Установите параметры Microsoft Defender для конечной точки в Linux.
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Важно!
В этом разделе содержатся инструкции по настройке параметров Defender для конечной точки в Linux в корпоративных средах. Если вы хотите настроить продукт на устройстве из командной строки, см. раздел Ресурсы.
В корпоративных средах Defender для конечной точки в Linux можно управлять с помощью профиля конфигурации. Этот профиль развертывается из выбранного средства управления. Предпочтения, управляемые предприятием, имеют приоритет над параметрами, заданными локально на устройстве. Другими словами, пользователи в организации не могут изменять настройки, заданные в этом профиле конфигурации. Если исключения были добавлены с помощью профиля управляемой конфигурации, их можно удалить только с помощью профиля управляемой конфигурации. Командная строка работает для исключений, добавленных локально.
В этой статье описывается структура этого профиля (включая рекомендуемый профиль, который можно использовать для начала работы) и инструкции по развертыванию профиля.
Структура профиля конфигурации
Профиль конфигурации — это файл .json, состоящий из записей, определенных ключом (который обозначает имя предпочтения), за которым следует значение, которое зависит от характера предпочтения. Значения могут быть простыми, например числовым значением, или сложными, например вложенным списком параметров.
Как правило, вы используете средство управления конфигурацией для отправки файла с именем mdatp_managed.json в расположение /etc/opt/microsoft/mdatp/managed/.
Верхний уровень профиля конфигурации включает в себя настройки для всего продукта и записи для вложенных элементов продукта, которые более подробно описаны в следующих разделах.
Параметры антивирусного ядра
Раздел antivirusEngine профиля конфигурации используется для управления параметрами антивирусного компонента продукта.
| Описание | Значение |
|---|---|
| Ключ | antivirusEngine |
| Тип данных | Словарь (вложенный параметр) |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Уровень принудительного применения для антивирусного ядра
Задает параметр принудительного применения антивирусного ядра. Существует три значения для установки уровня принудительного применения:
- В режиме реального времени (
real_time): включена защита в режиме реального времени (сканирование файлов по мере их изменения). - По запросу (
on_demand): файлы сканируются только по запросу. В этом случае:- Защита в режиме реального времени отключена.
- Пассивный (
passive): запускает антивирусную программу в пассивном режиме. В этом случае:- Защита в режиме реального времени отключена: угрозы не устраняются Microsoft Defender антивирусной программой.
- Сканирование по запросу включено. По-прежнему используйте возможности сканирования в конечной точке.
- Автоматическое исправление угроз отключено: файлы не будут перемещаться, и администратор безопасности, как ожидается, примет необходимые меры.
- Обновления аналитики безопасности включены: оповещения будут доступны в клиенте администраторов безопасности.
| Описание | Значение |
|---|---|
| Ключ | enforcementLevel |
| Тип данных | String |
| Возможные значения | real_time on_demand пассивный (по умолчанию) |
| Comments | Доступно в Defender для конечной точки версии 101.10.72 или более поздней. Значение по умолчанию изменяется с real_time на пассивное для конечной точки версии 101.23062.0001 или более поздней. |
Включение и отключение мониторинга поведения
Определяет, включена ли на устройстве возможность мониторинга и блокировки поведения.
Примечание.
Эта функция применима, только если включена функция защиты Real-Time.
| Описание | Значение |
|---|---|
| Ключ | behaviorMonitoring |
| Тип данных | String |
| Возможные значения | отключено (по умолчанию) включено |
| Комментарии | Доступно в Defender для конечной точки версии 101.45.00 или более поздней. |
Запуск проверки после обновления определений
Указывает, следует ли запускать проверку процесса после загрузки на устройство новых обновлений аналитики безопасности. Включение этого параметра запускает антивирусную проверку запущенных процессов устройства.
| Описание | Значение |
|---|---|
| Ключ | scanAfterDefinitionUpdate |
| Тип данных | Логический |
| Возможные значения | true (по умолчанию) false |
| Комментарии | Доступно в Defender для конечной точки версии 101.45.00 или более поздней. |
Сканирование архивов (только антивирусная проверка по запросу)
Указывает, следует ли сканировать архивы во время проверки антивирусной программы по запросу.
Примечание.
Архивные файлы никогда не сканируются во время защиты в режиме реального времени. При извлечении файлов из архива они сканируются. Параметр scanArchives можно использовать для принудительного сканирования архивов только во время проверки по запросу.
| Описание | Значение |
|---|---|
| Ключ | scanArchives |
| Тип данных | Логический |
| Возможные значения | true (по умолчанию) false |
| Comments | Доступно в Microsoft Defender для конечной точки версии 101.45.00 или более поздней. |
Степень параллелизма при сканировании по запросу
Указывает степень параллелизма для проверок по запросу. Это соответствует количеству потоков, используемых для проверки, влияет на загрузку ЦП и длительность проверки по запросу.
| Описание | Значение |
|---|---|
| Ключ | maximumOnDemandScanThreads |
| Тип данных | Integer |
| Возможные значения | 2 (по умолчанию). Допустимые значения — это целые числа от 1 до 64. |
| Комментарии | Доступно в Microsoft Defender для конечной точки версии 101.45.00 или более поздней. |
Политика слияния исключений
Задает политику слияния для исключений. Это может быть сочетание исключений, определенных администратором и пользователем (merge) или только исключений, определенных администратором (admin_only). Этот параметр можно использовать, чтобы запретить локальным пользователям определять собственные исключения.
| Описание | Значение |
|---|---|
| Ключ | exclusionsMergePolicy |
| Тип данных | String |
| Возможные значения | merge (по умолчанию) admin_only |
| Комментарии | Доступно в Defender для конечной точки версии 100.83.73 или более поздней. |
исключения сканирования;
Сущности, исключенные из проверки. Исключения можно указать полными путями, расширениями или именами файлов. (Исключения указываются в виде массива элементов. Администратор может указать любое необходимое количество элементов в любом порядке.)
| Описание | Значение |
|---|---|
| Ключ | Исключения |
| Тип данных | Словарь (вложенный параметр) |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Тип исключения
Указывает тип содержимого, исключенного из сканирования.
| Описание | Значение |
|---|---|
| Ключ | $type |
| Тип данных | String |
| Возможные значения | excludedPath excludedFileExtension excludedFileName |
Путь к исключенным содержимому
Используется для исключения содержимого из сканирования по полному пути к файлу.
| Описание | Значение |
|---|---|
| Ключ | path |
| Тип данных | String |
| Возможные значения | допустимые пути |
| Комментарии | Применимо только в том случае , если $typeисключеныPath |
Тип пути (файл или каталог)
Указывает, относится ли свойство path к файлу или каталогу.
| Описание | Значение |
|---|---|
| Ключ | isDirectory |
| Тип данных | Логический |
| Возможные значения | false (по умолчанию) true |
| Comments | Применимо только в том случае , если $typeисключеныPath |
Расширение файла, исключенное из сканирования
Используется для исключения содержимого из расширения файла сканирования.
| Описание | Значение |
|---|---|
| Ключ | Расширение |
| Тип данных | String |
| Возможные значения | допустимые расширения файлов |
| Комментарии | Применимо, только если $typeисключеноFileExtension |
Процесс исключен из сканирования*
Указывает процесс, для которого все действия файлов исключаются из сканирования. Процесс можно указать по его имени (например, cat) или по полному пути (например, /bin/cat).
| Описание | Значение |
|---|---|
| Ключ | name |
| Тип данных | String |
| Возможные значения | любая строка |
| Комментарии | Применимо только в том случае, если $typeисключеноFileName |
Отключение подключений, отличных от Exec
Указывает поведение RTP в точке подключения, помеченной как noexec. Параметр имеет два значения:
- Unmuted () —
unmuteзначение по умолчанию, все точки подключения проверяются как часть RTP. - Muted (
mute): точки подключения, помеченные как noexec, не сканируются как часть RTP. Эти точки подключения можно создать для:- Файлы базы данных на серверах баз данных для хранения файлов базы данных.
- Файловый сервер может хранить точки подключения файлов данных с параметром noexec.
- Резервное копирование может хранить точки подключения файлов данных с параметром noexec.
| Описание | Значение |
|---|---|
| Ключ | nonExecMountPolicy |
| Тип данных | String |
| Возможные значения | unmute (по умолчанию) Отключить |
| Comments | Доступно в Defender для конечной точки версии 101.85.27 или более поздней. |
Немониторные файловые системы
Настройте файловые системы, чтобы они немонитоировались или исключены из защиты в реальном времени (RTP). Настроенные файловые системы проверяются на соответствие списку разрешенных файловых систем Microsoft Defender. Только после успешной проверки файловая система будет разрешена к немониторитации. Эти настроенные неуправляемые файловые системы по-прежнему будут проверяться с помощью быстрых, полных и пользовательских проверок.
| Описание | Значение |
|---|---|
| Ключ | unmonitoredFilesystems |
| Тип данных | Массив строк |
| Комментарии | Настроенная файловая система будет неуправляема, только если она присутствует в списке разрешенных неуправляемых файловых систем Майкрософт. |
По умолчанию NFS и Fuse не отслеживаются при проверке RTP, быстрой и полной проверки. Однако их по-прежнему можно сканировать с помощью пользовательской проверки. Например, чтобы удалить NFS из списка неустранимых файловых систем, обновите управляемый файл конфигурации, как показано ниже. Это автоматически добавит NFS в список отслеживаемых файловых систем для RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Чтобы удалить NFS и Fuse из списка файловых систем, выполните указанные ниже действия.
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Примечание.
Ниже приведен список отслеживаемых файловых систем по умолчанию для RTP.
[btrfs, ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, reiserfs, tmpfs, vfat, xfs]
Если какая-либо отслеживаемая файловая система должна быть добавлена в список неустранимых файловых систем, она должна быть оценена и включена корпорацией Майкрософт с помощью облачной конфигурации. После этого клиенты могут обновить managed_mdatp.json до немониторной файловой системы.
Настройка функции вычисления хэша файлов
Включает или отключает функцию вычисления хэша файлов. Если эта функция включена, Defender для конечной точки вычисляет хэши для файлов, которые он сканирует. Обратите внимание, что включение этой функции может повлиять на производительность устройства. Дополнительные сведения см. в статье Создание индикаторов для файлов.
| Описание | Значение |
|---|---|
| Ключ | enableFileHashComputation |
| Тип данных | Логический |
| Возможные значения | false (по умолчанию) true |
| Comments | Доступно в Defender для конечной точки версии 101.85.27 или более поздней. |
разрешенные угрозы;
Список угроз (идентифицируемых по их имени), которые не блокируются продуктом и вместо этого могут выполняться.
| Описание | Значение |
|---|---|
| Ключ | allowedThreats |
| Тип данных | Массив строк |
Disallowed threat actions (Запрещенные действия в отношении угроз);
Ограничивает действия, которые может выполнять локальный пользователь устройства при обнаружении угроз. Действия, включенные в этот список, не отображаются в пользовательском интерфейсе.
| Описание | Значение |
|---|---|
| Ключ | disallowedThreatActions |
| Тип данных | Массив строк |
| Возможные значения | разрешить (запрещает пользователям разрешать угрозы) restore (запрещает пользователям восстанавливать угрозы из карантина) |
| Комментарии | Доступно в Defender для конечной точки версии 100.83.73 или более поздней. |
параметры типа угрозы.
Параметр threatTypeSettings в антивирусном ядре используется для управления тем, как продукт обрабатывает определенные типы угроз.
| Описание | Значение |
|---|---|
| Ключ | threatTypeSettings |
| Тип данных | Словарь (вложенный параметр) |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Тип угрозы
Тип угрозы, для которой настроено поведение.
| Описание | Значение |
|---|---|
| Ключ | ключа |
| Тип данных | String |
| Возможные значения | potentially_unwanted_application archive_bomb |
Действие
Действие, выполняемое при угрозе типа, указанного в предыдущем разделе. Может быть:
- Аудит. Устройство не защищено от этой угрозы, но запись об угрозе регистрируется.
- Блокировать. Устройство защищено от этой угрозы, и вы получите уведомление в консоли безопасности.
- Выкл. Устройство не защищено от этой угрозы, и ничего не регистрируется.
| Описание | Значение |
|---|---|
| Ключ | значение |
| Тип данных | String |
| Возможные значения | audit (по умолчанию) Блок выключено |
Политика слияния параметров типа угроз
Указывает политику слияния для параметров типа угроз. Это может быть сочетание определяемых администратором и пользователем параметров (merge) или только параметров, определенных администратором (admin_only). Этот параметр можно использовать, чтобы запретить локальным пользователям определять собственные параметры для различных типов угроз.
| Описание | Значение |
|---|---|
| Ключ | threatTypeSettingsMergePolicy |
| Тип данных | String |
| Возможные значения | merge (по умолчанию) admin_only |
| Comments | Доступно в Defender для конечной точки версии 100.83.73 или более поздней. |
Хранение журнала антивирусной проверки (в днях)
Укажите количество дней, в течение которых результаты хранятся в журнале сканирования на устройстве. Старые результаты сканирования удаляются из журнала. Старые файлы, помещенные в карантин, которые также удаляются с диска.
| Описание | Значение |
|---|---|
| Ключ | scanResultsRetentionDays |
| Тип данных | String |
| Возможные значения | 90 (по умолчанию). Допустимые значения: от 1 дня до 180 дней. |
| Комментарии | Доступно в Defender для конечной точки версии 101.04.76 или более поздней. |
Максимальное число элементов в журнале антивирусной проверки
Укажите максимальное количество записей, которые будут храниться в журнале сканирования. Записи включают все проверки по запросу, выполненные в прошлом, и все обнаружения антивирусной программы.
| Описание | Значение |
|---|---|
| Ключ | scanHistoryMaximumItems |
| Тип данных | String |
| Возможные значения | 10000 (по умолчанию). Допустимые значения: от 5000 до 15000 элементов. |
| Комментарии | Доступно в Defender для конечной точки версии 101.04.76 или более поздней. |
Дополнительные параметры сканирования
Следующие параметры можно настроить для включения некоторых расширенных функций сканирования.
Примечание.
Включение этих функций может повлиять на производительность устройства. Поэтому рекомендуется сохранить значения по умолчанию.
Настройка проверки событий разрешений на изменение файла
Если эта функция включена, Defender для конечной точки будет проверять файлы при изменении их разрешений, чтобы задать биты выполнения.
Примечание.
Эта функция применима только в том случае, если она включена enableFilePermissionEvents . Дополнительные сведения см. в разделе Дополнительные необязательные функции ниже.
| Описание | Значение |
|---|---|
| Ключ | scanFileModifyPermissions |
| Тип данных | Логический |
| Возможные значения | false (по умолчанию) true |
| Comments | Доступно в Defender для конечной точки версии 101.23062.0010 или более поздней. |
Настройка сканирования событий владения изменением файла
Если эта функция включена, Defender для конечной точки будет проверять файлы, для которых изменено владение.
Примечание.
Эта функция применима только в том случае, если она включена enableFileOwnershipEvents . Дополнительные сведения см. в разделе Дополнительные необязательные функции ниже.
| Описание | Значение |
|---|---|
| Ключ | scanFileModifyOwnership |
| Тип данных | Логический |
| Возможные значения | false (по умолчанию) true |
| Comments | Доступно в Defender для конечной точки версии 101.23062.0010 или более поздней. |
Настройка сканирования необработанных событий сокета
Если эта функция включена, Defender для конечной точки будет проверять события сетевых сокетов, такие как создание необработанных сокетов или сокетов пакетов или установка параметра сокета.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
Примечание.
Эта функция применима только в том случае, если она включена enableRawSocketEvent . Дополнительные сведения см. в разделе Дополнительные необязательные функции ниже.
| Описание | Значение |
|---|---|
| Ключ | scanNetworkSocketEvent |
| Тип данных | Логический |
| Возможные значения | false (по умолчанию) true |
| Comments | Доступно в Defender для конечной точки версии 101.23062.0010 или более поздней. |
Параметры защиты, предоставляемые облаком
Запись cloudService в профиле конфигурации используется для настройки функции облачной защиты продукта.
Примечание.
Облачная защита применяется с любыми параметрами уровня принудительного применения (real_time, on_demand, пассивным).
| Описание | Значение |
|---|---|
| Ключ | cloudService |
| Тип данных | Словарь (вложенный параметр) |
| Comments | Описание содержимого словаря см. в следующих разделах. |
Включение и отключение облачной защиты
Определяет, включена ли облачная защита на устройстве. Чтобы повысить безопасность служб, рекомендуется оставить эту функцию включенной.
| Описание | Значение |
|---|---|
| Ключ | включено |
| Тип данных | Логический |
| Возможные значения | true (по умолчанию) false |
уровень сбора данных диагностики
Диагностические данные используются для обеспечения безопасности и актуальности Defender для конечной точки, обнаружения, диагностики и устранения проблем, а также улучшения продукта. Этот параметр определяет уровень диагностика, отправляемых продуктом в корпорацию Майкрософт.
| Описание | Значение |
|---|---|
| Ключ | diagnosticLevel |
| Тип данных | String |
| Возможные значения | необязательный обязательный (по умолчанию) |
Настройка уровня облачного блока
Этот параметр определяет, насколько агрессивным является Defender для конечной точки при блокировке и сканировании подозрительных файлов. Если этот параметр включен, Defender для конечной точки будет более агрессивным при обнаружении подозрительных файлов для блокировки и сканирования. в противном случае он менее агрессивный и, следовательно, блокирует и сканирует с меньшей частотой.
Существует пять значений для настройки уровня блока облака:
- Обычный (
normal): уровень блокировки по умолчанию. - Умеренный (
moderate): выставляет вердикт только для обнаружения высокой достоверности. - Высокий (
high): агрессивно блокирует неизвестные файлы, оптимизируя производительность (больше вероятность блокировки невредных файлов). - Высокий плюс (
high_plus): агрессивно блокирует неизвестные файлы и применяет дополнительные меры защиты (может повлиять на производительность клиентского устройства). - Нулевое отклонение (
zero_tolerance): блокирует все неизвестные программы.
| Описание | Значение |
|---|---|
| Ключ | cloudBlockLevel |
| Тип данных | String |
| Возможные значения | обычный (по умолчанию) Умеренной Высокой high_plus zero_tolerance |
| Comments | Доступно в Defender для конечной точки версии 101.56.62 или более поздней. |
Включение и отключение автоматической отправки примеров
Определяет, отправляются ли в корпорацию Майкрософт подозрительные образцы (которые могут содержать угрозы). Существует три уровня управления отправкой примеров:
- Нет: подозрительные примеры не отправляются в корпорацию Майкрософт.
- Безопасно: автоматически отправляются только подозрительные примеры, не содержащие персональных данных. Это значение по умолчанию для этого параметра.
- Все: все подозрительные примеры отправляются в корпорацию Майкрософт.
| Описание | Значение |
|---|---|
| Ключ | automaticSampleSubmissionConsent |
| Тип данных | String |
| Возможные значения | none safe (по умолчанию) все |
Включение и отключение автоматических обновлений аналитики безопасности
Определяет, устанавливаются ли обновления аналитики безопасности автоматически.
| Описание | Значение |
|---|---|
| Ключ | automaticDefinitionUpdateEnabled |
| Тип данных | Логический |
| Возможные значения | true (по умолчанию) false |
Дополнительные необязательные функции
Для включения некоторых дополнительных функций можно настроить следующие параметры.
Примечание.
Включение этих функций может повлиять на производительность устройства. Рекомендуется сохранить значения по умолчанию.
| Описание | Значение |
|---|---|
| Ключ | Функции |
| Тип данных | Словарь (вложенный параметр) |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Функция загрузки модуля
Определяет, отслеживаются ли события загрузки модуля (события открытия файлов в общих библиотеках).
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
| Описание | Значение |
|---|---|
| Ключ | moduleLoad |
| Тип данных | String |
| Возможные значения | отключено (по умолчанию) включено |
| Comments | Доступно в Defender для конечной точки версии 101.68.80 или более поздней. |
Дополнительные конфигурации датчиков
Следующие параметры можно использовать для настройки некоторых дополнительных дополнительных функций датчика.
| Описание | Значение |
|---|---|
| Ключ | дополнительныеSensorConfigurations |
| Тип данных | Словарь (вложенный параметр) |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Настройка мониторинга событий разрешений на изменение файла
Определяет, отслеживаются ли события разрешений на изменение файла (chmod).
Примечание.
Если эта функция включена, Defender для конечной точки будет отслеживать изменения в исполняемых битах файлов, но не сканировать эти события. Дополнительные сведения см. в разделе Расширенные функции сканирования .
| Описание | Значение |
|---|---|
| Ключ | enableFilePermissionEvents |
| Тип данных | String |
| Возможные значения | отключено (по умолчанию) включено |
| Комментарии | Доступно в Defender для конечной точки версии 101.23062.0010 или более поздней. |
Настройка мониторинга событий владения изменением файлов
Определяет, отслеживаются ли события владения изменением файла (chown).
Примечание.
Если эта функция включена, Defender для конечной точки будет отслеживать изменения владения файлами, но не сканировать эти события. Дополнительные сведения см. в разделе Расширенные функции сканирования .
| Описание | Значение |
|---|---|
| Ключ | enableFileOwnershipEvents |
| Тип данных | String |
| Возможные значения | отключено (по умолчанию) включено |
| Comments | Доступно в Defender для конечной точки версии 101.23062.0010 или более поздней. |
Настройка мониторинга необработанных событий сокета
Определяет, отслеживаются ли события сетевого сокета, связанные с созданием необработанных сокетов или сокетов пакетов или настройкой параметра сокета.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
Примечание.
Если эта функция включена, Defender для конечной точки будет отслеживать эти события сетевого сокета, но не сканировать эти события. Дополнительные сведения см. в разделе Расширенные функции сканирования выше.
| Описание | Значение |
|---|---|
| Ключ | enableRawSocketEvent |
| Тип данных | String |
| Возможные значения | отключено (по умолчанию) включено |
| Comments | Доступно в Defender для конечной точки версии 101.23062.0010 или более поздней. |
Настройка мониторинга событий загрузчика
Определяет, отслеживаются ли и сканируются события загрузчика.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
| Описание | Значение |
|---|---|
| Ключ | enableBootLoaderCalls |
| Тип данных | String |
| Возможные значения | отключено (по умолчанию) включено |
| Комментарии | Доступно в Defender для конечной точки версии 101.68.80 или более поздней. |
Настройка мониторинга событий ptrace
Определяет, отслеживаются ли и сканируются события ptrace.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
| Описание | Значение |
|---|---|
| Ключ | enableProcessCalls |
| Тип данных | String |
| Возможные значения | отключено (по умолчанию) включено |
| Comments | Доступно в Defender для конечной точки версии 101.68.80 или более поздней. |
Настройка мониторинга событий псевдофы
Определяет, отслеживаются ли и сканируются события псевдофов.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
| Описание | Значение |
|---|---|
| Ключ | enablePseudofsCalls |
| Тип данных | String |
| Возможные значения | отключено (по умолчанию) включено |
| Comments | Доступно в Defender для конечной точки версии 101.68.80 или более поздней. |
Настройка мониторинга событий загрузки модуля с помощью eBPF
Определяет, отслеживаются ли события загрузки модуля с помощью eBPF и сканируются.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
| Описание | Значение |
|---|---|
| Ключ | enableEbpfModuleLoadEvents |
| Тип данных | String |
| Возможные значения | отключено (по умолчанию) включено |
| Comments | Доступно в Defender для конечной точки версии 101.68.80 или более поздней. |
Отчет о подозрительных событиях AV в EDR
Определяет, передаются ли подозрительные события из антивирусной программы в EDR.
| Описание | Значение |
|---|---|
| Ключ | sendLowfiEvents |
| Тип данных | String |
| Возможные значения | отключено (по умолчанию) включено |
| Комментарии | Доступно в Defender для конечной точки версии 101.23062.0010 или более поздней. |
Конфигурации защиты сети
Следующие параметры можно использовать для настройки расширенных функций проверки защиты сети для контроля того, какой трафик проверяется защитой сети.
Примечание.
Чтобы они были эффективными, необходимо включить защиту сети. Дополнительные сведения см. в статье Включение защиты сети для Linux.
| Описание | Значение |
|---|---|
| Ключ | networkProtection |
| Тип данных | Словарь (вложенный параметр) |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Настройка проверки ICMP
Определяет, отслеживаются ли и сканируются события ICMP.
Примечание.
Эта функция применима только в том случае, если включен мониторинг поведения.
| Описание | Значение |
|---|---|
| Ключ | disableIcmpInspection |
| Тип данных | Логический |
| Возможные значения | true (по умолчанию) false |
| Комментарии | Доступно в Defender для конечной точки версии 101.23062.0010 или более поздней. |
Рекомендуемый профиль конфигурации
Чтобы приступить к работе, мы рекомендуем использовать следующий профиль конфигурации для вашего предприятия, чтобы воспользоваться всеми функциями защиты, предоставляемыми Defender для конечной точки.
Следующий профиль конфигурации:
- Включение защиты в режиме реального времени (RTP)
- Укажите способ обработки следующих типов угроз:
- Потенциально нежелательные приложения блокируются
- Архивные бомбы (файл с высокой степенью сжатия) проверяются в журналах продукта
- Включение автоматических обновлений аналитики безопасности
- Включение облачной защиты
- Включение автоматической отправки примеров на
safeуровне
Пример профиля
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Пример полного профиля конфигурации
Следующий профиль конфигурации содержит записи для всех параметров, описанных в этом документе, и может использоваться для более сложных сценариев, в которых требуется больший контроль над продуктом.
Примечание.
Невозможно управлять всеми Microsoft Defender для конечной точки обмен данными только с параметром прокси-сервера в этом формате JSON.
Полный профиль
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Добавление тега или идентификатора группы в профиль конфигурации
При первом выполнении mdatp health команды значение тега и идентификатора группы будет пустым. Чтобы добавить тег или идентификатор группы в mdatp_managed.json файл, выполните следующие действия:
- Откройте профиль конфигурации из пути
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json. - Перейдите к нижней части файла, где
cloudServiceнаходится блок. - Добавьте требуемый тег или идентификатор группы, как в следующем примере в конце закрывающей фигурной скобки
cloudServiceдля .
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
Примечание.
Добавьте запятую после закрывающей фигурной скобки в конце cloudService блока. Кроме того, убедитесь, что после добавления тега или блока идентификатора группы есть две закрывающие фигурные скобки (см. приведенный выше пример). На данный момент единственным поддерживаемым именем ключа для тегов является GROUP.
Проверка профиля конфигурации
Профиль конфигурации должен быть допустимым файлом в формате JSON. Для этого можно использовать множество средств. Например, если вы python установили на устройстве:
python -m json.tool mdatp_managed.json
Если json имеет правильный формат, приведенная выше команда выводит его обратно в терминал и возвращает код выхода из 0. В противном случае отображается ошибка, описывающая проблему, и команда возвращает код 1выхода .
Проверка правильности работы файла mdatp_managed.json
Чтобы убедиться, что ваш файл /etc/opt/microsoft/mdatp/managed/mdatp_managed.json работает правильно, рядом со следующими параметрами должен появиться сообщение [managed]:
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
Примечание.
Перезапуск управляющей программы mdatp не требуется, чтобы изменения большинства конфигураций в mdatp_managed.json вступили в силу. Исключение: Для выполнения следующих конфигураций требуется перезапуск управляющей программы:
- облачная диагностика
- log-rotation-parameters
Развертывание профиля конфигурации
После создания профиля конфигурации для предприятия его можно развернуть с помощью средства управления, используемого предприятием. Defender для конечной точки в Linux считывает управляемую конфигурацию из файла /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по