Linux'ta Uç Nokta için Microsoft Defender tercihlerini ayarlayın
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- Microsoft Defender XDR
Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Önemli
Bu konu, kurumsal ortamlarda Linux üzerinde Uç Nokta için Defender tercihlerini ayarlama yönergelerini içerir. Ürünü bir cihazda komut satırından yapılandırmak istiyorsanız bkz . Kaynaklar.
Kurumsal ortamlarda, Linux üzerinde Uç Nokta için Defender bir yapılandırma profili aracılığıyla yönetilebilir. Bu profil, seçtiğiniz yönetim aracından dağıtılır. Kuruluş tarafından yönetilen tercihler, cihazda yerel olarak ayarlanan tercihlerden önceliklidir. Başka bir deyişle, kuruluşunuzdaki kullanıcılar bu yapılandırma profili aracılığıyla ayarlanan tercihleri değiştiremez. Dışlamalar yönetilen yapılandırma profili aracılığıyla eklendiyse, yalnızca yönetilen yapılandırma profili aracılığıyla kaldırılabilir. Komut satırı, yerel olarak eklenen dışlamalar için çalışır.
Bu makalede, bu profilin yapısı (başlamak için kullanabileceğiniz önerilen bir profil dahil) ve profilin nasıl dağıtılacağına ilişkin yönergeler açıklanmaktadır.
Yapılandırma profili yapısı
Yapılandırma profili, bir anahtar tarafından tanımlanan girdilerden (tercihin adını belirtir) ve ardından tercihin niteliğine bağlı olan bir değerden oluşan bir .json dosyasıdır. Değerler, sayısal değer gibi basit veya iç içe yerleştirilmiş tercih listesi gibi karmaşık olabilir.
Genellikle, konumunda /etc/opt/microsoft/mdatp/managed/
adıyla mdatp_managed.json
bir dosya göndermek için bir yapılandırma yönetim aracı kullanırsınız.
Yapılandırma profilinin en üst düzeyi, ürünün alt ürünleri için ürün genelindeki tercihleri ve girişleri içerir ve bunlar sonraki bölümlerde daha ayrıntılı olarak açıklanmıştır.
Virüsten koruma altyapısı tercihleri
Yapılandırma profilinin antivirusEngine bölümü, ürünün virüsten koruma bileşeninin tercihlerini yönetmek için kullanılır.
Açıklama | Değer |
---|---|
Anahtar | antivirusEngine |
Veri türü | Sözlük (iç içe tercih) |
Açıklamalar | Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın. |
Virüsten koruma altyapısı için zorlama düzeyi
Virüsten koruma altyapısının zorlama tercihini belirtir. Zorlama düzeyini ayarlamak için üç değer vardır:
- Gerçek zamanlı (
real_time
): Gerçek zamanlı koruma (dosyaları değiştirildiği gibi tara) etkinleştirilir. - İsteğe bağlı (
on_demand
): Dosyalar yalnızca isteğe bağlı olarak taranır. Burada:- Gerçek zamanlı koruma kapalıdır.
- Pasif (
passive
): Virüsten koruma altyapısını pasif modda çalıştırır. Burada:- Gerçek zamanlı koruma kapalı: Tehditler Microsoft Defender Virüsten Koruma tarafından düzeltilmiyor.
- İsteğe bağlı tarama açık: Uç noktadaki tarama özelliklerini kullanmaya devam edin.
- Otomatik tehdit düzeltme kapalı: Hiçbir dosya taşınmaz ve güvenlik yöneticisinin gerekli eylemi gerçekleştirmesi beklenir.
- Güvenlik bilgileri güncelleştirmeleri açık: Güvenlik yöneticileri kiracısı üzerinde uyarılar kullanılabilir.
Açıklama | Değer |
---|---|
Anahtar | enforcementLevel |
Veri türü | Dize |
Olası değerler | real_time on_demand pasif (varsayılan) |
Açıklamalar | Uç Nokta için Defender sürüm 101.10.72 veya sonraki sürümlerde kullanılabilir. Uç nokta sürüm 101.23062.0001 veya üzeri için varsayılan değer real_time pasif olarak değiştirilir. |
Davranış izlemeyi etkinleştirme/devre dışı bırakma
Cihazda davranış izleme ve engelleme özelliğinin etkinleştirilip etkinleştirilmediğini belirler.
Not
Bu özellik yalnızca Real-Time Koruma özelliği etkinleştirildiğinde geçerlidir.
Açıklama | Değer |
---|---|
Anahtar | behaviorMonitoring |
Veri türü | Dize |
Olası değerler | devre dışı (varsayılan) Etkin |
Açıklamalar | Uç Nokta için Defender sürüm 101.45.00 veya üzeri sürümlerde kullanılabilir. |
Tanımlar güncelleştirildikten sonra tarama çalıştırma
Cihaza yeni güvenlik bilgileri güncelleştirmeleri indirildikten sonra işlem taraması başlatılıp başlatılmayacağını belirtir. Bu ayarın etkinleştirilmesi, cihazın çalışan işlemlerinde bir virüsten koruma taraması tetikler.
Açıklama | Değer |
---|---|
Anahtar | scanAfterDefinitionUpdate |
Veri türü | Boole |
Olası değerler | true (varsayılan) False |
Açıklamalar | Uç Nokta için Defender sürüm 101.45.00 veya üzeri sürümlerde kullanılabilir. |
Arşivleri tara (yalnızca isteğe bağlı virüsten koruma taramaları)
İsteğe bağlı virüsten koruma taramaları sırasında arşivlerin taranıp taranmayacağını belirtir.
Not
Arşiv dosyaları gerçek zamanlı koruma sırasında hiçbir zaman taranmaz. Arşivdeki dosyalar ayıklandığında taranır. scanArchives seçeneği yalnızca isteğe bağlı tarama sırasında arşivlerin taranmaya zorlanması için kullanılabilir.
Açıklama | Değer |
---|---|
Anahtar | scanArchives |
Veri türü | Boole |
Olası değerler | true (varsayılan) False |
Açıklamalar | Uç Nokta için Microsoft Defender sürüm 101.45.00 veya üzeri sürümlerde kullanılabilir. |
İsteğe bağlı taramalar için paralellik derecesi
İsteğe bağlı taramalar için paralellik derecesini belirtir. Bu, taramayı gerçekleştirmek için kullanılan iş parçacığı sayısına karşılık gelir ve CPU kullanımını ve isteğe bağlı tarama süresini etkiler.
Açıklama | Değer |
---|---|
Anahtar | maximumOnDemandScanThreads |
Veri türü | Tamsayı |
Olası değerler | 2 (varsayılan). İzin verilen değerler 1 ile 64 arasındaki tamsayılardır. |
Açıklamalar | Uç Nokta için Microsoft Defender sürüm 101.45.00 veya üzeri sürümlerde kullanılabilir. |
Dışlama birleştirme ilkesi
Dışlamalar için birleştirme ilkesini belirtir. Yönetici tanımlı ve kullanıcı tanımlı dışlamaların (merge
) veya yalnızca yönetici tanımlı dışlamaların (admin_only
) birleşimi olabilir. Bu ayar, yerel kullanıcıların kendi dışlamalarını tanımlamasını kısıtlamak için kullanılabilir.
Açıklama | Değer |
---|---|
Anahtar | exclusionsMergePolicy |
Veri türü | Dize |
Olası değerler | merge (varsayılan) admin_only |
Açıklamalar | Uç Nokta için Defender sürüm 100.83.73 veya sonraki sürümlerde kullanılabilir. |
Tarama dışlamaları
Taramanın dışında tutulan varlıklar. Dışlamalar tam yollar, uzantılar veya dosya adlarıyla belirtilebilir. (Dışlamalar bir öğe dizisi olarak belirtilir, yönetici gerektiği kadar öğeyi herhangi bir sırada belirtebilir.)
Açıklama | Değer |
---|---|
Anahtar | Dışlamalar |
Veri türü | Sözlük (iç içe tercih) |
Açıklamalar | Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın. |
Dışlama türü
Taramanın dışında tutulan içerik türünü belirtir.
Açıklama | Değer |
---|---|
Anahtar | $type |
Veri türü | Dize |
Olası değerler | excludedPath excludedFileExtension excludedFileName |
Dışlanan içeriğin yolu
İçeriği taramadan tam dosya yolu ile dışlamak için kullanılır.
Açıklama | Değer |
---|---|
Anahtar | Yolu |
Veri türü | Dize |
Olası değerler | geçerli yollar |
Açıklamalar | Yalnızca $typeexcludedPath olduğunda uygulanabilir |
Yol türü (dosya / dizin)
yol özelliğinin bir dosyaya veya dizine başvurup başvurmadığını gösterir.
Açıklama | Değer |
---|---|
Anahtar | isDirectory |
Veri türü | Boole |
Olası değerler | false (varsayılan) True |
Açıklamalar | Yalnızca $typeexcludedPath olduğunda uygulanabilir |
Dosya uzantısı taramanın dışında bırakıldı
İçeriği dosya uzantısına göre taramanın dışında tutmak için kullanılır.
Açıklama | Değer |
---|---|
Anahtar | Uzantısı |
Veri türü | Dize |
Olası değerler | geçerli dosya uzantıları |
Açıklamalar | Yalnızca $typeexcludedFileExtension olduğunda geçerlidir |
Taramanın dışında tutulan işlem*
Tüm dosya etkinliğinin taramanın dışında bırakıldığı bir işlemi belirtir. İşlem adıyla (örneğin, cat
) veya tam yoluyla (örneğin, /bin/cat
) belirtilebilir.
Açıklama | Değer |
---|---|
Anahtar | Adı |
Veri türü | Dize |
Olası değerler | herhangi bir dize |
Açıklamalar | Yalnızca $typeexcludedFileName olduğunda geçerlidir |
Exec Olmayan bağlamaların sesini kapatma
Noexec olarak işaretlenmiş bağlama noktasında RTP'nin davranışını belirtir. Ayar için iki değer vardır:
- Değiştirilmedi (
unmute
): Varsayılan değer olan tüm bağlama noktaları RTP'nin bir parçası olarak taranır. - Sesi kapatıldı (
mute
): Noexec olarak işaretlenen bağlama noktaları RTP'nin bir parçası olarak taranmıyor, bu bağlama noktası şunlar için oluşturulabilir:- Veri tabanı dosyalarını tutmak için Veritabanı sunucularında veritabanı dosyaları.
- Dosya sunucusu, veri dosyalarının bağlama noktalarını hiçbirexec seçeneği olmadan tutabilir.
- Yedekleme, veri dosyalarının bağlama noktalarını hiçbirexec seçeneği olmadan tutabilir.
Açıklama | Değer |
---|---|
Anahtar | nonExecMountPolicy |
Veri türü | Dize |
Olası değerler | açma (varsayılan) Sessiz |
Açıklamalar | Uç Nokta için Defender sürüm 101.85.27 veya sonraki sürümlerde kullanılabilir. |
Unmonitor Filesystems
Dosya sistemlerini izlenmeyen/Gerçek Zamanlı Koruma'nın (RTP) dışında tutulacak şekilde yapılandırın. Yapılandırılan dosya sistemleri, Microsoft Defender izin verilen dosya sistemleri listesinde doğrulanır. Yalnızca başarılı doğrulama sonrasında, dosya sisteminin izlenmeyen izin verilir. Bu yapılandırılmış izlenmeyen dosya sistemleri Hızlı, Tam ve özel taramalar tarafından taranmaya devam eder.
Açıklama | Değer |
---|---|
Anahtar | unmonitoredFilesystems |
Veri türü | Dize dizisi |
Açıklamalar | Yapılandırılmış dosya sistemi yalnızca Microsoft'un izin verilen izlenmeyen dosya sistemleri listesinde mevcutsa izlenemez. |
Varsayılan olarak, RTP, Hızlı ve Tam taramalarda NFS ve Fuse izlenmemiştir. Ancak, özel bir tarama tarafından taranabilir. Örneğin, NFS'yi izlenmeyen dosya sistemleri listesinden kaldırmak için, yönetilen yapılandırma dosyasını aşağıda gösterildiği gibi güncelleştirin. Bu, RTP için izlenen dosya sistemleri listesine otomatik olarak NFS ekler.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
NFS ve Fuse'ı izlenmeyen dosya sistemleri listesinden kaldırmak için aşağıdakileri yapın
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Not
RtP için izlenen dosya sistemlerinin varsayılan listesi aşağıdadır -
[btrfs, ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, reiserfs, tmpfs, vfat, xfs]
İzlenmeyen dosya sistemleri listesine izlenen herhangi bir dosya sisteminin eklenmesi gerekiyorsa, bulut yapılandırması aracılığıyla Microsoft tarafından değerlendirilmesi ve etkinleştirilmesi gerekir. Hangi müşterilerin managed_mdatp.json dosya sisteminin ifadesini kaldıracak şekilde güncelleştirebileceğini takip edin.
Dosya karması hesaplama özelliğini yapılandırma
Dosya karması hesaplama özelliğini etkinleştirir veya devre dışı bırakır. Bu özellik etkinleştirildiğinde, Uç Nokta için Defender taramış olduğu dosyalar için karmaları hesaplar. Bu özelliğin etkinleştirilmesi cihaz performansını etkileyebilir. Daha fazla ayrıntı için bkz. Dosyalar için İçerik Oluşturucu göstergeleri.
Açıklama | Değer |
---|---|
Anahtar | enableFileHashComputation |
Veri türü | Boole |
Olası değerler | false (varsayılan) True |
Açıklamalar | Uç Nokta için Defender sürüm 101.85.27 veya sonraki sürümlerde kullanılabilir. |
İzin verilen tehditler
Ürün tarafından engellenmeyen ve bunun yerine çalışmasına izin verilen tehditlerin (adıyla tanımlanır) listesi.
Açıklama | Değer |
---|---|
Anahtar | allowedThreats |
Veri türü | Dize dizisi |
İzin verilmeyen tehdit eylemleri
Bir cihazın yerel kullanıcısının tehdit algılandığında gerçekleştirebileceği eylemleri kısıtlar. Bu listede yer alan eylemler kullanıcı arabiriminde görüntülenmez.
Açıklama | Değer |
---|---|
Anahtar | disallowedThreatActions |
Veri türü | Dize dizisi |
Olası değerler | allow (kullanıcıların tehditlere izin vermelerini kısıtlar) geri yükleme (kullanıcıların karantinadan tehditleri geri yüklemesini kısıtlar) |
Açıklamalar | Uç Nokta için Defender sürüm 100.83.73 veya sonraki sürümlerde kullanılabilir. |
Tehdit türü ayarları
Virüsten koruma altyapısındaki threatTypeSettings tercihi, belirli tehdit türlerinin ürün tarafından nasıl işlenme şeklini denetlemek için kullanılır.
Açıklama | Değer |
---|---|
Anahtar | threatTypeSettings |
Veri türü | Sözlük (iç içe tercih) |
Açıklamalar | Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın. |
Tehdit türü
Davranışın yapılandırıldığı tehdit türü.
Açıklama | Değer |
---|---|
Anahtar | Anahtar |
Veri türü | Dize |
Olası değerler | potentially_unwanted_application archive_bomb |
Gerçekleştirecek eylem
Önceki bölümde belirtilen türdeki bir tehditle karşılaşıldığında gerçekleştirilen eylem. Şu olabilir:
- Denetim: Cihaz bu tür tehditlere karşı korunmaz, ancak tehditle ilgili bir giriş günlüğe kaydedilir.
- Engelle: Cihaz bu tür tehditlere karşı korunur ve güvenlik konsolunda size bildirilir.
- Kapalı: Cihaz bu tür tehditlere karşı korunmaz ve hiçbir şey günlüğe kaydedilmez.
Açıklama | Değer |
---|---|
Anahtar | Değer |
Veri türü | Dize |
Olası değerler | denetim (varsayılan) Blok kapalı |
Tehdit türü ayarları birleştirme ilkesi
Tehdit türü ayarları için birleştirme ilkesini belirtir. Bu, yönetici tanımlı ve kullanıcı tanımlı ayarların () veya yalnızca yönetici tanımlı ayarların (merge
admin_only
) bir birleşimi olabilir. Bu ayar, yerel kullanıcıların farklı tehdit türleri için kendi ayarlarını tanımlamasını kısıtlamak için kullanılabilir.
Açıklama | Değer |
---|---|
Anahtar | threatTypeSettingsMergePolicy |
Veri türü | Dize |
Olası değerler | merge (varsayılan) admin_only |
Açıklamalar | Uç Nokta için Defender sürüm 100.83.73 veya sonraki sürümlerde kullanılabilir. |
Virüsten koruma tarama geçmişi saklama (gün olarak)
Sonuçların cihazdaki tarama geçmişinde tutulacağını gün sayısını belirtin. Eski tarama sonuçları geçmişten kaldırılır. Diskten de kaldırılan eski karantinaya alınan dosyalar.
Açıklama | Değer |
---|---|
Anahtar | scanResultsRetentionDays |
Veri türü | Dize |
Olası değerler | 90 (varsayılan). İzin verilen değerler 1 günden 180 güne kadardır. |
Açıklamalar | Uç Nokta için Defender sürüm 101.04.76 veya sonraki sürümlerde kullanılabilir. |
Virüsten koruma tarama geçmişindeki en fazla öğe sayısı
Tarama geçmişinde tutulacak en fazla girdi sayısını belirtin. Girişler, geçmişte gerçekleştirilen tüm isteğe bağlı taramaları ve tüm virüsten koruma algılamalarını içerir.
Açıklama | Değer |
---|---|
Anahtar | scanHistoryMaximumItems |
Veri türü | Dize |
Olası değerler | 10000 (varsayılan). İzin verilen değerler 5000 öğeden 15000 öğeye kadardır. |
Açıklamalar | Uç Nokta için Defender sürüm 101.04.76 veya sonraki sürümlerde kullanılabilir. |
Gelişmiş tarama seçenekleri
Bazı gelişmiş tarama özelliklerini etkinleştirmek için aşağıdaki ayarlar yapılandırılabilir.
Not
Bu özelliklerin etkinleştirilmesi cihaz performansını etkileyebilir. Bu nedenle, varsayılan değerlerin tutulması önerilir.
Dosya değiştirme izinleri olaylarını taramayı yapılandırma
Bu özellik etkinleştirildiğinde, yürütme bitlerini ayarlamak için izinleri değiştirildiğinde Uç Nokta için Defender dosyaları tarar.
Not
Bu özellik yalnızca özellik etkinleştirildiğinde enableFilePermissionEvents
geçerlidir. Daha fazla bilgi için, ayrıntılar için aşağıdaki Gelişmiş isteğe bağlı özellikler bölümüne bakın.
Açıklama | Değer |
---|---|
Anahtar | scanFileModifyPermissions |
Veri türü | Boole |
Olası değerler | false (varsayılan) True |
Açıklamalar | Uç Nokta için Defender sürüm 101.23062.0010 veya sonraki sürümlerde kullanılabilir. |
Dosya değişiklik sahipliği olaylarını taramayı yapılandırma
Bu özellik etkinleştirildiğinde, Uç Nokta için Defender sahipliği değiştirilmiş dosyaları tarar.
Not
Bu özellik yalnızca özellik etkinleştirildiğinde enableFileOwnershipEvents
geçerlidir. Daha fazla bilgi için, ayrıntılar için aşağıdaki Gelişmiş isteğe bağlı özellikler bölümüne bakın.
Açıklama | Değer |
---|---|
Anahtar | scanFileModifyOwnership |
Veri türü | Boole |
Olası değerler | false (varsayılan) True |
Açıklamalar | Uç Nokta için Defender sürüm 101.23062.0010 veya sonraki sürümlerde kullanılabilir. |
Ham yuva olaylarını taramayı yapılandırma
Bu özellik etkinleştirildiğinde, Uç Nokta için Defender ham yuva /paket yuvaları oluşturma veya yuva seçeneğini ayarlama gibi ağ yuvası olaylarını tarar.
Not
Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir.
Not
Bu özellik yalnızca özellik etkinleştirildiğinde enableRawSocketEvent
geçerlidir. Daha fazla bilgi için, ayrıntılar için aşağıdaki Gelişmiş isteğe bağlı özellikler bölümüne bakın.
Açıklama | Değer |
---|---|
Anahtar | scanNetworkSocketEvent |
Veri türü | Boole |
Olası değerler | false (varsayılan) True |
Açıklamalar | Uç Nokta için Defender sürüm 101.23062.0010 veya sonraki sürümlerde kullanılabilir. |
Bulut tabanlı koruma tercihleri
Yapılandırma profilindeki cloudService girdisi, ürünün bulut tabanlı koruma özelliğini yapılandırmak için kullanılır.
Not
Bulut tabanlı koruma, tüm Zorlama düzeyi ayarlarıyla (real_time, on_demand, pasif) geçerlidir.
Açıklama | Değer |
---|---|
Anahtar | cloudService |
Veri türü | Sözlük (iç içe tercih) |
Açıklamalar | Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın. |
Bulut teslimli korumayı etkinleştirme/devre dışı bırakma
Cihazda bulut tabanlı korumanın etkinleştirilip etkinleştirilmediğini belirler. Hizmetlerinizin güvenliğini artırmak için bu özelliği açık tutmanızı öneririz.
Açıklama | Değer |
---|---|
Anahtar | Etkin |
Veri türü | Boole |
Olası değerler | true (varsayılan) False |
Tanılama toplama düzeyi
Tanılama verileri Uç Nokta için Defender'ı güvenli ve güncel tutmak, sorunları algılamak, tanılamak ve düzeltmek ve ürün geliştirmeleri yapmak için kullanılır. Bu ayar, ürün tarafından Microsoft'a gönderilen tanılama düzeyini belirler.
Açıklama | Değer |
---|---|
Anahtar | diagnosticLevel |
Veri türü | Dize |
Olası değerler | Isteğe bağlı gerekli (varsayılan) |
Bulut bloğu düzeyini yapılandırma
Bu ayar, Uç Nokta için Defender'ın şüpheli dosyaları engelleme ve tarama konusunda ne kadar agresif olduğunu belirler. Bu ayar açıksa, uç nokta için Defender engellenip taranacak şüpheli dosyaları tanımlarken daha agresiftir; aksi takdirde, daha az agresiftir ve bu nedenle daha az sıklıkta bloklar ve taramalar.
Bulut bloğu düzeyini ayarlamak için beş değer vardır:
- Normal (
normal
): Varsayılan engelleme düzeyi. - Orta (
moderate
): Yalnızca yüksek güvenilirlik algılamaları için karar verir. - Yüksek (
high
): Performansı iyileştirirken bilinmeyen dosyaları agresif bir şekilde engeller (zararlı olmayan dosyaları engelleme olasılığı daha yüksektir). - High Plus (
high_plus
): Bilinmeyen dosyaları agresif bir şekilde engeller ve ek koruma önlemleri uygular (istemci cihaz performansını etkileyebilir). - Sıfır Tolerans (
zero_tolerance
): Tüm bilinmeyen programları engeller.
Açıklama | Değer |
---|---|
Anahtar | cloudBlockLevel |
Veri türü | Dize |
Olası değerler | normal (varsayılan) Orta Yüksek high_plus zero_tolerance |
Açıklamalar | Uç Nokta için Defender sürüm 101.56.62 veya sonraki sürümlerde kullanılabilir. |
Otomatik örnek gönderimlerini etkinleştirme/devre dışı bırakma
Şüpheli örneklerin (tehdit içerme olasılığı yüksek) Microsoft'a gönderilip gönderilmeyeceğini belirler. Örnek gönderimini denetlemek için üç düzey vardır:
- Hiçbiri: Microsoft'a şüpheli örnek gönderilmez.
- Güvenli: Yalnızca kişisel bilgiler (PII) içermeyen şüpheli örnekler otomatik olarak gönderilir. Bu ayar için varsayılan değer budur.
- Tümü: Tüm şüpheli örnekler Microsoft'a gönderilir.
Açıklama | Değer |
---|---|
Anahtar | automaticSampleSubmissionConsent |
Veri türü | Dize |
Olası değerler | yok güvenli (varsayılan) Tüm |
Otomatik güvenlik bilgileri güncelleştirmelerini etkinleştirme/devre dışı bırakma
Güvenlik zekası güncelleştirmelerinin otomatik olarak yüklenip yüklenmediğini belirler:
Açıklama | Değer |
---|---|
Anahtar | automaticDefinitionUpdateEnabled |
Veri türü | Boole |
Olası değerler | true (varsayılan) False |
Gelişmiş isteğe bağlı özellikler
Aşağıdaki ayarlar belirli gelişmiş özellikleri etkinleştirmek için yapılandırılabilir.
Not
Bu özelliklerin etkinleştirilmesi cihaz performansını etkileyebilir. Varsayılan değerlerin saklanması önerilir.
Açıklama | Değer |
---|---|
Anahtar | Özellik |
Veri türü | Sözlük (iç içe tercih) |
Açıklamalar | Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın. |
Modül yükleme özelliği
Modül yükleme olaylarının (paylaşılan kitaplıklardaki dosya açma olayları) izlenip izlenmeyeceğini belirler.
Not
Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir.
Açıklama | Değer |
---|---|
Anahtar | moduleLoad |
Veri türü | Dize |
Olası değerler | devre dışı (varsayılan) Etkin |
Açıklamalar | Uç Nokta için Defender sürüm 101.68.80 veya üzeri sürümlerde kullanılabilir. |
Ek algılayıcı yapılandırmaları
Bazı gelişmiş tamamlayıcı algılayıcı özelliklerini yapılandırmak için aşağıdaki ayarlar kullanılabilir.
Açıklama | Değer |
---|---|
Anahtar | supplementarySensorConfigurations |
Veri türü | Sözlük (iç içe tercih) |
Açıklamalar | Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın. |
Dosya değiştirme izinleri olaylarının izlenmesini yapılandırma
Dosya değiştirme izin olaylarının (chmod
) izlenip izlenmeyeceğini belirler.
Not
Bu özellik etkinleştirildiğinde, Uç Nokta için Defender dosyaların yürütme bitlerindeki değişiklikleri izler, ancak bu olayları taramaz. Daha fazla bilgi için gelişmiş tarama özellikleri bölümüne bakın.
Açıklama | Değer |
---|---|
Anahtar | enableFilePermissionEvents |
Veri türü | Dize |
Olası değerler | devre dışı (varsayılan) Etkin |
Açıklamalar | Uç Nokta için Defender sürüm 101.23062.0010 veya sonraki sürümlerde kullanılabilir. |
Dosya değişiklik sahipliği olaylarının izlenmesini yapılandırma
Dosya değiştirme sahipliği olaylarının (chown) izlenip izlenmeyeceğini belirler.
Not
Bu özellik etkinleştirildiğinde, Uç Nokta için Defender dosyaların sahipliğindeki değişiklikleri izler, ancak bu olayları taramaz. Daha fazla bilgi için gelişmiş tarama özellikleri bölümüne bakın.
Açıklama | Değer |
---|---|
Anahtar | enableFileOwnershipEvents |
Veri türü | Dize |
Olası değerler | devre dışı (varsayılan) Etkin |
Açıklamalar | Uç Nokta için Defender sürüm 101.23062.0010 veya sonraki sürümlerde kullanılabilir. |
Ham yuva olaylarının izlenmesini yapılandırma
Ham yuvaların/paket yuvalarının oluşturulması veya yuva seçeneğinin ayarlanmasıyla ilgili ağ yuvası olaylarının izlenip izlenmeyeceğini belirler.
Not
Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir.
Not
Bu özellik etkinleştirildiğinde Uç Nokta için Defender bu ağ yuvası olaylarını izler ancak bu olayları taramaz. Daha fazla bilgi için yukarıdaki Gelişmiş tarama özellikleri bölümüne bakın.
Açıklama | Değer |
---|---|
Anahtar | enableRawSocketEvent |
Veri türü | Dize |
Olası değerler | devre dışı (varsayılan) Etkin |
Açıklamalar | Uç Nokta için Defender sürüm 101.23062.0010 veya sonraki sürümlerde kullanılabilir. |
Önyükleme yükleyicisi olaylarının izlenmesini yapılandırma
Önyükleme yükleyicisi olaylarının izlenip izlenmeyeceğini ve taranıp taranmayacağını belirler.
Not
Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir.
Açıklama | Değer |
---|---|
Anahtar | enableBootLoaderCalls |
Veri türü | Dize |
Olası değerler | devre dışı (varsayılan) Etkin |
Açıklamalar | Uç Nokta için Defender sürüm 101.68.80 veya üzeri sürümlerde kullanılabilir. |
Ptrace olaylarının izlenmesini yapılandırma
Ptrace olaylarının izlenip izlenmeyeceğini ve taranıp taranmayacağını belirler.
Not
Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir.
Açıklama | Değer |
---|---|
Anahtar | enableProcessCalls |
Veri türü | Dize |
Olası değerler | devre dışı (varsayılan) Etkin |
Açıklamalar | Uç Nokta için Defender sürüm 101.68.80 veya üzeri sürümlerde kullanılabilir. |
Pseudofs olaylarının izlenmesini yapılandırma
Pseudofs olaylarının izlenip izlenmeyeceğini ve taranıp taranmayacağını belirler.
Not
Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir.
Açıklama | Değer |
---|---|
Anahtar | enablePseudofsCalls |
Veri türü | Dize |
Olası değerler | devre dışı (varsayılan) Etkin |
Açıklamalar | Uç Nokta için Defender sürüm 101.68.80 veya üzeri sürümlerde kullanılabilir. |
eBPF kullanarak modül yükleme olaylarının izlenmesini yapılandırma
Modül yükleme olaylarının eBPF kullanılarak izlenip izlenmeyeceğini ve taranıp taranmayacağını belirler.
Not
Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir.
Açıklama | Değer |
---|---|
Anahtar | enableEbpfModuleLoadEvents |
Veri türü | Dize |
Olası değerler | devre dışı (varsayılan) Etkin |
Açıklamalar | Uç Nokta için Defender sürüm 101.68.80 veya üzeri sürümlerde kullanılabilir. |
AV Şüpheli Olaylarını EDR'ye Bildirme
Virüsten Koruma'dan gelen şüpheli olayların EDR'ye bildirilip bildirılmeyeceğini belirler.
Açıklama | Değer |
---|---|
Anahtar | sendLowfiEvents |
Veri türü | Dize |
Olası değerler | devre dışı (varsayılan) Etkin |
Açıklamalar | Uç Nokta için Defender sürüm 101.23062.0010 veya sonraki sürümlerde kullanılabilir. |
Ağ koruma yapılandırmaları
Aşağıdaki ayarlar, Ağ Koruması tarafından hangi trafiğin denetlendiğini denetlemek için gelişmiş Ağ Koruması inceleme özelliklerini yapılandırmak için kullanılabilir.
Not
Bunların etkili olması için Ağ Koruması'nın açık olması gerekir. Daha fazla bilgi için bkz . Linux için ağ korumasını açma.
Açıklama | Değer |
---|---|
Anahtar | networkProtection |
Veri türü | Sözlük (iç içe tercih) |
Açıklamalar | Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın. |
ICMP incelemeyi yapılandırma
ICMP olaylarının izlenip izlenmeyeceğini ve taranıp taranmayacağını belirler.
Not
Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir.
Açıklama | Değer |
---|---|
Anahtar | disableIcmpInspection |
Veri türü | Boole |
Olası değerler | true (varsayılan) False |
Açıklamalar | Uç Nokta için Defender sürüm 101.23062.0010 veya sonraki sürümlerde kullanılabilir. |
Önerilen yapılandırma profili
Başlamak için, uç nokta için Defender'ın sağladığı tüm koruma özelliklerinden yararlanması için kuruluşunuz için aşağıdaki yapılandırma profilini öneririz.
Aşağıdaki yapılandırma profili şunları yapacaktır:
- Gerçek zamanlı korumayı etkinleştirme (RTP)
- Aşağıdaki tehdit türlerinin nasıl işleneceğini belirtin:
- İstenmeyebilecek uygulamalar (PUA) engellendi
- Arşiv bombaları (yüksek sıkıştırma oranına sahip dosya) ürün günlükleri için denetleniyor
- Otomatik güvenlik bilgileri güncelleştirmelerini etkinleştirme
- Bulut tabanlı korumayı etkinleştirme
- Düzeyinde otomatik örnek göndermeyi
safe
etkinleştirme
Örnek profil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Tam yapılandırma profili örneği
Aşağıdaki yapılandırma profili, bu belgede açıklanan tüm ayarların girdilerini içerir ve ürün üzerinde daha fazla denetime sahip olmak istediğiniz daha gelişmiş senaryolar için kullanılabilir.
Not
Bu JSON'da yalnızca bir ara sunucu ayarıyla tüm Uç Nokta için Microsoft Defender iletişimi denetlemek mümkün değildir.
Tam profil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Yapılandırma profiline etiket veya grup kimliği ekleme
komutu ilk kez çalıştırdığınızda mdatp health
, etiket ve grup kimliği değeri boş olur. Dosyaya etiket veya grup kimliği eklemek için mdatp_managed.json
aşağıdaki adımları izleyin:
- yolundan
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json
yapılandırma profilini açın. - Bloğun bulunduğu
cloudService
dosyanın en altına gidin. - gerekli etiketi veya grup kimliğini, için kapanış küme ayracı
cloudService
sonuna aşağıdaki örnek olarak ekleyin.
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
Not
Bloğun sonuna cloudService
kapanış küme ayracından sonra virgül ekleyin. Ayrıca Etiket veya Grup Kimliği bloğu eklendikten sonra iki kapatma köşeli ayracı olduğundan emin olun (lütfen yukarıdaki örneğe bakın). Şu anda etiketler için desteklenen tek anahtar adıdır GROUP
.
Yapılandırma profili doğrulaması
Yapılandırma profili geçerli bir JSON biçimli dosya olmalıdır. Bunu doğrulamak için kullanılabilecek birçok araç vardır. Örneğin, cihazınıza yüklediyseniz python
:
python -m json.tool mdatp_managed.json
JSON iyi biçimlendirilmişse, yukarıdaki komut onu Terminal'e geri gönderir ve çıkış kodunu 0
döndürür. Aksi takdirde, sorunu açıklayan bir hata görüntülenir ve komutu çıkış 1
kodunu döndürür.
mdatp_managed.json dosyasının beklendiği gibi çalıştığını doğrulama
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json'nizin düzgün çalıştığını doğrulamak için şu ayarların yanında "[managed]" ifadesini görmeniz gerekir:
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
Not
mdatp_managed.json'daki çoğu yapılandırmada yapılan değişikliklerin etkili olması için mdatp daemon'un yeniden başlatılması gerekmez. Özel durum: Aşağıdaki yapılandırmaların etkili olması için bir daemon yeniden başlatması gerekir:
- bulut tanılama
- log-rotation-parameters
Yapılandırma profili dağıtımı
Kuruluşunuz için yapılandırma profilini derledikten sonra, kuruluşunuzun kullandığı yönetim aracı aracılığıyla dağıtabilirsiniz. Linux'ta Uç Nokta için Defender yönetilen yapılandırmayı /etc/opt/microsoft/mdatp/managed/mdatp_managed.json dosyasından okur.
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin