Configuración de directivas y opciones de seguridad para Microsoft Defender para punto de conexión en Linux
Se aplica a:
- Microsoft Defender para punto de conexión para servidores
- Microsoft Defender para el plan 1 o el plan 2 de servidores
¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Información general sobre la configuración y las directivas que se van a configurar
Microsoft Defender para punto de conexión en Linux incluye antivirus, protección contra malware, detección de puntos de conexión y capacidades de respuesta. En este artículo se resumen los valores importantes que se deben configurar, con vínculos a recursos adicionales.
| Configuraciones | Descripción |
|---|---|
| 1. Configure la detección de proxy estático. | La configuración de un proxy estático ayuda a garantizar que se envía la telemetría y ayuda a evitar los tiempos de espera de red. Realice esta tarea durante y después de la instalación de Defender para punto de conexión. Consulte Configuración de Microsoft Defender para punto de conexión en Linux para la detección de proxy estático. |
| 2. Configure los exámenes antivirus. | Puede programar exámenes antivirus automáticos mediante Anacron o Crontab. Consulte los siguientes artículos: - Uso de Anacron para programar un examen antivirus en Microsoft Defender para punto de conexión en Linux - Uso de Crontab para programar un examen antivirus en Microsoft Defender para punto de conexión en Linux |
| 3. Configure las directivas y las opciones de seguridad. | Puede usar el portal de Microsoft Defender (Defender for Endpoint Security Settings Management) o un perfil de configuración (.jsonarchivo) para configurar Defender para punto de conexión en Linux. O bien, si lo prefiere, puede usar la línea de comandos para configurar ciertas opciones. Consulte los siguientes artículos: - Administración de la configuración de seguridad de Defender para punto de conexión - Perfil de configuración - Línea de comandos |
| 4. Configurar y validar exclusiones (según corresponda) | Puede excluir determinados archivos, carpetas, procesos y archivos abiertos por procesos de Defender para punto de conexión en Linux. Las exclusiones globales se aplican a la protección en tiempo real (RTP), la supervisión del comportamiento (BM) y la detección y respuesta de puntos de conexión (EDR), deteniendo así todas las detecciones antivirus asociadas, las alertas de EDR y la visibilidad del elemento excluido. Consulte Configuración y validación de exclusiones para Microsoft Defender para punto de conexión en Linux. |
| 5. Configure el sensor basado en eBPF. | El filtro de paquetes de Berkeley extendido (eBPF) para Microsoft Defender para punto de conexión en Linux se habilita automáticamente para todos los clientes de forma predeterminada para las versiones del agente y versiones posteriores101.23082.0006. Proporciona datos de eventos complementarios para sistemas operativos Linux y ayuda a reducir la posibilidad de conflictos entre aplicaciones. Consulte Uso del sensor basado en eBPF para Microsoft Defender para punto de conexión en Linux. |
| 6. Configurar la actualización de inteligencia de seguridad sin conexión (según corresponda) | La actualización de inteligencia de seguridad sin conexión le permite configurar actualizaciones de inteligencia de seguridad para servidores Linux que tienen una exposición limitada o no a Internet. Puede configurar un servidor de hospedaje local ("servidor reflejado") que se pueda conectar a la nube de Microsoft para descargar las firmas. Otros puntos de conexión de Linux pueden extraer las actualizaciones del servidor reflejado en un intervalo predefinido. Consulte Configuración de la actualización de inteligencia de seguridad sin conexión para Microsoft Defender para punto de conexión en Linux. |
| 7. Implementar actualizaciones. | Microsoft publica periódicamente actualizaciones de software para mejorar el rendimiento, la seguridad y ofrecer nuevas características. Consulte Implementación de actualizaciones para Microsoft Defender para punto de conexión en Linux. |
| 8. Configurar la protección de red (versión preliminar) | La protección de red ayuda a evitar que los empleados usen cualquier aplicación para acceder a dominios peligrosos que puedan hospedar estafas de phishing, vulnerabilidades de seguridad y otro contenido malintencionado en Internet. Consulte Protección de red para Linux. |
Opciones para configurar directivas y opciones de seguridad
Para configurar las directivas de seguridad y las opciones de Defender para punto de conexión en Linux, tiene dos opciones principales:
- Use el portal de Microsoft Defender (Administración de configuración de seguridad de Defender para puntos de conexión); o
- Uso de un perfil de configuración
Si prefiere usar la línea de comandos para configurar los valores de seguridad, puede usarlo para configurar determinadas opciones, recopilar diagnósticos, ejecutar exámenes y mucho más. Consulte Recursos.
Administración de la configuración de seguridad de Defender para punto de conexión
Puede configurar Defender para punto de conexión en Linux en el portal de Microsoft Defender (https://security.microsoft.com) mediante la funcionalidad conocida como Administración de configuración de seguridad. Para obtener más información, incluido cómo crear, editar y comprobar las directivas de seguridad, consulte Uso de Microsoft Defender para punto de conexión Security Settings Management para administrar Microsoft Defender Antivirus.
Perfil de configuración
Puede configurar Defender para punto de conexión en Linux a través de un perfil de configuración que use un .json archivo. Después de configurar el perfil, puede implementarlo mediante la herramienta de administración que prefiera. Las preferencias administradas por la empresa tienen prioridad sobre las establecidas localmente en el dispositivo. En otras palabras, los usuarios de la empresa no pueden cambiar las preferencias que se establecen a través de este perfil de configuración. Si se agregaron exclusiones a través del perfil de configuración administrada, solo se pueden quitar a través del perfil de configuración administrada. La línea de comandos funciona para las exclusiones que se agregaron localmente.
En este artículo se describe la estructura de este perfil (incluido un perfil recomendado que puede usar para empezar) e instrucciones sobre cómo implementar el perfil.
Estructura del perfil de configuración
El perfil de configuración es un .json archivo que consta de entradas identificadas por una clave (que denota el nombre de la preferencia), seguidas de un valor, que depende de la naturaleza de la preferencia. Los valores pueden ser simples, como un valor numérico o complejos, como una lista anidada de preferencias.
Normalmente, usaría una herramienta de administración de configuración para insertar un archivo con el nombre mdatp_managed.json en la ubicación /etc/opt/microsoft/mdatp/managed/.
El nivel superior del perfil de configuración incluye preferencias de todo el producto y entradas para subáreas del producto, que se explican con más detalle en las secciones siguientes.
Perfil de configuración recomendado
Esta sección incluye dos ejemplos de perfil de configuración:
- Perfil de ejemplo para ayudarle a empezar a usar la configuración recomendada.
- Ejemplo de perfil de configuración completa para las organizaciones que quieren un control más pormenorizado sobre la configuración de seguridad.
Para empezar, se recomienda usar el primer perfil de ejemplo para su organización. Para obtener un control más pormenorizado, puede usar el ejemplo de perfil de configuración completa en su lugar.
Perfil de ejemplo
Le ayudará a aprovechar las características de protección importantes que Proporciona Defender para punto de conexión en Linux. El siguiente perfil de configuración:
- Habilita la protección en tiempo real (RTP)
- Especifica cómo se controlan los siguientes tipos de amenazas:
- Las aplicaciones potencialmente no deseadas (PUA) están bloqueadas
- Archivo bombas (archivo con una alta tasa de compresión) se auditan en los registros de productos.
- Habilita las actualizaciones automáticas de inteligencia de seguridad
- Habilita la protección entregada en la nube
- Habilita el envío automático de ejemplos en el
safenivel
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Ejemplo de perfil de configuración completa
El siguiente perfil de configuración contiene entradas para todas las opciones descritas en este documento y se puede usar para escenarios más avanzados en los que quiera tener más control sobre el producto.
Nota:
No es posible controlar todas las Microsoft Defender para punto de conexión comunicación con solo una configuración de proxy en este JSON.
{
"antivirusEngine":{
"enforcementLevel":"passive",
"behaviorMonitoring": "disabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"enableFileHashComputation": false,
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
],
"scanFileModifyPermissions":false,
"scanFileModifyOwnership":false,
"scanNetworkSocketEvent":false,
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate":"disabled"
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
"definitionUpdatesInterval":28800
},
"features":{
"moduleLoad":"disabled",
"supplementarySensorConfigurations":{
"enableFilePermissionEvents":"disabled",
"enableFileOwnershipEvents":"disabled",
"enableRawSocketEvent":"disabled",
"enableBootLoaderCalls":"disabled",
"enableProcessCalls":"disabled",
"enablePseudofsCalls":"diabled",
"enableEbpfModuleLoadEvents":"disabled",
"sendLowfiEvents":"disabled"
},
"ebpfSupplementaryEventProvider":"enabled",
"offlineDefinitionUpdateVerifySig": "disabled"
},
"networkProtection":{
"enforcementLevel":"disabled",
"disableIcmpInspection":true
},
"edr":{
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Configuración de antivirus, antimalware y EDR en Defender para punto de conexión en Linux
Tanto si usa un perfil de configuración (archivo .json) como el portal de Microsoft Defender (Administración de configuración de seguridad), puede configurar los valores de antivirus, antimalware y EDR en Defender para punto de conexión en Linux. En las secciones siguientes se describe dónde y cómo configurar los valores.
Preferencias del motor antivirus
La sección antivirusEngine del perfil de configuración se usa para administrar las preferencias del componente antivirus del producto.
| Descripción | Valor JSON | Valor del portal de Defender |
|---|---|---|
| Clave | antivirusEngine |
Motor antivirus |
| Tipo de datos | Diccionario (preferencia anidada) | Sección contraída |
| Comentarios | Consulte las secciones siguientes para obtener una descripción del contenido del diccionario. | Consulte las secciones siguientes para obtener una descripción de las propiedades de la directiva. |
Nivel de cumplimiento para Microsoft Defender Antivirus
Especifica la preferencia de cumplimiento del motor antivirus. Hay tres valores para establecer el nivel de cumplimiento:
En tiempo real (
real_time): la protección en tiempo real (examinar archivos a medida que se modifican) está habilitada.A petición (
on_demand): los archivos se examinan solo a petición. En esto:- La protección en tiempo real está desactivada.
- Las actualizaciones de definiciones solo se producen cuando se inicia un examen, incluso si
automaticDefinitionUpdateEnabledse establece en en modo atruepetición.
Pasivo (
passive): ejecuta el motor antivirus en modo pasivo. En este caso, se aplican todas las siguientes opciones:- La protección en tiempo real está desactivada: Microsoft Defender Antivirus no corrige las amenazas.
- El examen a petición está activado: siga usando las funcionalidades de examen en el punto de conexión.
- La corrección automática de amenazas está desactivada: no se mueven archivos y se espera que el administrador de seguridad realice las acciones necesarias.
- Las actualizaciones de inteligencia de seguridad están activadas: las alertas están disponibles en el inquilino del administrador de seguridad.
- Las actualizaciones de definiciones solo se producen cuando se inicia un examen, incluso si
automaticDefinitionUpdateEnabledse establecetrueen en modo pasivo.
Nota:
Disponible en la versión 101.10.72 de Defender para punto de conexión o posterior. El valor predeterminado se cambia de real_time a passive en la versión 101.23062.0001 de Defender para punto de conexión o posterior.
Se recomienda usar también exámenes programados según sus necesidades.
Habilitar o deshabilitar la supervisión del comportamiento (si RTP está habilitado)
Importante
Esta característica solo funciona cuando el nivel de cumplimiento está establecido en real-time.
Determina si la funcionalidad de bloqueo y supervisión del comportamiento está habilitada en el dispositivo o no.
| Descripción | Valor JSON | Valor del portal de Defender |
|---|---|---|
| Clave | behaviorMonitoring | Habilitación de la supervisión del comportamiento |
| Tipo de datos | Cadena | Desplegar |
| Posibles valores |
disabled (valor predeterminado)enabled |
No configurado Deshabilitado (valor predeterminado) Habilitado |
Nota:
Disponible en la versión 101.45.00 de Defender para punto de conexión o posterior.
Ejecución de un examen después de actualizar las definiciones
Importante
Esta característica solo funciona cuando el nivel de cumplimiento está establecido en real-time.
Especifica si se debe iniciar un examen del proceso después de que se descarguen nuevas actualizaciones de inteligencia de seguridad en el dispositivo. Al habilitar esta configuración, se desencadena un examen antivirus en los procesos en ejecución del dispositivo.
| Descripción | Valor JSON | Valor del portal de Defender |
|---|---|---|
| Clave | scanAfterDefinitionUpdate |
Habilitación del examen después de la actualización de la definición |
| Tipo de datos | Booleano | Desplegar |
| Posibles valores |
true (valor predeterminado)false |
Not configuredDisabledEnabled (Valor predeterminado) |
Nota:
Disponible en la versión 101.45.00 de Defender para punto de conexión o posterior.
Examinar archivos (solo exámenes antivirus a petición)
Especifica si se deben examinar los archivos durante los exámenes antivirus a petición.
| Descripción | Valor JSON | Valor del portal de Defender |
|---|---|---|
| Clave | scanArchives |
Habilitación del examen de archivos |
| Tipo de datos | Booleano | Desplegar |
| Posibles valores |
true (valor predeterminado)false |
No configurado Deshabilitada Habilitado (valor predeterminado) |
Nota:
Disponible en Microsoft Defender para punto de conexión versión 101.45.00 o posterior.
Archivo archivos nunca se examinan durante la protección en tiempo real. Cuando se extraen los archivos de un archivo, se examinan. La opción scanArchives se puede usar para forzar el examen de archivos solo durante el examen a petición.
Grado de paralelismo para los exámenes a petición
Especifica el grado de paralelismo para los exámenes a petición. Esto corresponde al número de subprocesos utilizados para realizar el examen y afecta al uso de la CPU y a la duración del examen a petición.
| Descripción | Valor JSON | Valor del portal de Defender |
|---|---|---|
| Clave | maximumOnDemandScanThreads |
número máximo de subprocesos de examen a petición |
| Tipo de datos | Entero | Alternar conmutador & entero |
| Posibles valores |
2 (valor predeterminado). Los valores permitidos son enteros entre 1 y 64. |
Not Configured (El valor predeterminado desactiva los valores predeterminados en 2)Configured (activar) y entero entre 1 y 64. |
Nota:
Disponible en Microsoft Defender para punto de conexión versión 101.45.00 o posterior.
Directiva de combinación de exclusión
Especifica la directiva de combinación para exclusiones. Puede ser una combinación de exclusiones definidas por el administrador y definidas por el usuario (merge) o solo exclusiones definidas por el administrador (admin_only). Las exclusiones definidas por el administrador (admin_only) se configuran mediante la directiva de Defender para punto de conexión. Esta configuración se puede usar para impedir que los usuarios locales definan sus propias exclusiones.
Como se encuentra en antivirusEngine, esta directiva solo se aplica a epp las exclusiones a menos que mergePolicy en exclusionSettings se configure como (admin_only).
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | exclusionsMergePolicy |
Combinación de exclusiones |
| Tipo de datos | Cadena | Desplegar |
| Posibles valores |
merge (valor predeterminado)admin_only |
Not configuredmerge (Valor predeterminado)admin_only |
Nota:
Disponible en la versión 100.83.73 de Defender para punto de conexión o posterior.
Se recomienda configurar las exclusiones y la directiva de combinación en exclusionSettings, lo que le permite configurar la exclusión de ambos epp ámbitos global con un único mergePolicy.
Exclusiones de análisis
Entidades que se han excluido del examen. Las exclusiones se pueden especificar mediante rutas de acceso completas, extensiones o nombres de archivo. (Las exclusiones se especifican como una matriz de elementos, el administrador puede especificar tantos elementos como sea necesario, en cualquier orden).
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | exclusions |
Exclusiones de análisis |
| Tipo de datos | Diccionario (preferencia anidada) | Lista de propiedades dinámicas |
| Comentarios | Consulte las secciones siguientes para obtener una descripción del contenido del diccionario. |
Tipo de exclusión
Especifica el tipo de contenido excluido del examen.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | $type |
Tipo |
| Tipo de datos | Cadena | Desplegable |
| Posibles valores | excludedPath excludedFileExtension excludedFileName |
Ruta de acceso Extensión de archivo Nombre del proceso |
Ruta de acceso al contenido excluido
Se usa para excluir contenido del examen por ruta de acceso completa del archivo.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | ruta de acceso | Ruta de acceso |
| Tipo de datos | Cadena | Cadena |
| Posibles valores | rutas de acceso válidas | rutas de acceso válidas |
| Comentarios | Aplicable solo si $type es excludedPath |
Acceso en el menú emergente Editar instancia |
Tipo de ruta de acceso (archivo o directorio)
Indica si la propiedad path hace referencia a un archivo o directorio.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | isDirectory |
Es directorio |
| Tipo de datos | Booleano | Desplegar |
| Posibles valores |
false (valor predeterminado)true |
EnabledDisabled |
| Comentarios | Aplicable solo si $type está excluidoPath | Acceso en el menú emergente Editar instancia |
Extensión de archivo excluida del examen
Se usa para excluir contenido del examen por extensión de archivo.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | extensión | Extensión de archivo |
| Tipo de datos | Cadena | Cadena |
| Posibles valores | extensiones de archivo válidas | extensiones de archivo válidas |
| Comentarios | Solo se aplica si $type es excludedFileExtension | Se accede a ella en el menú emergente Configurar instancia |
Proceso excluido del examen
Especifica un proceso para el que se excluye toda la actividad de archivo del examen. El proceso se puede especificar por su nombre (por ejemplo, cat) o por la ruta de acceso completa (por ejemplo, /bin/cat).
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | name | Nombre de archivo |
| Tipo de datos | Cadena | Cadena |
| Posibles valores | cualquier cadena | cualquier cadena |
| Comentarios | Aplicable solo si $type es excludedFileName | Se accede a ella en el menú emergente Configurar instancia |
Muting non-exec mounts
Especifica el comportamiento de RTP en el punto de montaje marcado como noexec. Hay dos valores para la configuración:
- Sin conmutar (
unmute): el valor predeterminado, todos los puntos de montaje se examinan como parte de RTP. - Silenciado (
mute): los puntos de montaje marcados comonoexecno se examinan como parte de RTP, estos puntos de montaje se pueden crear para:- Archivos de base de datos en servidores de base de datos para mantener archivos de base de datos.
- El servidor de archivos puede mantener los puntos de montaje de los archivos de datos con
noexecla opción . - La copia de seguridad puede mantener los puntos de montaje de los archivos de datos con
noexecla opción .
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | nonExecMountPolicy |
non execute mount mute |
| Tipo de datos | Cadena | Desplegar |
| Posibles valores |
unmute (valor predeterminado)mute |
Not configured unmute (Valor predeterminado)mute |
Nota:
Disponible en la versión 101.85.27 de Defender para punto de conexión o posterior.
Unmonitor filesystems
Configure los sistemas de archivos para que no se superen o excluyan de la protección en tiempo real (RTP). Los sistemas de archivos configurados se validan en la lista de sistemas de archivos permitidos de Microsoft Defender. Los sistemas de archivos solo se pueden supervisar después de una validación correcta. Estos sistemas de archivos no supervisados configurados todavía se examinan mediante exámenes rápidos, completos y personalizados en Microsoft Defender Antivirus.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | unmonitoredFilesystems |
Sistemas de archivos no supervisados |
| Tipo de datos | Matriz de cadenas | Lista de cadenas dinámicas |
Nota:
El sistema de archivos configurado no se supervisará solo si está presente en la lista de sistemas de archivos no supervisados permitidos de Microsoft.
De forma predeterminada, NFS y Fuse no se supervisan de los exámenes RTP, Quick y Full. Sin embargo, todavía se pueden examinar mediante un examen personalizado. Por ejemplo, para quitar NFS de la lista de sistemas de archivos no supervisados, actualice el archivo de configuración administrado como se muestra a continuación. Esto agregará automáticamente NFS a la lista de sistemas de archivos supervisados para RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Para quitar NFS y Fuse de la lista no supervisada de sistemas de archivos, use el siguiente fragmento de código:
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Nota:
Esta es la lista predeterminada de sistemas de archivos supervisados para RTP: btrfs, , ecryptfs, ext2ext3, ext4, fuseblk, jfs, overlay, ramfs, reiserfs, tmpfs, y vfatxfs.
Si es necesario agregar cualquier sistema de archivos supervisado a la lista de sistemas de archivos no supervisados, Microsoft debe evaluarlo y habilitarlo a través de la configuración en la nube. A continuación, los clientes pueden actualizar managed_mdatp.json para anular la supervisión de ese sistema de archivos.
Configuración de la característica de cálculo de hash de archivos
Habilita o deshabilita la característica de cálculo hash de archivos. Cuando esta característica está habilitada, Defender para punto de conexión calcula los hashes de los archivos que examina. Tenga en cuenta que la habilitación de esta característica podría afectar al rendimiento del dispositivo. Para obtener más información, consulte: Crear indicadores para archivos.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | enableFileHashComputation |
Habilitación del cálculo de hash de archivos |
| Tipo de datos | Booleano | Desplegar |
| Posibles valores |
false (valor predeterminado)true |
Not configuredDisabled (valor predeterminado)Enabled |
Nota:
Disponible en la versión 101.85.27 de Defender para punto de conexión o posterior.
Amenazas permitidas
Lista de amenazas (identificadas por su nombre) que no están bloqueadas por el producto y que, en su lugar, pueden ejecutarse.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | allowedThreats |
Amenazas permitidas |
| Tipo de datos | Matriz de cadenas | Lista de cadenas dinámicas |
Acciones de amenazas no permitidas
Restringe las acciones que el usuario local de un dispositivo puede realizar cuando se detectan amenazas. Las acciones incluidas en esta lista no se muestran en la interfaz de usuario.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | disallowedThreatActions |
Acciones de amenazas no permitidas |
| Tipo de datos | Matriz de cadenas | Lista de cadenas dinámicas |
| Posibles valores |
allow (impide que los usuarios permitan amenazas)restore (impide que los usuarios restaure amenazas desde la cuarentena) |
allow (impide que los usuarios permitan amenazas)restore (impide que los usuarios restaure amenazas desde la cuarentena) |
Nota:
Disponible en la versión 100.83.73 de Defender para punto de conexión o posterior.
Configuración del tipo de amenaza
La preferencia threatTypeSettings en el motor antivirus se usa para controlar cómo el producto controla determinados tipos de amenazas.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | threatTypeSettings |
Configuración del tipo de amenaza |
| Tipo de datos | Diccionario (preferencia anidada) | Lista de propiedades dinámicas |
| Comentarios | Consulte las secciones siguientes para obtener una descripción del contenido del diccionario. | Consulte las secciones siguientes para obtener una descripción de las propiedades dinámicas. |
Tipo de amenaza
Tipo de amenaza para la que está configurado el comportamiento.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | clave | Tipo de amenaza |
| Tipo de datos | Cadena | Desplegar |
| Posibles valores | potentially_unwanted_application archive_bomb |
potentially_unwanted_application archive_bomb |
Acción que puede realizar
Acción que se debe realizar al encontrarse con una amenaza del tipo especificado en la sección anterior. Puede ser:
- Auditoría: el dispositivo no está protegido contra este tipo de amenaza, pero se registra una entrada sobre la amenaza. (Predeterminado)
- Bloquear: el dispositivo está protegido contra este tipo de amenaza y se le notifica en el portal de Microsoft Defender.
- Desactivado: el dispositivo no está protegido contra este tipo de amenaza y no se registra nada.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | valor | Acción que puede realizar |
| Tipo de datos | Cadena | Desplegar |
| Posibles valores |
audit (valor predeterminado)block off |
audit block desactivado |
Directiva de combinación de configuración de tipos de amenazas
Especifica la directiva de combinación para la configuración del tipo de amenaza. Puede ser una combinación de opciones definidas por el administrador y definidas por el usuario (merge) o solo una configuración definida por el administrador (admin_only). Las opciones definidas por el administrador (admin_only) son las opciones de tipo de amenaza configuradas por la directiva de Defender para punto de conexión. Esta configuración se puede usar para impedir que los usuarios locales definan su propia configuración para distintos tipos de amenazas.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | threatTypeSettingsMergePolicy |
Combinación de opciones del tipo de amenaza |
| Tipo de datos | Cadena | Desplegar |
| Posibles valores |
merge (valor predeterminado)admin_only |
Not configuredmerge (Valor predeterminado)admin_only |
Nota:
Disponible en la versión 100.83.73 de Defender para punto de conexión o posterior.
Retención del historial de exámenes antivirus (en días)
Especifique el número de días que los resultados se conservan en el historial de exámenes del dispositivo. Los resultados del examen antiguos se quitan del historial. Archivos en cuarentena antiguos que también se quitan del disco.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | scanResultsRetentionDays |
Retención de resultados de examen |
| Tipo de datos | Cadena | Conmutador de alternancia y entero |
| Posibles valores |
90 (valor predeterminado). Los valores permitidos van de 1 día a 180 días. |
Not configured (desactivar : valor predeterminado de 90 días)Configured (activar) y el valor permitido de 1 a 180 días. |
Nota:
Disponible en la versión 101.04.76 de Defender para punto de conexión o posterior.
Número máximo de elementos en el historial de examen del antivirus
Especifique el número máximo de entradas que se conservarán en el historial de exámenes. Las entradas incluyen todos los exámenes a petición realizados en el pasado y todas las detecciones antivirus.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | scanHistoryMaximumItems |
Tamaño del historial de exámenes |
| Tipo de datos | Cadena | Alternar y entero |
| Posibles valores |
10000 (valor predeterminado). Los valores permitidos son de 5000 elementos a 15000 elementos. |
No configurado (desactivar : valor predeterminado de 10000)Configured (activar) y el valor permitido de 5000 a 15000 elementos. |
Nota:
Disponible en la versión 101.04.76 de Defender para punto de conexión o posterior.
Preferencias de configuración de exclusión
Las preferencias de configuración de exclusión están actualmente en versión preliminar.
Nota:
Las exclusiones globales están actualmente en versión preliminar pública y están disponibles en Defender para punto de conexión a partir de la versión 101.23092.0012 o posterior en los anillos Insiders Slow y Production.
La exclusionSettings sección del perfil de configuración se usa para configurar varias exclusiones para Microsoft Defender para punto de conexión para Linux.
| Descripción | Valor JSON |
|---|---|
| Clave | exclusionSettings |
| Tipo de datos | Diccionario (preferencia anidada) |
| Comentarios | Consulte las secciones siguientes para obtener una descripción del contenido del diccionario. |
Nota:
Las exclusiones de antivirus ya configuradas en (antivirusEngine) en JSON administrado seguirán funcionando tal y como están sin ningún impacto. Todas las exclusiones nuevas, incluidas las exclusiones antivirus, se pueden agregar en esta sección completamente nueva (exclusionSettings). Esta sección está fuera de la etiqueta (antivirusEngine) como su dedicada únicamente para configurar todos los tipos de exclusiones que vendrán en el futuro. También puede seguir usando (antivirusEngine) para configurar exclusiones de antivirus.
Combinar directiva
Especifica la directiva de combinación para exclusiones. Especifica si puede ser una combinación de exclusiones definidas por el administrador y definidas por el usuario (merge) o solo exclusiones definidas por el administrador (admin_only). Esta configuración se puede usar para impedir que los usuarios locales definan sus propias exclusiones. Se aplica a las exclusiones de todos los ámbitos.
| Descripción | Valor JSON |
|---|---|
| Clave | mergePolicy |
| Tipo de datos | Cadena |
| Posibles valores |
merge (valor predeterminado)admin_only |
| Comentarios | Disponible en la versión de Defender para punto de conexión de septiembre de 2023 o posterior. |
Exclusiones
Las entidades que deben excluirse se pueden especificar mediante rutas de acceso completas, extensiones o nombres de archivo. Cada entidad de exclusión, es decir, la ruta de acceso completa, la extensión o el nombre de archivo tiene un ámbito opcional que se puede especificar. Si no se especifica, el valor predeterminado del ámbito de esta sección es global. (Las exclusiones se especifican como una matriz de elementos, el administrador puede especificar tantos elementos como sea necesario, en cualquier orden).
| Descripción | Valor JSON |
|---|---|
| Clave | exclusions |
| Tipo de datos | Diccionario (preferencia anidada) |
| Comentarios | Consulte las secciones siguientes para obtener una descripción del contenido del diccionario. |
Tipo de exclusión
Especifica el tipo de contenido excluido del examen.
| Descripción | Valor JSON |
|---|---|
| Clave | $type |
| Tipo de datos | Cadena |
| Posibles valores | excludedPathexcludedFileExtension excludedFileName |
Ámbito de exclusión (opcional)
Especifica el conjunto de ámbitos de exclusión del contenido excluido. Actualmente, los ámbitos admitidos son epp y global.
Si no se especifica nada en para una exclusión en exclusionSettings en la configuración administrada, global se considera ámbito.
Nota:
Las exclusiones de antivirus configuradas anteriormente en (antivirusEngine) en JSON administrado seguirán funcionando y su ámbito se considera (epp) ya que se agregaron como exclusiones antivirus.
| Descripción | Valor JSON |
|---|---|
| Clave | ámbitos |
| Tipo de datos | Conjunto de cadenas |
| Posibles valores | epp global |
Nota:
Las exclusiones aplicadas anteriormente mediante (mdatp_managed.json) o mediante la CLI no se verán afectadas. El ámbito de esas exclusiones será (epp) ya que se agregaron en (antivirusEngine).
Ruta de acceso al contenido excluido
Se usa para excluir contenido del examen por ruta de acceso completa del archivo.
| Descripción | Valor JSON |
|---|---|
| Clave | ruta de acceso |
| Tipo de datos | Cadena |
| Posibles valores | rutas de acceso válidas |
| Comentarios | Solo se aplica si $type se excluyePath. No se admite el carácter comodín si la exclusión tiene global como ámbito. |
Tipo de ruta de acceso (archivo o directorio)
Indica si la propiedad path hace referencia a un archivo o directorio.
Nota:
La ruta de acceso del archivo ya debe existir si se agrega la exclusión de archivos con ámbito global.
| Descripción | Valor JSON |
|---|---|
| Clave | isDirectory |
| Tipo de datos | Booleano |
| Posibles valores |
false (valor predeterminado)true |
| Comentarios | Solo se aplica si $type se excluyePath. No se admite el carácter comodín si la exclusión tiene global como ámbito. |
Extensión de archivo excluida del examen
Se usa para excluir contenido del examen por extensión de archivo.
| Descripción | Valor JSON |
|---|---|
| Clave | extensión |
| Tipo de datos | Cadena |
| Posibles valores | extensiones de archivo válidas |
| Comentarios | Solo se aplica si $type es excludedFileExtension. No se admite si la exclusión tiene global como ámbito. |
Proceso excluido del examen
Especifica un proceso para el que se excluye toda la actividad de archivo del examen. El proceso se puede especificar por su nombre (por ejemplo, cat) o por la ruta de acceso completa (por ejemplo, /bin/cat).
| Descripción | Valor JSON |
|---|---|
| Clave | name |
| Tipo de datos | Cadena |
| Posibles valores | cualquier cadena |
| Comentarios | Solo se aplica si $type es excludedFileName. El carácter comodín y el nombre del proceso no se admiten si la exclusión tiene global como ámbito, debe proporcionar la ruta de acceso completa. |
Opciones avanzadas de examen
La siguiente configuración se puede configurar para habilitar ciertas características avanzadas de examen.
Importante
La habilitación de estas características podría afectar al rendimiento del dispositivo. Por lo tanto, se recomienda mantener los valores predeterminados a menos que Soporte técnico de Microsoft recomienda lo contrario.
Configuración del examen de eventos de permisos de modificación de archivos
Cuando esta característica está habilitada, Defender para punto de conexión examinará los archivos cuando se hayan cambiado sus permisos para establecer los bits de ejecución.
Nota:
Esta característica solo se aplica cuando la enableFilePermissionEvents característica está habilitada. Para obtener más información, consulte la sección Características opcionales avanzadas a continuación para obtener más información.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | scanFileModifyPermissions |
No disponible |
| Tipo de datos | Booleano | No aplicable |
| Posibles valores |
false (valor predeterminado)true |
No aplicable |
Nota:
Disponible en la versión 101.23062.0010 de Defender para punto de conexión o posterior.
Configuración del examen de eventos de propiedad de modificación de archivos
Cuando esta característica está habilitada, Defender para punto de conexión examinará los archivos para los que ha cambiado la propiedad.
Nota:
Esta característica solo se aplica cuando la enableFileOwnershipEvents característica está habilitada. Para obtener más información, consulte la sección Características opcionales avanzadas a continuación para obtener más información.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | scanFileModifyOwnership |
No disponible |
| Tipo de datos | Booleano | No aplicable |
| Posibles valores |
false (valor predeterminado)true |
No aplicable |
Nota:
Disponible en la versión 101.23062.0010 de Defender para punto de conexión o posterior.
Configuración del examen de eventos de socket sin procesar
Cuando esta característica está habilitada, Defender para punto de conexión examinará eventos de socket de red, como la creación de sockets sin formato o sockets de paquetes, o la opción de socket de configuración.
Nota:
Esta característica solo se aplica cuando la supervisión del comportamiento está habilitada.
Esta característica solo se aplica cuando la enableRawSocketEvent característica está habilitada. Para obtener más información, consulte la sección Características opcionales avanzadas a continuación para obtener más información.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | scanNetworkSocketEvent |
No disponible |
| Tipo de datos | Booleano | No aplicable |
| Posibles valores |
false (valor predeterminado)true |
No aplicable |
Nota:
Disponible en la versión 101.23062.0010 de Defender para punto de conexión o posterior.
Preferencias de protección entregadas en la nube
La entrada cloudService del perfil de configuración se usa para configurar la característica de protección controlada por la nube del producto.
Nota:
La protección proporcionada en la nube se aplica con cualquier configuración de nivel de cumplimiento (real_time, on_demand, pasiva).
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | cloudService |
Preferencias de protección entregada en la nube |
| Tipo de datos | Diccionario (preferencia anidada) | Sección contraída |
| Comentarios | Consulte las secciones siguientes para obtener una descripción del contenido del diccionario. | Consulte las secciones siguientes para obtener una descripción de la configuración de la directiva. |
Habilitación o deshabilitación de la protección entregada en la nube
Determina si la protección entregada en la nube está habilitada en el dispositivo o no. Para mejorar la seguridad de los servicios, se recomienda mantener activada esta característica.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | enabled |
Habilitación de la protección entregada en la nube |
| Tipo de datos | Booleano | Desplegar |
| Posibles valores |
true (valor predeterminado)false |
No configurado Deshabilitada Habilitado (valor predeterminado) |
Nivel de recopilación de diagnóstico
Los datos de diagnóstico se usan para mantener Defender para punto de conexión seguro y actualizado, detectar, diagnosticar y corregir problemas, y también realizar mejoras en el producto. Esta configuración determina el nivel de diagnóstico enviado por el producto a Microsoft. Para obtener más información, consulte Privacidad para Microsoft Defender para punto de conexión en Linux.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | diagnosticLevel |
Nivel de recopilación de datos de diagnóstico |
| Tipo de datos | Cadena | Desplegar |
| Posibles valores | optional required (valor predeterminado) |
Not configuredoptional (Valor predeterminado)required |
Configuración del nivel de bloque en la nube
Esta configuración determina la agresividad de Defender para punto de conexión al bloquear y examinar archivos sospechosos. Si esta configuración está activada, Defender para punto de conexión es más agresivo al identificar archivos sospechosos que bloquear y examinar; de lo contrario, es menos agresivo y, por lo tanto, bloquea y examina con menos frecuencia.
Hay cinco valores para establecer el nivel de bloque en la nube:
- Normal (
normal): el nivel de bloqueo predeterminado. - Moderado (
moderate): solo proporciona veredicto para las detecciones de alta confianza. - Alto (
high): bloquea agresivamente los archivos desconocidos al tiempo que optimiza el rendimiento (mayor posibilidad de bloquear archivos no dañinos). - High Plus (
high_plus): bloquea agresivamente los archivos desconocidos y aplica medidas de protección adicionales (podrían afectar al rendimiento del dispositivo cliente). - Tolerancia cero (
zero_tolerance): bloquea todos los programas desconocidos.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | cloudBlockLevel |
Configuración del nivel de bloque en la nube |
| Tipo de datos | Cadena | Desplegar |
| Posibles valores |
normal (valor predeterminado)moderate high high_plus zero_tolerance |
Not configuredNormal (valor predeterminado)Moderate High High_Plus Zero_Tolerance |
Nota:
Disponible en la versión 101.56.62 de Defender para punto de conexión o posterior.
Habilitación o deshabilitación de envíos de ejemplo automáticos
Determina si se envían muestras sospechosas (que probablemente contengan amenazas) a Microsoft. Hay tres niveles para controlar el envío de muestras:
- Ninguno: no se envían muestras sospechosas a Microsoft.
- Seguro: solo las muestras sospechosas que no contienen información de identificación personal (PII) se envían automáticamente. Este es el valor predeterminado para esta configuración.
- Todos: todos los ejemplos sospechosos se envían a Microsoft.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | automaticSampleSubmissionConsent |
Habilitación de envíos de ejemplo automáticos |
| Tipo de datos | Cadena | Desplegar |
| Posibles valores | none safe (valor predeterminado)all |
Not configuredNoneSafe (Valor predeterminado)All |
Habilitación o deshabilitación de actualizaciones automáticas de inteligencia de seguridad
Determina si las actualizaciones de inteligencia de seguridad se instalan automáticamente:
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | automaticDefinitionUpdateEnabled |
Actualizaciones automáticas de inteligencia de seguridad |
| Tipo de datos | Booleano | Desplegar |
| Posibles valores |
true (valor predeterminado)false |
Not configuredDisabledEnabled (Valor predeterminado) |
En función del nivel de cumplimiento, las actualizaciones automáticas de inteligencia de seguridad se instalan de forma diferente. En el modo RTP, las actualizaciones se instalan periódicamente. En modo pasivo o a petición, las actualizaciones se instalan antes de cada examen.
Características opcionales avanzadas
La siguiente configuración se puede configurar para habilitar ciertas características avanzadas.
Importante
La habilitación de estas características podría afectar al rendimiento del dispositivo. Se recomienda mantener los valores predeterminados a menos que se lo indique Soporte técnico de Microsoft.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | Funciones | No disponible |
| Tipo de datos | Diccionario (preferencia anidada) | n/a |
| Comentarios | Consulte las secciones siguientes para obtener una descripción del contenido del diccionario. |
Característica de carga de módulos
Determina si se supervisan los eventos de carga de módulos (eventos abiertos de archivos en bibliotecas compartidas).
Nota:
Esta característica solo se aplica cuando la supervisión del comportamiento está habilitada.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | moduleLoad |
No disponible |
| Tipo de datos | Cadena | n/a |
| Posibles valores |
disabled (valor predeterminado)enabled |
n/a |
| Comentarios | Disponible en la versión 101.68.80 de Defender para punto de conexión o posterior. |
Corrección de la característica archivo infectado
Determina si los procesos infectados que abren o cargan cualquier archivo infectado se corregirán o no.
Nota:
Cuando se habilita, los procesos que abren o cargan cualquier archivo infectado se corrigen en modo RTP. Estos procesos no aparecen en la lista de amenazas porque no son malintencionados, pero solo se terminan porque cargan el archivo de amenazas en la memoria.
| Descripción | Valor JSON | Valor del portal de Defender |
|---|---|---|
| Clave | remediateInfectedFile | No disponible |
| Tipo de datos | Cadena | n/a |
| Posibles valores | disabled (valor predeterminado) habilitado |
n/a |
| Comentarios | Disponible en la versión 101.24122.0001 de Defender para punto de conexión o posterior. |
Configuraciones de sensor adicionales
Las siguientes opciones se pueden usar para configurar ciertas características avanzadas del sensor complementario.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | supplementarySensorConfigurations |
No disponible |
| Tipo de datos | Diccionario (preferencia anidada) | n/a |
| Comentarios | Consulte las secciones siguientes para obtener una descripción del contenido del diccionario. |
Configuración de la supervisión de eventos de permisos de modificación de archivos
Determina si se supervisan los eventos de permisos de modificación de archivos (chmod).
Nota:
Cuando esta característica está habilitada, Defender para punto de conexión supervisará los cambios en los bits de ejecución de los archivos, pero no examinará estos eventos. Para obtener más información, consulte la sección Características de análisis avanzado para obtener más información.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | enableFilePermissionEvents |
No disponible |
| Tipo de datos | Cadena | n/a |
| Posibles valores |
disabled (valor predeterminado)enabled |
n/a |
| Comentarios | Disponible en la versión 101.23062.0010 de Defender para punto de conexión o posterior. |
Configuración de la supervisión de eventos de propiedad de modificación de archivos
Determina si se supervisan los eventos de propiedad de modificación de archivos (chown).
Nota:
Cuando esta característica está habilitada, Defender para punto de conexión supervisará los cambios en la propiedad de los archivos, pero no examinará estos eventos. Para obtener más información, consulte la sección Características de análisis avanzado para obtener más información.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | enableFileOwnershipEvents |
No disponible |
| Tipo de datos | Cadena | n/a |
| Posibles valores |
disabled (valor predeterminado)enabled |
n/a |
| Comentarios | Disponible en la versión 101.23062.0010 de Defender para punto de conexión o posterior. |
Configuración de la supervisión de eventos de socket sin procesar
Determina si se supervisan los eventos de socket de red que implican la creación de sockets sin procesar o de paquetes, o la opción de socket de configuración.
Nota:
Esta característica solo se aplica cuando la supervisión del comportamiento está habilitada. Cuando esta característica está habilitada, Defender para punto de conexión supervisará estos eventos de socket de red, pero no examinará estos eventos. Para obtener más información, consulte la sección Características avanzadas de examen anterior para obtener más detalles.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | enableRawSocketEvent |
No disponible |
| Tipo de datos | Cadena | n/a |
| Posibles valores |
disabled (valor predeterminado)enabled |
n/a |
| Comentarios | Disponible en la versión 101.23062.0010 de Defender para punto de conexión o posterior. |
Configuración de la supervisión de eventos del cargador de arranque
Determina si los eventos del cargador de arranque se supervisan y examinan.
Nota:
Esta característica solo se aplica cuando la supervisión del comportamiento está habilitada.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | enableBootLoaderCalls |
No disponible |
| Tipo de datos | Cadena | n/a |
| Posibles valores |
disabled (valor predeterminado)enabled |
n/a |
| Comentarios | Disponible en la versión 101.68.80 de Defender para punto de conexión o posterior. |
Configuración de la supervisión de eventos de ptrace
Determina si los eventos de ptrace se supervisan y examinan.
Nota:
Esta característica solo se aplica cuando la supervisión del comportamiento está habilitada.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | enableProcessCalls |
No disponible |
| Tipo de datos | Cadena | n/a |
| Posibles valores |
disabled (valor predeterminado)enabled |
n/a |
| Comentarios | Disponible en la versión 101.68.80 de Defender para punto de conexión o posterior. |
Configuración de la supervisión de eventos de pseudofs
Determina si los eventos de seudofs se supervisan y examinan.
Nota:
Esta característica solo se aplica cuando la supervisión del comportamiento está habilitada.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | enablePseudofsCalls |
No disponible |
| Tipo de datos | Cadena | n/a |
| Posibles valores |
disabled (valor predeterminado)enabled |
n/a |
| Comentarios | Disponible en la versión 101.68.80 de Defender para punto de conexión o posterior. |
Configuración de la supervisión de eventos de carga de módulos mediante eBPF
Determina si los eventos de carga de módulos se supervisan mediante eBPF y se examinan.
Nota:
Esta característica solo se aplica cuando la supervisión del comportamiento está habilitada.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | enableEbpfModuleLoadEvents |
No disponible |
| Tipo de datos | Cadena | n/a |
| Posibles valores |
disabled (valor predeterminado)enabled |
n/a |
| Comentarios | Disponible en la versión 101.68.80 de Defender para punto de conexión o posterior. |
Configuración de la supervisión de eventos abiertos desde sistemas de archivos específicos mediante eBPF
Determina si eBPF supervisa los eventos abiertos de procfs.
Nota:
Esta característica solo se aplica cuando la supervisión del comportamiento está habilitada.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | enableOtherFsOpenEvents |
No disponible |
| Tipo de datos | Cadena | n/a |
| Posibles valores |
disabled (valor predeterminado)enabled |
n/a |
| Comentarios | Disponible en la versión 101.24072.0001 de Defender para punto de conexión o posterior. |
Configuración del enriquecimiento de origen de eventos mediante eBPF
Determina si los eventos se enriquecen con metadatos en el origen en eBPF.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | enableEbpfSourceEnrichment |
No disponible |
| Tipo de datos | Cadena | n/a |
| Posibles valores |
disabled (valor predeterminado)enabled |
n/a |
| Comentarios | Disponible en la versión 101.24072.0001 de Defender para punto de conexión o posterior. |
Habilitación de la caché del motor antivirus
Determina si los metadatos de los eventos que examina el motor antivirus se almacenan en caché o no.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | enableAntivirusEngineCache |
No disponible |
| Tipo de datos | Cadena | n/a |
| Posibles valores |
disabled (valor predeterminado)enabled |
n/a |
| Comentarios | Disponible en la versión 101.24072.0001 de Defender para punto de conexión o posterior. |
Notificar eventos sospechosos de AV a EDR
Determina si los eventos sospechosos de Antivirus se notifican a EDR.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | sendLowfiEvents |
No disponible |
| Tipo de datos | Cadena | n/a |
| Posibles valores |
disabled (valor predeterminado)enabled |
n/a |
| Comentarios | Disponible en la versión 101.23062.0010 de Defender para punto de conexión o posterior. |
Configuraciones de protección de red
Nota:
Se trata de una característica en versión preliminar. Para que sean eficaces, la protección de red debe estar activada. Para obtener más información, consulte Activar la protección de red para Linux.
Los siguientes valores se pueden usar para configurar características avanzadas de inspección de Network Protection para controlar qué tráfico inspecciona Network Protection.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | networkProtection |
Protección de red |
| Tipo de datos | Diccionario (preferencia anidada) | Sección contraída |
| Comentarios | Consulte las secciones siguientes para obtener una descripción del contenido del diccionario. | Consulte las secciones siguientes para obtener una descripción de la configuración de directiva. |
Nivel de cumplimiento
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | enforcementLevel |
Nivel de cumplimiento |
| Tipo de datos | Cadena | Desplegar |
| Posibles valores |
disabled (valor predeterminado)audit block |
Not configureddisabled (valor predeterminado)auditblock |
Configuración de la inspección ICMP
Determina si los eventos ICMP se supervisan y examinan.
Nota:
Esta característica solo se aplica cuando la supervisión del comportamiento está habilitada.
| Descripción | Valor JSON | valor del portal de Microsoft Defender |
|---|---|---|
| Clave | disableIcmpInspection |
No disponible |
| Tipo de datos | Booleano | n/a |
| Posibles valores |
true (valor predeterminado)false |
n/a |
| Comentarios | Disponible en la versión 101.23062.0010 de Defender para punto de conexión o posterior. |
Adición de una etiqueta o un identificador de grupo al perfil de configuración
Al ejecutar el mdatp health comando por primera vez, el valor de la etiqueta y el identificador de grupo estarán en blanco. Para agregar una etiqueta o un identificador de grupo al mdatp_managed.json archivo, siga estos pasos:
Abra el perfil de configuración desde la ruta de acceso
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json.Vaya a la parte inferior del archivo, donde se encuentra el
cloudServicebloque.Agregue la etiqueta o el identificador de grupo necesarios como ejemplo siguiente al final del corchete de cierre para
cloudService.}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }Nota:
Agregue la coma después del corchete de cierre al final del
cloudServicebloque. Además, asegúrese de que hay dos corchetes de cierre después de agregar tag o bloque de id. de grupo (consulte el ejemplo anterior). En este momento, el único nombre de clave admitido para las etiquetas esGROUP.
Validación del perfil de configuración
El perfil de configuración debe ser un archivo con formato JSON válido. Hay muchas herramientas que se pueden usar para comprobar esto. Por ejemplo, si ha python instalado en el dispositivo:
python -m json.tool mdatp_managed.json
Si el json tiene un formato correcto, el comando anterior lo devuelve al terminal y devuelve un código de salida de 0. De lo contrario, se muestra un error que describe el problema y el comando devuelve un código de salida de 1.
Comprobación de que el archivo mdatp_managed.json funciona según lo previsto
Para comprobar que /etc/opt/microsoft/mdatp/managed/mdatp_managed.json funciona correctamente, debería ver "[managed]" junto a esta configuración:
cloud_enabledcloud_automatic_sample_submission_consentpassive_mode_enabledreal_time_protection_enabledautomatic_definition_update_enabled
Nota:
No es necesario reiniciar el demonio de mdatp para que los cambios en la mayoría de las configuraciones de mdatp_managed.json surtan efecto.
Excepción: Las siguientes configuraciones requieren un reinicio del demonio para que surta efecto:
cloud-diagnosticlog-rotation-parameters
Implementación del perfil de configuración
Una vez que haya creado el perfil de configuración para su empresa, puede implementarlo a través de la herramienta de administración que usa la empresa. Defender para punto de conexión en Linux lee la configuración administrada de /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.