Ange inställningar för Microsoft Defender för Endpoint i Linux
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Viktigt
Den här artikeln innehåller instruktioner för hur du anger inställningar för Defender för Endpoint på Linux i företagsmiljöer. Om du är intresserad av att konfigurera produkten på en enhet från kommandoraden kan du läsa Resurser.
I företagsmiljöer kan Defender för Endpoint på Linux hanteras via en konfigurationsprofil. Den här profilen distribueras från det hanteringsverktyg som du väljer. Inställningar som hanteras av företaget har företräde framför de som anges lokalt på enheten. Med andra ord kan användare i företaget inte ändra inställningar som anges via den här konfigurationsprofilen. Om undantag har lagts till via den hanterade konfigurationsprofilen kan de bara tas bort via den hanterade konfigurationsprofilen. Kommandoraden fungerar för undantag som har lagts till lokalt.
Den här artikeln beskriver strukturen för den här profilen (inklusive en rekommenderad profil som du kan använda för att komma igång) och instruktioner om hur du distribuerar profilen.
Konfigurationsprofilstruktur
Konfigurationsprofilen är en .json fil som består av poster som identifieras av en nyckel (som anger namnet på inställningen), följt av ett värde som beror på inställningens natur. Värden kan vara enkla, till exempel ett numeriskt värde eller komplext, till exempel en kapslad lista med inställningar.
Vanligtvis använder du ett konfigurationshanteringsverktyg för att skicka en fil med namnet mdatp_managed.json på platsen /etc/opt/microsoft/mdatp/managed/.
Den översta nivån i konfigurationsprofilen innehåller produktomfattande inställningar och poster för underområden för produkten, som beskrivs mer detaljerat i nästa avsnitt.
Inställningar för antivirusmotorn
Avsnittet antivirusEngine i konfigurationsprofilen används för att hantera inställningarna för antiviruskomponenten i produkten.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | antivirusEngine | Antivirusmotor |
| Datatyp | Ordlista (kapslad inställning) | Komprimerat avsnitt |
| Kommentarer | I följande avsnitt finns en beskrivning av ordlisteinnehållet. | I följande avsnitt finns en beskrivning av principegenskaperna. |
Tillämpningsnivå för antivirusmotor
Anger tvingande inställningar för antivirusmotorn. Det finns tre värden för att ange tvingande nivå:
- Realtidsskydd (
real_time): Realtidsskydd (genomsökningsfiler när de ändras) är aktiverat. - På begäran (
on_demand): Filer genomsöks endast på begäran. I det här:- Realtidsskydd är inaktiverat.
- Definitionsuppdateringar sker endast när en genomsökning startar, även om
automaticDefinitionUpdateEnabledden är inställdtruepå i läget på begäran.
- Passiv (
passive): Kör antivirusmotorn i passivt läge. I det här fallet gäller följande:- Realtidsskydd är inaktiverat: Hot åtgärdas inte av Microsoft Defender Antivirus.
- Genomsökning på begäran är aktiverat: Använd fortfarande genomsökningsfunktionerna på slutpunkten.
- Automatisk hotreparation är inaktiverad: Inga filer flyttas och säkerhetsadministratören förväntas vidta nödvändiga åtgärder.
- Uppdateringar av säkerhetsinformation är aktiverade: Aviseringar är tillgängliga i säkerhetsadministratörens klientorganisation.
- Definitionsuppdateringar sker bara när en genomsökning startar, även om
automaticDefinitionUpdateEnabledden är inställd påtruei passivt läge.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | enforcementLevel | Tillämpningsnivå |
| Datatyp | Sträng | Listruta |
| Möjliga värden | real_timeon_demandpassive (standard) |
Inte konfigurerad Realtid OnDemand Passiv (standard) |
Obs!
Tillgängligt i Defender för Endpoint-versionen 101.10.72 eller senare. Standardvärdet ändras från real_time till passive i Defender för Endpoint-versionen 101.23062.0001 eller senare.
Vi rekommenderar att du även använder schemalagda genomsökningar enligt behov.
Aktivera/inaktivera beteendeövervakning
Avgör om funktionen för beteendeövervakning och blockering är aktiverad på enheten eller inte.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | behaviorMonitoring | Aktivera beteendeövervakning |
| Datatyp | Sträng | Listruta |
| Möjliga värden |
disabled (standard) |
Inte konfigurerad Inaktiverad (standard) Aktiverad |
Obs!
Tillgängligt i Defender för Endpoint-versionen 101.45.00 eller senare.
Den här funktionen gäller endast när realtidsskydd är aktiverat.
Köra en genomsökning när definitionerna har uppdaterats
Anger om du vill starta en processgenomsökning när nya uppdateringar av säkerhetsinformation har laddats ned på enheten. Om du aktiverar den här inställningen utlöses en antivirusgenomsökning på enhetens processer som körs.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | scanAfterDefinitionUpdate | Aktivera genomsökning efter definitionsuppdatering |
| Datatyp | Boolesk | Listruta |
| Möjliga värden |
true (standard) |
Inte konfigurerad Inaktiverad Aktiverad (standard) |
Obs!
Tillgängligt i Defender för Endpoint-versionen 101.45.00 eller senare.
Den här funktionen fungerar bara när tvingande nivå är inställd på real-time.
Sök igenom arkiv (endast antivirusgenomsökningar på begäran)
Anger om du vill genomsöka arkiv under antivirusgenomsökningar på begäran.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | scanArchives | Aktivera genomsökning av arkiv |
| Datatyp | Boolesk | Listruta |
| Möjliga värden |
true (standard)
|
Inte konfigurerad Inaktiverad Aktiverad (standard) |
Obs!
Tillgänglig i Microsoft Defender för Endpoint version 101.45.00 eller senare.
Arkivfiler genomsöks aldrig under realtidsskydd. När filerna i ett arkiv extraheras genomsöks de. Alternativet scanArchives kan endast användas för att framtvinga genomsökning av arkiv under genomsökning på begäran.
Grad av parallellitet för genomsökningar på begäran
Anger graden av parallellitet för genomsökningar på begäran. Detta motsvarar antalet trådar som används för att utföra genomsökningen och påverkar CPU-användningen och varaktigheten för genomsökningen på begäran.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | maximumOnDemandScanThreads | maximalt antal genomsökningstrådar på begäran |
| Datatyp | Heltal | Växla växla & heltal |
| Möjliga värden | 2 (standard). Tillåtna värden är heltal mellan 1 och 64. | Inte konfigurerad (standardinställningen inaktiverar standardvärdena 2) Konfigurerad (aktiverad) och heltal mellan 1 och 64. |
Obs!
Tillgänglig i Microsoft Defender för Endpoint version 101.45.00 eller senare.
Princip för undantagssammanslagning
Anger sammanslagningsprincipen för undantag. Det kan vara en kombination av administratörsdefinierade och användardefinierade undantag (merge) eller endast administratörsdefinierade undantag (admin_only). Administratörsdefinierade (admin_only) är undantag som konfigureras av Defender för Endpoint-principen. Den här inställningen kan användas för att hindra lokala användare från att definiera sina egna undantag.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | exclusionsMergePolicy | Sammanslagning av undantag |
| Datatyp | Sträng | Listruta |
| Möjliga värden |
merge (standard)
|
Inte konfigurerad merge (standard) admin_only |
Obs!
Tillgängligt i Defender för Endpoint-versionen 100.83.73 eller senare.
Kan också konfigurera undantag under exclusionSettings
Genomsökningsundantag
Entiteter som har exkluderats från genomsökningen. Undantag kan anges av fullständiga sökvägar, tillägg eller filnamn. (Undantag anges som en matris med objekt, administratören kan ange så många element som behövs i valfri ordning.)
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | Undantag | Genomsökningsundantag |
| Datatyp | Ordlista (kapslad inställning) | Lista över dynamiska egenskaper |
| Kommentarer | I följande avsnitt finns en beskrivning av ordlisteinnehållet. |
Typ av undantag
Anger vilken typ av innehåll som undantas från genomsökningen.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | $type | Typ |
| Datatyp | Sträng | Listruta |
| Möjliga värden | excludedPath
|
Sökväg Filnamnstillägg Processnamn |
Sökväg till exkluderat innehåll
Används för att exkludera innehåll från genomsökningen med en fullständig filsökväg.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | stig | Sökväg |
| Datatyp | Sträng | Sträng |
| Möjliga värden | giltiga sökvägar | giltiga sökvägar |
| Kommentarer | Gäller endast om $typeär excludedPath | Öppnas i popup-fönstret Redigera instans |
Sökvägstyp (fil/katalog)
Anger om sökvägsegenskapen refererar till en fil eller katalog.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | isDirectory | Är katalog |
| Datatyp | Boolesk | Listruta |
| Möjliga värden |
false (standard)
|
Aktiverad Inaktiverad |
| Kommentarer | Gäller endast om $typeär excludedPath | Öppnas i popup-fönstret Redigera instans |
Filnamnstillägget undantas från genomsökningen
Används för att exkludera innehåll från genomsökningen efter filnamnstillägg.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | förlängning | Filnamnstillägg |
| Datatyp | Sträng | Sträng |
| Möjliga värden | giltiga filnamnstillägg | giltiga filnamnstillägg |
| Kommentarer | Gäller endast om $typeär excludedFileExtension | Nås i popup-fönstret Konfigurera instans |
Process som undantas från genomsökningen*
Anger en process för vilken all filaktivitet undantas från genomsökning. Processen kan anges antingen med dess namn (till exempel cat) eller en fullständig sökväg (till exempel /bin/cat).
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | Namn | Filnamn |
| Datatyp | Sträng | Sträng |
| Möjliga värden | valfri sträng | valfri sträng |
| Kommentarer | Gäller endast om $typeär excludedFileName | Nås i popup-fönstret Konfigurera instans |
Stänga av icke-exec-monteringar
Anger beteendet för RTP på monteringspunkten som markerats som noexec. Det finns två värden för inställningen:
- Oförändert (
unmute): Standardvärdet, alla monteringspunkter genomsöks som en del av RTP. - Inaktiverad (
mute): Monteringspunkter som markerats som noexec genomsöks inte som en del av RTP. Dessa monteringspunkter kan skapas för:- Databasfiler på databasservrar för att behålla databasfiler.
- Filservern kan behålla monteringspunkter för datafiler utan något alternativ.
- Säkerhetskopiering kan behålla monteringspunkter för datafiler utan något alternativ.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | nonExecMountPolicy | kör inte avstängt montering |
| Datatyp | Sträng | Listruta |
| Möjliga värden |
unmute (standard)
|
Inte konfigurerad slå på ljudet (standard) stum |
Obs!
Tillgängligt i Defender för Endpoint-versionen 101.85.27 eller senare.
Avövervaka filsystem
Konfigurera filsystem som ska vara oövervakade/exkluderade från realtidsskydd (RTP). De konfigurerade filsystemen verifieras mot Microsoft Defender lista över tillåtna filsystem. Filsystem kan bara övervakas efter lyckad validering. Dessa konfigurerade oövervakade filsystem genomsöks fortfarande av snabb-, fullständig- och anpassade genomsökningar i Microsoft Defender Antivirus.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | unmonitoredFilesystems | Oövervakade filsystem |
| Datatyp | Matris med strängar | Dynamisk stränglista |
Obs!
Konfigurerat filsystem kommer endast att vara oövervakat om det finns i Microsofts lista över tillåtna oövervakade filsystem.
Som standard är NFS och Fuse oövervakade från RTP-, Quick- och Full-genomsökningar. De kan dock fortfarande genomsökas med en anpassad genomsökning. Om du till exempel vill ta bort NFS från listan över oövervakade filsystem uppdaterar du den hanterade konfigurationsfilen enligt nedan. Detta lägger automatiskt till NFS i listan över övervakade filsystem för RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Om du vill ta bort både NFS och Fuse från en oövervakad lista över filsystem gör du följande
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Obs!
Här är standardlistan över övervakade filsystem för RTP: btrfs, , ecryptfs, ext3ext2, ext4, , fuseblk, jfs, , ramfsoverlay, , reiserfs, , tmpfs, , . xfsvfat
Om ett övervakat filsystem behöver läggas till i listan över oövervakade filsystem måste det utvärderas och aktiveras av Microsoft via molnkonfiguration. Därefter kan kunder uppdatera managed_mdatp.json för att avövervaka filsystemet.
Konfigurera funktionen för beräkning av filhash
Aktiverar eller inaktiverar funktionen för beräkning av filhash. När den här funktionen är aktiverad beräknar Defender för Endpoint hashvärden för filer som den genomsöker. Observera att aktivering av den här funktionen kan påverka enhetens prestanda. Mer information finns i: Skapa indikatorer för filer.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | enableFileHashComputation | Aktivera beräkningen av filhash |
| Datatyp | Boolesk | Listruta |
| Möjliga värden |
false (standard)
|
Inte konfigurerad Inaktiverad (standard) Aktiverad |
Obs!
Tillgängligt i Defender för Endpoint-versionen 101.85.27 eller senare.
Tillåtna hot
Lista över hot (identifieras med deras namn) som inte blockeras av produkten och som i stället tillåts att köras.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | allowedThreats | Tillåtna hot |
| Datatyp | Matris med strängar | Dynamisk stränglista |
Otillåtna hotåtgärder
Begränsar de åtgärder som den lokala användaren av en enhet kan vidta när hot identifieras. Åtgärderna som ingår i den här listan visas inte i användargränssnittet.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | disallowedThreatActions | Otillåtna hotåtgärder |
| Datatyp | Matris med strängar | Dynamisk stränglista |
| Möjliga värden |
allow (hindrar användare från att tillåta hot)
|
tillåt (hindrar användare från att tillåta hot) återställa (hindrar användare från att återställa hot från karantänen) |
Obs!
Tillgängligt i Defender för Endpoint-versionen 100.83.73 eller senare.
Inställningar för hottyp
Inställningen threatTypeSettings i antivirusmotorn används för att styra hur vissa hottyper hanteras av produkten.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | threatTypeSettings | Inställningar för hottyp |
| Datatyp | Ordlista (kapslad inställning) | Lista över dynamiska egenskaper |
| Kommentarer | I följande avsnitt finns en beskrivning av ordlisteinnehållet. | I följande avsnitt finns en beskrivning av de dynamiska egenskaperna. |
Hottyp
Typ av hot som beteendet är konfigurerat för.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | nyckel | Hottyp |
| Datatyp | Sträng | Listruta |
| Möjliga värden | potentially_unwanted_application
|
potentially_unwanted_application archive_bomb |
Åtgärd att vidta
Åtgärder som ska vidtas när du stöter på ett hot av den typ som anges i föregående avsnitt. Kan vara:
- Granskning: Enheten är inte skyddad mot den här typen av hot, men en post om hotet loggas. (Standard)
- Blockera: Enheten skyddas mot den här typen av hot och du meddelas i säkerhetskonsolen.
- Av: Enheten är inte skyddad mot den här typen av hot och ingenting loggas.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | värde | Åtgärd att vidta |
| Datatyp | Sträng | Listruta |
| Möjliga värden |
audit (standard)
|
revision block bort |
Princip för sammanslagning av hottypsinställningar
Anger sammanslagningsprincipen för inställningar för hottyp. Detta kan vara en kombination av administratörsdefinierade och användardefinierade inställningar (merge) eller endast administratörsdefinierade inställningar (admin_only). Administratörsdefinierade (admin_only) är inställningar av hottyp som konfigureras av Defender för Endpoint-principen. Den här inställningen kan användas för att hindra lokala användare från att definiera sina egna inställningar för olika hottyper.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | threatTypeSettingsMergePolicy | Koppla inställningar för hottyp |
| Datatyp | Sträng | Listruta |
| Möjliga värden | merge (standard) admin_only |
Inte konfigurerad merge (standard) admin_only |
Obs!
Tillgängligt i Defender för Endpoint-versionen 100.83.73 eller senare.
Kvarhållning av antivirusgenomsökningshistorik (i dagar)
Ange hur många dagar resultatet ska behållas i genomsökningshistoriken på enheten. Gamla genomsökningsresultat tas bort från historiken. Gamla filer i karantän som också tas bort från disken.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | scanResultsRetentionDays | Kvarhållning av genomsökningsresultat |
| Datatyp | Sträng | Växla växel och heltal |
| Möjliga värden | 90 (standard). Tillåtna värden är från 1 dag till 180 dagar. | Inte konfigurerad (växlingsknappen inaktiverad – 90 dagars standard) Konfigurerad (aktiverad) och tillåtet värde 1 till 180 dagar. |
Obs!
Tillgängligt i Defender för Endpoint-versionen 101.04.76 eller senare.
Maximalt antal objekt i antivirusgenomsökningshistoriken
Ange det maximala antalet poster som ska behållas i genomsökningshistoriken. Bland posterna finns alla genomsökningar på begäran som utförts tidigare och alla antivirusidentifieringar.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | scanHistoryMaximumItems | Storlek på genomsökningshistorik |
| Datatyp | Sträng | Växla och heltal |
| Möjliga värden | 10000 (standard). Tillåtna värden är från 5 000 objekt till 1 5 000 objekt. | Inte konfigurerad (växlingsknappen inaktiveras – 10 000 standard) Konfigurerad (aktiverad) och tillåtet värde från 5 000 till 1 5 000 objekt. |
Obs!
Tillgängligt i Defender för Endpoint-versionen 101.04.76 eller senare.
Inställningar för undantagsinställningar
Inställningar för exlusion-inställningar är för närvarande i förhandsversion.
Obs!
Globala undantag är för närvarande i offentlig förhandsversion och är tillgängliga i Defender för Endpoint från och med version 101.23092.0012 eller senare i ringarna Insiders Slow och Production.
Avsnittet exclusionSettings i konfigurationsprofilen används för att konfigurera olika undantag för Microsoft Defender för Endpoint för Linux.
| Beskrivning | JSON-värde |
|---|---|
| Nyckel | exclusionSettings |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av ordlisteinnehållet. |
Obs!
Redan konfigurerade antivirusundantag under (antivirusEngine) i hanterad JSON fortsätter att fungera som det är utan påverkan. Alla nya undantag inklusive antivirusundantag kan läggas till under det här helt nya avsnittet (exclusionSettings). Det här avsnittet ligger utanför taggen (antivirusEngine) som den är dedikerad enbart för att konfigurera alla typer av undantag som kommer i framtiden. Du kan också fortsätta att använda (antivirusEngine) för att konfigurera antivirusundantag.
Sammanslagningsprincip
Anger sammanslagningsprincipen för undantag. Den anger om det kan vara en kombination av administratörsdefinierade och användardefinierade undantag (merge) eller endast administratörsdefinierade undantag (admin_only). Den här inställningen kan användas för att hindra lokala användare från att definiera sina egna undantag. Den gäller för undantag för alla omfång.
| Beskrivning | JSON-värde |
|---|---|
| Nyckel | mergePolicy |
| Datatyp | Sträng |
| Möjliga värden | merge (standard) admin_only |
| Kommentarer | Tillgänglig i Defender för Endpoint version sept 2023 eller senare. |
Undantag
Entiteter som måste undantas kan anges av fullständiga sökvägar, tillägg eller filnamn. Varje exkluderingsentitet, d.v.s. antingen fullständig sökväg, filnamn eller filnamn har ett valfritt omfång som kan anges. Om det inte anges är standardvärdet för omfånget i det här avsnittet globalt. (Undantag anges som en matris med objekt, administratören kan ange så många element som behövs i valfri ordning.)
| Beskrivning | JSON-värde |
|---|---|
| Nyckel | Undantag |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av ordlisteinnehållet. |
Typ av undantag
Anger vilken typ av innehåll som undantas från genomsökningen.
| Beskrivning | JSON-värde |
|---|---|
| Nyckel | $type |
| Datatyp | Sträng |
| Möjliga värden | excludedPath excludedFileExtension excludedFileName |
Undantagsomfång (valfritt)
Anger uppsättningen exlusionsomfång för innehåll som undantas. Omfång som stöds för närvarande är epp och global.
Om inget anges i för ett undantag under exclusionInställningar i hanterad konfiguration betraktas det global som omfång.
Obs!
Tidigare konfigurerade antivirusundantag under (antivirusEngine) i hanterad JSON fortsätter att fungera och deras omfång anses (epp) eftersom de har lagts till som antivirusundantag.
| Beskrivning | JSON-värde |
|---|---|
| Nyckel | Scope |
| Datatyp | Uppsättning med strängar |
| Möjliga värden | Epp global |
Obs!
Tidigare tillämpade undantag med hjälp av (mdatp_managed.json) eller av CLI påverkas inte. Omfattningen för dessa undantag kommer att vara (epp) eftersom de lades till under (antivirusEngine).
Sökväg till exkluderat innehåll
Används för att exkludera innehåll från genomsökningen med en fullständig filsökväg.
| Beskrivning | JSON-värde |
|---|---|
| Nyckel | stig |
| Datatyp | Sträng |
| Möjliga värden | giltiga sökvägar |
| Kommentarer | Gäller endast om $typeär excludedPath. Jokertecken stöds inte om exkludering har global som omfång. |
Sökvägstyp (fil/katalog)
Anger om sökvägsegenskapen refererar till en fil eller katalog.
Obs!
Filsökvägen måste redan finnas om du lägger till filundantag med globalt omfång.
| Beskrivning | JSON-värde |
|---|---|
| Nyckel | isDirectory |
| Datatyp | Boolesk |
| Möjliga värden | false (standard) sann |
| Kommentarer | Gäller endast om $typeär excludedPath. Jokertecken stöds inte om exkludering har global som omfång. |
Filnamnstillägget undantas från genomsökningen
Används för att exkludera innehåll från genomsökningen efter filnamnstillägg.
| Beskrivning | JSON-värde |
|---|---|
| Nyckel | förlängning |
| Datatyp | Sträng |
| Möjliga värden | giltiga filnamnstillägg |
| Kommentarer | Gäller endast om $typeär excludedFileExtension. Stöds inte om exkludering har global som omfång. |
Process som undantas från genomsökningen*
Anger en process för vilken all filaktivitet undantas från genomsökning. Processen kan anges antingen med dess namn (till exempel cat) eller en fullständig sökväg (till exempel /bin/cat).
| Beskrivning | JSON-värde |
|---|---|
| Nyckel | Namn |
| Datatyp | Sträng |
| Möjliga värden | valfri sträng |
| Kommentarer | Gäller endast om $typeär excludedFileName. Jokertecken och processnamn stöds inte om exkludering har global som omfång, måste ange en fullständig sökväg. |
Avancerade genomsökningsalternativ
Följande inställningar kan konfigureras för att aktivera vissa avancerade genomsökningsfunktioner.
Obs!
Aktivering av dessa funktioner kan påverka enhetens prestanda. Därför rekommenderar vi att du behåller standardinställningarna.
Konfigurera genomsökning av filändringsbehörighetshändelser
När den här funktionen är aktiverad genomsöker Defender för Endpoint filer när deras behörigheter har ändrats för att ange körningsbitarna.
Obs!
Den här funktionen gäller endast när enableFilePermissionEvents funktionen är aktiverad. Mer information finns i avsnittet Avancerade valfria funktioner nedan för mer information.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | scanFileModifyPermissions | Inte tillgängligt |
| Datatyp | Boolesk | Saknas |
| Möjliga värden | false (standard) sann |
Saknas |
Obs!
Tillgängligt i Defender för Endpoint-versionen 101.23062.0010 eller senare.
Konfigurera genomsökning av händelser för filändringsägarskap
När den här funktionen är aktiverad genomsöker Defender för Endpoint filer som ägarskapet har ändrats för.
Obs!
Den här funktionen gäller endast när enableFileOwnershipEvents funktionen är aktiverad. Mer information finns i avsnittet Avancerade valfria funktioner nedan för mer information.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | scanFileModifyOwnership | Inte tillgängligt |
| Datatyp | Boolesk | Saknas |
| Möjliga värden | false (standard) sann |
Saknas |
Obs!
Tillgängligt i Defender för Endpoint-versionen 101.23062.0010 eller senare.
Konfigurera genomsökning av råa sockethändelser
När den här funktionen är aktiverad genomsöker Defender för Endpoint nätverkssocketshändelser, till exempel skapande av råa socketar/paketsocketer eller inställning av socketalternativ.
Obs!
Den här funktionen gäller endast när beteendeövervakning är aktiverat.
Den här funktionen gäller endast när enableRawSocketEvent funktionen är aktiverad. Mer information finns i avsnittet Avancerade valfria funktioner nedan för mer information.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | scanNetworkSocketEvent | Inte tillgängligt |
| Datatyp | Boolesk | Saknas |
| Möjliga värden | false (standard) sann |
Saknas |
Obs!
Tillgängligt i Defender för Endpoint-versionen 101.23062.0010 eller senare.
Molnlevererad skyddsinställningar
Posten cloudService i konfigurationsprofilen används för att konfigurera produktens molndrivna skyddsfunktion.
Obs!
Molnbaserat skydd gäller för alla inställningar på tvingande nivå (real_time, on_demand, passiva).
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | cloudService | Molnleverade skyddsinställningar |
| Datatyp | Ordlista (kapslad inställning) | Komprimerat avsnitt |
| Kommentarer | I följande avsnitt finns en beskrivning av ordlisteinnehållet. | I följande avsnitt finns en beskrivning av principens inställningar. |
Aktivera/inaktivera molnbaserat skydd
Avgör om molnlevererat skydd är aktiverat på enheten eller inte. För att förbättra säkerheten för dina tjänster rekommenderar vi att du behåller den här funktionen aktiverad.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | Aktiverat | Aktivera molnbaserat skydd |
| Datatyp | Boolesk | Listruta |
| Möjliga värden |
true (standard)
|
Inte konfigurerad Inaktiverad Aktiverad (standard) |
Diagnostiksamlingsnivå
Diagnostikdata används för att hålla Defender för Endpoint säkert och uppdaterat, identifiera, diagnostisera och åtgärda problem och även göra produktförbättringar. Den här inställningen bestämmer diagnostiknivån som skickas av produkten till Microsoft. Mer information finns i Sekretess för Microsoft Defender för Endpoint i Linux.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | diagnosticLevel | Insamlingsnivå för diagnostikdata |
| Datatyp | Sträng | Listruta |
| Möjliga värden | optional
|
Inte konfigurerad valfritt (standard) krävs |
Konfigurera molnblockeringsnivå
Den här inställningen bestämmer hur aggressiv Defender för Endpoint är när det gäller att blockera och genomsöka misstänkta filer. Om den här inställningen är aktiverad är Defender för Endpoint mer aggressivt när du identifierar misstänkta filer som ska blockeras och genomsökas. Annars är den mindre aggressiv och blockerar därför och skannar med mindre frekvens.
Det finns fem värden för att ange molnblocknivå:
- Normal (
normal): Standardblockeringsnivån. - Måttlig (
moderate): Ger endast bedömning för identifiering av hög konfidens. - Hög (
high): Blockerar aggressivt okända filer samtidigt som prestandaoptimering optimeras (större risk att blockera icke-skadliga filer). - High Plus (
high_plus): Blockerar okända filer aggressivt och tillämpar ytterligare skyddsåtgärder (kan påverka klientens enhetsprestanda). - Nolltolerans (
zero_tolerance): Blockerar alla okända program.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | cloudBlockLevel | Konfigurera molnblockeringsnivå |
| Datatyp | Sträng | Listruta |
| Möjliga värden |
normal (standard)
|
Inte konfigurerad Normal (standard) Måttlig Högsta High_Plus Zero_Tolerance |
Obs!
Tillgängligt i Defender för Endpoint-versionen 101.56.62 eller senare.
Aktivera/inaktivera automatiska exempelöverföringar
Avgör om misstänkta exempel (som sannolikt kommer att innehålla hot) skickas till Microsoft. Det finns tre nivåer för att kontrollera sändning av exempel:
- Ingen: inga misstänkta exempel skickas till Microsoft.
- Säker: endast misstänkta exempel som inte innehåller personligt identifierbar information (PII) skickas automatiskt. Det här är standardvärdet för den här inställningen.
- Alla: alla misstänkta exempel skickas till Microsoft.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | automaticSampleSubmissionConsent | Aktivera automatiska exempelöverföringar |
| Datatyp | Sträng | Listruta |
| Möjliga värden | none
|
Inte konfigurerad Ingen Säkert (standard) Alla |
Aktivera/inaktivera automatiska uppdateringar av säkerhetsinformation
Avgör om uppdateringar av säkerhetsinformation installeras automatiskt:
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | automaticDefinitionUpdateEnabled | Automatiska uppdateringar av säkerhetsinformation |
| Datatyp | Boolesk | Listruta |
| Möjliga värden |
true (standard)
|
Inte konfigurerad Inaktiverad Aktiverad (standard) |
Beroende på tvingande nivå installeras de automatiska uppdateringarna av säkerhetsinformation på olika sätt. I RTP-läge installeras uppdateringar med jämna mellanrum. I passivt/på begäran-läge installeras uppdateringar före varje genomsökning.
Avancerade valfria funktioner
Följande inställningar kan konfigureras för att aktivera vissa avancerade funktioner.
Obs!
Aktivering av dessa funktioner kan påverka enhetens prestanda. Vi rekommenderar att du behåller standardinställningarna.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | Funktioner | Kan inte användas |
| Datatyp | Ordlista (kapslad inställning) | n/a |
| Kommentarer | I följande avsnitt finns en beskrivning av ordlisteinnehållet. |
Inläsningsfunktion för modul
Avgör om modulinläsningshändelser (filöppningshändelser i delade bibliotek) övervakas.
Obs!
Den här funktionen gäller endast när beteendeövervakning är aktiverat.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | moduleLoad | Kan inte användas |
| Datatyp | Sträng | n/a |
| Möjliga värden | inaktiverad (standard) Aktiverat |
n/a |
| Kommentarer | Tillgängligt i Defender för Endpoint-versionen 101.68.80 eller senare. |
Kompletterande sensorkonfigurationer
Följande inställningar kan användas för att konfigurera vissa avancerade kompletterande sensorfunktioner.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | supplementarySensorConfigurations | Kan inte användas |
| Datatyp | Ordlista (kapslad inställning) | n/a |
| Kommentarer | I följande avsnitt finns en beskrivning av ordlisteinnehållet. |
Konfigurera övervakning av händelser för filändringsbehörigheter
Avgör om händelser för filändringsbehörigheter (chmod) övervakas.
Obs!
När den här funktionen är aktiverad övervakar Defender för Endpoint ändringar i körningsbitarna av filer, men genomsöker inte dessa händelser. Mer information finns i avsnittet Avancerade genomsökningsfunktioner för mer information.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | enableFilePermissionEvents | Kan inte användas |
| Datatyp | Sträng | n/a |
| Möjliga värden | inaktiverad (standard) Aktiverat |
n/a |
| Kommentarer | Tillgängligt i Defender för Endpoint-versionen 101.23062.0010 eller senare. |
Konfigurera övervakning av händelser för filändringsägarskap
Avgör om filändring av ägarskapshändelser (chown) övervakas.
Obs!
När den här funktionen är aktiverad övervakar Defender för Endpoint ändringar i ägarskapet för filer, men genomsöker inte dessa händelser. Mer information finns i avsnittet Avancerade genomsökningsfunktioner för mer information.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | enableFileOwnershipEvents | Kan inte användas |
| Datatyp | Sträng | n/a |
| Möjliga värden | inaktiverad (standard) Aktiverat |
n/a |
| Kommentarer | Tillgängligt i Defender för Endpoint-versionen 101.23062.0010 eller senare. |
Konfigurera övervakning av raw socket-händelser
Avgör om nätverkssockethändelser som rör skapande av råa socketar/paketsocketer eller inställning av socketalternativ övervakas.
Obs!
Den här funktionen gäller endast när beteendeövervakning är aktiverat. När den här funktionen är aktiverad övervakar Defender för Endpoint dessa nätverkssockethändelser, men genomsöker inte dessa händelser. Mer information finns i avsnittet Avancerade genomsökningsfunktioner ovan för mer information.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | enableRawSocketEvent | Kan inte användas |
| Datatyp | Sträng | n/a |
| Möjliga värden | inaktiverad (standard) Aktiverat |
n/a |
| Kommentarer | Tillgängligt i Defender för Endpoint-versionen 101.23062.0010 eller senare. |
Konfigurera övervakning av startinläsningshändelser
Avgör om startinläsningshändelser övervakas och genomsöks.
Obs!
Den här funktionen gäller endast när beteendeövervakning är aktiverat.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | enableBootLoaderCalls | Kan inte användas |
| Datatyp | Sträng | n/a |
| Möjliga värden | inaktiverad (standard) Aktiverat |
n/a |
| Kommentarer | Tillgängligt i Defender för Endpoint-versionen 101.68.80 eller senare. |
Konfigurera övervakning av ptrace-händelser
Avgör om ptrace-händelser övervakas och genomsöks.
Obs!
Den här funktionen gäller endast när beteendeövervakning är aktiverat.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | enableProcessCalls | Kan inte användas |
| Datatyp | Sträng | n/a |
| Möjliga värden | inaktiverad (standard) Aktiverat |
n/a |
| Kommentarer | Tillgängligt i Defender för Endpoint-versionen 101.68.80 eller senare. |
Konfigurera övervakning av pseudof-händelser
Avgör om pseudof-händelser övervakas och genomsöks.
Obs!
Den här funktionen gäller endast när beteendeövervakning är aktiverat.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | enablePseudofsCalls | Kan inte användas |
| Datatyp | Sträng | n/a |
| Möjliga värden | inaktiverad (standard) Aktiverat |
n/a |
| Kommentarer | Tillgängligt i Defender för Endpoint-versionen 101.68.80 eller senare. |
Konfigurera övervakning av modulinläsningshändelser med eBPF
Avgör om modulinläsningshändelser övervakas med eBPF och genomsöks.
Obs!
Den här funktionen gäller endast när beteendeövervakning är aktiverat.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | enableEbpfModuleLoadEvents | Kan inte användas |
| Datatyp | Sträng | n/a |
| Möjliga värden | inaktiverad (standard) Aktiverat |
n/a |
| Kommentarer | Tillgängligt i Defender för Endpoint-versionen 101.68.80 eller senare. |
Rapportera misstänkta AV-händelser till EDR
Avgör om misstänkta händelser från Antivirus rapporteras till EDR.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | sendLowfiEvents | Kan inte användas |
| Datatyp | Sträng | n/a |
| Möjliga värden | inaktiverad (standard) Aktiverat |
n/a |
| Kommentarer | Tillgängligt i Defender för Endpoint-versionen 101.23062.0010 eller senare. |
Nätverksskyddskonfigurationer
Följande inställningar kan användas för att konfigurera avancerade inspektionsfunktioner för nätverksskydd för att styra vilken trafik som inspekteras av nätverksskyddet.
Obs!
För att dessa ska vara effektiva måste nätverksskyddet vara aktiverat. Mer information finns i Aktivera nätverksskydd för Linux.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | networkProtection | Nätverksskydd |
| Datatyp | Ordlista (kapslad inställning) | Komprimerat avsnitt |
| Kommentarer | I följande avsnitt finns en beskrivning av ordlisteinnehållet. | En beskrivning av principinställningarna finns i följande avsnitt. |
Tillämpningsnivå
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | enforcementLevel | Tillämpningsnivå |
| Datatyp | Sträng | Listruta |
| Möjliga värden |
disabled (standard)audit block |
Inte konfigurerad inaktiverad (standard) revision block |
Konfigurera ICMP-inspektion
Avgör om ICMP-händelser övervakas och genomsöks.
Obs!
Den här funktionen gäller endast när beteendeövervakning är aktiverat.
| Beskrivning | JSON-värde | Defender-portalvärde |
|---|---|---|
| Nyckel | disableIcmpInspection | Kan inte användas |
| Datatyp | Boolesk | n/a |
| Möjliga värden |
true (standard)
|
n/a |
| Kommentarer | Tillgängligt i Defender för Endpoint-versionen 101.23062.0010 eller senare. |
Rekommenderad konfigurationsprofil
För att komma igång rekommenderar vi följande konfigurationsprofil för ditt företag för att dra nytta av alla skyddsfunktioner som Defender för Endpoint tillhandahåller.
Följande konfigurationsprofil:
- Aktiverar realtidsskydd (RTP)
- Anger hur följande hottyper hanteras:
- Potentiellt oönskade program (PUA) blockeras
- Arkivbomber (fil med hög komprimeringshastighet) granskas i produktloggarna
- Aktiverar automatiska uppdateringar av säkerhetsinformation
- Aktiverar molnlevererad skydd
- Aktiverar automatisk sändning av exempel på
safenivå
Exempelprofil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Exempel på fullständig konfigurationsprofil
Följande konfigurationsprofil innehåller poster för alla inställningar som beskrivs i det här dokumentet och kan användas för mer avancerade scenarier där du vill ha mer kontroll över produkten.
Obs!
Det går inte att styra all Microsoft Defender för Endpoint kommunikation med endast en proxyinställning i den här JSON-filen.
Fullständig profil
{
"antivirusEngine":{
"enforcementLevel":"passive",
"behaviorMonitoring": "disabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"enableFileHashComputation": false,
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
],
"scanFileModifyPermissions":false,
"scanFileModifyOwnership":false,
"scanNetworkSocketEvent":false,
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate":"disabled"
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
"definitionUpdatesInterval":28800
},
"features":{
"moduleLoad":"disabled",
"supplementarySensorConfigurations":{
"enableFilePermissionEvents":"disabled",
"enableFileOwnershipEvents":"disabled",
"enableRawSocketEvent":"disabled",
"enableBootLoaderCalls":"disabled",
"enableProcessCalls":"disabled",
"enablePseudofsCalls":"diabled",
"enableEbpfModuleLoadEvents":"disabled",
"sendLowfiEvents":"disabled"
},
"ebpfSupplementaryEventProvider":"enabled",
"offlineDefinitionUpdateVerifySig": "disabled"
},
"networkProtection":{
"enforcementLevel":"disabled",
"disableIcmpInspection":true
},
"edr":{
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Lägga till tagg eller grupp-ID i konfigurationsprofilen
När du kör mdatp health kommandot för första gången är värdet för taggen och grupp-ID:t tomt. Följ stegen nedan om du vill lägga till tagg- eller grupp-ID i mdatp_managed.json filen:
Öppna konfigurationsprofilen från sökvägen
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json.Gå ned till slutet av filen, där
cloudServiceblocket finns.Lägg till den obligatoriska taggen eller grupp-ID:t som följande exempel i slutet av den avslutande klammerparentesen
cloudServiceför .}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }
Obs!
Lägg till kommatecknet efter den avslutande klammerparentesen i slutet av cloudService blocket. Kontrollera också att det finns två avslutande klammerparenteser när du har lagt till tagg- eller grupp-ID-block (se exemplet ovan). För närvarande är GROUPdet enda nyckelnamn som stöds för taggar .
Validering av konfigurationsprofil
Konfigurationsprofilen måste vara en giltig JSON-formaterad fil. Det finns många verktyg som kan användas för att verifiera detta. Om du till exempel har python installerat på enheten:
python -m json.tool mdatp_managed.json
Om JSON är välformulerad matar ovanstående kommando tillbaka den till terminalen och returnerar slutkoden 0. Annars visas ett fel som beskriver problemet och kommandot returnerar slutkoden 1.
Kontrollera att mdatp_managed.json-filen fungerar som förväntat
Om du vill kontrollera att din /etc/opt/microsoft/mdatp/managed/mdatp_managed.json fungerar korrekt bör du se "[hanterad]" bredvid de här inställningarna:
cloud_enabledcloud_automatic_sample_submission_consentpassive_mode_enabledreal_time_protection_enabledautomatic_definition_update_enabled
Obs!
Ingen omstart av mdatp-daemon krävs för att ändringar i de flesta konfigurationer i mdatp_managed.json ska börja gälla.
Undantag: Följande konfigurationer kräver en omstart av daemon för att börja gälla:
cloud-diagnosticlog-rotation-parameters
Distribution av konfigurationsprofil
När du har skapat konfigurationsprofilen för ditt företag kan du distribuera den via det hanteringsverktyg som företaget använder. Defender för Endpoint på Linux läser den hanterade konfigurationen /etc/opt/microsoft/mdatp/managed/mdatp_managed.json från filen.
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.