Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a:
- Microsoft Defender para Endpoint para servidores
- Microsoft Defender para Servidores Plano 1 ou Plano 2
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Configurar as definições de segurança
Microsoft Defender para Endpoint no Linux inclui antivírus, proteção antimalware, deteção de pontos finais e capacidades de resposta. Este artigo resume definições de segurança importantes para configurar e inclui ligações para recursos adicionais.
Definições | Descrição |
---|---|
1. Configurar a deteção de proxy estático. | Configurar um proxy estático ajuda a garantir que a telemetria é submetida e ajuda a evitar tempos limite de rede. Execute esta tarefa durante e após a instalação do Defender para Endpoint. Veja Configurar Microsoft Defender para Endpoint no Linux para deteção de proxy estático. |
2. Configure as análises antivírus. | Pode agendar análises antivírus automáticas com o Anacron ou o Crontab. Veja os seguintes artigos: - Utilizar o Anacron para agendar uma análise antivírus no Microsoft Defender para Endpoint no Linux - Utilizar o Crontab para agendar uma análise antivírus no Microsoft Defender para Endpoint no Linux |
3. Configure as definições e políticas de segurança. | Pode utilizar o portal do Microsoft Defender (Gestão de Definições de Segurança do Defender para Endpoint) ou um perfil de configuração (.json ficheiro) para configurar o Defender para Endpoint no Linux. Em alternativa, se preferir, pode utilizar a linha de comandos para configurar determinadas definições. Veja os seguintes artigos: - Gestão de Definições de Segurança do Defender para Ponto Final - Perfil de configuração - Linha de comandos |
4. Configurar e validar exclusões (conforme adequado) | Pode excluir determinados ficheiros, pastas, processos e ficheiros abertos por processos do Defender para Endpoint no Linux. As exclusões globais aplicam-se à proteção em tempo real (RTP), à monitorização de comportamento (BM) e à deteção e resposta de pontos finais (EDR), parando assim todas as deteções antivírus associadas, alertas EDR e visibilidade do item excluído. Veja Configurar e validar exclusões para Microsoft Defender para Endpoint no Linux. |
5. Configure o sensor baseado em eBPF. | O Filtro de Pacotes de Berkeley (eBPF) expandido para Microsoft Defender para Endpoint no Linux é ativado automaticamente para todos os clientes por predefinição para versões 101.23082.0006 de agentes e posteriores. Fornece dados suplementares de eventos para sistemas operativos Linux e ajuda a reduzir a possibilidade de conflitos entre aplicações. Veja Utilizar o sensor baseado em eBPF para Microsoft Defender para Endpoint no Linux. |
6. Configurar a Atualização de Informações de Segurança Offline (conforme adequado) | A Atualização de Informações de Segurança Offline permite-lhe configurar atualizações de informações de segurança para servidores Linux com exposição limitada ou sem exposição à Internet. Pode configurar um servidor de alojamento local ("servidor espelhado") que possa ligar à cloud da Microsoft para transferir as assinaturas. Outros pontos finais do Linux podem solicitar as atualizações do servidor espelhado num intervalo predefinido. Veja Configurar a atualização de informações de segurança offline para Microsoft Defender para Endpoint no Linux. |
7. Implementar atualizações. | A Microsoft publica regularmente atualizações de software para melhorar o desempenho, a segurança e fornecer novas funcionalidades. Veja Implementar atualizações para Microsoft Defender para Endpoint no Linux. |
8. Configurar a proteção de rede (pré-visualização) | A proteção de rede ajuda a impedir que os funcionários utilizem qualquer aplicação para aceder a domínios perigosos que possam alojar esquemas de phishing, exploits e outros conteúdos maliciosos na Internet. Veja Proteção de rede para Linux. |
Importante
Se quiser executar várias soluções de segurança lado a lado, veja Considerações sobre desempenho, configuração e suporte.
Pode já ter configurado exclusões de segurança mútua para dispositivos integrados no Microsoft Defender para Endpoint. Se ainda precisar de definir exclusões mútuas para evitar conflitos, veja Adicionar Microsoft Defender para Endpoint à lista de exclusão da solução existente.
Opções para configurar definições de segurança
Para configurar as definições de segurança no Defender para Endpoint no Linux, tem duas opções principais:
- Utilize o portal Microsoft Defender (Gestão de Definições de Segurança do Defender para Ponto Final); ou
- Utilizar um perfil de configuração
Se preferir utilizar a linha de comandos, pode utilizá-la para configurar determinadas definições, recolher diagnósticos, executar análises e muito mais. Veja Recursos do Linux: Configurar com a linha de comandos.
Gestão de Definições de Segurança do Defender para Ponto Final
Pode configurar o Defender para Endpoint no Linux no portal do Microsoft Defender (https://security.microsoft.com) através da funcionalidade conhecida como Gestão de Definições de Segurança do Defender para Endpoint. Para obter mais informações, incluindo como criar, editar e verificar políticas de segurança, consulte Utilizar a Gestão de Definições de Segurança do Microsoft Defender para Endpoint para gerir Microsoft Defender Antivírus.
Perfil de configuração
Pode configurar definições no Defender para Endpoint no Linux através de um perfil de configuração que utiliza um .json
ficheiro. Depois de configurar o seu perfil, pode implementá-lo com a sua ferramenta de gestão à sua escolha. As preferências geridas pela empresa têm precedência sobre as definidas localmente no dispositivo. Por outras palavras, os utilizadores na sua empresa não conseguem alterar as preferências definidas através deste perfil de configuração. Se as exclusões tiverem sido adicionadas através do perfil de configuração gerida, só podem ser removidas através do perfil de configuração gerida. A linha de comandos funciona para exclusões que foram adicionadas localmente.
Este artigo descreve a estrutura deste perfil (incluindo um perfil recomendado que pode utilizar para começar) e instruções sobre como implementar o perfil.
Estrutura do perfil de configuração
O perfil de configuração é um .json
ficheiro que consiste em entradas identificadas por uma chave (que denota o nome da preferência), seguido de um valor, que depende da natureza da preferência. Os valores podem ser simples, como um valor numérico ou complexo, como uma lista aninhada de preferências.
Normalmente, utilizaria uma ferramenta de gestão de configuração para emitir um ficheiro com o nome mdatp_managed.json
na localização /etc/opt/microsoft/mdatp/managed/
.
O nível superior do perfil de configuração inclui preferências e entradas ao nível do produto para subáreas do produto, que são explicadas mais detalhadamente nas secções seguintes.
Perfil de configuração recomendado
Esta secção inclui dois exemplos de perfil de configuração:
- Perfil de exemplo para o ajudar a começar a utilizar as definições recomendadas.
- Exemplo de perfil de configuração completo para organizações que pretendem um controlo mais granular sobre as definições de segurança.
Para começar, recomendamos que utilize o primeiro perfil de exemplo para a sua organização. Para obter um controlo mais granular, pode utilizar o exemplo de perfil de configuração completo .
Perfil de exemplo
Ajuda-o a tirar partido de funcionalidades de proteção importantes que o Defender para Endpoint no Linux fornece. O seguinte perfil de configuração:
- Ativa a proteção em tempo real (RTP)
- Especifica a forma como os seguintes tipos de ameaças são processados:
- As aplicações potencialmente indesejadas (PUA) estão bloqueadas
- Arquivo bombas (ficheiro com uma taxa de compressão elevada) são auditadas para os registos de produtos
- Ativa atualizações automáticas de informações de segurança
- Ativa a proteção fornecida pela cloud
- Ativa a submissão automática de exemplo ao
safe
nível
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Exemplo de perfil de configuração completo
O seguinte perfil de configuração contém entradas para todas as definições descritas neste documento e pode ser utilizado para cenários mais avançados em que pretende ter mais controlo sobre o produto.
{
"antivirusEngine":{
"enforcementLevel":"passive",
"behaviorMonitoring": "disabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"enableFileHashComputation": false,
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
],
"scanFileModifyPermissions":false,
"scanFileModifyOwnership":false,
"scanNetworkSocketEvent":false,
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate":"disabled"
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
"definitionUpdatesInterval":28800
},
"features":{
"moduleLoad":"disabled",
"supplementarySensorConfigurations":{
"enableFilePermissionEvents":"disabled",
"enableFileOwnershipEvents":"disabled",
"enableRawSocketEvent":"disabled",
"enableBootLoaderCalls":"disabled",
"enableProcessCalls":"disabled",
"enablePseudofsCalls":"diabled",
"enableEbpfModuleLoadEvents":"disabled",
"sendLowfiEvents":"disabled"
},
"ebpfSupplementaryEventProvider":"enabled",
"offlineDefinitionUpdateVerifySig": "disabled"
},
"networkProtection":{
"enforcementLevel":"disabled",
"disableIcmpInspection":true
},
"edr":{
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Definições de antivírus, antimalware e EDR no Defender para Endpoint no Linux
Quer esteja a utilizar um perfil de configuração (.json ficheiro) ou o portal de Microsoft Defender (Gestão de Definições de Segurança), pode configurar as definições antivírus, antimalware e EDR no Defender para Endpoint no Linux. As secções seguintes descrevem onde e como configurar as suas definições.
Preferências do motor antivírus
A secção antivírusEngine do perfil de configuração é utilizada para gerir as preferências do componente antivírus do produto.
Descrição | Valor JSON | Valor do portal do Defender |
---|---|---|
Chave | antivirusEngine |
Motor antivírus |
Tipo de dados | Dicionário (preferência aninhada) | Secção Fechada |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. | Veja as secções seguintes para obter uma descrição das propriedades da política. |
Nível de imposição do Antivírus Microsoft Defender
Especifica a preferência de imposição do motor antivírus. Existem três valores para definir o nível de imposição:
Em tempo real (
real_time
): a proteção em tempo real (analisar ficheiros à medida que são modificados) está ativada.A pedido (
on_demand
): os ficheiros são analisados apenas a pedido. Neste:- A proteção em tempo real está desativada.
- As atualizações de definições ocorrem apenas quando uma análise é iniciada, mesmo que
automaticDefinitionUpdateEnabled
esteja definida como no modo atrue
pedido.
Passivo (
passive
): executa o motor antivírus no modo passivo. Neste caso, aplicam-se todos os seguintes:- A proteção em tempo real está desativada: as ameaças não são remediadas pelo Antivírus Microsoft Defender.
- A análise a pedido está ativada: utilize ainda as capacidades de análise no ponto final.
- A remediação automática de ameaças está desativada: não são movidos ficheiros e espera-se que o administrador de segurança tome as medidas necessárias.
- As atualizações de informações de segurança estão ativadas: os alertas estão disponíveis no inquilino do administrador de segurança.
- As atualizações de definições ocorrem apenas quando uma análise é iniciada, mesmo que
automaticDefinitionUpdateEnabled
esteja definida comotrue
no modo passivo.
Nota
Disponível na versão 101.10.72
do Defender para Endpoint ou posterior. A predefinição é alterada de para passive
na versão 101.23062.0001
do real_time
Defender para Endpoint ou posterior.
Recomenda-se também utilizar análises agendadas de acordo com os requisitos.
Ativar ou desativar a monitorização de comportamento (se o RTP estiver ativado)
Importante
Esta funcionalidade só funciona quando o nível de imposição está definido como real-time
.
Determina se a capacidade de monitorização e bloqueio de comportamento está ou não ativada no dispositivo.
Descrição | Valor JSON | Valor do portal do Defender |
---|---|---|
Chave | behaviorMonitoring | Ativar a monitorização de comportamento |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis |
disabled (predefinição)enabled |
Não configurado Desativado (Predefinição) Ativado |
Nota
Disponível na versão 101.45.00
do Defender para Endpoint ou posterior.
Executar uma análise após a atualização das definições
Importante
Esta funcionalidade só funciona quando o nível de imposição está definido como real-time
.
Especifica se pretende iniciar uma análise de processo após a transferência de novas atualizações de informações de segurança no dispositivo. Ativar esta definição aciona uma análise antivírus nos processos em execução do dispositivo.
Descrição | Valor JSON | Valor do portal do Defender |
---|---|---|
Chave | scanAfterDefinitionUpdate |
Ativar a Análise após a atualização da definição |
Tipo de dados | Booleano | Menu pendente |
Valores possíveis |
true (predefinição)false |
Not configured Disabled Enabled (Predefinição) |
Nota
Disponível na versão 101.45.00
do Defender para Endpoint ou posterior.
Analisar arquivos (apenas análises antivírus a pedido)
Especifica se pretende analisar arquivos durante análises antivírus a pedido.
Descrição | Valor JSON | Valor do portal do Defender |
---|---|---|
Chave | scanArchives |
Ativar a análise de arquivos |
Tipo de dados | Booleano | Menu pendente |
Valores possíveis |
true (predefinição)false |
Não configurado Desativado Ativado (Predefinição) |
Nota
Disponível na versão 101.45.00
Microsoft Defender para Endpoint ou posterior.
Arquivo ficheiros nunca são analisados durante a proteção em tempo real. Quando os ficheiros num arquivo são extraídos, são analisados. A opção scanArchives pode ser utilizada para forçar a análise de arquivos apenas durante a análise a pedido.
Grau de paralelismo para análises a pedido
Especifica o grau de paralelismo para análises a pedido. Isto corresponde ao número de threads utilizados para efetuar a análise e afeta a utilização da CPU e a duração da análise a pedido.
Descrição | Valor JSON | Valor do portal do Defender |
---|---|---|
Chave | maximumOnDemandScanThreads |
threads de análise máximo a pedido |
Tipo de dados | Número inteiro | Alternar Alternar & Número Inteiro |
Valores possíveis |
2 (predefinição). Os valores permitidos são números inteiros entre 1 e 64 . |
Not Configured (A predefinição desativa as predefinições para 2 )Configured (ativar) e número inteiro entre 1 e 64 . |
Nota
Disponível na versão 101.45.00
Microsoft Defender para Endpoint ou posterior.
Política de intercalação de exclusão
Especifica a política de intercalação para exclusões. Pode ser uma combinação de exclusões definidas pelo administrador e definidas pelo utilizador (merge
) ou apenas exclusões definidas pelo administrador (admin_only
). As exclusões definidas pelo administrador (admin_only) são exclusões configuradas pela política do Defender para Endpoint. Esta definição pode ser utilizada para impedir que os utilizadores locais definam as suas próprias exclusões.
Como está no antivírusEngine, esta política só é aplicável a epp
exclusões, a menos que mergePolicy
em exclusionSettings esteja configurado como (admin_only
).
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | exclusionsMergePolicy |
Intercalação de exclusões |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis |
merge (predefinição)admin_only |
Not configured merge (Predefinição)admin_only |
Nota
Disponível na versão 100.83.73
do Defender para Endpoint ou posterior.
Recomendamos que configure as exclusões e a política de intercalação em exclusionSettings, que lhe permite configurar a exclusão do epp
âmbito e global
com um único mergePolicy
.
Analisar exclusões
Entidades que foram excluídas da análise. As exclusões podem ser especificadas por caminhos completos, extensões ou nomes de ficheiros. (As exclusões são especificadas como uma matriz de itens, o administrador pode especificar o número de elementos necessários, por qualquer ordem.)
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | exclusions |
Analisar exclusões |
Tipo de dados | Dicionário (preferência aninhada) | Lista de Propriedades Dinâmicas |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Tipo de exclusão
Especifica o tipo de conteúdo excluído da análise.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | $type |
Tipo |
Tipo de dados | Cadeia | Menu Pendente |
Valores possíveis | excludedPath excludedFileExtension excludedFileName |
Caminho Extensão de ficheiro Nome do processo |
Caminho para conteúdo excluído
Utilizado para excluir conteúdo da análise por caminho de ficheiro completo.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | caminho | Caminho |
Tipo de dados | Cadeia | Cadeia |
Valores possíveis | caminhos válidos | caminhos válidos |
Comentários | Aplicável apenas se $type for excludedPath |
Acedido no pop-up Editar instância |
Tipo de caminho (ficheiro/diretório)
Indica se a propriedade path se refere a um ficheiro ou diretório.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | isDirectory |
É diretório |
Tipo de dados | Booleano | Menu pendente |
Valores possíveis |
false (predefinição)true |
Enabled Disabled |
Comentários | Aplicável apenas se $type for excluídoPath | Acedido no pop-up Editar instância |
Extensão de ficheiro excluída da análise
Utilizado para excluir conteúdo da análise por extensão de ficheiro.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | extensão | Extensão de ficheiro |
Tipo de dados | Cadeia | Cadeia |
Valores possíveis | extensões de ficheiro válidas | extensões de ficheiro válidas |
Comentários | Aplicável apenas se $type for excluídoFileExtension | Acedido no pop-up Configurar instância |
Processo excluído da análise
Especifica um processo para o qual toda a atividade de ficheiro é excluída da análise. O processo pode ser especificado pelo respetivo nome (por exemplo, cat
) ou caminho completo (por exemplo, /bin/cat
).
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | nome | Nome de ficheiro |
Tipo de dados | Cadeia | Cadeia |
Valores possíveis | qualquer cadeia | qualquer cadeia |
Comentários | Aplicável apenas se $type for excluídoFileName | Acedido no pop-up Configurar instância |
Desativar o som das montagens não existentes
Especifica o comportamento do RTP no ponto de montagem marcado como noexec
. Existem dois valores para a definição:
- Unmuted (
unmute
): o valor predefinido, todos os pontos de montagem são analisados como parte do RTP. - Desativado (
mute
): os pontos de montagem marcados comonoexec
não são analisados como parte do RTP, estes pontos de montagem podem ser criados para:- Ficheiros de base de dados em Servidores de bases de dados para manter ficheiros de base de dados.
- O servidor de ficheiros pode manter pontos de montagem de ficheiros de dados com
noexec
a opção . - A cópia de segurança pode manter pontos de montagem de ficheiros de dados com
noexec
a opção .
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | nonExecMountPolicy |
non execute mount mute |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis |
unmute (predefinição)mute |
Not configured unmute (Predefinição)mute |
Nota
Disponível na versão 101.85.27
do Defender para Endpoint ou posterior.
Desmonitorizar sistemas de ficheiros
Configure sistemas de ficheiros para não serem monitorizados/excluídos da proteção em tempo real (RTP). Os sistemas de ficheiros configurados são validados na lista de sistemas de ficheiros permitidos do Microsoft Defender. Os sistemas de ficheiros só podem ser monitorizados após a validação com êxito. Estes sistemas de ficheiros não monitorizados configurados continuam a ser analisados por análises rápidas, completas e personalizadas no Antivírus Microsoft Defender.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | unmonitoredFilesystems |
Sistemas de Ficheiros Não Monitorizados |
Tipo de dados | Matriz de cadeias | Lista de Cadeias Dinâmicas |
Nota
O sistema de ficheiros configurado não é monitorizado apenas se estiver presente na lista de sistemas de ficheiros não monitorizados permitidos da Microsoft.
Por predefinição, o NFS e a Fusão não são monitorizados das análises RTP, Rápida e Completa. No entanto, ainda podem ser analisados por uma análise personalizada. Por exemplo, para remover o NFS da lista de sistemas de ficheiros não monitorizados, atualize o ficheiro de configuração gerida, conforme mostrado abaixo. Esta ação irá adicionar automaticamente NFS à lista de sistemas de ficheiros monitorizados para RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Para remover o NFS e a Fusão da lista não monitorizada de sistemas de ficheiros, utilize o seguinte fragmento:
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Nota
Eis a lista predefinida de sistemas de ficheiros monitorizados para RTP: btrfs
, , ext2
ecryptfs
, ext3
, ext4
, fuseblk
, jfs
, overlay
, ramfs
, , reiserfs
, tmpfs
, , e vfat
xfs
.
Se for necessário adicionar algum sistema de ficheiros monitorizado à lista de sistemas de ficheiros não monitorizados, tem de ser avaliado e ativado pela Microsoft através da configuração da cloud. Seguindo o que os clientes podem atualizar managed_mdatp.json para desmonitorizar esse sistema de ficheiros.
Configurar a funcionalidade de computação hash de ficheiros
Ativa ou desativa a funcionalidade de computação hash de ficheiros. Quando esta funcionalidade está ativada, o Defender para Endpoint calcula os hashes dos ficheiros que analisa. Ativar esta funcionalidade pode afetar o desempenho do dispositivo. Para obter mais detalhes, veja: Criar indicadores para ficheiros.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | enableFileHashComputation |
Ativar a computação hash de ficheiros |
Tipo de dados | Booleano | Menu pendente |
Valores possíveis |
false (predefinição)true |
Not configured Disabled (predefinição)Enabled |
Nota
Disponível na versão 101.85.27
do Defender para Endpoint ou posterior.
Ameaças permitidas
Lista de ameaças (identificadas pelo respetivo nome) que não são bloqueadas pelo produto e que, em vez disso, têm permissão para serem executadas.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | allowedThreats |
Ameaças permitidas |
Tipo de dados | Matriz de cadeias | Lista de Cadeias Dinâmicas |
Ações de ameaça não permitidas
Restringe as ações que o utilizador local de um dispositivo pode efetuar quando são detetadas ameaças. As ações incluídas nesta lista não são apresentadas na interface de utilizador.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | disallowedThreatActions |
Ações de ameaça não permitidas |
Tipo de dados | Matriz de cadeias | Lista de Cadeias Dinâmicas |
Valores possíveis |
allow (impede os utilizadores de permitir ameaças)restore (impede os utilizadores de restaurar ameaças da quarentena) |
allow (impede os utilizadores de permitir ameaças)restore (impede os utilizadores de restaurar ameaças da quarentena) |
Nota
Disponível na versão 100.83.73
do Defender para Endpoint ou posterior.
Definições de tipo de ameaça
A preferência threatTypeSettings no motor antivírus é utilizada para controlar a forma como determinados tipos de ameaças são processados pelo produto.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | threatTypeSettings |
Definições de tipo de ameaça |
Tipo de dados | Dicionário (preferência aninhada) | Lista de Propriedades Dinâmicas |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. | Veja as secções seguintes para obter uma descrição das propriedades dinâmicas. |
Tipo de ameaça
Tipo de ameaça para a qual o comportamento está configurado.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | tecla | Tipo de ameaça |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis | potentially_unwanted_application archive_bomb |
potentially_unwanted_application archive_bomb |
Ação a tomar
Ação a tomar ao deparar-se com uma ameaça do tipo especificado na secção anterior. Pode ser:
- Auditoria: o dispositivo não está protegido contra este tipo de ameaça, mas é registada uma entrada sobre a ameaça. (Predefinição)
- Bloco: o dispositivo está protegido contra este tipo de ameaça e é notificado no portal do Microsoft Defender.
- Desativado: o dispositivo não está protegido contra este tipo de ameaça e nada é registado.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | valor | Ação a tomar |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis |
audit (predefinição)block off |
audit block desativado |
Política de intercalação de definições de tipo de ameaça
Especifica a política de intercalação para definições de tipo de ameaça. Pode ser uma combinação de definições definidas pelo administrador e definidas pelo utilizador (merge
) ou apenas definições definidas pelo administrador (admin_only
). As definições definidas pelo administrador (admin_only) são definições de tipo de ameaça que são configuradas pela política do Defender para Endpoint. Esta definição pode ser utilizada para impedir que os utilizadores locais definam as suas próprias definições para diferentes tipos de ameaças.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | threatTypeSettingsMergePolicy |
Intercalação de definições de tipo de ameaça |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis |
merge (predefinição)admin_only |
Not configured merge (Predefinição)admin_only |
Nota
Disponível na versão 100.83.73
do Defender para Endpoint ou posterior.
Retenção do histórico de análises de antivírus (em dias)
Especifique o número de dias que os resultados são retidos no histórico de análises no dispositivo. Os resultados da análise antigos são removidos do histórico. Ficheiros antigos em quarentena que também são removidos do disco.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | scanResultsRetentionDays |
Retenção de resultados da análise |
Tipo de dados | Cadeia | Alternar comutador e Número Inteiro |
Valores possíveis |
90 (predefinição). Os valores permitidos são de 1 dia a 180 dias. |
Not configured (desativar - predefinição de 90 dias)Configured (ativar) e valor permitido de 1 a 180 dias. |
Nota
Disponível na versão 101.04.76
do Defender para Endpoint ou posterior.
Número máximo de itens no histórico de análise de antivírus
Especifique o número máximo de entradas a manter no histórico de análises. As entradas incluem todas as análises a pedido realizadas no passado e todas as deteções de antivírus.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | scanHistoryMaximumItems |
Tamanho do histórico de análises |
Tipo de dados | Cadeia | Alternar e Número Inteiro |
Valores possíveis |
10000 (predefinição). Os valores permitidos são de 5000 itens a 15000 itens. |
Não configurado (desativar - 10000 predefinição)Configured (ativar) e valor permitido de 5000 a 15000 itens. |
Nota
Disponível na versão 101.04.76
do Defender para Endpoint ou posterior.
Preferências de definição de exclusão
As preferências de definição de exclusão estão atualmente em pré-visualização.
Nota
As exclusões globais estão atualmente em pré-visualização pública e estão disponíveis no Defender para Endpoint a partir da versão 101.23092.0012
ou posterior nos anéis Insiders Slow e Production.
A exclusionSettings
secção do perfil de configuração é utilizada para configurar várias exclusões para Microsoft Defender para Endpoint para Linux.
Descrição | Valor JSON |
---|---|
Chave | exclusionSettings |
Tipo de dados | Dicionário (preferência aninhada) |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Nota
As exclusões antivírus já configuradas em (antivirusEngine
) no JSON gerido continuam a funcionar, tal como acontece sem impacto. Todas as novas exclusões , incluindo exclusões antivírus, podem ser adicionadas nesta nova secção (exclusionSettings
). Esta secção está fora da etiqueta (antivirusEngine
) como dedicada exclusivamente para configurar todos os tipos de exclusões que virão no futuro. Também pode continuar a utilizar (antivirusEngine
) para configurar exclusões antivírus.
Política de intercalação
Especifica a política de intercalação para exclusões. Especifica se pode ser uma combinação de exclusões definidas pelo administrador e definidas pelo utilizador (merge
) ou apenas exclusões definidas pelo administrador (admin_only
). Esta definição pode ser utilizada para impedir que os utilizadores locais definam as suas próprias exclusões. Aplica-se a exclusões de todos os âmbitos.
Descrição | Valor JSON |
---|---|
Chave | mergePolicy |
Tipo de dados | Cadeia |
Valores possíveis |
merge (predefinição)admin_only |
Comentários | Disponível no Defender para Endpoint versão de setembro de 2023 ou superior. |
Exclusões
As entidades que precisam de ser excluídas podem ser especificadas por caminhos completos, extensões ou nomes de ficheiros. Cada entidade de exclusão, ou seja, caminho completo, extensão ou nome de ficheiro tem um âmbito opcional que pode ser especificado. Se não for especificado, o valor predefinido do âmbito nesta secção é global. (As exclusões são especificadas como uma matriz de itens, o administrador pode especificar o número de elementos necessários, por qualquer ordem.)
Descrição | Valor JSON |
---|---|
Chave | exclusions |
Tipo de dados | Dicionário (preferência aninhada) |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Tipo de exclusão
Especifica o tipo de conteúdo excluído da análise.
Descrição | Valor JSON |
---|---|
Chave | $type |
Tipo de dados | Cadeia |
Valores possíveis | excludedPath excludedFileExtension excludedFileName |
Âmbito da exclusão (opcional)
Especifica o conjunto de âmbitos de exclusão de conteúdo excluído. Os âmbitos atualmente suportados são epp
e global
.
Se não for especificado nada no para uma exclusão em exclusionSettings na configuração gerida, global
será considerado como âmbito.
Nota
As exclusões de antivírus configuradas anteriormente em (antivirusEngine
) no JSON gerido continuam a funcionar e o respetivo âmbito é considerado (epp
) uma vez que foram adicionadas como exclusões antivírus.
Descrição | Valor JSON |
---|---|
Chave | âmbitos |
Tipo de dados | Conjunto de cadeias |
Valores possíveis | epp global |
Nota
As exclusões aplicadas anteriormente com (mdatp_managed.json
) ou pela CLI permanecerão inalteradas. O âmbito dessas exclusões é (epp
) uma vez que foram adicionadas em (antivirusEngine
).
Caminho para conteúdo excluído
Utilizado para excluir conteúdo da análise por caminho de ficheiro completo.
Descrição | Valor JSON |
---|---|
Chave | caminho |
Tipo de dados | Cadeia |
Valores possíveis | caminhos válidos |
Comentários | Aplicável apenas se $type for excluídoPath. Caráter universal não suportado se a exclusão tiver um âmbito global. |
Tipo de caminho (ficheiro/diretório)
Indica se a propriedade path se refere a um ficheiro ou diretório.
Nota
O caminho do ficheiro já tem de existir se adicionar a exclusão de ficheiros com âmbito global.
Descrição | Valor JSON |
---|---|
Chave | isDirectory |
Tipo de dados | Booleano |
Valores possíveis |
false (predefinição)true |
Comentários | Aplicável apenas se $type for excluídoPath. Caráter universal não suportado se a exclusão tiver um âmbito global. |
Extensão de ficheiro excluída da análise
Utilizado para excluir conteúdo da análise por extensão de ficheiro.
Descrição | Valor JSON |
---|---|
Chave | extensão |
Tipo de dados | Cadeia |
Valores possíveis | extensões de ficheiro válidas |
Comentários | Aplicável apenas se $type for excluídoFileExtension. Não suportado se a exclusão tiver um âmbito global. |
Processo excluído da análise
Especifica um processo para o qual toda a atividade de ficheiro é excluída da análise. O processo pode ser especificado pelo respetivo nome (por exemplo, cat
) ou caminho completo (por exemplo, /bin/cat
).
Descrição | Valor JSON |
---|---|
Chave | nome |
Tipo de dados | Cadeia |
Valores possíveis | qualquer cadeia |
Comentários | Aplicável apenas se $type for excluídoFileName. O caráter universal e o nome do processo não são suportados se a exclusão tiver um âmbito global, tem de fornecer o caminho completo. |
Opções avançadas de análise
As seguintes definições podem ser configuradas para ativar determinadas funcionalidades avançadas de análise.
Importante
Ativar estas funcionalidades pode afetar o desempenho do dispositivo. Como tal, é recomendado manter as predefinições, a menos que seja recomendado de outra forma por Suporte da Microsoft.
Configurar a análise de eventos de permissões de modificação de ficheiros
Quando esta funcionalidade está ativada, o Defender para Endpoint analisa os ficheiros quando as permissões foram alteradas para definir os bits executados.
Nota
Esta funcionalidade só é aplicável quando a enableFilePermissionEvents
funcionalidade está ativada. Para obter mais informações, consulte a secção Funcionalidades opcionais avançadas abaixo para obter detalhes.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | scanFileModifyPermissions |
Não disponível |
Tipo de dados | Booleano | n/a |
Valores possíveis |
false (predefinição)true |
n/a |
Nota
Disponível na versão 101.23062.0010
do Defender para Endpoint ou posterior.
Configurar a análise de eventos de propriedade de modificação de ficheiros
Quando esta funcionalidade está ativada, o Defender para Endpoint analisa os ficheiros para os quais a propriedade foi alterada.
Nota
Esta funcionalidade só é aplicável quando a enableFileOwnershipEvents
funcionalidade está ativada. Para obter mais informações, consulte a secção Funcionalidades opcionais avançadas abaixo para obter detalhes.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | scanFileModifyOwnership |
Não disponível |
Tipo de dados | Booleano | n/a |
Valores possíveis |
false (predefinição)true |
n/a |
Nota
Disponível na versão 101.23062.0010
do Defender para Endpoint ou posterior.
Configurar a análise de eventos de socket não processados
Quando esta funcionalidade está ativada, o Defender para Endpoint analisa eventos de socket de rede, como a criação de sockets/sockets de pacotes não processados ou a opção de configuração do socket.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
Esta funcionalidade só é aplicável quando a enableRawSocketEvent
funcionalidade está ativada. Para obter mais informações, consulte a secção Funcionalidades opcionais avançadas abaixo para obter detalhes.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | scanNetworkSocketEvent |
Não disponível |
Tipo de dados | Booleano | n/a |
Valores possíveis |
false (predefinição)true |
n/a |
Nota
Disponível na versão 101.23062.0010
do Defender para Endpoint ou posterior.
Preferências de proteção fornecidas pela cloud
A entrada cloudService no perfil de configuração é utilizada para configurar a funcionalidade de proteção orientada para a cloud do produto.
Nota
A proteção fornecida pela cloud é aplicável a todas as definições de Nível de imposição (em tempo real, on_demand, passivo).
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | cloudService |
Preferências de proteção fornecidas pela cloud |
Tipo de dados | Dicionário (preferência aninhada) | Secção fechada |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. | Consulte as secções seguintes para obter uma descrição das definições da política. |
Ativar ou desativar a proteção fornecida pela cloud
Determina se a proteção fornecida pela cloud está ou não ativada no dispositivo. Para melhorar a segurança dos seus serviços, recomendamos que mantenha esta funcionalidade ativada.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | enabled |
Ativar a proteção fornecida pela cloud |
Tipo de dados | Booleano | Menu pendente |
Valores possíveis |
true (predefinição)false |
Não configurado Desativado Ativado (Predefinição) |
Nível de recolha de diagnósticos
Os dados de diagnóstico são utilizados para manter o Defender para Endpoint seguro e atualizado, detetar, diagnosticar e corrigir problemas e também melhorar o produto. Esta definição determina o nível de diagnóstico enviado pelo produto à Microsoft. Para obter mais informações, consulte Privacidade para Microsoft Defender para Endpoint no Linux.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | diagnosticLevel |
Nível de recolha de dados de diagnóstico |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis | optional required (predefinição) |
Not configured optional (Predefinição)required |
Configurar o nível de bloco da cloud
Esta definição determina a agressividade do Defender para Endpoint ao bloquear e analisar ficheiros suspeitos. Se esta definição estiver ativada, o Defender para Endpoint é mais agressivo ao identificar ficheiros suspeitos para bloquear e analisar; caso contrário, é menos agressivo e, portanto, bloqueia e analisa com menos frequência.
Existem cinco valores para definir o nível de bloco da cloud:
- Normal (
normal
): o nível de bloqueio predefinido. - Moderado (
moderate
): dá um veredicto apenas para deteções de alta confiança. - Alto (
high
): bloqueia agressivamente ficheiros desconhecidos ao otimizar o desempenho (maior probabilidade de bloquear ficheiros não partilhados). - High Plus (
high_plus
): bloqueia agressivamente ficheiros desconhecidos e aplica medidas de proteção adicionais (podem afetar o desempenho do dispositivo cliente). - Tolerância Zero (
zero_tolerance
): bloqueia todos os programas desconhecidos.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | cloudBlockLevel |
Configurar o nível de bloco da cloud |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis |
normal (predefinição)moderate high high_plus zero_tolerance |
Not configured Normal (predefinição)Moderate High High_Plus Zero_Tolerance |
Nota
Disponível na versão 101.56.62
do Defender para Endpoint ou posterior.
Ativar ou desativar submissões automáticas de exemplo
Determina se as amostras suspeitas (que são susceptíveis de conter ameaças) são enviadas para a Microsoft. Existem três níveis para controlar a submissão de amostras:
- Nenhum: não são submetidos exemplos suspeitos à Microsoft.
- Seguro: apenas os exemplos suspeitos que não contenham informações pessoais (PII) são submetidos automaticamente. Este é o valor predefinido para esta definição.
- Todos: todos os exemplos suspeitos são submetidos à Microsoft.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | automaticSampleSubmissionConsent |
Ativar submissões automáticas de exemplo |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis | none safe (predefinição)all |
Not configured None Safe (Predefinição)All |
Ativar ou desativar atualizações automáticas de informações de segurança
Determina se as atualizações de informações de segurança são instaladas automaticamente:
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | automaticDefinitionUpdateEnabled |
Atualizações automáticas de informações de segurança |
Tipo de dados | Booleano | Menu pendente |
Valores possíveis |
true (predefinição)false |
Not configured Disabled Enabled (Predefinição) |
Consoante o nível de imposição, as atualizações automáticas de informações de segurança são instaladas de forma diferente. No modo RTP, as atualizações são instaladas periodicamente. No modo Passivo/A Pedido, as atualizações são instaladas antes de cada análise.
Funcionalidades opcionais avançadas
As seguintes definições podem ser configuradas para ativar determinadas funcionalidades avançadas.
Importante
Ativar estas funcionalidades pode afetar o desempenho do dispositivo. Recomenda-se que mantenha as predefinições, salvo recomendação em contrário por Suporte da Microsoft.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | funcionalidades | Não está disponível |
Tipo de dados | Dicionário (preferência aninhada) | n/a |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Funcionalidade de carregamento do módulo
Determina se os eventos de carregamento do módulo (eventos de abertura de ficheiros em bibliotecas partilhadas) são monitorizados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | moduleLoad |
Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis |
disabled (predefinição)enabled |
n/a |
Comentários | Disponível na versão 101.68.80 do Defender para Endpoint ou posterior. |
Funcionalidade Remediar Ficheiro Infetado
Determina se os processos infetados que abrem ou carregam qualquer ficheiro infetado são remediados ou não.
Nota
Quando ativado, os processos que abrem ou carregam qualquer ficheiro infetado são remediados no modo RTP. Estes processos não aparecem na lista de ameaças porque não são maliciosos, mas apenas são terminados porque estão a carregar o ficheiro de ameaça na memória.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | remediateInfectedFile | Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis | desativado (predefinição) ativado |
n/a |
Comentários | Disponível na versão 101.24122.0001 do Defender para Endpoint ou posterior. |
Configurações suplementares do sensor
As seguintes definições podem ser utilizadas para configurar determinadas funcionalidades avançadas do sensor suplementar.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | supplementarySensorConfigurations |
Não está disponível |
Tipo de dados | Dicionário (preferência aninhada) | n/a |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Configurar a monitorização de eventos de permissões de modificação de ficheiros
Determina se os eventos de permissões de modificação de ficheiros (chmod
) são monitorizados.
Nota
Quando esta funcionalidade está ativada, o Defender para Endpoint monitoriza as alterações aos bits dos ficheiros executados, mas não analisa estes eventos. Para obter mais informações, veja a secção Funcionalidades de análise avançadas para obter mais detalhes.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | enableFilePermissionEvents |
Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis |
disabled (predefinição)enabled |
n/a |
Comentários | Disponível na versão 101.23062.0010 do Defender para Endpoint ou posterior. |
Configurar a monitorização de eventos de propriedade de modificação de ficheiros
Determina se os eventos de propriedade de modificação de ficheiros (chown
) são monitorizados.
Nota
Quando esta funcionalidade está ativada, o Defender para Endpoint monitoriza as alterações à propriedade dos ficheiros, mas não analisa estes eventos. Para obter mais informações, veja a secção Funcionalidades de análise avançadas para obter mais detalhes.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | enableFileOwnershipEvents |
Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis |
disabled (predefinição)enabled |
n/a |
Comentários | Disponível na versão 101.23062.0010 do Defender para Endpoint ou posterior. |
Configurar a monitorização de eventos de socket não processados
Determina se os eventos de socket de rede que envolvem a criação de sockets/sockets de pacotes não processados ou a opção de socket de definição são monitorizados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada. Quando esta funcionalidade está ativada, o Defender para Ponto Final monitoriza estes eventos de socket de rede, mas não analisa estes eventos. Para obter mais informações, veja a secção Funcionalidades de análise avançada acima para obter mais detalhes.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | enableRawSocketEvent |
Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis |
disabled (predefinição)enabled |
n/a |
Comentários | Disponível na versão 101.23062.0010 do Defender para Endpoint ou posterior. |
Configurar a monitorização de eventos do carregador de arranque
Determina se os eventos do carregador de arranque são monitorizados e analisados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | enableBootLoaderCalls |
Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis |
disabled (predefinição)enabled |
n/a |
Comentários | Disponível na versão 101.68.80 do Defender para Endpoint ou posterior. |
Configurar a monitorização de eventos ptrace
Determina se os eventos ptrace são monitorizados e analisados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | enableProcessCalls |
Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis |
disabled (predefinição)enabled |
n/a |
Comentários | Disponível na versão 101.68.80 do Defender para Endpoint ou posterior. |
Configurar a monitorização de eventos pseudofs
Determina se os eventos pseudofs são monitorizados e analisados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | enablePseudofsCalls |
Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis |
disabled (predefinição)enabled |
n/a |
Comentários | Disponível na versão 101.68.80 do Defender para Endpoint ou posterior. |
Configurar a monitorização de eventos de carregamento de módulos com o eBPF
Determina se os eventos de carregamento do módulo são monitorizados com eBPF e analisados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | enableEbpfModuleLoadEvents |
Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis |
disabled (predefinição)enabled |
n/a |
Comentários | Disponível na versão 101.68.80 do Defender para Endpoint ou posterior. |
Configurar a monitorização de eventos abertos a partir de sistemas de ficheiros específicos com o eBPF
Determina se os eventos abertos de procfs são monitorizados pelo eBPF.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | enableOtherFsOpenEvents |
Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis |
disabled (predefinição)enabled |
n/a |
Comentários | Disponível na versão 101.24072.0001 do Defender para Endpoint ou posterior. |
Configurar o melhoramento de origem de eventos com o eBPF
Determina se os eventos são enriquecidos com metadados na origem no eBPF.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | enableEbpfSourceEnrichment |
Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis |
disabled (predefinição)enabled |
n/a |
Comentários | Disponível na versão 101.24072.0001 do Defender para Endpoint ou posterior. |
Ativar a Cache do Motor de Antivírus
Determina se os metadados dos eventos que estão a ser analisados pelo motor antivírus estão ou não em cache.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | enableAntivirusEngineCache |
Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis |
disabled (predefinição)enabled |
n/a |
Comentários | Disponível na versão 101.24072.0001 do Defender para Endpoint ou posterior. |
Reportar Eventos Suspeitos av à EDR
Determina se os eventos suspeitos do Antivírus são comunicados à EDR.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | sendLowfiEvents |
Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis |
disabled (predefinição)enabled |
n/a |
Comentários | Disponível na versão 101.23062.0010 do Defender para Endpoint ou posterior. |
Configurações de proteção de rede
Nota
Esta é uma funcionalidade de pré-visualização. Para que sejam eficazes, a Proteção de Rede tem de ser ativada. Para obter mais informações, veja Ativar a proteção de rede para Linux.
As seguintes definições podem ser utilizadas para configurar funcionalidades avançadas de inspeção de Proteção de Rede para controlar que tráfego é inspecionado pela Proteção de Rede.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | networkProtection |
Proteção da rede |
Tipo de dados | Dicionário (preferência aninhada) | Secção fechada |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. | Consulte as secções seguintes para obter uma descrição das definições de política. |
Nível de Imposição
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | enforcementLevel |
Nível de Imposição |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis |
disabled (predefinição)audit block |
Not configured disabled (predefinição)audit block |
Configurar a inspeção ICMP
Determina se os eventos ICMP são monitorizados e analisados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
Descrição | Valor JSON | Microsoft Defender valor do portal |
---|---|---|
Chave | disableIcmpInspection |
Não está disponível |
Tipo de dados | Booleano | n/a |
Valores possíveis |
true (predefinição)false |
n/a |
Comentários | Disponível na versão 101.23062.0010 do Defender para Endpoint ou posterior. |
Adicionar um ID de grupo ou etiqueta ao perfil de configuração
Quando executar o mdatp health
comando pela primeira vez, o valor da etiqueta e do ID de grupo estará em branco. Para adicionar um ID de etiqueta ou grupo ao mdatp_managed.json
ficheiro, siga os passos abaixo:
Abra o perfil de configuração a partir do caminho
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json
.Desça até à parte inferior do ficheiro, onde se encontra o
cloudService
bloco.Adicione a etiqueta necessária ou o ID de grupo como exemplo seguinte no final do parêntese curly de fecho do
cloudService
.}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }
Nota
Adicione a vírgula após o parêntese encaracolado de fecho no final do
cloudService
bloco. Além disso, certifique-se de que existem dois parênteses retos de fecho depois de adicionar o bloco ID da Etiqueta ou do Grupo (veja o exemplo acima). Neste momento, o único nome de chave suportado para etiquetas éGROUP
.
Validação do perfil de configuração
O perfil de configuração tem de ser um ficheiro com formato JSON válido. Existem muitas ferramentas que podem ser utilizadas para verificar isto. Por exemplo, se tiver python
instalado no seu dispositivo:
python -m json.tool mdatp_managed.json
Se o JSON estiver bem formado, o comando acima devolve-o ao Terminal e devolve um código de saída de 0
. Caso contrário, é apresentado um erro que descreve o problema e o comando devolve um código de saída de 1
.
Verificar se o ficheiro mdatp_managed.json está a funcionar conforme esperado
Para verificar se /etc/opt/microsoft/mdatp/managed/mdatp_managed.json
está a funcionar corretamente, deverá ver "[gerido]" junto a estas definições:
cloud_enabled
cloud_automatic_sample_submission_consent
passive_mode_enabled
real_time_protection_enabled
automatic_definition_update_enabled
Nota
Não é necessário reiniciar o daemon mdatp para que as alterações à maioria das configurações no entrem em mdatp_managed.json
vigor.
Exceção: As seguintes configurações requerem um reinício do daemon para entrarem em vigor:
cloud-diagnostic
log-rotation-parameters
Implementação do perfil de configuração
Depois de criar o perfil de configuração para a sua empresa, pode implementá-lo através da ferramenta de gestão que a sua empresa está a utilizar. O Defender para Endpoint no Linux lê a configuração gerida a partir de /etc/opt/microsoft/mdatp/managed/mdatp_managed.json
.
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.