuários de restaurar ameaças da quarentena) |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 100.83.73 ou superior. |
Configurações do tipo de ameaça
A preferência threatTypeSettings no mecanismo antivírus é usada para controlar como determinados tipos de ameaça são tratados pelo produto.
| Descrição | Valor |
|---|---|
| Chave | threatTypeSettings |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as seções a seguir para obter uma descrição do conteúdo do dicionário. |
Tipo de ameaça
Tipo de ameaça para a qual o comportamento está configurado.
| Descrição | Valor |
|---|---|
| Chave | chave |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | potentially_unwanted_application archive_bomb |
O que fazer
Ação a ser tomada ao se deparar com uma ameaça do tipo especificada na seção anterior. Pode ser:
- Auditoria: o dispositivo não está protegido contra esse tipo de ameaça, mas uma entrada sobre a ameaça é registrada.
- Bloquear: o dispositivo está protegido contra esse tipo de ameaça e você é notificado no console de segurança.
- Desativado: o dispositivo não está protegido contra esse tipo de ameaça e nada é registrado.
| Descrição | Valor |
|---|---|
| Chave | valor |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | auditoria (padrão) Bloco desativado |
Política de mesclagem de configurações de tipo de ameaça
Especifica a política de mesclagem para configurações de tipo de ameaça. Isso pode ser uma combinação de configurações definidas pelo administrador e definidas pelo usuário (merge) ou apenas configurações definidas pelo administrador (admin_only). Essa configuração pode ser usada para restringir os usuários locais de definir suas próprias configurações para diferentes tipos de ameaça.
| Descrição | Valor |
|---|---|
| Chave | threatTypeSettingsMergePolicy |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | mesclagem (padrão) admin_only |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 100.83.73 ou superior. |
Retenção de histórico de verificação de antivírus (em dias)
Especifique o número de dias em que os resultados são mantidos no histórico de verificação no dispositivo. Os resultados da verificação antiga são removidos do histórico. Arquivos antigos em quarentena que também são removidos do disco.
| Descrição | Valor |
|---|---|
| Chave | scanResultsRetentionDays |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | 90 (padrão). Os valores permitidos são de 1 dia a 180 dias. |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.04.76 ou superior. |
Número máximo de itens no histórico de verificação de antivírus
Especifique o número máximo de entradas a serem mantidas no histórico de verificação. As entradas incluem todos os exames sob demanda realizados no passado e todas as detecções de antivírus.
| Descrição | Valor |
|---|---|
| Chave | scanHistoryMaximumItems |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | 10000 (padrão). Os valores permitidos são de 5.000 itens a 15.000 itens. |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.04.76 ou superior. |
Opções avançadas de verificação
As configurações a seguir podem ser configuradas para habilitar determinados recursos avançados de verificação.
Observação
Habilitar esses recursos pode afetar o desempenho do dispositivo. Como tal, é recomendável manter os padrões.
Configurar a verificação de eventos de permissões de modificação de arquivo
Quando esse recurso estiver habilitado, o Defender para Ponto de Extremidade examinará arquivos quando suas permissões forem alteradas para definir os bits de execução.
Observação
Esse recurso só é aplicável quando o enableFilePermissionEvents recurso está habilitado. Para obter mais informações, confira Seção Recursos opcionais avançados abaixo para obter detalhes.
| Descrição | Valor |
|---|---|
| Chave | scanFileModifyPermissions |
| Tipo de dados | Booliano |
| Valores possíveis | falso (padrão) verdadeiro |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.23062.0010 ou superior. |
Configurar a verificação de eventos de propriedade de modificação de arquivo
Quando esse recurso estiver habilitado, o Defender para Ponto de Extremidade examinará os arquivos para os quais a propriedade foi alterada.
Observação
Esse recurso só é aplicável quando o enableFileOwnershipEvents recurso está habilitado. Para obter mais informações, confira Seção Recursos opcionais avançados abaixo para obter detalhes.
| Descrição | Valor |
|---|---|
| Chave | scanFileModifyOwnership |
| Tipo de dados | Booliano |
| Valores possíveis | falso (padrão) verdadeiro |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.23062.0010 ou superior. |
Configurar a verificação de eventos de soquete bruto
Quando esse recurso estiver habilitado, o Defender para Ponto de Extremidade examinará eventos de soquete de rede, como a criação de soquetes brutos/soquetes de pacote ou a opção de soquete de configuração.
Observação
Esse recurso só é aplicável quando o Monitoramento de Comportamento está habilitado.
Observação
Esse recurso só é aplicável quando o enableRawSocketEvent recurso está habilitado. Para obter mais informações, confira Seção Recursos opcionais avançados abaixo para obter detalhes.
| Descrição | Valor |
|---|---|
| Chave | scanNetworkSocketEvent |
| Tipo de dados | Booliano |
| Valores possíveis | falso (padrão) verdadeiro |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.23062.0010 ou superior. |
Preferências de proteção entregues pela nuvem
A entrada do cloudService no perfil de configuração é usada para configurar o recurso de proteção controlado pela nuvem do produto.
Observação
A proteção fornecida pela nuvem é aplicável a qualquer configuração de nível de imposição (real_time, on_demand, passiva).
| Descrição | Valor |
|---|---|
| Chave | cloudService |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as seções a seguir para obter uma descrição do conteúdo do dicionário. |
Habilitar/desabilitar a proteção fornecida pela nuvem
Determina se a proteção entregue pela nuvem está habilitada no dispositivo ou não. Para melhorar a segurança de seus serviços, recomendamos manter esse recurso ativado.
| Descrição | Valor |
|---|---|
| Chave | habilitadas |
| Tipo de dados | Booliano |
| Valores possíveis | true (padrão) falso |
Nível de coleção de diagnóstico
Os dados de diagnóstico são usados para manter o Defender para Ponto de Extremidade seguro e atualizado, detectar, diagnosticar e corrigir problemas e também fazer melhorias no produto. Essa configuração determina o nível de diagnóstico enviado pelo produto para a Microsoft.
| Descrição | Valor |
|---|---|
| Chave | Diagnosticlevel |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | opcional necessário (padrão) |
Configurar o nível do bloco de nuvem
Essa configuração determina o quão agressivo o Defender para Ponto de Extremidade está no bloqueio e verificação de arquivos suspeitos. Se essa configuração estiver ativada, o Defender para Ponto de Extremidade será mais agressivo ao identificar arquivos suspeitos para bloquear e verificar; caso contrário, ele é menos agressivo e, portanto, bloqueia e examina com menos frequência.
Há cinco valores para definir o nível do bloco de nuvem:
- Normal (
normal): o nível de bloqueio padrão. - Moderado (
moderate): fornece veredicto apenas para detecções de alta confiança. - Alto (
high): bloqueia agressivamente arquivos desconhecidos ao otimizar para o desempenho (maior chance de bloquear arquivos não prejudiciais). - High Plus (
high_plus): bloqueia agressivamente arquivos desconhecidos e aplica medidas de proteção adicionais (pode afetar o desempenho do dispositivo cliente). - Tolerância zero (
zero_tolerance): bloqueia todos os programas desconhecidos.
| Descrição | Valor |
|---|---|
| Chave | cloudBlockLevel |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | normal (padrão) Moderada high high_plus zero_tolerance |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.56.62 ou superior. |
Habilitar/desabilitar envios automáticos de exemplo
Determina se exemplos suspeitos (que provavelmente contêm ameaças) são enviados à Microsoft. Há três níveis para controlar o envio de exemplo:
- Nenhum: nenhum exemplo suspeito é enviado à Microsoft.
- Seguro: somente exemplos suspeitos que não contêm informações identificáveis pessoalmente (PII) são enviados automaticamente. Esse é o valor padrão dessa configuração.
- Todos: todos os exemplos suspeitos são enviados para a Microsoft.
| Descrição | Valor |
|---|---|
| Chave | automaticSampleSubmissionConsent |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | none safe (padrão) tudo |
Habilitar/desabilitar atualizações automáticas de inteligência de segurança
Determina se as atualizações de inteligência de segurança são instaladas automaticamente:
| Descrição | Valor |
|---|---|
| Chave | automaticDefinitionUpdateEnabled |
| Tipo de dados | Booliano |
| Valores possíveis | true (padrão) falso |
Recursos opcionais avançados
As configurações a seguir podem ser configuradas para habilitar determinados recursos avançados.
Observação
Habilitar esses recursos pode afetar o desempenho do dispositivo. É recomendável manter os padrões.
| Descrição | Valor |
|---|---|
| Chave | Características |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as seções a seguir para obter uma descrição do conteúdo do dicionário. |
Recurso de carga do módulo
Determina se os eventos de carga do módulo (eventos abertos por arquivo em bibliotecas compartilhadas) são monitorados.
Observação
Esse recurso só é aplicável quando o Monitoramento de Comportamento está habilitado.
| Descrição | Valor |
|---|---|
| Chave | moduleLoad |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | Desabilitado (padrão) habilitadas |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.68.80 ou superior. |
Configurações de sensor suplementar
As configurações a seguir podem ser usadas para configurar determinados recursos avançados do sensor suplementar.
| Descrição | Valor |
|---|---|
| Chave | supplementarySensorConfigurations |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as seções a seguir para obter uma descrição do conteúdo do dicionário. |
Configurar o monitoramento de eventos de permissões de modificação de arquivo
Determina se os eventos de permissões de modificação de arquivo (chmod) são monitorados.
Observação
Quando esse recurso estiver habilitado, o Defender para Ponto de Extremidade monitorará as alterações nos bits de execução de arquivos, mas não examinará esses eventos. Para obter mais informações, consulte Seção Recursos de verificação avançados para obter mais detalhes.
| Descrição | Valor |
|---|---|
| Chave | enableFilePermissionEvents |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | Desabilitado (padrão) habilitadas |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.23062.0010 ou superior. |
Configurar o monitoramento de eventos de propriedade de modificação de arquivo
Determina se os eventos de propriedade de modificação de arquivo (chown) são monitorados.
Observação
Quando esse recurso estiver habilitado, o Defender para Ponto de Extremidade monitorará as alterações na propriedade dos arquivos, mas não examinará esses eventos. Para obter mais informações, consulte Seção Recursos de verificação avançados para obter mais detalhes.
| Descrição | Valor |
|---|---|
| Chave | enableFileOwnershipEvents |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | Desabilitado (padrão) habilitadas |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.23062.0010 ou superior. |
Configurar o monitoramento de eventos de soquete bruto
Determina se os eventos de soquete de rede envolvendo a criação de soquetes brutos/soquetes de pacote ou a opção de soquete de configuração são monitorados.
Observação
Esse recurso só é aplicável quando o Monitoramento de Comportamento está habilitado.
Observação
Quando esse recurso estiver habilitado, o Defender para Ponto de Extremidade monitorará esses eventos de soquete de rede, mas não examinará esses eventos. Para obter mais informações, consulte Seção De recursos de verificação avançada acima para obter mais detalhes.
| Descrição | Valor |
|---|---|
| Chave | enableRawSocketEvent |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | Desabilitado (padrão) habilitadas |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.23062.0010 ou superior. |
Configurar o monitoramento de eventos do carregador de inicialização
Determina se os eventos do carregador de inicialização são monitorados e verificados.
Observação
Esse recurso só é aplicável quando o Monitoramento de Comportamento está habilitado.
| Descrição | Valor |
|---|---|
| Chave | enableBootLoaderCalls |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | Desabilitado (padrão) habilitadas |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.68.80 ou superior. |
Configurar o monitoramento de eventos ptrace
Determina se os eventos ptrace são monitorados e verificados.
Observação
Esse recurso só é aplicável quando o Monitoramento de Comportamento está habilitado.
| Descrição | Valor |
|---|---|
| Chave | enableProcessCalls |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | Desabilitado (padrão) habilitadas |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.68.80 ou superior. |
Configurar o monitoramento de eventos pseudofs
Determina se os eventos pseudofs são monitorados e verificados.
Observação
Esse recurso só é aplicável quando o Monitoramento de Comportamento está habilitado.
| Descrição | Valor |
|---|---|
| Chave | enablePseudofsCalls |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | Desabilitado (padrão) habilitadas |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.68.80 ou superior. |
Configurar o monitoramento de eventos de carga de módulo usando o eBPF
Determina se os eventos de carga do módulo são monitorados usando eBPF e verificados.
Observação
Esse recurso só é aplicável quando o Monitoramento de Comportamento está habilitado.
| Descrição | Valor |
|---|---|
| Chave | enableEbpfModuleLoadEvents |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | Desabilitado (padrão) habilitadas |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.68.80 ou superior. |
Relatar eventos suspeitos do AV ao EDR
Determina se eventos suspeitos do Antivírus são relatados ao EDR.
| Descrição | Valor |
|---|---|
| Chave | sendLowfiEvents |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | Desabilitado (padrão) habilitadas |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.23062.0010 ou superior. |
Configurações de proteção de rede
As configurações a seguir podem ser usadas para configurar recursos avançados de inspeção de Proteção de Rede para controlar o tráfego inspecionado pela Proteção de Rede.
Observação
Para que elas sejam eficazes, a Proteção de Rede precisa ser ativada. Para obter mais informações, consulte Ativar a proteção de rede para Linux.
| Descrição | Valor |
|---|---|
| Chave | networkProtection |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as seções a seguir para obter uma descrição do conteúdo do dicionário. |
Configurar a inspeção do ICMP
Determina se os eventos ICMP são monitorados e verificados.
Observação
Esse recurso só é aplicável quando o Monitoramento de Comportamento está habilitado.
| Descrição | Valor |
|---|---|
| Chave | disableIcmpInspection |
| Tipo de dados | Booliano |
| Valores possíveis | true (padrão) falso |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.23062.0010 ou superior. |
Perfil de configuração recomendado
Para começar, recomendamos que o perfil de configuração a seguir para sua empresa aproveite todos os recursos de proteção que o Defender para Ponto de Extremidade fornece.
O seguinte perfil de configuração será:
- Habilitar a proteção em tempo real (RTP)
- Especifique como os seguintes tipos de ameaça são tratados:
- Aplicativos potencialmente indesejados (PUA) são bloqueados
- Bombas de arquivo (arquivo com alta taxa de compactação) são auditadas nos logs do produto
- Habilitar atualizações automáticas de inteligência de segurança
- Ativar proteção fornecida pela nuvem
- Habilitar o envio automático de exemplo no
safenível
Perfil de exemplo
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Exemplo de perfil de configuração completo
O perfil de configuração a seguir contém entradas para todas as configurações descritas neste documento e podem ser usadas para cenários mais avançados em que você deseja mais controle sobre o produto.
Observação
Não é possível controlar todas as Microsoft Defender para Ponto de Extremidade comunicação com apenas uma configuração de proxy neste JSON.
Perfil completo
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Adicionar iD de marca ou grupo ao perfil de configuração
Quando você executar o mdatp health comando pela primeira vez, o valor da marca e da ID do grupo ficará em branco. Para adicionar a marca ou a ID do mdatp_managed.json grupo ao arquivo, siga as etapas a seguir:
- Abra o perfil de configuração do caminho
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json. - Vá até a parte inferior do arquivo, onde o
cloudServicebloco está localizado. - Adicione a marca necessária ou a ID do grupo como exemplo a seguir no final do colchete curly de fechamento para o
cloudService.
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
Observação
Adicione a vírgula após o fechamento do colchete encaracolado no final do cloudService bloco. Além disso, certifique-se de que há dois colchetes cacheados de fechamento depois de adicionar o bloco De marca ou ID de grupo (consulte o exemplo acima). No momento, o único nome de chave com suporte para marcas é GROUP.
Validação do perfil de configuração
O perfil de configuração deve ser um arquivo formatado por JSON válido. Há muitas ferramentas que podem ser usadas para verificar isso. Por exemplo, se você tiver python instalado em seu dispositivo:
python -m json.tool mdatp_managed.json
Se o JSON estiver bem formado, o comando acima o retornará ao Terminal e retornará um código de saída de 0. Caso contrário, um erro que descreve o problema é exibido e o comando retorna um código de saída de 1.
Verificando se o arquivo mdatp_managed.json está funcionando conforme o esperado
Para verificar se seu /etc/opt/microsoft/mdatp/managed/mdatp_managed.json está funcionando corretamente, você deve ver "[gerenciado]" ao lado dessas configurações:
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
Observação
Nenhuma reinicialização do daemon mdatp é necessária para que as alterações na maioria das configurações no mdatp_managed.json entrem em vigor. Exceção: As seguintes configurações exigem uma reinicialização do daemon para entrar em vigor:
- cloud-diagnostic
- log-rotation-parameters
Implantação do perfil de configuração
Depois de criar o perfil de configuração para sua empresa, você poderá implantá-lo por meio da ferramenta de gerenciamento que sua empresa está usando. O Defender para Ponto de Extremidade no Linux lê a configuração gerenciada do arquivo /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de