Установите параметры Microsoft Defender для конечной точки в Linux.

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Важно!

В этом разделе содержатся инструкции по настройке параметров Defender для конечной точки в Linux в корпоративных средах. Если вы хотите настроить продукт на устройстве из командной строки, см. раздел Ресурсы.

В корпоративных средах Defender для конечной точки в Linux можно управлять с помощью профиля конфигурации. Этот профиль развертывается из выбранного средства управления. Предпочтения, управляемые предприятием, имеют приоритет над параметрами, заданными локально на устройстве. Другими словами, пользователи в вашем предприятии не могут изменять настройки, заданные с помощью этого профиля конфигурации. Если исключения были добавлены с помощью профиля управляемой конфигурации, их можно удалить только с помощью профиля управляемой конфигурации. Командная строка работает для исключений, добавленных локально.

В этой статье описывается структура этого профиля (включая рекомендуемый профиль, который можно использовать для начала работы) и инструкции по развертыванию профиля.

Структура профиля конфигурации

Профиль конфигурации — это JSON-файл, состоящий из записей, определенных ключом (который обозначает имя предпочтения), за которым следует значение, которое зависит от характера предпочтения. Значения могут быть простыми, например числовым значением, или сложными, например вложенным списком параметров.

Как правило, вы используете средство управления конфигурацией для отправки файла с именем mdatp_managed.json в расположение /etc/opt/microsoft/mdatp/managed/.

Верхний уровень профиля конфигурации включает в себя настройки для всего продукта и записи для вложенных элементов продукта, которые более подробно описаны в следующих разделах.

Параметры антивирусного ядра

Раздел antivirusEngine профиля конфигурации используется для управления параметрами антивирусного компонента продукта.

Описание Значение
Ключ antivirusEngine
Тип данных Словарь (вложенный параметр)
Comments Описание содержимого словаря см. в следующих разделах.

Уровень принудительного применения для антивирусного ядра

Задает предпочтение принудительного применения антивирусного ядра. Существует три значения для установки уровня принудительного применения:

  • В режиме реального времени (real_time): включена защита в режиме реального времени (сканирование файлов при доступе к ним).
  • По запросу (on_demand): файлы сканируются только по запросу. В этом случае:
    • Защита в режиме реального времени отключена.
  • Пассивный (passive): запускает антивирусную программу в пассивном режиме. В этом случае:
    • Защита в режиме реального времени отключена.
    • Сканирование по запросу включено.
    • Автоматическое исправление угроз отключено.
    • Обновления аналитики безопасности включены.
Описание Значение
Ключ enforcementLevel
Тип данных String
Возможные значения real_time (по умолчанию)

on_demand

Пассивный

Комментарии Доступно в Defender для конечной точки версии 101.10.72 или более поздней.

Включение и отключение мониторинга поведения

Определяет, включена ли на устройстве возможность мониторинга и блокировки поведения.



Описание Значение
Ключ behaviorMonitoring
Тип данных String
Возможные значения отключено (по умолчанию)

включено

Comments Доступно в Defender для конечной точки версии 101.45.00 или более поздней.

Запуск проверки после обновления определений

Указывает, следует ли запускать проверку процесса после загрузки на устройство новых обновлений аналитики безопасности. Включение этого параметра приведет к запуску антивирусной проверки на запущенных процессах устройства.

Описание Значение
Ключ scanAfterDefinitionUpdate
Тип данных Логический
Возможные значения true (по умолчанию)

false

Комментарии Доступно в Defender для конечной точки версии 101.45.00 или более поздней.

Сканирование архивов (только антивирусная проверка по запросу)

Указывает, следует ли сканировать архивы во время проверки антивирусной программы по запросу.

Описание Значение
Ключ scanArchives
Тип данных Логический
Возможные значения true (по умолчанию)

false

Комментарии Доступно в Microsoft Defender для конечной точки версии 101.45.00 или более поздней.

Степень параллелизма при сканировании по запросу

Указывает степень параллелизма для проверок по запросу. Это соответствует количеству потоков, используемых для проверки, и влияет на загрузку ЦП, а также на длительность проверки по запросу.

Описание Значение
Ключ maximumOnDemandScanThreads
Тип данных Целое число
Возможные значения 2 (по умолчанию). Допустимые значения — это целые числа от 1 до 64.
Комментарии Доступно в Microsoft Defender для конечной точки версии 101.45.00 или более поздней.

Политика слияния исключений

Задает политику слияния для исключений. Это может быть сочетание исключений, определенных администратором и пользователем (merge) или только исключений, определенных администратором (admin_only). Этот параметр можно использовать, чтобы запретить локальным пользователям определять собственные исключения.

Описание Значение
Ключ exclusionsMergePolicy
Тип данных String
Возможные значения merge (по умолчанию)

admin_only

Комментарии Доступно в Defender для конечной точки версии 100.83.73 или более поздней.

исключения сканирования;

Сущности, исключенные из проверки. Исключения можно указать полными путями, расширениями или именами файлов. (Исключения указываются в виде массива элементов. Администратор может указать необходимое количество элементов в любом порядке.)

Описание Значение
Ключ Исключения
Тип данных Словарь (вложенный параметр)
Комментарии Описание содержимого словаря см. в следующих разделах.
Тип исключения

Указывает тип содержимого, исключенного из сканирования.

Описание Значение
Ключ $type
Тип данных String
Возможные значения excludedPath

excludedFileExtension

excludedFileName

Путь к исключенным содержимому

Используется для исключения содержимого из сканирования по полному пути к файлу.

Описание Значение
Ключ path
Тип данных String
Возможные значения допустимые пути
Комментарии Применимо только в том случае , если $typeисключеныPath
Тип пути (файл или каталог)

Указывает, относится ли свойство path к файлу или каталогу.

Описание Значение
Ключ isDirectory
Тип данных Логический
Возможные значения false (по умолчанию)

true

Комментарии Применимо только в том случае , если $typeисключеныPath
Расширение файла, исключенное из сканирования

Используется для исключения содержимого из расширения файла сканирования.

Описание Значение
Ключ Расширение
Тип данных String
Возможные значения допустимые расширения файлов
Комментарии Применимо, только если $typeисключеноFileExtension
Процесс исключен из сканирования*

Указывает процесс, для которого все действия файлов исключаются из сканирования. Процесс можно указать по его имени (например, cat) или по полному пути (например, /bin/cat).

Описание Значение
Ключ name
Тип данных String
Возможные значения любая строка
Комментарии Применимо только в том случае, если $typeисключеноFileName

Отключение подключений, отличных от Exec

Указывает поведение RTP в точке подключения, помеченной как noexec. Параметр имеет два значения:

  • Unmuted () —unmute значение по умолчанию, все точки подключения проверяются как часть RTP.
  • Отключение (mute): точки подключения, помеченные как noexec, не сканируются в рамках RTP. Эти точки подключения можно создать для:
    • Файлы базы данных на серверах баз данных для хранения файлов базы данных.
    • Файловый сервер может хранить точки подключения файлов данных с параметром noexec.
    • Резервное копирование может хранить точки подключения файлов данных с параметром noexec.
Описание Значение
Ключ nonExecMountPolicy
Тип данных String
Возможные значения unmute (по умолчанию)

Отключить

Comments Доступно в Defender для конечной точки версии 101.85.27 или более поздней.

Немониторные файловые системы

Настройте файловые системы, чтобы они немонитоировались или исключены из защиты в режиме реального времени. Настроенные файловые системы будут проверены на соответствие списку разрешенных файловых систем Microsoft Defender, которые можно отменить. По умолчанию NFS и Fuse не отслеживаются при проверке RTP, а также при быстрой и полной проверке.

Описание Значение
Ключ unmonitoredFilesystems
Тип данных Массив строк

Настройка функции вычисления хэша файлов

Включает или отключает функцию вычисления хэша файлов. Если эта функция включена, Defender для конечной точки будет вычислять хэши для файлов, которые она сканирует. Обратите внимание, что включение этой функции может повлиять на производительность устройства. Дополнительные сведения см. в статье Создание индикаторов для файлов.

Описание Значение
Ключ enableFileHashComputation
Тип данных Логический
Возможные значения false (по умолчанию)

true

Комментарии Доступно в Defender для конечной точки версии 101.85.27 или более поздней.

разрешенные угрозы;

Список угроз (идентифицируемых по их имени), которые не блокируются продуктом и могут выполняться.

Описание Значение
Ключ allowedThreats
Тип данных Массив строк

Disallowed threat actions (Запрещенные действия в отношении угроз);

Ограничивает действия, которые может выполнять локальный пользователь устройства при обнаружении угроз. Действия, включенные в этот список, не отображаются в пользовательском интерфейсе.

Описание Значение
Ключ disallowedThreatActions
Тип данных Массив строк
Возможные значения разрешить (запрещает пользователям разрешать угрозы)

restore (запрещает пользователям восстанавливать угрозы из карантина)

Комментарии Доступно в Defender для конечной точки версии 100.83.73 или более поздней.

параметры типа угрозы.

Параметр threatTypeSettings в антивирусном ядре используется для управления тем, как продукт обрабатывает определенные типы угроз.

Описание Значение
Ключ threatTypeSettings
Тип данных Словарь (вложенный параметр)
Комментарии Описание содержимого словаря см. в следующих разделах.
Тип угрозы

Тип угрозы, для которой настроено поведение.

Описание Значение
Ключ ключа
Тип данных String
Возможные значения potentially_unwanted_application

archive_bomb

Действие

Действие, выполняемое при угрозе типа, указанного в предыдущем разделе. Может быть:

  • Аудит. Устройство не защищено от угроз этого типа, но записывается запись об угрозе.
  • Блокировать. Устройство защищено от этой угрозы, и вы получите уведомление в консоли безопасности.
  • Выкл. Устройство не защищено от этой угрозы, и ничего не регистрируется.
Описание Значение
Ключ значение
Тип данных String
Возможные значения audit (по умолчанию)

Блок

выключено

Политика слияния параметров типа угроз

Указывает политику слияния для параметров типа угроз. Это может быть сочетание определяемых администратором и пользователем параметров (merge) или только параметров, определенных администратором (admin_only). Этот параметр можно использовать, чтобы запретить локальным пользователям определять собственные параметры для различных типов угроз.

Описание Значение
Ключ threatTypeSettingsMergePolicy
Тип данных String
Возможные значения merge (по умолчанию)

admin_only

Комментарии Доступно в Defender для конечной точки версии 100.83.73 или более поздней.

Хранение журнала антивирусной проверки (в днях)

Укажите количество дней, в течение которых результаты хранятся в журнале сканирования на устройстве. Старые результаты сканирования удаляются из журнала. Старые файлы, помещенные в карантин, которые также удаляются с диска.

Описание Значение
Ключ scanResultsRetentionDays
Тип данных String
Возможные значения 90 (по умолчанию). Допустимые значения: от 1 дня до 180 дней.
Comments Доступно в Defender для конечной точки версии 101.04.76 или более поздней.

Максимальное число элементов в журнале антивирусной проверки

Укажите максимальное количество записей, которые будут храниться в журнале сканирования. Записи включают все проверки по запросу, выполненные в прошлом, и все обнаружения антивирусной программы.

Описание Значение
Ключ scanHistoryMaximumItems
Тип данных String
Возможные значения 10000 (по умолчанию). Допустимые значения: от 5000 до 15000 элементов.
Comments Доступно в Defender для конечной точки версии 101.04.76 или более поздней.

Параметры защиты, предоставляемые облаком

Запись cloudService в профиле конфигурации используется для настройки функции облачной защиты продукта.

Описание Значение
Ключ cloudService
Тип данных Словарь (вложенный параметр)
Комментарии Описание содержимого словаря см. в следующих разделах.

Включение и отключение облачной защиты

Определяет, включена ли облачная защита на устройстве. Чтобы повысить безопасность служб, рекомендуется оставить эту функцию включенной.

Описание Значение
Ключ включено
Тип данных Логический
Возможные значения true (по умолчанию)

false

уровень сбора данных диагностики

Диагностические данные используются для обеспечения безопасности и актуальности Defender для конечной точки, обнаружения, диагностики и устранения проблем, а также для улучшения продукта. Этот параметр определяет уровень диагностики, отправляемой продуктом в корпорацию Майкрософт.

Описание Значение
Ключ diagnosticLevel
Тип данных String
Возможные значения необязательный

обязательный (по умолчанию)

Настройка уровня облачного блока

Этот параметр определяет, насколько агрессивным будет Defender для конечной точки блокировать и сканировать подозрительные файлы. Если этот параметр включен, Defender для конечной точки будет более агрессивным при обнаружении подозрительных файлов для блокировки и сканирования. В противном случае он будет менее агрессивным и, следовательно, блокировать и сканировать с меньшей частотой. Существует пять значений для настройки уровня блока облака:

  • Обычный (normal): уровень блокировки по умолчанию.
  • Умеренный (moderate): выставляет вердикт только для обнаружения высокой достоверности.
  • Высокий (high): агрессивно блокирует неизвестные файлы, оптимизируя производительность (больше вероятность блокировки невредных файлов).
  • Высокий плюс (high_plus): агрессивно блокирует неизвестные файлы и применяет дополнительные меры защиты (может повлиять на производительность клиентского устройства).
  • Нулевое отклонение (zero_tolerance): блокирует все неизвестные программы.
Описание Значение
Ключ cloudBlockLevel
Тип данных String
Возможные значения обычный (по умолчанию)

Умеренной

Высокой

high_plus

zero_tolerance

Комментарии Доступно в Defender для конечной точки версии 101.56.62 или более поздней.

Включение и отключение автоматической отправки примеров

Определяет, отправляются ли в корпорацию Майкрософт подозрительные образцы (которые могут содержать угрозы). Существует три уровня управления отправкой примеров:

  • Нет: подозрительные примеры не отправляются в корпорацию Майкрософт.
  • Безопасно: автоматически отправляются только подозрительные примеры, которые не содержат личных данных. Это значение по умолчанию для этого параметра.
  • Все: все подозрительные примеры отправляются в корпорацию Майкрософт.
Описание Значение
Ключ automaticSampleSubmissionConsent
Тип данных String
Возможные значения none

safe (по умолчанию)

все

Включение и отключение автоматических обновлений аналитики безопасности

Определяет, устанавливаются ли обновления аналитики безопасности автоматически.

Описание Значение
Ключ automaticDefinitionUpdateEnabled
Тип данных Логический
Возможные значения true (по умолчанию)

false

Чтобы приступить к работе, мы рекомендуем использовать следующий профиль конфигурации для вашего предприятия, чтобы воспользоваться всеми функциями защиты, предоставляемыми Defender для конечной точки.

Следующий профиль конфигурации:

  • Включение защиты в режиме реального времени (RTP)
  • Укажите способ обработки следующих типов угроз:
    • Потенциально нежелательные приложения блокируются
    • Архивные бомбы (файл с высокой степенью сжатия) проверяются в журналах продукта
  • Включение автоматических обновлений аналитики безопасности
  • Включение облачной защиты
  • Включение автоматической отправки примеров на safe уровне

Пример профиля

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Пример полного профиля конфигурации

Следующий профиль конфигурации содержит записи для всех параметров, описанных в этом документе, и его можно использовать для более сложных сценариев, в которых требуется больший контроль над продуктом.

Примечание.

Невозможно управлять всеми Microsoft Defender для конечной точки обмен данными только с параметром прокси-сервера в этом формате JSON.

Полный профиль

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "exclusions":[
         {
            "$type":"excludedPath",
            "isDirectory":false,
            "path":"/var/log/system.log<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/run<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/home/*/git<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedFileExtension",
            "extension":".pdf<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedFileName",
            "name":"cat<EXAMPLE DO NOT USE>"
         }
      ],
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs"],
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Добавление тега или идентификатора группы в профиль конфигурации

При первом выполнении mdatp health команды значение тега и идентификатора группы будет пустым. Чтобы добавить тег или идентификатор группы в mdatp_managed.json файл, выполните следующие действия:

  1. Откройте профиль конфигурации из пути /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
  2. Перейдите к нижней части файла, где cloudService находится блок.
  3. Добавьте требуемый тег или идентификатор группы, как в следующем примере в конце закрывающей фигурной скобки cloudServiceдля .
  },
  "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
},
"edr": {
  "groupIds":"GroupIdExample",
  "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
}

Примечание.

Не забудьте добавить запятую после закрывающей фигурной скобки в конце cloudService блока. Кроме того, убедитесь, что после добавления тега или блока идентификатора группы есть две закрывающие фигурные скобки (см. приведенный выше пример). На данный момент единственным поддерживаемым именем ключа для тегов является GROUP.

Проверка профиля конфигурации

Профиль конфигурации должен быть допустимым файлом в формате JSON. Для этого можно использовать ряд средств. Например, если вы python установили на устройстве:

python -m json.tool mdatp_managed.json

Если json имеет правильный формат, приведенная выше команда выводит его обратно в терминал и возвращает код выхода из 0. В противном случае отображается ошибка, описывающая проблему, и команда возвращает код 1выхода .

Проверка правильности работы файла mdatp_managed.json

Чтобы убедиться, что файл /etc/opt/microsoft/mdatp/managed/mdatp_managed.json работает правильно, рядом с этими параметрами должен появиться сообщение [managed]:

  • cloud_enabled
  • cloud_automatic_sample_submission_consent
  • passive_mode_enabled
  • real_time_protection_enabled
  • automatic_definition_update_enabled

Примечание.

Перезапуск управляющей программы mdatp не требуется, чтобы изменения большинства конфигураций в mdatp_managed.json вступили в силу. Исключение: Для выполнения следующих конфигураций требуется перезапуск управляющей программы:

  • облачная диагностика
  • log-rotation-parameters

Развертывание профиля конфигурации

После создания профиля конфигурации для предприятия его можно развернуть с помощью средства управления, используемого предприятием. Defender для конечной точки в Linux считывает управляемую конфигурацию из файла /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .