Установите параметры Microsoft Defender для конечной точки в Linux.
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Важно!
В этой статье содержатся инструкции по настройке параметров Defender для конечной точки в Linux в корпоративных средах. Если вы хотите настроить продукт на устройстве из командной строки, см. раздел Ресурсы.
В корпоративных средах Defender для конечной точки в Linux можно управлять с помощью профиля конфигурации. Этот профиль развертывается из выбранного средства управления. Предпочтения, управляемые предприятием, имеют приоритет над параметрами, заданными локально на устройстве. Другими словами, пользователи в организации не могут изменять настройки, заданные в этом профиле конфигурации. Если исключения были добавлены с помощью профиля управляемой конфигурации, их можно удалить только с помощью профиля управляемой конфигурации. Командная строка работает для исключений, добавленных локально.
В этой статье описывается структура этого профиля (включая рекомендуемый профиль, который можно использовать для начала работы) и инструкции по развертыванию профиля.
Структура профиля конфигурации
Профиль конфигурации — это .json файл, состоящий из записей, определенных ключом (который обозначает имя предпочтения), за которым следует значение, которое зависит от характера предпочтения. Значения могут быть простыми, например числовым значением, или сложными, например вложенным списком параметров.
Как правило, вы используете средство управления конфигурацией для отправки файла с именем mdatp_managed.json в расположение /etc/opt/microsoft/mdatp/managed/.
Верхний уровень профиля конфигурации включает в себя настройки для всего продукта и записи для вложенных элементов продукта, которые более подробно описаны в следующих разделах.
Параметры антивирусного ядра
Раздел antivirusEngine профиля конфигурации используется для управления параметрами антивирусного компонента продукта.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | antivirusEngine | Антивирусная подсистема |
| Тип данных | Словарь (вложенный параметр) | Свернутый раздел |
| Комментарии | Описание содержимого словаря см. в следующих разделах. | Описание свойств политики см. в следующих разделах. |
Уровень принудительного применения для антивирусного ядра
Задает параметр принудительного применения антивирусного ядра. Существует три значения для установки уровня принудительного применения:
- В режиме реального времени (
real_time): включена защита в режиме реального времени (сканирование файлов по мере их изменения). - По запросу (
on_demand): файлы сканируются только по запросу. В этом случае:- Защита в режиме реального времени отключена.
- Обновления определений происходят только при запуске сканирования, даже если
automaticDefinitionUpdateEnabledзадано значениеtrueв режиме по запросу.
- Пассивный (
passive): запускает антивирусную программу в пассивном режиме. В этом случае применяются все перечисленные ниже действия.- Защита в режиме реального времени отключена: угрозы не устраняются Microsoft Defender антивирусной программой.
- Сканирование по запросу включено. По-прежнему используйте возможности сканирования в конечной точке.
- Автоматическое исправление угроз отключено: файлы не перемещаются, и администратор безопасности, как ожидается, примет необходимые меры.
- Обновления аналитики безопасности включены: оповещения доступны в клиенте администратора безопасности.
- Обновления определений происходят только при запуске сканирования, даже если
automaticDefinitionUpdateEnabledзадано значение в пассивномtrueрежиме.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | enforcementLevel | Уровень принудительного применения |
| Тип данных | String | Раскрыть |
| Возможные значения | real_timeon_demandpassive (по умолчанию) |
Не настроено В режиме реального времени OnDemand Пассивный (по умолчанию) |
Примечание.
Доступно в Defender для конечной точки или более поздней версии 101.10.72 . Значение по умолчанию изменяется с real_time на passive в Версии Defender для конечной точки 101.23062.0001 или более поздней.
Рекомендуется также использовать запланированные проверки в соответствии с требованиями.
Включение и отключение мониторинга поведения
Определяет, включена ли на устройстве возможность мониторинга и блокировки поведения.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | behaviorMonitoring | Включение мониторинга поведения |
| Тип данных | String | Раскрыть |
| Возможные значения |
disabled (по умолчанию) |
Не настроено Отключено (по умолчанию) Включено |
Примечание.
Доступно в Defender для конечной точки или более поздней версии 101.45.00 .
Эта функция применима, только если включена защита в режиме реального времени.
Запуск проверки после обновления определений
Указывает, следует ли запускать проверку процесса после загрузки на устройство новых обновлений аналитики безопасности. Включение этого параметра запускает антивирусную проверку запущенных процессов устройства.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | scanAfterDefinitionUpdate | Включение сканирования после обновления определения |
| Тип данных | Логический | Раскрыть |
| Возможные значения |
true (по умолчанию) |
Не настроено Отключено Включено (по умолчанию) |
Примечание.
Доступно в Defender для конечной точки или более поздней версии 101.45.00 .
Эта функция работает только в том случае, если для уровня принудительного применения задано значение real-time.
Сканирование архивов (только антивирусная проверка по запросу)
Указывает, следует ли сканировать архивы во время проверки антивирусной программы по запросу.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | scanArchives | Включение сканирования архивов |
| Тип данных | Логический | Раскрыть |
| Возможные значения |
true (по умолчанию)
|
Не настроено Отключено Включено (по умолчанию) |
Примечание.
Доступно в Microsoft Defender для конечной точки версии 101.45.00 или более поздней.
Архивные файлы никогда не сканируются во время защиты в режиме реального времени. При извлечении файлов из архива они сканируются. Параметр scanArchives можно использовать для принудительного сканирования архивов только во время проверки по запросу.
Степень параллелизма при сканировании по запросу
Указывает степень параллелизма для проверок по запросу. Это соответствует количеству потоков, используемых для проверки, влияет на загрузку ЦП и длительность проверки по запросу.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | maximumOnDemandScanThreads | максимальное число потоков сканирования по запросу |
| Тип данных | Integer | Переключение переключателя & целое число |
| Возможные значения | 2 (по умолчанию). Допустимые значения — это целые числа от 1 до 64. | Не настроено (по умолчанию переключение по умолчанию на значение 2) Настроено (включено) и целое число от 1 до 64. |
Примечание.
Доступно в Microsoft Defender для конечной точки версии 101.45.00 или более поздней.
Политика слияния исключений
Задает политику слияния для исключений. Это может быть сочетание исключений, определенных администратором и пользователем (merge) или только исключений, определенных администратором (admin_only). Определяемые администратором (admin_only) — это исключения, настроенные политикой Defender для конечной точки. Этот параметр можно использовать, чтобы запретить локальным пользователям определять собственные исключения.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | exclusionsMergePolicy | Exclusions merge (Объединение исключений); |
| Тип данных | String | Раскрыть |
| Возможные значения |
merge (по умолчанию)
|
Не настроено merge (по умолчанию) admin_only |
Примечание.
Доступно в Defender для конечной точки или более поздней версии 100.83.73 .
Может также настраивать исключения в разделе exclusionSettings
исключения сканирования;
Сущности, исключенные из проверки. Исключения можно указать полными путями, расширениями или именами файлов. (Исключения указываются в виде массива элементов. Администратор может указать любое необходимое количество элементов в любом порядке.)
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | Исключения | исключения сканирования; |
| Тип данных | Словарь (вложенный параметр) | Динамический список свойств |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Тип исключения
Указывает тип содержимого, исключенного из сканирования.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | $type | Тип |
| Тип данных | String | Раскрывающийся список |
| Возможные значения | excludedPath
|
Path Расширение файла Имя процесса |
Путь к исключенным содержимому
Используется для исключения содержимого из сканирования по полному пути к файлу.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | path | Path |
| Тип данных | String | String |
| Возможные значения | допустимые пути | допустимые пути |
| Комментарии | Применимо только в том случае , если $typeисключеныPath | Доступ к во всплывающем окне "Изменение экземпляра" |
Тип пути (файл или каталог)
Указывает, относится ли свойство path к файлу или каталогу.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | isDirectory | Каталог Is |
| Тип данных | Логический | Раскрыть |
| Возможные значения |
false (по умолчанию)
|
Включено Отключено |
| Комментарии | Применимо только в том случае , если $typeисключеныPath | Доступ к во всплывающем окне "Изменение экземпляра" |
Расширение файла, исключенное из сканирования
Используется для исключения содержимого из расширения файла сканирования.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | расширение | Расширение файла |
| Тип данных | String | String |
| Возможные значения | допустимые расширения файлов | допустимые расширения файлов |
| Comments | Применимо, только если $typeисключеноFileExtension | Доступ к всплывающему окнулю "Настройка экземпляра" |
Процесс исключен из сканирования*
Указывает процесс, для которого все действия файлов исключаются из сканирования. Процесс можно указать по его имени (например, cat) или по полному пути (например, /bin/cat).
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | name | Имя файла |
| Тип данных | String | String |
| Возможные значения | любая строка | любая строка |
| Comments | Применимо только в том случае, если $typeисключеноFileName | Доступ к всплывающему окнулю "Настройка экземпляра" |
Отключение подключений без exec
Указывает поведение RTP в точке подключения, помеченной как noexec. Параметр имеет два значения:
- Unmuted () —
unmuteзначение по умолчанию, все точки подключения проверяются как часть RTP. - Muted (
mute): точки подключения, помеченные как noexec, не сканируются как часть RTP. Эти точки подключения можно создать для:- Файлы базы данных на серверах баз данных для хранения файлов базы данных.
- Файловый сервер может хранить точки подключения файлов данных с параметром noexec.
- При резервном копировании файлы данных могут храниться в точках подключения с параметром noexec.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | nonExecMountPolicy | отключение звука при отключении при выполнении подключения |
| Тип данных | String | Раскрыть |
| Возможные значения |
unmute (по умолчанию)
|
Не настроено unmute (по умолчанию) немой |
Примечание.
Доступно в Defender для конечной точки или более поздней версии 101.85.27 .
Немониторные файловые системы
Настройте файловые системы, чтобы они немонитоировались или исключены из защиты в режиме реального времени (RTP). Настроенные файловые системы проверяются на соответствие списку разрешенных файловых систем Microsoft Defender. Файловые системы можно отслеживать только после успешной проверки. Эти настроенные неуправляемые файловые системы по-прежнему сканируются с помощью быстрых, полных и пользовательских проверок в Microsoft Defender антивирусной программы.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | unmonitoredFilesystems | Неуправляемые файловые системы |
| Тип данных | Массив строк | Динамический список строк |
Примечание.
Настроенная файловая система будет неуправляема, только если она присутствует в списке разрешенных неуправляемых файловых систем Майкрософт.
По умолчанию NFS и Fuse не отслеживаются при проверке RTP, быстрой и полной проверки. Однако их по-прежнему можно сканировать с помощью пользовательской проверки. Например, чтобы удалить NFS из списка неустранимых файловых систем, обновите управляемый файл конфигурации, как показано ниже. Это автоматически добавит NFS в список отслеживаемых файловых систем для RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Чтобы удалить NFS и Fuse из списка файловых систем, выполните указанные ниже действия.
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Примечание.
Ниже приведен список отслеживаемых файловых систем по умолчанию для RTP: btrfs, , ecryptfsext2, ext3, ext4, fuseblk, jfs, overlayramfs, reiserfs, tmpfs, . xfsvfat
Если какая-либо отслеживаемая файловая система должна быть добавлена в список неустранимых файловых систем, она должна быть оценена и включена корпорацией Майкрософт с помощью облачной конфигурации. После этого клиенты могут обновить managed_mdatp.json до немониторной файловой системы.
Настройка функции вычисления хэша файлов
Включает или отключает функцию вычисления хэша файлов. Если эта функция включена, Defender для конечной точки вычисляет хэши для файлов, которые он сканирует. Обратите внимание, что включение этой функции может повлиять на производительность устройства. Дополнительные сведения см. в статье Создание индикаторов для файлов.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | enableFileHashComputation | Включение вычисления хэша файлов |
| Тип данных | Логический | Раскрыть |
| Возможные значения |
false (по умолчанию)
|
Не настроено Отключено (по умолчанию) Включено |
Примечание.
Доступно в Defender для конечной точки или более поздней версии 101.85.27 .
разрешенные угрозы;
Список угроз (идентифицируемых по их имени), которые не блокируются продуктом и вместо этого могут выполняться.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | allowedThreats | разрешенные угрозы; |
| Тип данных | Массив строк | Динамический список строк |
Disallowed threat actions (Запрещенные действия в отношении угроз);
Ограничивает действия, которые может выполнять локальный пользователь устройства при обнаружении угроз. Действия, включенные в этот список, не отображаются в пользовательском интерфейсе.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | disallowedThreatActions | Disallowed threat actions (Запрещенные действия в отношении угроз); |
| Тип данных | Массив строк | Динамический список строк |
| Возможные значения |
allow (запрещает пользователям разрешать угрозы)
|
разрешить (запрещает пользователям разрешать угрозы) restore (запрещает пользователям восстанавливать угрозы из карантина) |
Примечание.
Доступно в Defender для конечной точки или более поздней версии 100.83.73 .
параметры типа угрозы.
Параметр threatTypeSettings в антивирусном ядре используется для управления тем, как продукт обрабатывает определенные типы угроз.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | threatTypeSettings | параметры типа угрозы. |
| Тип данных | Словарь (вложенный параметр) | Динамический список свойств |
| Комментарии | Описание содержимого словаря см. в следующих разделах. | Описание динамических свойств см. в следующих разделах. |
Тип угрозы
Тип угрозы, для которой настроено поведение.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | ключа | Тип угрозы |
| Тип данных | String | Раскрыть |
| Возможные значения | potentially_unwanted_application
|
potentially_unwanted_application archive_bomb |
Действие
Действие, выполняемое при угрозе типа, указанного в предыдущем разделе. Может быть:
- Аудит. Устройство не защищено от этой угрозы, но запись об угрозе регистрируется. (по умолчанию)
- Блокировать. Устройство защищено от этой угрозы, и вы получите уведомление в консоли безопасности.
- Выкл. Устройство не защищено от этой угрозы, и ничего не регистрируется.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | значение | Действие |
| Тип данных | String | Раскрыть |
| Возможные значения |
audit (по умолчанию)
|
ревизия блок выключено |
Политика слияния параметров типа угроз
Указывает политику слияния для параметров типа угроз. Это может быть сочетание определяемых администратором и пользователем параметров (merge) или только параметров, определенных администратором (admin_only). Определяемые администратором (admin_only) — это параметры типа угроз, настроенные политикой Defender для конечной точки. Этот параметр можно использовать, чтобы запретить локальным пользователям определять собственные параметры для различных типов угроз.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | threatTypeSettingsMergePolicy | Threat type settings merge (Объединение параметров типа угроз). |
| Тип данных | String | Раскрыть |
| Возможные значения | merge (по умолчанию) admin_only |
Не настроено merge (по умолчанию) admin_only |
Примечание.
Доступно в Defender для конечной точки или более поздней версии 100.83.73 .
Хранение журнала антивирусной проверки (в днях)
Укажите количество дней, в течение которых результаты хранятся в журнале сканирования на устройстве. Старые результаты сканирования удаляются из журнала. Старые файлы, помещенные в карантин, которые также удаляются с диска.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | scanResultsRetentionDays | Хранение результатов сканирования |
| Тип данных | String | Переключатель и целое число |
| Возможные значения | 90 (по умолчанию). Допустимые значения: от 1 дня до 180 дней. | Не настроено (переключение — по умолчанию 90 дней) Настроено (включено) и разрешено значение от 1 до 180 дней. |
Примечание.
Доступно в Defender для конечной точки или более поздней версии 101.04.76 .
Максимальное число элементов в журнале антивирусной проверки
Укажите максимальное количество записей, которые будут храниться в журнале сканирования. Записи включают все проверки по запросу, выполненные в прошлом, и все обнаружения антивирусной программы.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | scanHistoryMaximumItems | Scan history size (Размер журнала сканирования); |
| Тип данных | String | Переключение и целое число |
| Возможные значения | 10000 (по умолчанию). Допустимые значения: от 5000 до 15000 элементов. | Не настроено (переключение — 10000 по умолчанию) Настроено (включено) и разрешено значение от 5000 до 15000 элементов. |
Примечание.
Доступно в Defender для конечной точки или более поздней версии 101.04.76 .
Параметры параметра исключения
Параметры параметров exlusion в настоящее время находятся в предварительной версии.
Примечание.
Глобальные исключения в настоящее время находятся в общедоступной предварительной версии и доступны в Defender для конечной точки, начиная с версии 101.23092.0012 или более поздней в кругах Insiders Slow и Production.
Раздел exclusionSettings профиля конфигурации используется для настройки различных исключений для Microsoft Defender для конечной точки для Linux.
| Описание | Значение JSON |
|---|---|
| Ключ | exclusionSettings |
| Тип данных | Словарь (вложенный параметр) |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Примечание.
Уже настроенные исключения антивирусной программы в (antivirusEngine) в управляемом ФОРМАТЕ JSON будут по-прежнему работать без каких-либо последствий. Все новые исключения, включая исключения антивирусной программы, можно добавить в этом совершенно новом разделе (exclusionSettings). Этот раздел находится за пределами тега (antivirusEngine), так как он предназначен исключительно для настройки всех типов исключений, которые будут поступать в будущем. Вы также можете продолжать использовать (antivirusEngine) для настройки исключений антивирусной программы.
Политика слияния
Задает политику слияния для исключений. Он указывает, может ли это быть сочетание исключений, определяемых администратором и пользователем (merge) или исключений, определенных только администратором (admin_only). Этот параметр можно использовать, чтобы запретить локальным пользователям определять собственные исключения. Он применим для исключений всех областей.
| Описание | Значение JSON |
|---|---|
| Ключ | mergePolicy |
| Тип данных | String |
| Возможные значения | merge (по умолчанию) admin_only |
| Комментарии | Доступно в Defender для конечной точки версии за сентябрь 2023 г. или более поздней. |
Исключения
Сущности, которые необходимо исключить, можно указать полными путями, расширениями или именами файлов. Каждая сущность исключения, т. е. полный путь, расширение или имя файла, имеет необязательный область, который можно указать. Если значение не указано, значение по умолчанию область в этом разделе является глобальным. (Исключения указываются в виде массива элементов. Администратор может указать любое необходимое количество элементов в любом порядке.)
| Описание | Значение JSON |
|---|---|
| Ключ | Исключения |
| Тип данных | Словарь (вложенный параметр) |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Тип исключения
Указывает тип содержимого, исключенного из сканирования.
| Описание | Значение JSON |
|---|---|
| Ключ | $type |
| Тип данных | String |
| Возможные значения | excludedPath excludedFileExtension excludedFileName |
Области исключения (необязательно)
Указывает набор областей экслюзии исключенного содержимого. В настоящее время поддерживаются epp области и global.
Если для исключения в разделе exclusionSettings в управляемой конфигурации ничего не указано, то global считается область.
Примечание.
Ранее настроенные исключения антивирусной программы в (antivirusEngine) в управляемом JSON будут продолжать функционировать, а их область считается (epp), так как они были добавлены в качестве исключений антивирусной программы.
| Описание | Значение JSON |
|---|---|
| Ключ | scopes |
| Тип данных | Набор строк |
| Возможные значения | epp глобальный |
Примечание.
Ранее примененные исключения с помощью (mdatp_managed.json) или CLI останутся неизменными. Область для этих исключений будет (epp), так как они были добавлены в (antivirusEngine).
Путь к исключенным содержимому
Используется для исключения содержимого из сканирования по полному пути к файлу.
| Описание | Значение JSON |
|---|---|
| Ключ | path |
| Тип данных | String |
| Возможные значения | допустимые пути |
| Comments | Применимо, только если $typeисключеныPath. Подстановочный знак не поддерживается, если исключение имеет глобальный область. |
Тип пути (файл или каталог)
Указывает, относится ли свойство path к файлу или каталогу.
Примечание.
Путь к файлу уже должен существовать, если добавляется исключение файла с глобальным область.
| Описание | Значение JSON |
|---|---|
| Ключ | isDirectory |
| Тип данных | Логический |
| Возможные значения | false (по умолчанию) true |
| Комментарии | Применимо, только если $typeисключеныPath. Подстановочный знак не поддерживается, если исключение имеет глобальный область. |
Расширение файла, исключенное из сканирования
Используется для исключения содержимого из расширения файла сканирования.
| Описание | Значение JSON |
|---|---|
| Ключ | расширение |
| Тип данных | String |
| Возможные значения | допустимые расширения файлов |
| Comments | Применимо, только если $typeисключеноFileExtension. Не поддерживается, если исключение имеет глобальный область. |
Процесс исключен из сканирования*
Указывает процесс, для которого все действия файлов исключаются из сканирования. Процесс можно указать по его имени (например, cat) или по полному пути (например, /bin/cat).
| Описание | Значение JSON |
|---|---|
| Ключ | name |
| Тип данных | String |
| Возможные значения | любая строка |
| Комментарии | Применимо, только если $typeисключеноFileName. Подстановочный знак и имя процесса не поддерживаются, если исключение имеет глобальный область, необходимо указать полный путь. |
Дополнительные параметры сканирования
Следующие параметры можно настроить для включения некоторых расширенных функций сканирования.
Примечание.
Включение этих функций может повлиять на производительность устройства. Поэтому рекомендуется сохранить значения по умолчанию.
Настройка проверки событий разрешений на изменение файла
Если эта функция включена, Defender для конечной точки будет проверять файлы при изменении их разрешений, чтобы задать биты выполнения.
Примечание.
Эта функция применима только в том случае, если она включена enableFilePermissionEvents . Дополнительные сведения см. в разделе Дополнительные необязательные функции ниже.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | scanFileModifyPermissions | Недоступно |
| Тип данных | Логический | н/д |
| Возможные значения | false (по умолчанию) true |
н/д |
Примечание.
Доступно в Defender для конечной точки или более поздней версии 101.23062.0010 .
Настройка сканирования событий владения изменением файла
Если эта функция включена, Defender для конечной точки будет проверять файлы, для которых изменено владение.
Примечание.
Эта функция применима только в том случае, если она включена enableFileOwnershipEvents . Дополнительные сведения см. в разделе Дополнительные необязательные функции ниже.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | scanFileModifyOwnership | Недоступно |
| Тип данных | Логический | н/д |
| Возможные значения | false (по умолчанию) true |
н/д |
Примечание.
Доступно в Defender для конечной точки или более поздней версии 101.23062.0010 .
Настройка сканирования необработанных событий сокета
Если эта функция включена, Defender для конечной точки будет проверять события сетевых сокетов, такие как создание необработанных сокетов или сокетов пакетов или установка параметра сокета.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
Эта функция применима только в том случае, если она включена enableRawSocketEvent . Дополнительные сведения см. в разделе Дополнительные необязательные функции ниже.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | scanNetworkSocketEvent | Недоступно |
| Тип данных | Логический | н/д |
| Возможные значения | false (по умолчанию) true |
н/д |
Примечание.
Доступно в Defender для конечной точки или более поздней версии 101.23062.0010 .
Параметры защиты, предоставляемые облаком
Запись cloudService в профиле конфигурации используется для настройки функции облачной защиты продукта.
Примечание.
Облачная защита применяется с любыми параметрами уровня принудительного применения (real_time, on_demand, пассивным).
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | cloudService | Параметры защиты, предоставляемые облаком |
| Тип данных | Словарь (вложенный параметр) | Свернутый раздел |
| Комментарии | Описание содержимого словаря см. в следующих разделах. | Описание параметров политики см. в следующих разделах. |
Включение и отключение облачной защиты
Определяет, включена ли облачная защита на устройстве. Чтобы повысить безопасность служб, рекомендуется оставить эту функцию включенной.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | включено | Включение облачной защиты |
| Тип данных | Логический | Раскрыть |
| Возможные значения |
true (по умолчанию)
|
Не настроено Отключено Включено (по умолчанию) |
уровень сбора данных диагностики
Диагностические данные используются для обеспечения безопасности и актуальности Defender для конечной точки, обнаружения, диагностики и устранения проблем, а также улучшения продукта. Этот параметр определяет уровень диагностика, отправляемых продуктом в корпорацию Майкрософт. Дополнительные сведения см. в разделе Конфиденциальность для Microsoft Defender для конечной точки в Linux.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | diagnosticLevel | Уровень сбора диагностических данных |
| Тип данных | String | Раскрыть |
| Возможные значения | optional
|
Не настроено необязательный (по умолчанию) Обязательный |
Настройка уровня облачного блока
Этот параметр определяет, насколько агрессивным является Defender для конечной точки при блокировке и сканировании подозрительных файлов. Если этот параметр включен, Defender для конечной точки будет более агрессивным при обнаружении подозрительных файлов для блокировки и сканирования. в противном случае он менее агрессивный и, следовательно, блокирует и сканирует с меньшей частотой.
Существует пять значений для настройки уровня блока облака:
- Обычный (
normal): уровень блокировки по умолчанию. - Умеренный (
moderate): выставляет вердикт только для обнаружения высокой достоверности. - Высокий (
high): агрессивно блокирует неизвестные файлы, оптимизируя производительность (больше вероятность блокировки невредных файлов). - Высокий плюс (
high_plus): агрессивно блокирует неизвестные файлы и применяет дополнительные меры защиты (может повлиять на производительность клиентского устройства). - Нулевое отклонение (
zero_tolerance): блокирует все неизвестные программы.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | cloudBlockLevel | Настройка уровня облачного блока |
| Тип данных | String | Раскрыть |
| Возможные значения |
normal (по умолчанию)
|
Не настроено С обычными интервалами (по умолчанию) Умеренно Высокая High_Plus Zero_Tolerance |
Примечание.
Доступно в Defender для конечной точки или более поздней версии 101.56.62 .
Включение и отключение автоматической отправки примеров
Определяет, отправляются ли в корпорацию Майкрософт подозрительные образцы (которые могут содержать угрозы). Существует три уровня управления отправкой примеров:
- Нет: подозрительные примеры не отправляются в корпорацию Майкрософт.
- Безопасно: автоматически отправляются только подозрительные примеры, не содержащие персональных данных. Это значение по умолчанию для этого параметра.
- Все: все подозрительные примеры отправляются в корпорацию Майкрософт.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | automaticSampleSubmissionConsent | Включение автоматической отправки примеров |
| Тип данных | String | Раскрыть |
| Возможные значения | none
|
Не настроено Нет Безопасный (по умолчанию) Все |
Включение и отключение автоматических обновлений аналитики безопасности
Определяет, устанавливаются ли обновления аналитики безопасности автоматически.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | automaticDefinitionUpdateEnabled | Automatic security intelligence updates (Автоматические обновления механизма обнаружения угроз). |
| Тип данных | Логический | Раскрыть |
| Возможные значения |
true (по умолчанию)
|
Не настроено Отключено Включено (по умолчанию) |
В зависимости от уровня принудительного применения автоматические обновления аналитики безопасности устанавливаются по-разному. В режиме RTP обновления устанавливаются периодически. В пассивном режиме или режиме по запросу обновления устанавливаются перед каждой проверкой.
Дополнительные необязательные функции
Для включения некоторых дополнительных функций можно настроить следующие параметры.
Примечание.
Включение этих функций может повлиять на производительность устройства. Рекомендуется сохранить значения по умолчанию.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | Функции | Недоступно |
| Тип данных | Словарь (вложенный параметр) | n/a |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Функция загрузки модуля
Определяет, отслеживаются ли события загрузки модуля (события открытия файлов в общих библиотеках).
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | moduleLoad | Недоступно |
| Тип данных | String | n/a |
| Возможные значения | отключено (по умолчанию) включено |
n/a |
| Комментарии | Доступно в Defender для конечной точки или более поздней версии 101.68.80 . |
Дополнительные конфигурации датчиков
Следующие параметры можно использовать для настройки некоторых дополнительных дополнительных функций датчика.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | дополнительныеSensorConfigurations | Недоступно |
| Тип данных | Словарь (вложенный параметр) | n/a |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Настройка мониторинга событий разрешений на изменение файла
Определяет, отслеживаются ли события разрешений на изменение файла (chmod).
Примечание.
Если эта функция включена, Defender для конечной точки будет отслеживать изменения в исполняемых битах файлов, но не сканировать эти события. Дополнительные сведения см. в разделе Расширенные функции сканирования .
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | enableFilePermissionEvents | Недоступно |
| Тип данных | String | n/a |
| Возможные значения | отключено (по умолчанию) включено |
n/a |
| Комментарии | Доступно в Defender для конечной точки или более поздней версии 101.23062.0010 . |
Настройка мониторинга событий владения изменением файлов
Определяет, отслеживаются ли события владения изменением файла (chown).
Примечание.
Если эта функция включена, Defender для конечной точки будет отслеживать изменения владения файлами, но не сканировать эти события. Дополнительные сведения см. в разделе Расширенные функции сканирования .
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | enableFileOwnershipEvents | Недоступно |
| Тип данных | String | n/a |
| Возможные значения | отключено (по умолчанию) включено |
n/a |
| Комментарии | Доступно в Defender для конечной точки или более поздней версии 101.23062.0010 . |
Настройка мониторинга необработанных событий сокета
Определяет, отслеживаются ли события сетевого сокета, связанные с созданием необработанных сокетов или сокетов пакетов или настройкой параметра сокета.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения. Если эта функция включена, Defender для конечной точки будет отслеживать эти события сетевого сокета, но не сканировать эти события. Дополнительные сведения см. в разделе Расширенные функции сканирования выше.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | enableRawSocketEvent | Недоступно |
| Тип данных | String | n/a |
| Возможные значения | отключено (по умолчанию) включено |
n/a |
| Комментарии | Доступно в Defender для конечной точки или более поздней версии 101.23062.0010 . |
Настройка мониторинга событий загрузчика
Определяет, отслеживаются ли и сканируются события загрузчика.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | enableBootLoaderCalls | Недоступно |
| Тип данных | String | n/a |
| Возможные значения | отключено (по умолчанию) включено |
n/a |
| Комментарии | Доступно в Defender для конечной точки или более поздней версии 101.68.80 . |
Настройка мониторинга событий ptrace
Определяет, отслеживаются ли и сканируются события ptrace.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | enableProcessCalls | Недоступно |
| Тип данных | String | n/a |
| Возможные значения | отключено (по умолчанию) включено |
n/a |
| Комментарии | Доступно в Defender для конечной точки или более поздней версии 101.68.80 . |
Настройка мониторинга событий псевдофы
Определяет, отслеживаются ли и сканируются события псевдофов.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | enablePseudofsCalls | Недоступно |
| Тип данных | String | n/a |
| Возможные значения | отключено (по умолчанию) включено |
n/a |
| Комментарии | Доступно в Defender для конечной точки или более поздней версии 101.68.80 . |
Настройка мониторинга событий загрузки модуля с помощью eBPF
Определяет, отслеживаются ли события загрузки модуля с помощью eBPF и сканируются.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | enableEbpfModuleLoadEvents | Недоступно |
| Тип данных | String | n/a |
| Возможные значения | отключено (по умолчанию) включено |
n/a |
| Комментарии | Доступно в Defender для конечной точки или более поздней версии 101.68.80 . |
Отчет о подозрительных событиях AV в EDR
Определяет, передаются ли подозрительные события из антивирусной программы в EDR.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | sendLowfiEvents | Недоступно |
| Тип данных | String | n/a |
| Возможные значения | отключено (по умолчанию) включено |
n/a |
| Комментарии | Доступно в Defender для конечной точки или более поздней версии 101.23062.0010 . |
Конфигурации защиты сети
Следующие параметры можно использовать для настройки расширенных функций проверки защиты сети для контроля того, какой трафик проверяется защитой сети.
Примечание.
Чтобы они были эффективными, необходимо включить защиту сети. Дополнительные сведения см. в статье Включение защиты сети для Linux.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | networkProtection | Защита сети |
| Тип данных | Словарь (вложенный параметр) | Свернутый раздел |
| Комментарии | Описание содержимого словаря см. в следующих разделах. | Описание параметров политики см. в следующих разделах. |
Уровень принудительного применения
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | enforcementLevel | Уровень принудительного применения |
| Тип данных | String | Раскрыть |
| Возможные значения |
disabled (по умолчанию)audit block |
Не настроено отключено (по умолчанию) ревизия блок |
Настройка проверки ICMP
Определяет, отслеживаются ли и сканируются события ICMP.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
| Описание | Значение JSON | Значение портала Defender |
|---|---|---|
| Ключ | disableIcmpInspection | Недоступно |
| Тип данных | Логический | n/a |
| Возможные значения |
true (по умолчанию)
|
n/a |
| Комментарии | Доступно в Defender для конечной точки или более поздней версии 101.23062.0010 . |
Рекомендуемый профиль конфигурации
Чтобы приступить к работе, мы рекомендуем использовать следующий профиль конфигурации для вашего предприятия, чтобы воспользоваться всеми функциями защиты, предоставляемыми Defender для конечной точки.
Следующий профиль конфигурации:
- Включает защиту в режиме реального времени (RTP)
- Указывает, как обрабатываются следующие типы угроз:
- Потенциально нежелательные приложения блокируются
- Архивные бомбы (файл с высокой степенью сжатия) проверяются в журналах продукта
- Включает автоматические обновления аналитики безопасности.
- Включает облачную защиту
- Включает автоматическую отправку примеров на
safeуровне
Пример профиля
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Пример полного профиля конфигурации
Следующий профиль конфигурации содержит записи для всех параметров, описанных в этом документе, и может использоваться для более сложных сценариев, в которых требуется больший контроль над продуктом.
Примечание.
Невозможно управлять всеми Microsoft Defender для конечной точки обмен данными только с параметром прокси-сервера в этом формате JSON.
Полный профиль
{
"antivirusEngine":{
"enforcementLevel":"passive",
"behaviorMonitoring": "disabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"enableFileHashComputation": false,
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
],
"scanFileModifyPermissions":false,
"scanFileModifyOwnership":false,
"scanNetworkSocketEvent":false,
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate":"disabled"
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
"definitionUpdatesInterval":28800
},
"features":{
"moduleLoad":"disabled",
"supplementarySensorConfigurations":{
"enableFilePermissionEvents":"disabled",
"enableFileOwnershipEvents":"disabled",
"enableRawSocketEvent":"disabled",
"enableBootLoaderCalls":"disabled",
"enableProcessCalls":"disabled",
"enablePseudofsCalls":"diabled",
"enableEbpfModuleLoadEvents":"disabled",
"sendLowfiEvents":"disabled"
},
"ebpfSupplementaryEventProvider":"enabled",
"offlineDefinitionUpdateVerifySig": "disabled"
},
"networkProtection":{
"enforcementLevel":"disabled",
"disableIcmpInspection":true
},
"edr":{
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Добавление тега или идентификатора группы в профиль конфигурации
При первом выполнении mdatp health команды значение тега и идентификатора группы будет пустым. Чтобы добавить тег или идентификатор группы в mdatp_managed.json файл, выполните следующие действия:
Откройте профиль конфигурации из пути
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json.Перейдите к нижней части файла, где
cloudServiceнаходится блок.Добавьте требуемый тег или идентификатор группы, как в следующем примере в конце закрывающей фигурной скобки
cloudServiceдля .}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }
Примечание.
Добавьте запятую после закрывающей фигурной скобки в конце cloudService блока. Кроме того, убедитесь, что после добавления тега или блока идентификатора группы есть две закрывающие фигурные скобки (см. приведенный выше пример). На данный момент единственным поддерживаемым именем ключа для тегов является GROUP.
Проверка профиля конфигурации
Профиль конфигурации должен быть допустимым файлом в формате JSON. Для этого можно использовать множество средств. Например, если вы python установили на устройстве:
python -m json.tool mdatp_managed.json
Если json имеет правильный формат, приведенная выше команда выводит его обратно в терминал и возвращает код выхода из 0. В противном случае отображается ошибка, описывающая проблему, и команда возвращает код 1выхода .
Проверка правильности работы файла mdatp_managed.json
Чтобы убедиться, что ваш файл /etc/opt/microsoft/mdatp/managed/mdatp_managed.json работает правильно, рядом со следующими параметрами должен появиться сообщение [managed]:
cloud_enabledcloud_automatic_sample_submission_consentpassive_mode_enabledreal_time_protection_enabledautomatic_definition_update_enabled
Примечание.
Перезапуск управляющей программы mdatp не требуется для того, чтобы изменения большинства конфигураций в вступили в mdatp_managed.json силу.
Исключение: Для выполнения следующих конфигураций требуется перезапуск управляющей программы:
cloud-diagnosticlog-rotation-parameters
Развертывание профиля конфигурации
После создания профиля конфигурации для предприятия его можно развернуть с помощью средства управления, используемого предприятием. Defender для конечной точки в Linux считывает управляемую конфигурацию /etc/opt/microsoft/mdatp/managed/mdatp_managed.json из файла.
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.