Установите параметры Microsoft Defender для конечной точки в Linux.
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Важно!
В этой статье содержатся инструкции по настройке параметров Defender для конечной точки в Linux в корпоративных средах. Если вы хотите настроить продукт на устройстве из командной строки, см. раздел Ресурсы.
В корпоративных средах Defender для конечной точки в Linux можно управлять с помощью профиля конфигурации. Этот профиль развертывается из выбранного средства управления. Предпочтения, управляемые предприятием, имеют приоритет над параметрами, заданными локально на устройстве. Другими словами, пользователи в организации не могут изменять настройки, заданные в этом профиле конфигурации. Если исключения были добавлены с помощью профиля управляемой конфигурации, их можно удалить только с помощью профиля управляемой конфигурации. Командная строка работает для исключений, добавленных локально.
В этой статье описывается структура этого профиля (включая рекомендуемый профиль, который можно использовать для начала работы) и инструкции по развертыванию профиля.
Структура профиля конфигурации
Профиль конфигурации — это файл .json, состоящий из записей, определенных ключом (который обозначает имя предпочтения), за которым следует значение, которое зависит от характера предпочтения. Значения могут быть простыми, например числовым значением, или сложными, например вложенным списком параметров.
Как правило, вы используете средство управления конфигурацией для отправки файла с именем mdatp_managed.json в расположение /etc/opt/microsoft/mdatp/managed/.
Верхний уровень профиля конфигурации включает в себя настройки для всего продукта и записи для вложенных элементов продукта, которые более подробно описаны в следующих разделах.
Параметры антивирусного ядра
Раздел antivirusEngine профиля конфигурации используется для управления параметрами антивирусного компонента продукта.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | antivirusEngine | Антивирусная подсистема |
| Тип данных | Словарь (вложенный параметр) | Свернутый раздел |
| Комментарии | Описание содержимого словаря см. в следующих разделах. | Описание свойств политики см. в следующих разделах. |
Уровень принудительного применения для антивирусного ядра
Задает параметр принудительного применения антивирусного ядра. Существует три значения для установки уровня принудительного применения:
- В режиме реального времени (
real_time): включена защита в режиме реального времени (сканирование файлов по мере их изменения). - По запросу (
on_demand): файлы сканируются только по запросу. В этом случае:- Защита в режиме реального времени отключена.
- Пассивный (
passive): запускает антивирусную программу в пассивном режиме. В этом случае:- Защита в режиме реального времени отключена: угрозы не устраняются антивирусной программой в Microsoft Defender.
- Сканирование по запросу включено. По-прежнему используйте возможности сканирования в конечной точке.
- Автоматическое исправление угроз отключено: файлы не будут перемещаться, и администратор безопасности, как ожидается, примет необходимые меры.
- Обновления аналитики безопасности включены: оповещения будут доступны в клиенте администраторов безопасности.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | enforcementLevel | Уровень принудительного применения |
| Тип данных | String | Раскрыть |
| Возможные значения | real_timeon_demandpassive (по умолчанию) |
Не настроено В режиме реального времени OnDemand Пассивный (по умолчанию) |
Примечание.
Доступно в Defender для конечной точки версии 101.10.72 или более поздней. Значение по умолчанию изменяется с real_time на пассивное для конечной точки версии 101.23062.0001 или более поздней. Рекомендуется также использовать запланированные проверки в соответствии с требованиями.
Включение и отключение мониторинга поведения
Определяет, включена ли на устройстве возможность мониторинга и блокировки поведения.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | behaviorMonitoring | Включение мониторинга поведения |
| Тип данных | String | Раскрыть |
| Возможные значения | disabled (по умолчанию) |
Не настроено Отключено (по умолчанию) Включено |
Примечание.
Доступно в Defender для конечной точки версии 101.45.00 или более поздней. Эта функция применима, только если включена функция защиты Real-Time.
Запуск проверки после обновления определений
Указывает, следует ли запускать проверку процесса после загрузки на устройство новых обновлений аналитики безопасности. Включение этого параметра запускает антивирусную проверку запущенных процессов устройства.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | scanAfterDefinitionUpdate | Включение сканирования после обновления определения |
| Тип данных | Логический | Раскрыть |
| Возможные значения | true (по умолчанию) |
Не настроено Отключено Включено (по умолчанию) |
Примечание.
Доступно в Defender для конечной точки версии 101.45.00 или более поздней.
Эта функция работает только в том случае, если для уровня принудительного применения задано значение real-time.
Сканирование архивов (только антивирусная проверка по запросу)
Указывает, следует ли сканировать архивы во время проверки антивирусной программы по запросу.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | scanArchives | Включение сканирования архивов |
| Тип данных | Логический | Раскрыть |
| Возможные значения | true (по умолчанию)
|
Не настроено Отключено Включено (по умолчанию) |
Примечание.
Доступно в Microsoft Defender для конечной точки версии 101.45.00 или более поздней. Архивные файлы никогда не сканируются во время защиты в режиме реального времени. При извлечении файлов из архива они сканируются. Параметр scanArchives можно использовать для принудительного сканирования архивов только во время проверки по запросу.
Степень параллелизма при сканировании по запросу
Указывает степень параллелизма для проверок по запросу. Это соответствует количеству потоков, используемых для проверки, влияет на загрузку ЦП и длительность проверки по запросу.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | maximumOnDemandScanThreads | максимальное число потоков сканирования по запросу |
| Тип данных | Integer | Переключение переключателя & целое число |
| Возможные значения | 2 (по умолчанию). Допустимые значения — это целые числа от 1 до 64. | Не настроено (по умолчанию переключение по умолчанию на значение 2) Настроено (включено) и целое число от 1 до 64. |
Примечание.
Доступно в Microsoft Defender для конечной точки версии 101.45.00 или более поздней.
Политика слияния исключений
Задает политику слияния для исключений. Это может быть сочетание исключений, определенных администратором и пользователем (merge) или только исключений, определенных администратором (admin_only). Этот параметр можно использовать, чтобы запретить локальным пользователям определять собственные исключения.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | exclusionsMergePolicy | Exclusions merge (Объединение исключений); |
| Тип данных | String | Раскрыть |
| Возможные значения | merge (по умолчанию)
|
Не настроено merge (по умолчанию) admin_only |
Примечание.
Доступно в Defender для конечной точки версии 100.83.73 или более поздней.
исключения сканирования;
Сущности, исключенные из проверки. Исключения можно указать полными путями, расширениями или именами файлов. (Исключения указываются в виде массива элементов. Администратор может указать любое необходимое количество элементов в любом порядке.)
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | Исключения | исключения сканирования; |
| Тип данных | Словарь (вложенный параметр) | Динамический список свойств |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Тип исключения
Указывает тип содержимого, исключенного из сканирования.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | $type | Тип |
| Тип данных | String | Раскрывающийся список |
| Возможные значения | excludedPath
|
Path Расширение файла Имя процесса |
Путь к исключенным содержимому
Используется для исключения содержимого из сканирования по полному пути к файлу.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | path | Path |
| Тип данных | String | String |
| Возможные значения | допустимые пути | допустимые пути |
| Комментарии | Применимо только в том случае , если $typeисключеныPath | Доступ к во всплывающем окне "Изменение экземпляра" |
Тип пути (файл или каталог)
Указывает, относится ли свойство path к файлу или каталогу.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | isDirectory | Каталог Is |
| Тип данных | Логический | Раскрыть |
| Возможные значения | false (по умолчанию)
|
Включено Отключено |
| Комментарии | Применимо только в том случае , если $typeисключеныPath | Доступ к во всплывающем окне "Изменение экземпляра" |
Расширение файла, исключенное из сканирования
Используется для исключения содержимого из расширения файла сканирования.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | расширение | Расширение файла |
| Тип данных | String | String |
| Возможные значения | допустимые расширения файлов | допустимые расширения файлов |
| Комментарии | Применимо, только если $typeисключеноFileExtension | Доступ к всплывающему окнулю "Настройка экземпляра" |
Процесс исключен из сканирования*
Указывает процесс, для которого все действия файлов исключаются из сканирования. Процесс можно указать по его имени (например, cat) или по полному пути (например, /bin/cat).
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | name | Имя файла |
| Тип данных | String | String |
| Возможные значения | любая строка | любая строка |
| Комментарии | Применимо только в том случае, если $typeисключеноFileName | Доступ к всплывающему окнулю "Настройка экземпляра" |
Отключение подключений, отличных от Exec
Указывает поведение RTP в точке подключения, помеченной как noexec. Параметр имеет два значения:
- Unmuted () —
unmuteзначение по умолчанию, все точки подключения проверяются как часть RTP. - Muted (
mute): точки подключения, помеченные как noexec, не сканируются как часть RTP. Эти точки подключения можно создать для:- Файлы базы данных на серверах баз данных для хранения файлов базы данных.
- Файловый сервер может хранить точки подключения файлов данных с параметром noexec.
- Резервное копирование может хранить точки подключения файлов данных с параметром noexec.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | nonExecMountPolicy | отключение звука при отключении при выполнении подключения |
| Тип данных | String | Раскрыть |
| Возможные значения | unmute (по умолчанию)
|
Не настроено unmute (по умолчанию) немой |
Примечание.
Доступно в Defender для конечной точки версии 101.85.27 или более поздней.
Немониторные файловые системы
Настройте файловые системы, чтобы они немонитоировались или исключены из защиты в реальном времени (RTP). Настроенные файловые системы проверяются на соответствие списку разрешенных файловых систем Microsoft Defender. Только после успешной проверки файловая система будет разрешена к немониторитации. Эти настроенные неуправляемые файловые системы по-прежнему будут проверяться с помощью быстрых, полных и пользовательских проверок.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | unmonitoredFilesystems | Неуправляемые файловые системы |
| Тип данных | Массив строк | Динамический список строк |
Примечание.
Настроенная файловая система будет неуправляема, только если она присутствует в списке разрешенных неуправляемых файловых систем Майкрософт.
По умолчанию NFS и Fuse не отслеживаются при проверке RTP, быстрой и полной проверки. Однако их по-прежнему можно сканировать с помощью пользовательской проверки. Например, чтобы удалить NFS из списка неустранимых файловых систем, обновите управляемый файл конфигурации, как показано ниже. Это автоматически добавит NFS в список отслеживаемых файловых систем для RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Чтобы удалить NFS и Fuse из списка файловых систем, выполните указанные ниже действия.
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Примечание.
Здесь; s список отслеживаемых файловых систем по умолчанию для RTP: btrfs, ecryptfs, , ext3ext2, ext4, fuseblk, jfs, overlay, ramfs, reiserfstmpfs, , vfat, . xfs
Если какая-либо отслеживаемая файловая система должна быть добавлена в список неустранимых файловых систем, она должна быть оценена и включена корпорацией Майкрософт с помощью облачной конфигурации. После этого клиенты могут обновить managed_mdatp.json до немониторной файловой системы.
Настройка функции вычисления хэша файлов
Включает или отключает функцию вычисления хэша файлов. Если эта функция включена, Defender для конечной точки вычисляет хэши для файлов, которые он сканирует. Обратите внимание, что включение этой функции может повлиять на производительность устройства. Дополнительные сведения см. в статье Создание индикаторов для файлов.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | enableFileHashComputation | Включение вычисления хэша файлов |
| Тип данных | Логический | Раскрыть |
| Возможные значения | false (по умолчанию)
|
Не настроено Отключено (по умолчанию) Включено |
Примечание.
Доступно в Defender для конечной точки версии 101.85.27 или более поздней.
разрешенные угрозы;
Список угроз (идентифицируемых по их имени), которые не блокируются продуктом и вместо этого могут выполняться.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | allowedThreats | разрешенные угрозы; |
| Тип данных | Массив строк | Динамический список строк |
Disallowed threat actions (Запрещенные действия в отношении угроз);
Ограничивает действия, которые может выполнять локальный пользователь устройства при обнаружении угроз. Действия, включенные в этот список, не отображаются в пользовательском интерфейсе.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | disallowedThreatActions | Disallowed threat actions (Запрещенные действия в отношении угроз); |
| Тип данных | Массив строк | Динамический список строк |
| Возможные значения | allow (запрещает пользователям разрешать угрозы)
|
разрешить (запрещает пользователям разрешать угрозы) restore (запрещает пользователям восстанавливать угрозы из карантина) |
Примечание.
Доступно в Defender для конечной точки версии 100.83.73 или более поздней.
параметры типа угрозы.
Параметр threatTypeSettings в антивирусном ядре используется для управления тем, как продукт обрабатывает определенные типы угроз.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | threatTypeSettings | параметры типа угрозы. |
| Тип данных | Словарь (вложенный параметр) | Динамический список свойств |
| Комментарии | Описание содержимого словаря см. в следующих разделах. | Описание динамических свойств см. в следующих разделах. |
Тип угрозы
Тип угрозы, для которой настроено поведение.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | ключа | Тип угрозы |
| Тип данных | String | Раскрыть |
| Возможные значения | potentially_unwanted_application
|
potentially_unwanted_application archive_bomb |
Действие
Действие, выполняемое при угрозе типа, указанного в предыдущем разделе. Может быть:
- Аудит. Устройство не защищено от этой угрозы, но запись об угрозе регистрируется. (по умолчанию)
- Блокировать. Устройство защищено от этой угрозы, и вы получите уведомление в консоли безопасности.
- Выкл. Устройство не защищено от этой угрозы, и ничего не регистрируется.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | значение | Действие |
| Тип данных | String | Раскрыть |
| Возможные значения | audit (по умолчанию)
|
ревизия блок выключено |
Политика слияния параметров типа угроз
Указывает политику слияния для параметров типа угроз. Это может быть сочетание определяемых администратором и пользователем параметров (merge) или только параметров, определенных администратором (admin_only). Этот параметр можно использовать, чтобы запретить локальным пользователям определять собственные параметры для различных типов угроз.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | threatTypeSettingsMergePolicy | Threat type settings merge (Объединение параметров типа угроз). |
| Тип данных | String | Раскрыть |
| Возможные значения | merge (по умолчанию) admin_only |
Не настроено merge (по умолчанию) admin_only |
Примечание.
Доступно в Defender для конечной точки версии 100.83.73 или более поздней.
Хранение журнала антивирусной проверки (в днях)
Укажите количество дней, в течение которых результаты хранятся в журнале сканирования на устройстве. Старые результаты сканирования удаляются из журнала. Старые файлы, помещенные в карантин, которые также удаляются с диска.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | scanResultsRetentionDays | Хранение результатов сканирования |
| Тип данных | String | Переключатель и целое число |
| Возможные значения | 90 (по умолчанию). Допустимые значения: от 1 дня до 180 дней. | Не настроено (переключение — по умолчанию 90 дней) Настроено (включено) и разрешено значение от 1 до 180 дней. |
Примечание.
Доступно в Defender для конечной точки версии 101.04.76 или более поздней.
Максимальное число элементов в журнале антивирусной проверки
Укажите максимальное количество записей, которые будут храниться в журнале сканирования. Записи включают все проверки по запросу, выполненные в прошлом, и все обнаружения антивирусной программы.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | scanHistoryMaximumItems | Scan history size (Размер журнала сканирования); |
| Тип данных | String | Переключение и целое число |
| Возможные значения | 10000 (по умолчанию). Допустимые значения: от 5000 до 15000 элементов. | Не настроено (переключение — 10000 по умолчанию) Настроено (включено) и разрешено значение от 5000 до 15000 элементов. |
Примечание.
Доступно в Defender для конечной точки версии 101.04.76 или более поздней.
Дополнительные параметры сканирования
Следующие параметры можно настроить для включения некоторых расширенных функций сканирования.
Примечание.
Включение этих функций может повлиять на производительность устройства. Поэтому рекомендуется сохранить значения по умолчанию.
Настройка проверки событий разрешений на изменение файла
Если эта функция включена, Defender для конечной точки будет проверять файлы при изменении их разрешений, чтобы задать биты выполнения.
Примечание.
Эта функция применима только в том случае, если она включена enableFilePermissionEvents . Дополнительные сведения см. в разделе Дополнительные необязательные функции ниже.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | scanFileModifyPermissions | Недоступно |
| Тип данных | Логический | н/д |
| Возможные значения | false (по умолчанию) true |
н/д |
Примечание.
Доступно в Defender для конечной точки версии 101.23062.0010 или более поздней.
Настройка сканирования событий владения изменением файла
Если эта функция включена, Defender для конечной точки будет проверять файлы, для которых изменено владение.
Примечание.
Эта функция применима только в том случае, если она включена enableFileOwnershipEvents . Дополнительные сведения см. в разделе Дополнительные необязательные функции ниже.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | scanFileModifyOwnership | Недоступно |
| Тип данных | Логический | н/д |
| Возможные значения | false (по умолчанию) true |
н/д |
Примечание.
Доступно в Defender для конечной точки версии 101.23062.0010 или более поздней.
Настройка сканирования необработанных событий сокета
Если эта функция включена, Defender для конечной точки будет проверять события сетевых сокетов, такие как создание необработанных сокетов или сокетов пакетов или установка параметра сокета.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
Эта функция применима только в том случае, если она включена enableRawSocketEvent . Дополнительные сведения см. в разделе Дополнительные необязательные функции ниже.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | scanNetworkSocketEvent | Недоступно |
| Тип данных | Логический | н/д |
| Возможные значения | false (по умолчанию) true |
н/д |
Примечание.
Доступно в Defender для конечной точки версии 101.23062.0010 или более поздней.
Параметры защиты, предоставляемые облаком
Запись cloudService в профиле конфигурации используется для настройки функции облачной защиты продукта.
Примечание.
Облачная защита применяется с любыми параметрами уровня принудительного применения (real_time, on_demand, пассивным).
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | cloudService | Параметры защиты, предоставляемые облаком |
| Тип данных | Словарь (вложенный параметр) | Свернутый раздел |
| Комментарии | Описание содержимого словаря см. в следующих разделах. | Описание параметров политики см. в следующих разделах. |
Включение и отключение облачной защиты
Определяет, включена ли облачная защита на устройстве. Чтобы повысить безопасность служб, рекомендуется оставить эту функцию включенной.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | включено | Включение облачной защиты |
| Тип данных | Логический | Раскрыть |
| Возможные значения | true (по умолчанию)
|
Не настроено Отключено Включено (по умолчанию) |
уровень сбора данных диагностики
Диагностические данные используются для обеспечения безопасности и актуальности Defender для конечной точки, обнаружения, диагностики и устранения проблем, а также улучшения продукта. Этот параметр определяет уровень диагностики, отправляемой продуктом в корпорацию Майкрософт. Дополнительные сведения см. в статье Конфиденциальность Microsoft Defender для конечной точки в Linux.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | diagnosticLevel | Уровень сбора диагностических данных |
| Тип данных | String | Раскрыть |
| Возможные значения | optional
|
Не настроено необязательный (по умолчанию) Обязательный |
Настройка уровня облачного блока
Этот параметр определяет, насколько агрессивным является Defender для конечной точки при блокировке и сканировании подозрительных файлов. Если этот параметр включен, Defender для конечной точки будет более агрессивным при обнаружении подозрительных файлов для блокировки и сканирования. в противном случае он менее агрессивный и, следовательно, блокирует и сканирует с меньшей частотой.
Существует пять значений для настройки уровня блока облака:
- Обычный (
normal): уровень блокировки по умолчанию. - Умеренный (
moderate): выставляет вердикт только для обнаружения высокой достоверности. - Высокий (
high): агрессивно блокирует неизвестные файлы, оптимизируя производительность (больше вероятность блокировки невредных файлов). - Высокий плюс (
high_plus): агрессивно блокирует неизвестные файлы и применяет дополнительные меры защиты (может повлиять на производительность клиентского устройства). - Нулевое отклонение (
zero_tolerance): блокирует все неизвестные программы.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | cloudBlockLevel | Настройка уровня облачного блока |
| Тип данных | String | Раскрыть |
| Возможные значения | normal (по умолчанию)
|
Не настроено С обычными интервалами (по умолчанию) Умеренно Высокая High_Plus Zero_Tolerance |
Примечание.
Доступно в Defender для конечной точки версии 101.56.62 или более поздней.
Включение и отключение автоматической отправки примеров
Определяет, отправляются ли в корпорацию Майкрософт подозрительные образцы (которые могут содержать угрозы). Существует три уровня управления отправкой примеров:
- Нет: подозрительные примеры не отправляются в корпорацию Майкрософт.
- Безопасно: автоматически отправляются только подозрительные примеры, не содержащие персональных данных. Это значение по умолчанию для этого параметра.
- Все: все подозрительные примеры отправляются в корпорацию Майкрософт.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | automaticSampleSubmissionConsent | Включение автоматической отправки примеров |
| Тип данных | String | Раскрыть |
| Возможные значения | none
|
Не настроено Нет Безопасный (по умолчанию) Все |
Включение и отключение автоматических обновлений аналитики безопасности
Определяет, устанавливаются ли обновления аналитики безопасности автоматически.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | automaticDefinitionUpdateEnabled | Automatic security intelligence updates (Автоматические обновления механизма обнаружения угроз). |
| Тип данных | Логический | Раскрыть |
| Возможные значения | true (по умолчанию)
|
Не настроено Отключено Включено (по умолчанию) |
Дополнительные необязательные функции
Для включения некоторых дополнительных функций можно настроить следующие параметры.
Примечание.
Включение этих функций может повлиять на производительность устройства. Рекомендуется сохранить значения по умолчанию.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | Функции | Недоступно |
| Тип данных | Словарь (вложенный параметр) | n/a |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Функция загрузки модуля
Определяет, отслеживаются ли события загрузки модуля (события открытия файлов в общих библиотеках).
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | moduleLoad | Недоступно |
| Тип данных | String | n/a |
| Возможные значения | отключено (по умолчанию) включено |
n/a |
| Комментарии | Доступно в Defender для конечной точки версии 101.68.80 или более поздней. |
Дополнительные конфигурации датчиков
Следующие параметры можно использовать для настройки некоторых дополнительных дополнительных функций датчика.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | дополнительныеSensorConfigurations | Недоступно |
| Тип данных | Словарь (вложенный параметр) | n/a |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Настройка мониторинга событий разрешений на изменение файла
Определяет, отслеживаются ли события разрешений на изменение файла (chmod).
Примечание.
Если эта функция включена, Defender для конечной точки будет отслеживать изменения в исполняемых битах файлов, но не сканировать эти события. Дополнительные сведения см. в разделе Расширенные функции сканирования .
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | enableFilePermissionEvents | Недоступно |
| Тип данных | String | n/a |
| Возможные значения | отключено (по умолчанию) включено |
n/a |
| Комментарии | Доступно в Defender для конечной точки версии 101.23062.0010 или более поздней. |
Настройка мониторинга событий владения изменением файлов
Определяет, отслеживаются ли события владения изменением файла (chown).
Примечание.
Если эта функция включена, Defender для конечной точки будет отслеживать изменения владения файлами, но не сканировать эти события. Дополнительные сведения см. в разделе Расширенные функции сканирования .
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | enableFileOwnershipEvents | Недоступно |
| Тип данных | String | n/a |
| Возможные значения | отключено (по умолчанию) включено |
n/a |
| Комментарии | Доступно в Defender для конечной точки версии 101.23062.0010 или более поздней. |
Настройка мониторинга необработанных событий сокета
Определяет, отслеживаются ли события сетевого сокета, связанные с созданием необработанных сокетов или сокетов пакетов или настройкой параметра сокета.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения. Если эта функция включена, Defender для конечной точки будет отслеживать эти события сетевого сокета, но не сканировать эти события. Дополнительные сведения см. в разделе Расширенные функции сканирования выше.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | enableRawSocketEvent | Недоступно |
| Тип данных | String | n/a |
| Возможные значения | отключено (по умолчанию) включено |
n/a |
| Комментарии | Доступно в Defender для конечной точки версии 101.23062.0010 или более поздней. |
Настройка мониторинга событий загрузчика
Определяет, отслеживаются ли и сканируются события загрузчика.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | enableBootLoaderCalls | Недоступно |
| Тип данных | String | n/a |
| Возможные значения | отключено (по умолчанию) включено |
n/a |
| Комментарии | Доступно в Defender для конечной точки версии 101.68.80 или более поздней. |
Настройка мониторинга событий ptrace
Определяет, отслеживаются ли и сканируются события ptrace.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | enableProcessCalls | Недоступно |
| Тип данных | String | n/a |
| Возможные значения | отключено (по умолчанию) включено |
n/a |
| Комментарии | Доступно в Defender для конечной точки версии 101.68.80 или более поздней. |
Настройка мониторинга событий псевдофы
Определяет, отслеживаются ли и сканируются события псевдофов.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | enablePseudofsCalls | Недоступно |
| Тип данных | String | n/a |
| Возможные значения | отключено (по умолчанию) включено |
n/a |
| Comments | Доступно в Defender для конечной точки версии 101.68.80 или более поздней. |
Настройка мониторинга событий загрузки модуля с помощью eBPF
Определяет, отслеживаются ли события загрузки модуля с помощью eBPF и сканируются.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | enableEbpfModuleLoadEvents | Недоступно |
| Тип данных | String | n/a |
| Возможные значения | отключено (по умолчанию) включено |
n/a |
| Комментарии | Доступно в Defender для конечной точки версии 101.68.80 или более поздней. |
Отчет о подозрительных событиях AV в EDR
Определяет, передаются ли подозрительные события из антивирусной программы в EDR.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | sendLowfiEvents | Недоступно |
| Тип данных | String | n/a |
| Возможные значения | отключено (по умолчанию) включено |
n/a |
| Комментарии | Доступно в Defender для конечной точки версии 101.23062.0010 или более поздней. |
Конфигурации защиты сети
Следующие параметры можно использовать для настройки расширенных функций проверки защиты сети для контроля того, какой трафик проверяется защитой сети.
Примечание.
Чтобы они были эффективными, необходимо включить защиту сети. Дополнительные сведения см. в статье Включение защиты сети для Linux.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | networkProtection | Защита сети |
| Тип данных | Словарь (вложенный параметр) | Свернутый раздел |
| Comments | Описание содержимого словаря см. в следующих разделах. | Описание параметров политики см. в следующих разделах. |
Уровень принудительного применения
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | enforcementLevel | Уровень принудительного применения |
| Тип данных | String | Раскрыть |
| Возможные значения | disabled (по умолчанию)audit block |
Не настроено отключено (по умолчанию) ревизия блок |
Настройка проверки ICMP
Определяет, отслеживаются ли и сканируются события ICMP.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | disableIcmpInspection | Недоступно |
| Тип данных | Логический | n/a |
| Возможные значения | true (по умолчанию)
|
n/a |
| Комментарии | Доступно в Defender для конечной точки версии 101.23062.0010 или более поздней. |
Рекомендуемый профиль конфигурации
Чтобы приступить к работе, мы рекомендуем использовать следующий профиль конфигурации для вашего предприятия, чтобы воспользоваться всеми функциями защиты, предоставляемыми Defender для конечной точки.
Следующий профиль конфигурации:
- Включение защиты в режиме реального времени (RTP)
- Укажите способ обработки следующих типов угроз:
- Потенциально нежелательные приложения блокируются
- Архивные бомбы (файл с высокой степенью сжатия) проверяются в журналах продукта
- Включение автоматических обновлений аналитики безопасности
- Включение облачной защиты
- Включение автоматической отправки примеров на
safeуровне
Пример профиля
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Пример полного профиля конфигурации
Следующий профиль конфигурации содержит записи для всех параметров, описанных в этом документе, и может использоваться для более сложных сценариев, в которых требуется больший контроль над продуктом.
Примечание.
Невозможно управлять всеми взаимодействиями Microsoft Defender для конечной точки только с параметром прокси-сервера в этом формате JSON.
Полный профиль
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Добавление тега или идентификатора группы в профиль конфигурации
При первом выполнении mdatp health команды значение тега и идентификатора группы будет пустым. Чтобы добавить тег или идентификатор группы в mdatp_managed.json файл, выполните следующие действия:
- Откройте профиль конфигурации из пути
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json. - Перейдите к нижней части файла, где
cloudServiceнаходится блок. - Добавьте требуемый тег или идентификатор группы, как в следующем примере в конце закрывающей фигурной скобки
cloudServiceдля .
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
Примечание.
Добавьте запятую после закрывающей фигурной скобки в конце cloudService блока. Кроме того, убедитесь, что после добавления тега или блока идентификатора группы есть две закрывающие фигурные скобки (см. приведенный выше пример). На данный момент единственным поддерживаемым именем ключа для тегов является GROUP.
Проверка профиля конфигурации
Профиль конфигурации должен быть допустимым файлом в формате JSON. Для этого можно использовать множество средств. Например, если вы python установили на устройстве:
python -m json.tool mdatp_managed.json
Если json имеет правильный формат, приведенная выше команда выводит его обратно в терминал и возвращает код выхода из 0. В противном случае отображается ошибка, описывающая проблему, и команда возвращает код 1выхода .
Проверка правильности работы файла mdatp_managed.json
Чтобы убедиться, что ваш файл /etc/opt/microsoft/mdatp/managed/mdatp_managed.json работает правильно, рядом со следующими параметрами должен появиться сообщение [managed]:
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
Примечание.
Перезапуск управляющей программы mdatp не требуется, чтобы изменения большинства конфигураций в mdatp_managed.json вступили в силу. Исключение: Для выполнения следующих конфигураций требуется перезапуск управляющей программы:
- облачная диагностика
- log-rotation-parameters
Развертывание профиля конфигурации
После создания профиля конфигурации для предприятия его можно развернуть с помощью средства управления, используемого предприятием. Defender для конечной точки в Linux считывает управляемую конфигурацию из файла /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по