Definir preferências para o Microsoft Defender para Endpoint no Linux
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Importante
Este tópico contém instruções sobre como definir preferências para o Defender para Endpoint no Linux em ambientes empresariais. Se estiver interessado em configurar o produto num dispositivo a partir da linha de comandos, veja Recursos.
Em ambientes empresariais, o Defender para Endpoint no Linux pode ser gerido através de um perfil de configuração. Este perfil é implementado a partir da ferramenta de gestão à sua escolha. As preferências geridas pela empresa têm precedência sobre as definidas localmente no dispositivo. Por outras palavras, os utilizadores na sua empresa não conseguem alterar as preferências definidas através deste perfil de configuração. Se as exclusões tiverem sido adicionadas através do perfil de configuração gerida, só podem ser removidas através do perfil de configuração gerida. A linha de comandos funciona para exclusões que foram adicionadas localmente.
Este artigo descreve a estrutura deste perfil (incluindo um perfil recomendado que pode utilizar para começar) e instruções sobre como implementar o perfil.
Estrutura do perfil de configuração
O perfil de configuração é um ficheiro .json que consiste em entradas identificadas por uma chave (que indica o nome da preferência), seguido de um valor, que depende da natureza da preferência. Os valores podem ser simples, como um valor numérico ou complexo, como uma lista aninhada de preferências.
Normalmente, utilizaria uma ferramenta de gestão de configuração para emitir um ficheiro com o nome mdatp_managed.json na localização /etc/opt/microsoft/mdatp/managed/.
O nível superior do perfil de configuração inclui preferências e entradas ao nível do produto para subáreas do produto, que são explicadas mais detalhadamente nas secções seguintes.
Preferências do motor antivírus
A secção antivírusEngine do perfil de configuração é utilizada para gerir as preferências do componente antivírus do produto.
| Descrição | Valor |
|---|---|
| Chave | antivírusEngine |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Nível de imposição do motor antivírus
Especifica a preferência de imposição do motor antivírus. Existem três valores para definir o nível de imposição:
- Em tempo real (
real_time): a proteção em tempo real (analisar ficheiros à medida que são modificados) está ativada. - A pedido (
on_demand): os ficheiros são analisados apenas a pedido. Neste:- A proteção em tempo real está desativada.
- Passivo (
passive): executa o motor antivírus no modo passivo. Neste:- A proteção em tempo real está desativada: as ameaças não são remediadas pelo Antivírus Microsoft Defender.
- A análise a pedido está ativada: utilize ainda as capacidades de análise no ponto final.
- A remediação automática de ameaças está desativada: não serão movidos ficheiros e espera-se que o administrador de segurança tome as medidas necessárias.
- As atualizações de informações de segurança estão ativadas: os alertas estarão disponíveis no inquilino dos administradores de segurança.
| Descrição | Valor |
|---|---|
| Chave | enforcementLevel |
| Tipo de dados | Cadeia |
| Valores possíveis | real_time on_demand passivo (predefinição) |
| Comentários | Disponível no Defender para Endpoint versão 101.10.72 ou superior. A predefinição é alterada de real_time para passiva para a versão 101.23062.0001 ou superior do Ponto Final. |
Ativar/desativar a monitorização de comportamento
Determina se a capacidade de monitorização e bloqueio de comportamento está ou não ativada no dispositivo.
Nota
Esta funcionalidade só é aplicável quando a funcionalidade proteção Real-Time está ativada.
| Descrição | Valor |
|---|---|
| Chave | behaviorMonitoring |
| Tipo de dados | Cadeia |
| Valores possíveis | desativado (predefinição) ativado |
| Comentários | Disponível no Defender para Endpoint versão 101.45.00 ou superior. |
Executar uma análise após a atualização das definições
Especifica se pretende iniciar uma análise de processo após a transferência de novas atualizações de informações de segurança no dispositivo. Ativar esta definição aciona uma análise antivírus nos processos em execução do dispositivo.
| Descrição | Valor |
|---|---|
| Chave | scanAfterDefinitionUpdate |
| Tipo de dados | Booleano |
| Valores possíveis | true (predefinição) falso |
| Comentários | Disponível no Defender para Endpoint versão 101.45.00 ou superior. |
Analisar arquivos (apenas análises antivírus a pedido)
Especifica se pretende analisar arquivos durante análises antivírus a pedido.
Nota
Os ficheiros de arquivo nunca são analisados durante a proteção em tempo real. Quando os ficheiros num arquivo são extraídos, são analisados. A opção scanArchives pode ser utilizada para forçar a análise de arquivos apenas durante a análise a pedido.
| Descrição | Valor |
|---|---|
| Chave | scanArchives |
| Tipo de dados | Booleano |
| Valores possíveis | true (predefinição) falso |
| Comentários | Disponível no Microsoft Defender para Endpoint versão 101.45.00 ou superior. |
Grau de paralelismo para análises a pedido
Especifica o grau de paralelismo para análises a pedido. Isto corresponde ao número de threads utilizados para efetuar a análise e afeta a utilização da CPU e a duração da análise a pedido.
| Descrição | Valor |
|---|---|
| Chave | maximumOnDemandScanThreads |
| Tipo de dados | Número inteiro |
| Valores possíveis | 2 (predefinição). Os valores permitidos são números inteiros entre 1 e 64. |
| Comentários | Disponível no Microsoft Defender para Endpoint versão 101.45.00 ou superior. |
Política de intercalação de exclusão
Especifica a política de intercalação para exclusões. Pode ser uma combinação de exclusões definidas pelo administrador e definidas pelo utilizador (merge) ou apenas exclusões definidas pelo administrador (admin_only). Esta definição pode ser utilizada para impedir que os utilizadores locais definam as suas próprias exclusões.
| Descrição | Valor |
|---|---|
| Chave | exclusionsMergePolicy |
| Tipo de dados | Cadeia |
| Valores possíveis | intercalação (predefinição) admin_only |
| Comentários | Disponível no Defender para Endpoint versão 100.83.73 ou superior. |
Analisar exclusões
Entidades que foram excluídas da análise. As exclusões podem ser especificadas por caminhos completos, extensões ou nomes de ficheiros. (As exclusões são especificadas como uma matriz de itens, o administrador pode especificar o número de elementos necessários, por qualquer ordem.)
| Descrição | Valor |
|---|---|
| Chave | exclusões |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Tipo de exclusão
Especifica o tipo de conteúdo excluído da análise.
| Descrição | Valor |
|---|---|
| Chave | $type |
| Tipo de dados | Cadeia |
| Valores possíveis | excludedPath excludedFileExtension excludedFileName |
Caminho para conteúdo excluído
Utilizado para excluir conteúdo da análise por caminho de ficheiro completo.
| Descrição | Valor |
|---|---|
| Chave | caminho |
| Tipo de dados | Cadeia |
| Valores possíveis | caminhos válidos |
| Comentários | Aplicável apenas se $type for excluídoPath |
Tipo de caminho (ficheiro/diretório)
Indica se a propriedade path se refere a um ficheiro ou diretório.
| Descrição | Valor |
|---|---|
| Chave | isDirectory |
| Tipo de dados | Booleano |
| Valores possíveis | falso (predefinição) verdadeiro |
| Comentários | Aplicável apenas se $type for excluídoPath |
Extensão de ficheiro excluída da análise
Utilizado para excluir conteúdo da análise por extensão de ficheiro.
| Descrição | Valor |
|---|---|
| Chave | extensão |
| Tipo de dados | Cadeia |
| Valores possíveis | extensões de ficheiro válidas |
| Comentários | Aplicável apenas se $type for excluídoFileExtension |
Processo excluído da análise*
Especifica um processo para o qual toda a atividade de ficheiro é excluída da análise. O processo pode ser especificado pelo respetivo nome (por exemplo, cat) ou caminho completo (por exemplo, /bin/cat).
| Descrição | Valor |
|---|---|
| Chave | nome |
| Tipo de dados | Cadeia |
| Valores possíveis | qualquer cadeia |
| Comentários | Aplicável apenas se $type for excluídoFileName |
Desativar o som das montagens Não Exec
Especifica o comportamento do RTP no ponto de montagem marcado como noexec. Existem dois valores para a definição:
- Unmuted (
unmute): o valor predefinido, todos os pontos de montagem são analisados como parte do RTP. - Desativado (
mute): os pontos de montagem marcados como nãoexec não são analisados como parte do RTP. Estes pontos de montagem podem ser criados para:- Ficheiros de base de dados em Servidores de bases de dados para manter ficheiros de base de dados.
- O servidor de ficheiros pode manter pontos de montagem de ficheiros de dados com a opção noexec.
- A cópia de segurança pode manter os pontos de montagem dos ficheiros de dados com a opção noexec.
| Descrição | Valor |
|---|---|
| Chave | nonExecMountPolicy |
| Tipo de dados | Cadeia |
| Valores possíveis | ativar som (predefinição) desativar som |
| Comentários | Disponível no Defender para Endpoint versão 101.85.27 ou superior. |
Desmonitorizar Sistemas de Ficheiros
Configure sistemas de ficheiros para não serem monitorizados/excluídos da Proteção em Tempo Real (RTP). Os sistemas de ficheiros configurados são validados na lista de sistemas de ficheiros permitidos do Microsoft Defender. Apenas após a validação bem-sucedida, o sistema de ficheiros será autorizado a não ser monitorizado. Estes sistemas de ficheiros não monitorizados configurados continuarão a ser analisados por análises rápidas, completas e personalizadas.
| Descrição | Valor |
|---|---|
| Chave | unmonitoredFilesystems |
| Tipo de dados | Matriz de cadeias |
| Comentários | O sistema de ficheiros configurado só será monitorizado se estiver presente na lista de sistemas de ficheiros não monitorizados permitidos da Microsoft. |
Por predefinição, o NFS e a Fusão não são monitorizados das análises RTP, Rápida e Completa. No entanto, ainda podem ser analisados por uma análise personalizada. Por exemplo, para remover o NFS da lista de sistemas de ficheiros não monitorizados, atualize o ficheiro de configuração gerida, conforme mostrado abaixo. Esta ação irá adicionar automaticamente NFS à lista de sistemas de ficheiros monitorizados para RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Para remover o NFS e a Fusão da lista não monitorizada de sistemas de ficheiros, faça o seguinte
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Nota
Segue-se a lista predefinida de sistemas de ficheiros monitorizados para RTP –
[btrfs, ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, reiserfs, tmpfs, vfat, xfs]
Se for necessário adicionar algum sistema de ficheiros monitorizado à lista de sistemas de ficheiros não monitorizados, tem de ser avaliado e ativado pela Microsoft através da configuração da cloud. Seguindo o que os clientes podem atualizar managed_mdatp.json para desmonitorizar esse sistema de ficheiros.
Configurar a funcionalidade de computação hash de ficheiros
Ativa ou desativa a funcionalidade de computação hash de ficheiros. Quando esta funcionalidade está ativada, o Defender para Endpoint calcula os hashes dos ficheiros que analisa. Tenha em atenção que ativar esta funcionalidade pode afetar o desempenho do dispositivo. Para obter mais detalhes, veja: Create indicadores para ficheiros.
| Descrição | Valor |
|---|---|
| Chave | enableFileHashComputation |
| Tipo de dados | Booleano |
| Valores possíveis | falso (predefinição) verdadeiro |
| Comentários | Disponível no Defender para Endpoint versão 101.85.27 ou superior. |
Ameaças permitidas
Lista de ameaças (identificadas pelo respetivo nome) que não são bloqueadas pelo produto e que, em vez disso, têm permissão para serem executadas.
| Descrição | Valor |
|---|---|
| Chave | allowedThreats |
| Tipo de dados | Matriz de cadeias |
Ações de ameaça não permitidas
Restringe as ações que o utilizador local de um dispositivo pode efetuar quando são detetadas ameaças. As ações incluídas nesta lista não são apresentadas na interface de utilizador.
| Descrição | Valor |
|---|---|
| Chave | disallowedThreatActions |
| Tipo de dados | Matriz de cadeias |
| Valores possíveis | permitir (impede os utilizadores de permitir ameaças) restaurar (impede os utilizadores de restaurar ameaças a partir da quarentena) |
| Comentários | Disponível no Defender para Endpoint versão 100.83.73 ou superior. |
Definições de tipo de ameaça
A preferência threatTypeSettings no motor antivírus é utilizada para controlar a forma como determinados tipos de ameaças são processados pelo produto.
| Descrição | Valor |
|---|---|
| Chave | threatTypeSettings |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Tipo de ameaça
Tipo de ameaça para a qual o comportamento está configurado.
| Descrição | Valor |
|---|---|
| Chave | tecla |
| Tipo de dados | Cadeia |
| Valores possíveis | potentially_unwanted_application archive_bomb |
Ação a tomar
Ação a tomar ao deparar-se com uma ameaça do tipo especificado na secção anterior. Pode ser:
- Auditoria: o dispositivo não está protegido contra este tipo de ameaça, mas é registada uma entrada sobre a ameaça.
- Bloco: o dispositivo está protegido contra este tipo de ameaça e é notificado na consola de segurança.
- Desativado: o dispositivo não está protegido contra este tipo de ameaça e nada é registado.
| Descrição | Valor |
|---|---|
| Chave | valor |
| Tipo de dados | Cadeia |
| Valores possíveis | auditoria (predefinição) bloquear desativado |
Política de intercalação de definições de tipo de ameaça
Especifica a política de intercalação para definições de tipo de ameaça. Pode ser uma combinação de definições definidas pelo administrador e definidas pelo utilizador (merge) ou apenas definições definidas pelo administrador (admin_only). Esta definição pode ser utilizada para impedir que os utilizadores locais definam as suas próprias definições para diferentes tipos de ameaças.
| Descrição | Valor |
|---|---|
| Chave | threatTypeSettingsMergePolicy |
| Tipo de dados | Cadeia |
| Valores possíveis | intercalação (predefinição) admin_only |
| Comentários | Disponível no Defender para Endpoint versão 100.83.73 ou superior. |
Retenção do histórico de análises de antivírus (em dias)
Especifique o número de dias que os resultados são retidos no histórico de análises no dispositivo. Os resultados da análise antigos são removidos do histórico. Ficheiros antigos em quarentena que também são removidos do disco.
| Descrição | Valor |
|---|---|
| Chave | scanResultsRetentionDays |
| Tipo de dados | Cadeia |
| Valores possíveis | 90 (predefinição). Os valores permitidos são de 1 dia a 180 dias. |
| Comentários | Disponível no Defender para Endpoint versão 101.04.76 ou superior. |
Número máximo de itens no histórico de análise de antivírus
Especifique o número máximo de entradas a manter no histórico de análises. As entradas incluem todas as análises a pedido realizadas no passado e todas as deteções de antivírus.
| Descrição | Valor |
|---|---|
| Chave | scanHistoryMaximumItems |
| Tipo de dados | Cadeia |
| Valores possíveis | 10000 (predefinição). Os valores permitidos são de 5000 itens a 15000 itens. |
| Comentários | Disponível no Defender para Endpoint versão 101.04.76 ou superior. |
Opções avançadas de análise
As seguintes definições podem ser configuradas para ativar determinadas funcionalidades avançadas de análise.
Nota
Ativar estas funcionalidades pode afetar o desempenho do dispositivo. Como tal, é recomendado manter as predefinições.
Configurar a análise de eventos de permissões de modificação de ficheiros
Quando esta funcionalidade estiver ativada, o Defender para Endpoint analisará os ficheiros quando as respetivas permissões tiverem sido alteradas para definir os bits de execução.
Nota
Esta funcionalidade só é aplicável quando a enableFilePermissionEvents funcionalidade está ativada. Para obter mais informações, consulte a secção Funcionalidades opcionais avançadas abaixo para obter detalhes.
| Descrição | Valor |
|---|---|
| Chave | scanFileModifyPermissions |
| Tipo de dados | Booleano |
| Valores possíveis | falso (predefinição) verdadeiro |
| Comentários | Disponível no Defender para Endpoint versão 101.23062.0010 ou superior. |
Configurar a análise de eventos de propriedade de modificação de ficheiros
Quando esta funcionalidade estiver ativada, o Defender para Endpoint analisará os ficheiros para os quais a propriedade foi alterada.
Nota
Esta funcionalidade só é aplicável quando a enableFileOwnershipEvents funcionalidade está ativada. Para obter mais informações, consulte a secção Funcionalidades opcionais avançadas abaixo para obter detalhes.
| Descrição | Valor |
|---|---|
| Chave | scanFileModifyOwnership |
| Tipo de dados | Booleano |
| Valores possíveis | falso (predefinição) verdadeiro |
| Comentários | Disponível no Defender para Endpoint versão 101.23062.0010 ou superior. |
Configurar a análise de eventos de socket não processados
Quando esta funcionalidade estiver ativada, o Defender para Endpoint analisará eventos de socket de rede, como a criação de sockets/sockets de pacotes não processados ou a opção de configuração do socket.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
Nota
Esta funcionalidade só é aplicável quando a enableRawSocketEvent funcionalidade está ativada. Para obter mais informações, consulte a secção Funcionalidades opcionais avançadas abaixo para obter detalhes.
| Descrição | Valor |
|---|---|
| Chave | scanNetworkSocketEvent |
| Tipo de dados | Booleano |
| Valores possíveis | falso (predefinição) verdadeiro |
| Comentários | Disponível no Defender para Endpoint versão 101.23062.0010 ou superior. |
Preferências de proteção fornecidas pela cloud
A entrada cloudService no perfil de configuração é utilizada para configurar a funcionalidade de proteção orientada para a cloud do produto.
Nota
A proteção fornecida pela cloud é aplicável a todas as definições de Nível de imposição (real_time, on_demand, passivo).
| Descrição | Valor |
|---|---|
| Chave | cloudService |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Ativar/desativar a proteção fornecida pela cloud
Determina se a proteção fornecida pela cloud está ou não ativada no dispositivo. Para melhorar a segurança dos seus serviços, recomendamos que mantenha esta funcionalidade ativada.
| Descrição | Valor |
|---|---|
| Chave | ativado |
| Tipo de dados | Booleano |
| Valores possíveis | true (predefinição) falso |
Nível de recolha de diagnósticos
Os dados de diagnóstico são utilizados para manter o Defender para Endpoint seguro e atualizado, detetar, diagnosticar e corrigir problemas e também melhorar o produto. Esta definição determina o nível de diagnóstico enviado pelo produto à Microsoft.
| Descrição | Valor |
|---|---|
| Chave | diagnosticLevel |
| Tipo de dados | Cadeia |
| Valores possíveis | opcional obrigatório (predefinição) |
Configurar o nível de bloco da cloud
Esta definição determina a agressividade do Defender para Endpoint ao bloquear e analisar ficheiros suspeitos. Se esta definição estiver ativada, o Defender para Endpoint é mais agressivo ao identificar ficheiros suspeitos para bloquear e analisar; caso contrário, é menos agressivo e, portanto, bloqueia e analisa com menos frequência.
Existem cinco valores para definir o nível de bloco da cloud:
- Normal (
normal): o nível de bloqueio predefinido. - Moderado (
moderate): dá um veredicto apenas para deteções de alta confiança. - Alto (
high): bloqueia agressivamente ficheiros desconhecidos ao otimizar o desempenho (maior probabilidade de bloquear ficheiros não prejudiciais). - High Plus (
high_plus): bloqueia agressivamente ficheiros desconhecidos e aplica medidas de proteção adicionais (podem afetar o desempenho do dispositivo cliente). - Tolerância Zero (
zero_tolerance): bloqueia todos os programas desconhecidos.
| Descrição | Valor |
|---|---|
| Chave | cloudBlockLevel |
| Tipo de dados | Cadeia |
| Valores possíveis | normal (predefinição) moderado alto high_plus zero_tolerance |
| Comentários | Disponível no Defender para Endpoint versão 101.56.62 ou superior. |
Ativar/desativar submissões automáticas de exemplo
Determina se as amostras suspeitas (que são susceptíveis de conter ameaças) são enviadas para a Microsoft. Existem três níveis para controlar a submissão de amostras:
- Nenhum: não são submetidos exemplos suspeitos à Microsoft.
- Seguro: apenas os exemplos suspeitos que não contenham informações pessoais (PII) são submetidos automaticamente. Este é o valor predefinido para esta definição.
- Todos: todos os exemplos suspeitos são submetidos à Microsoft.
| Descrição | Valor |
|---|---|
| Chave | automaticSampleSubmissionConsent |
| Tipo de dados | Cadeia |
| Valores possíveis | nenhum seguro (predefinição) todos |
Ativar/desativar atualizações automáticas de informações de segurança
Determina se as atualizações de informações de segurança são instaladas automaticamente:
| Descrição | Valor |
|---|---|
| Chave | automaticDefinitionUpdateEnabled |
| Tipo de dados | Booleano |
| Valores possíveis | true (predefinição) falso |
Funcionalidades opcionais avançadas
As seguintes definições podem ser configuradas para ativar determinadas funcionalidades avançadas.
Nota
Ativar estas funcionalidades pode afetar o desempenho do dispositivo. Recomenda-se que mantenha as predefinições.
| Descrição | Valor |
|---|---|
| Chave | funcionalidades |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Funcionalidade de carregamento do módulo
Determina se os eventos de carregamento do módulo (eventos de abertura de ficheiros em bibliotecas partilhadas) são monitorizados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
| Descrição | Valor |
|---|---|
| Chave | moduleLoad |
| Tipo de dados | Cadeia |
| Valores possíveis | desativado (predefinição) ativado |
| Comentários | Disponível no Defender para Endpoint versão 101.68.80 ou superior. |
Configurações suplementares do sensor
As seguintes definições podem ser utilizadas para configurar determinadas funcionalidades avançadas do sensor suplementar.
| Descrição | Valor |
|---|---|
| Chave | supplementarySensorConfigurations |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Configurar a monitorização de eventos de permissões de modificação de ficheiros
Determina se os eventos de permissões de modificação de ficheiros (chmod) são monitorizados.
Nota
Quando esta funcionalidade está ativada, o Defender para Endpoint monitorizará as alterações aos bits de execução de ficheiros, mas não analisará estes eventos. Para obter mais informações, veja a secção Funcionalidades de análise avançadas para obter mais detalhes.
| Descrição | Valor |
|---|---|
| Chave | enableFilePermissionEvents |
| Tipo de dados | Cadeia |
| Valores possíveis | desativado (predefinição) ativado |
| Comentários | Disponível no Defender para Endpoint versão 101.23062.0010 ou superior. |
Configurar a monitorização de eventos de propriedade de modificação de ficheiros
Determina se os eventos de propriedade de modificação de ficheiros (chown) são monitorizados.
Nota
Quando esta funcionalidade estiver ativada, o Defender para Endpoint monitorizará as alterações à propriedade dos ficheiros, mas não analisará estes eventos. Para obter mais informações, veja a secção Funcionalidades de análise avançadas para obter mais detalhes.
| Descrição | Valor |
|---|---|
| Chave | enableFileOwnershipEvents |
| Tipo de dados | Cadeia |
| Valores possíveis | desativado (predefinição) ativado |
| Comentários | Disponível no Defender para Endpoint versão 101.23062.0010 ou superior. |
Configurar a monitorização de eventos de socket não processados
Determina se os eventos de socket de rede que envolvem a criação de sockets/sockets de pacotes não processados ou a opção de socket de definição são monitorizados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
Nota
Quando esta funcionalidade estiver ativada, o Defender para Endpoint monitorizará estes eventos de socket de rede, mas não analisará estes eventos. Para obter mais informações, veja a secção Funcionalidades de análise avançada acima para obter mais detalhes.
| Descrição | Valor |
|---|---|
| Chave | enableRawSocketEvent |
| Tipo de dados | Cadeia |
| Valores possíveis | desativado (predefinição) ativado |
| Comentários | Disponível no Defender para Endpoint versão 101.23062.0010 ou superior. |
Configurar a monitorização de eventos do carregador de arranque
Determina se os eventos do carregador de arranque são monitorizados e analisados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
| Descrição | Valor |
|---|---|
| Chave | enableBootLoaderCalls |
| Tipo de dados | Cadeia |
| Valores possíveis | desativado (predefinição) ativado |
| Comentários | Disponível no Defender para Endpoint versão 101.68.80 ou superior. |
Configurar a monitorização de eventos ptrace
Determina se os eventos ptrace são monitorizados e analisados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
| Descrição | Valor |
|---|---|
| Chave | enableProcessCalls |
| Tipo de dados | Cadeia |
| Valores possíveis | desativado (predefinição) ativado |
| Comentários | Disponível no Defender para Endpoint versão 101.68.80 ou superior. |
Configurar a monitorização de eventos pseudofs
Determina se os eventos pseudofs são monitorizados e analisados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
| Descrição | Valor |
|---|---|
| Chave | enablePseudofsCalls |
| Tipo de dados | Cadeia |
| Valores possíveis | desativado (predefinição) ativado |
| Comentários | Disponível no Defender para Endpoint versão 101.68.80 ou superior. |
Configurar a monitorização de eventos de carregamento de módulos com o eBPF
Determina se os eventos de carregamento do módulo são monitorizados com eBPF e analisados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
| Descrição | Valor |
|---|---|
| Chave | enableEbpfModuleLoadEvents |
| Tipo de dados | Cadeia |
| Valores possíveis | desativado (predefinição) ativado |
| Comentários | Disponível no Defender para Endpoint versão 101.68.80 ou superior. |
Reportar Eventos Suspeitos av à EDR
Determina se os eventos suspeitos do Antivírus são comunicados à EDR.
| Descrição | Valor |
|---|---|
| Chave | sendLowfiEvents |
| Tipo de dados | Cadeia |
| Valores possíveis | desativado (predefinição) ativado |
| Comentários | Disponível no Defender para Endpoint versão 101.23062.0010 ou superior. |
Configurações de proteção de rede
As seguintes definições podem ser utilizadas para configurar funcionalidades avançadas de inspeção de Proteção de Rede para controlar que tráfego é inspecionado pela Proteção de Rede.
Nota
Para que sejam eficazes, a Proteção de Rede tem de ser ativada. Para obter mais informações, veja Ativar a proteção de rede para Linux.
| Descrição | Valor |
|---|---|
| Chave | networkProtection |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Configurar a inspeção ICMP
Determina se os eventos ICMP são monitorizados e analisados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
| Descrição | Valor |
|---|---|
| Chave | disableIcmpInspection |
| Tipo de dados | Booleano |
| Valores possíveis | true (predefinição) falso |
| Comentários | Disponível no Defender para Endpoint versão 101.23062.0010 ou superior. |
Perfil de configuração recomendado
Para começar, recomendamos que o seguinte perfil de configuração para a sua empresa tire partido de todas as funcionalidades de proteção que o Defender para Endpoint fornece.
O seguinte perfil de configuração irá:
- Ativar a proteção em tempo real (RTP)
- Especifique a forma como os seguintes tipos de ameaças são processados:
- As aplicações potencialmente indesejadas (PUA) estão bloqueadas
- As bombas de arquivo (ficheiro com uma taxa de compressão elevada) são auditadas para os registos de produtos
- Ativar atualizações automáticas de informações de segurança
- Ativar a proteção fornecida pela cloud
- Ativar a submissão automática de exemplo ao
safenível
Perfil de exemplo
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Exemplo de perfil de configuração completo
O seguinte perfil de configuração contém entradas para todas as definições descritas neste documento e pode ser utilizado para cenários mais avançados em que pretende ter mais controlo sobre o produto.
Nota
Não é possível controlar todas as Microsoft Defender para Endpoint comunicação apenas com uma definição de proxy neste JSON.
Perfil completo
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Adicionar um ID de grupo ou etiqueta ao perfil de configuração
Quando executar o mdatp health comando pela primeira vez, o valor da etiqueta e do ID de grupo estará em branco. Para adicionar um ID de etiqueta ou grupo ao mdatp_managed.json ficheiro, siga os passos abaixo:
- Abra o perfil de configuração a partir do caminho
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json. - Desça até à parte inferior do ficheiro, onde se encontra o
cloudServicebloco. - Adicione a etiqueta necessária ou o ID de grupo como exemplo seguinte no final do parêntese curly de fecho do
cloudService.
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
Nota
Adicione a vírgula após o parêntese encaracolado de fecho no final do cloudService bloco. Além disso, certifique-se de que existem dois parênteses retos de fecho depois de adicionar o bloco ID da Etiqueta ou do Grupo (veja o exemplo acima). Neste momento, o único nome de chave suportado para etiquetas é GROUP.
Validação do perfil de configuração
O perfil de configuração tem de ser um ficheiro com formato JSON válido. Existem muitas ferramentas que podem ser utilizadas para verificar isto. Por exemplo, se tiver python instalado no seu dispositivo:
python -m json.tool mdatp_managed.json
Se o JSON estiver bem formado, o comando acima devolve-o ao Terminal e devolve um código de saída de 0. Caso contrário, é apresentado um erro que descreve o problema e o comando devolve um código de saída de 1.
Verificar se o ficheiro mdatp_managed.json está a funcionar conforme esperado
Para verificar se o seu /etc/opt/microsoft/mdatp/managed/mdatp_managed.json está a funcionar corretamente, deverá ver "[managed]" junto a estas definições:
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
Nota
Não é necessário reiniciar o daemon mdatp para que as alterações à maioria das configurações no mdatp_managed.json entrem em vigor. Exceção: As seguintes configurações requerem um reinício do daemon para entrarem em vigor:
- cloud-diagnostic
- log-rotation-parameters
Implementação do perfil de configuração
Depois de criar o perfil de configuração para a sua empresa, pode implementá-lo através da ferramenta de gestão que a sua empresa está a utilizar. O Defender para Endpoint no Linux lê a configuração gerida a partir do ficheiro /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários