在 Linux 上使用Microsoft Defender for Endpoint检测和阻止可能不需要的应用程序

希望体验 Defender for Endpoint? 注册免费试用版

Linux 上的 Defender for Endpoint 中可能不需要的应用程序 (PUA) 保护功能可以检测和阻止网络中终结点上的 PUA 文件。

这些应用程序不被视为病毒、恶意软件或其他类型的威胁,但可能会在终结点上执行对性能或使用产生不利影响的操作。 PUA 还可以引用被认为信誉不佳的应用程序。

这些应用程序会增加网络感染恶意软件的风险,导致恶意软件感染更难识别,并可能浪费 IT 资源来清理应用程序。

运作方式

Linux 上的 Defender for Endpoint 可以检测和报告 PUA 文件。 在阻止模式下配置时,PUA 文件将移至隔离区。

在终结点上检测到 PUA 时,Linux 上的 Defender for Endpoint 会保留威胁历史记录中的感染记录。 可以从Microsoft Defender门户或通过mdatp命令行工具可视化历史记录。 威胁名称将包含单词“Application”。

配置 PUA 保护

Linux 上的 Defender for Endpoint 中的 PUA 保护可以通过以下方法之一进行配置:

  • 关闭:PUA 保护已禁用。
  • 审核:PUA 文件在产品日志中报告,但不在Microsoft Defender XDR中报告。 不会在威胁历史记录中存储任何感染记录,并且产品不会采取任何操作。
  • 阻止:PUA 文件在产品日志和Microsoft Defender XDR中报告。 感染记录存储在威胁历史记录中,产品将采取措施。

警告

默认情况下,PUA 保护在 审核 模式下配置。

可以从命令行或管理控制台配置 PUA 文件的处理方式。

使用命令行工具配置 PUA 保护:

在终端中,执行以下命令以配置 PUA 保护:

mdatp threat policy set --type potentially_unwanted_application --action [off|audit|block]

使用管理控制台配置 PUA 保护:

在企业中,可以从 Puppet 或 Ansible 等管理控制台配置 PUA 保护,这类似于配置其他产品设置的方式。 有关详细信息,请参阅设置 Linux 上 Defender for Endpoint 的首选项一文的威胁类型设置部分。

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区