Asetusten määrittäminen Microsoft Defender for Endpoint Linuxissa
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Tärkeää
Tässä artikkelissa on ohjeita defenderin asetusten määrittämiseen Linuxin päätepisteelle yritysympäristöissä. Jos olet kiinnostunut tuotteen määrittämisestä laitteessa komentoriviltä, katso Resurssit.
Yritysympäristöissä Defender for Endpointia Linuxissa voidaan hallita määritysprofiilin kautta. Tämä profiili otetaan käyttöön valitsemastasi hallintatyökalusta. Yrityksen hallitsemat asetukset ovat etusijalla laitteessa paikallisesti asetettuihin asetuksiin nähden. Toisin sanoen yrityksesi käyttäjät eivät voi muuttaa asetuksia, jotka on määritetty tämän määritysprofiilin kautta. Jos poikkeuksia on lisätty hallitun määritysprofiilin kautta, ne voidaan poistaa vain hallitun määritysprofiilin kautta. Komentorivi toimii paikallisesti lisättyjen poissulkemisten kanssa.
Tässä artikkelissa kuvataan tämän profiilin rakenne (mukaan lukien suositeltu profiili, jonka avulla pääset alkuun) sekä ohjeet profiilin käyttöönottoon.
Profiilirakenteen määritys
Määritysprofiili on .json tiedosto, joka koostuu avaimen tunnistamista merkinnöistä (jotka ilmaisevat asetuksen nimen), ja sen jälkeen arvosta, joka riippuu mieltymyksen luonteesta. Arvot voivat olla yksinkertaisia, kuten numeerinen arvo, tai monimutkaisia, kuten sisäkkäinen asetusluettelo.
Yleensä käytät määritystenhallintatyökalua työntämään tiedoston, jonka nimi mdatp_managed.json on sijainnissa /etc/opt/microsoft/mdatp/managed/.
Määritysprofiilin ylätaso sisältää tuotteen kattavat asetukset ja merkinnät tuotteen alialueille, jotka selitetään tarkemmin seuraavissa osioissa.
Virustentorjuntaohjelman asetukset
Määritysprofiilin AntivirusEngine-osaa käytetään tuotteen virustentorjuntakomponentin asetusten hallintaan.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | antivirusEngine | Virustentorjuntaohjelma |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) | Kutistettu osa |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. | Seuraavista osioista saat kuvauksen käytännön ominaisuuksista. |
Virustentorjuntaohjelman täytäntöönpanotaso
Määrittää virustentorjuntaohjelman pakotusmieltymyksen. Täytäntöönpanotason määrittämiseen on kolme arvoa:
- Reaaliaikainen (
real_time): Reaaliaikainen suojaus (tarkistustiedostot muokattaessa) on käytössä. - Pyydettäessä (
on_demand): tiedostot skannataan vain pyydettäessä. Tässä:- Reaaliaikainen suojaus on poistettu käytöstä.
- Määritelmäpäivitykset tehdään vain, kun tarkistus käynnistyy, vaikka
automaticDefinitionUpdateEnabledse olisi määritetty pyydettäessä suoritettavaantruetilaan.
- Passiivinen (
passive): Suorittaa virustentorjuntaohjelman passiivitilassa. Tässä tapauksessa kaikki seuraavat ovat voimassa:- Reaaliaikainen suojaus on poistettu käytöstä: Microsoft Defender virustentorjunta ei korjaa uhkia.
- Pyydettäessä suoritettava skannaus on käytössä: Käytä yhä päätepisteen tarkistusominaisuuksia.
- Automaattinen uhkien korjaaminen on poistettu käytöstä: Tiedostoja ei siirretä ja suojauksen järjestelmänvalvojan odotetaan ryhtyvän tarvittaviin toimiin.
- Suojaustietojen päivitykset on otettu käyttöön: Hälytykset ovat käytettävissä suojauksen järjestelmänvalvojan vuokraajassa.
- Määritelmäpäivitykset tapahtuvat vain, kun tarkistus käynnistyy, vaikka
automaticDefinitionUpdateEnabledasetus olisitruepassiivitilassa.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | enforcementLevel | Pakotustaso |
| Tietotyyppi | Merkkijono | Avattavasta |
| Mahdolliset arvot | real_timeon_demandpassive (oletus) |
Ei määritetty Reaaliaikainen OnDemand Passiivinen (oletus) |
Huomautus
Käytettävissä Defender for Endpoint -versiossa 101.10.72 tai uudemmassa. Oletusarvoksi vaihdetaan real_timepassive Defender for Endpoint -versio 101.23062.0001 tai uudempi versio.
On suositeltavaa käyttää myös ajoitettuja skannauksia tarpeen mukaan.
Ota käyttöön tai poista käytöstä toiminnan valvonta
Määrittää, onko toiminnan valvonta ja estotoiminto käytössä laitteessa vai ei.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | behaviorMonitoring | Ota käyttöön toiminnan valvonta |
| Tietotyyppi | Merkkijono | Avattavasta |
| Mahdolliset arvot |
disabled (oletus) |
Ei määritetty Poistettu käytöstä (oletus) Käytössä |
Huomautus
Käytettävissä Defender for Endpoint -versiossa 101.45.00 tai uudemmassa.
Tämä ominaisuus on käytettävissä vain, kun reaaliaikainen suojaus on käytössä.
Suorita tarkistus, kun määritelmät on päivitetty
Määrittää, aloitetaanko prosessin tarkistus sen jälkeen, kun laitteeseen on ladattu uusia tietoturvatietopäivityksiä. Tämän asetuksen ottaminen käyttöön käynnistää virustentorjuntatarkistuksen laitteen käynnissä oleissa prosesseissa.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | scanAfterDefinitionUpdate | Ota skannaus käyttöön määritelmäpäivityksen jälkeen |
| Tietotyyppi | Totuusarvo | Avattavasta |
| Mahdolliset arvot |
true (oletus) |
Ei määritetty Vammainen Käytössä (oletus) |
Huomautus
Käytettävissä Defender for Endpoint -versiossa 101.45.00 tai uudemmassa.
Tämä ominaisuus toimii vain, kun pakotustasoksi real-timeon määritetty .
Skannaa arkistot (vain tarvittaessa suoritettavat virustentorjuntatarkistuksia)
Määrittää, skannataanko arkistot pyydettäessä suoritettavan virustentorjuntatarkistuksen aikana.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | scanArchives | Arkistojen tarkistuksen ottaminen käyttöön |
| Tietotyyppi | Totuusarvo | Avattavasta |
| Mahdolliset arvot |
true (oletus)
|
Ei määritetty Vammainen Käytössä (oletus) |
Huomautus
Käytettävissä Microsoft Defender for Endpoint versiossa 101.45.00 tai uudemmassa.
Arkistotiedostoja ei koskaan skannata reaaliaikaisen suojauksen aikana. Kun arkistossa olevat tiedostot puretaan, ne tarkistetaan.
ScanArchives-vaihtoehtoa voidaan käyttää arkistojen skannauksen pakottamiseen vain pyydettäessä suoritettavan tarkistuksen aikana.
Rinnakkaisuuden aste pyydettäessä luotaessa
Määrittää pyydettäessä luotavien tarkistusten rinnakkaisuuden asteen. Tämä vastaa tarkistuksen suorittamiseen käytettyjen säikeiden määrää ja vaikuttaa suorittimen käyttöön sekä pyydettäessä suoritettavan tarkistuksen kestoon.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | maximumOnDemandScanThreads | suurin pyydettäessä suoritettavat skannaussäikeet |
| Tietotyyppi | Kokonaisluku | Vaihda valitsinta & kokonaisluku |
| Mahdolliset arvot | 2 (oletus). Sallitut arvot ovat kokonaislukuja väliltä 1 - 64. | Ei määritetty (oletusasetusten oletusarvo on 2) Määritetty (käytössä) ja kokonaisluku väliltä 1 - 64. |
Huomautus
Käytettävissä Microsoft Defender for Endpoint versiossa 101.45.00 tai uudemmassa.
Poissulkemisen yhdistämiskäytäntö
Määrittää poissulkemisten yhdistämiskäytännön. Se voi olla yhdistelmä järjestelmänvalvojan määrittämiä ja käyttäjän määrittämiä poissulkemisia (merge) tai vain järjestelmänvalvojan määrittämiä poissulkemisia (admin_only). Järjestelmänvalvojan määrittämät (admin_only) ovat poissulkemisia, jotka Defender on määrittänyt päätepistekäytännölle. Tämän asetuksen avulla voidaan rajoittaa paikallisia käyttäjiä määrittämästä omia poissulkemisiaan.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | exclusionsMergePolicy | Poissulkemisten yhdistäminen |
| Tietotyyppi | Merkkijono | Avattavasta |
| Mahdolliset arvot |
merge (oletus)
|
Ei määritetty yhdistäminen (oletus) admin_only |
Huomautus
Käytettävissä Defender for Endpoint -versiossa 100.83.73 tai uudemmassa.
Voi myös määrittää poissulkemisia kohdassa exclusionSettings
Skannauksen poikkeukset
Entiteetit, jotka on jätetty pois tarkistuksesta. Poikkeukset voidaan määrittää täysien polkujen, tunnisteiden tai tiedostonimien mukaan. (Poikkeukset määritetään kohteiden matriisiksi, järjestelmänvalvoja voi määrittää niin monta elementtiä kuin on tarpeen missä tahansa järjestyksessä.)
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | Poikkeukset | Skannauksen poikkeukset |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) | Dynaamisten ominaisuuksien luettelo |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
Poissulkemisen tyyppi
Määrittää tarkistuksesta pois jätetyn sisällön tyypin.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | $type | Kirjoita |
| Tietotyyppi | Merkkijono | Avattavasta |
| Mahdolliset arvot | excludedPath
|
Polku Tiedostopääte Prosessin nimi |
Ulkoisesti käsiteltävän sisällön polku
Käytetään sisällön pois jättämiseen tarkistuksesta koko tiedostopolun mukaan.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | polku | Polku |
| Tietotyyppi | Merkkijono | Merkkijono |
| Mahdolliset arvot | kelvolliset polut | kelvolliset polut |
| Kommentit | Käytettävissä vain, jos $type on excludedPath | Käytettävissä Muokkaa esiintymää - ponnahdusikkunassa |
Polun tyyppi (tiedosto tai hakemisto)
Ilmaisee, viittaako polkuominaisuus tiedostoon tai hakemistoon.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | isDirectory | On hakemisto |
| Tietotyyppi | Totuusarvo | Avattavasta |
| Mahdolliset arvot |
false (oletus)
|
Käytössä Vammainen |
| Kommentit | Käytettävissä vain, jos $type on excludedPath | Käytettävissä Muokkaa esiintymää - ponnahdusikkunassa |
Tiedostotunniste, joka jätettiin pois tarkistuksesta
Käytetään sisällön pois jättämiseen tarkistuksesta tiedostotunnisteen mukaan.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | laajennus | Tiedostopääte |
| Tietotyyppi | Merkkijono | Merkkijono |
| Mahdolliset arvot | kelvolliset tiedostotunnisteet | kelvolliset tiedostotunnisteet |
| Kommentit | Käytettävissä vain, jos $type jätetään poisFileExtension | Käytettävissä Esiintymän määrittäminen - ponnahdusikkunassa |
Prosessi, joka jätettiin pois tarkistuksesta*
Määrittää prosessin, jossa kaikki tiedostotoiminnot eivät ole skannattuja. Prosessi voidaan määrittää joko sen nimen (esimerkiksi cat) tai koko polun (esimerkiksi /bin/cat) perusteella.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | Nimi | Tiedoston nimi |
| Tietotyyppi | Merkkijono | Merkkijono |
| Mahdolliset arvot | mikä tahansa merkkijono | mikä tahansa merkkijono |
| Kommentit | Käytettävissä vain, jos $type on jätetty poisFileName | Käytettävissä Esiintymän määrittäminen - ponnahdusikkunassa |
Muiden kuin exec-asennusten mykistys
Määrittää RTP:n toiminnan noexec-merkinnällä merkityssä käyttöönottopisteessä. Asetukselle on kaksi arvoa:
- Vaipaton (
unmute): Oletusarvo, kaikki käyttöönottopisteet tarkistetaan osana RTP:tä. - Vaimennettu (
mute): noexec-merkinnällä merkittyjä käyttöönottopisteitä ei skannata osana RTP:tä. Nämä käyttöönottopisteet voidaan luoda seuraaville:- Tietokantapalvelimen tietokantatiedostot tietokantatiedostojen säilyttämistä varten.
- Tiedostopalvelin voi säilyttää datatiedostojen käyttöönottopisteet noexec-asetuksella.
- Varmuuskopiointi voi säilyttää datatiedostojen käyttöönottopisteet ilmanexec-asetusta.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | nonExecMountPolicy | ei suoritettava käyttöönotto mykistys |
| Tietotyyppi | Merkkijono | Avattavasta |
| Mahdolliset arvot |
unmute (oletus)
|
Ei määritetty poista vaimennus (oletus) mykistää |
Huomautus
Käytettävissä Defender for Endpoint -versiossa 101.85.27 tai uudemmassa.
Valvomattomat tiedostojärjestelmät
Määritä tiedostojärjestelmät valvomattomina tai reaaliaikaisten suojausten (RTP) ulkopuolella. Määritetyt tiedostojärjestelmät vahvistetaan Microsoft Defender sallittujen tiedostojärjestelmien luettelon mukaan. Tiedostojärjestelmiä voidaan valvoa vain onnistuneen vahvistuksen jälkeen. Nämä määritetyt valvomattomat tiedostojärjestelmät tarkistetaan edelleen pika-, täysi- ja mukautetuilla tarkistuksilla Microsoft Defender virustentorjuntaohjelmassa.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | unmonitoredFilesystems | Valvomattomat tiedostojärjestelmät |
| Tietotyyppi | Merkkijonojen matriisi | Dynaamisen merkkijonon luettelo |
Huomautus
Määritettyä tiedostojärjestelmää ei valvota vain, jos se on Microsoftin sallittujen valvomattomien tiedostojärjestelmien luettelossa.
Oletusarvon mukaan NFS ja Fuse eivät ole valvottuja RTP-, Quick- ja Full scans -toiminnoista. Ne voidaan kuitenkin yhä skannata mukautetulla tarkistuksella. Jos haluat esimerkiksi poistaa NFS:n valvomattomien tiedostojärjestelmien luettelosta, päivitä hallittu määritystiedosto alla kuvatulla tavalla. Tämä lisää automaattisesti NFS:n RTP:n valvottujen tiedostojärjestelmien luetteloon.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Jos haluat poistaa sekä NFS: n että Sulakkeen valvomattomasta tiedostojärjestelmien luettelosta, toimi seuraavasti
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Huomautus
Tässä on RTP:n valvottujen tiedostojärjestelmien oletusluettelo: btrfs, , ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, xfsreiserfstmpfsvfat.
Jos valvottu tiedostojärjestelmä on lisättävä valvomattomien tiedostojärjestelmien luetteloon, Microsoftin on arvioitava ja otettava se käyttöön pilvimäärityksen kautta. Sen jälkeen asiakkaat voivat päivittää managed_mdatp.json kyseisen tiedostojärjestelmän valvomattomaksi.
Määritä tiedoston hajautustoiminto
Ottaa käyttöön tai poistaa käytöstä tiedoston hajautusarvon laskentaominaisuuden. Kun tämä ominaisuus on käytössä, Defender for Endpoint laskee hajautuksia skannatuille tiedostoille. Huomaa, että tämän ominaisuuden ottaminen käyttöön voi vaikuttaa laitteen suorituskykyyn. Lisätietoja on artikkelissa: Tiedostojen ilmaisimien luominen.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | enableFileHashComputation | Ota tiedoston hajautuslaskenta käyttöön |
| Tietotyyppi | Totuusarvo | Avattavasta |
| Mahdolliset arvot |
false (oletus)
|
Ei määritetty Poistettu käytöstä (oletus) Käytössä |
Huomautus
Käytettävissä Defender for Endpoint -versiossa 101.85.27 tai uudemmassa.
Sallitut uhat
Niiden uhkien luettelo (jotka tunnistetaan niiden nimen mukaan), joita tuote ei estä ja joiden suorittamisen sallitaan sen sijaan.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | allowedThreats | Sallitut uhat |
| Tietotyyppi | Merkkijonojen matriisi | Dynaamisen merkkijonon luettelo |
Kiellettyjä uhkatoimintoja
Rajoittaa toimintoja, joita laitteen paikallinen käyttäjä voi suorittaa, kun uhkia havaitaan. Tähän luetteloon sisältyvät toiminnot eivät näy käyttöliittymässä.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | disallowedThreatActions | Kiellettyjä uhkatoimintoja |
| Tietotyyppi | Merkkijonojen matriisi | Dynaamisen merkkijonon luettelo |
| Mahdolliset arvot |
allow (rajoittaa käyttäjiä sallimasta uhkia)
|
salli (rajoittaa käyttäjiä sallimasta uhkia) palauta (rajoittaa käyttäjiä palauttamasta uhkia karanteenista) |
Huomautus
Käytettävissä Defender for Endpoint -versiossa 100.83.73 tai uudemmassa.
Uhkatyyppiasetukset
Virustentorjuntaohjelman threatTypeSettings-asetuksen avulla hallitaan, miten tuote käsittelee tiettyjä uhkatyyppejä.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | threatTypeSettings | Uhkatyyppiasetukset |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) | Dynaamisten ominaisuuksien luettelo |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. | Seuraavissa osissa on dynaamisten ominaisuuksien kuvaus. |
Uhkatyyppi
Uhkatyyppi, jolle toiminta on määritetty.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | avain | Uhkatyyppi |
| Tietotyyppi | Merkkijono | Avattavasta |
| Mahdolliset arvot | potentially_unwanted_application
|
potentially_unwanted_application archive_bomb |
Suoritettava toiminto
Toiminto, joka suoritetaan, kun kohtaat edellisessä osiossa määritetyn lajin uhan. Voi olla:
- Valvonta: Laitetta ei ole suojattu tämäntyyppiseltä uhalta, mutta merkintä uhasta kirjataan. (Oletus)
- Lohko: Laite on suojattu tämäntyyppiseltä uhalta, ja saat ilmoituksen suojauskonsolissa.
- Pois käytöstä: Laitetta ei ole suojattu tämäntyyppiseltä uhalta, eikä mitään kirjata.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | arvo | Suoritettava toiminto |
| Tietotyyppi | Merkkijono | Avattavasta |
| Mahdolliset arvot |
audit (oletus)
|
tilintarkastus estää pois |
Uhkatyyppiasetusten yhdistämiskäytäntö
Määrittää uhkatyyppiasetusten yhdistämiskäytännön. Tämä voi olla yhdistelmä järjestelmänvalvojan määrittämiä ja käyttäjän määrittämiä asetuksia (merge) tai vain järjestelmänvalvojan määrittämiä asetuksia (admin_only). Järjestelmänvalvojan määrittämät (admin_only) ovat uhkatyyppiasetuksia, jotka Defender on määrittänyt päätepistekäytännölle. Tämän asetuksen avulla voidaan rajoittaa paikallisia käyttäjiä määrittämästä omia asetuksiaan eri uhkatyypeille.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | threatTypeSettingsMergePolicy | Uhkatyyppiasetusten yhdistäminen |
| Tietotyyppi | Merkkijono | Avattavasta |
| Mahdolliset arvot | yhdistäminen (oletus) admin_only |
Ei määritetty yhdistäminen (oletus) admin_only |
Huomautus
Käytettävissä Defender for Endpoint -versiossa 100.83.73 tai uudemmassa.
Virustentorjuntaohjelman tarkistushistorian säilyttäminen (päivinä)
Määritä, kuinka monta päivää tulokset säilytetään laitteen tarkistushistoriassa. Vanhat tarkistustulokset poistetaan historiasta. Vanhat karanteeniin asetetut tiedostot, jotka myös poistetaan levyltä.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | scanResultsRetentionDays | Skannaa tulosten säilytys |
| Tietotyyppi | Merkkijono | Vaihtokytkin ja kokonaisluku |
| Mahdolliset arvot | 90 (oletus). Sallitut arvot ovat 1 päivästä 180 päivään. | Ei määritetty (pois käytöstä - oletus 90 päivää) Määritetty (käytössä/ käytössä) ja sallittu arvo 1 - 180 päivää. |
Huomautus
Käytettävissä Defender for Endpoint -versiossa 101.04.76 tai uudemmassa.
Virustentorjunnan tarkistushistorian kohteiden enimmäismäärä
Määritä tarkistushistoriassa säilytettävien merkintöjen enimmäismäärä. Merkinnät sisältävät kaikki aiemmin suoritetut pyydettäessä suoritettavat tarkistukset ja kaikki virustentorjuntaohjelman tunnistukset.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | scanHistoryMaximumItems | Skannaushistorian koko |
| Tietotyyppi | Merkkijono | Vaihda ja kokonaisluku |
| Mahdolliset arvot | 10000 (oletus). Sallitut arvot ovat 5 000 kohteesta 15 000 kohteeseen. | Ei määritetty (pois käytöstä - oletus 10000) Määritetty (käytössä/ käytössä) ja sallittu arvo 5000 – 15 000 kohdetta. |
Huomautus
Käytettävissä Defender for Endpoint -versiossa 101.04.76 tai uudemmassa.
Poissulkemisasetusten asetukset
Exlusion-asetusasetukset ovat tällä hetkellä esikatselussa.
Huomautus
Yleiset poikkeukset ovat tällä hetkellä julkisessa esikatselussa, ja ne ovat käytettävissä Defender for Endpointissa, joka alkaa versiosta tai uudemmasta 101.23092.0012 Insiders Slow- ja Production-renkaista.
exclusionSettings Määritysprofiilin -osion avulla määritetään eri poissulkemisia Linux-Microsoft Defender for Endpoint.
| Kuvaus | JSON-arvo |
|---|---|
| Avain | poissulkemisasetukset |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
Huomautus
Hallitun JSON:n () kohdassa (antivirusEngine) määritetyt virustentorjuntapoikkeukset toimivat edelleen sellaisenaan, kuin niillä ei ole vaikutusta. Kaikki uudet poikkeukset , mukaan lukien virustentorjuntapoikkeukset, voidaan lisätä tähän kokonaan uuteen osioon (exclusionSettings). Tämä osa on (antivirusEngine)-tunnisteen ulkopuolella, koska se on varattu vain kaikentyyppisten poissulkemisten määrittämiseen, jotka tulevat tulevaisuudessa. Voit myös edelleen käyttää (antivirusEngine)-toimintoa virustentorjuntaan pois jätettyjen virustentorjuntaohjelmien määrittämiseen.
Yhdistämiskäytäntö
Määrittää poissulkemisten yhdistämiskäytännön. Se määrittää, voiko se olla yhdistelmä järjestelmänvalvojan määrittämiä ja käyttäjän määrittämiä poissulkemisia (merge) vai vain järjestelmänvalvojan määrittämiä poissulkemisia (admin_only). Tämän asetuksen avulla voidaan rajoittaa paikallisia käyttäjiä määrittämästä omia poissulkemisiaan. Sitä sovelletaan kaikkien alueiden poissulkemisiin.
| Kuvaus | JSON-arvo |
|---|---|
| Avain | mergePolicy |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | yhdistäminen (oletus) admin_only |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa syyskuun 2023 tai uudemman versiona. |
Poisjätöt
Entiteetit, jotka on jätettävä pois, voidaan määrittää täysillä poluilla, tiedostotunnisteilla tai tiedostonimillä. Jokaisella poissulkemisentiteetillä, eli joko täydellisellä polulla, tunnisteella tai tiedostonimellä, on valinnainen vaikutusalue, joka voidaan määrittää. Jos tätä ei määritetä, alueen oletusarvo tässä osassa on yleinen. (Poikkeukset määritetään kohteiden matriisiksi, järjestelmänvalvoja voi määrittää niin monta elementtiä kuin on tarpeen missä tahansa järjestyksessä.)
| Kuvaus | JSON-arvo |
|---|---|
| Avain | Poikkeukset |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
Poissulkemisen tyyppi
Määrittää tarkistuksesta pois jätetyn sisällön tyypin.
| Kuvaus | JSON-arvo |
|---|---|
| Avain | $type |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | excludedPath excludedFileExtension excludedFileName |
Poissulkemisen laajuus (valinnainen)
Määrittää pois jätetyn sisällön exlusion-vaikutusalueiden joukon. Tällä hetkellä tuetut käyttöalueet ovat epp ja global.
Jos mitään ei ole määritetty poissulkemiselle hallitun määrityksen global exclusionSettings-kohdassa, katsotaan vaikutusalueeksi.
Huomautus
Aiemmin määritetyt virustentorjunnan poissulkemiset kohdassa (antivirusEngine) hallitussa JSON:ssä toimivat edelleen, ja niiden vaikutusaluetta pidetään (epp), koska ne lisättiin virustentorjuntaa käsitteleviksi poissulkemisiksi.
| Kuvaus | JSON-arvo |
|---|---|
| Avain | Laajuuksia |
| Tietotyyppi | Merkkijonojoukko |
| Mahdolliset arvot | Epp maailmanlaajuinen |
Huomautus
Tämä ei vaikuta aiemmin käytettyihin poissulkemisiin, joissa käytetään (mdatp_managed.json) tai komentorivikäyttöliittymää. Näiden poissulkemisten soveltamisala on (epp), koska ne on lisätty kohtaan (antivirusEngine).
Ulkoisesti käsiteltävän sisällön polku
Käytetään sisällön pois jättämiseen tarkistuksesta koko tiedostopolun mukaan.
| Kuvaus | JSON-arvo |
|---|---|
| Avain | polku |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | kelvolliset polut |
| Kommentit | Käytettävissä vain, jos $type on excludedPath. Yleismerkkiä ei tueta, jos vaikutusalueena on yleinen poikkeus. |
Polun tyyppi (tiedosto tai hakemisto)
Ilmaisee, viittaako polkuominaisuus tiedostoon tai hakemistoon.
Huomautus
Tiedostopolun on oltava olemassa, jos tiedostoa ei laajiteta.
| Kuvaus | JSON-arvo |
|---|---|
| Avain | isDirectory |
| Tietotyyppi | Totuusarvo |
| Mahdolliset arvot | epätosi (oletus) tosi |
| Kommentit | Käytettävissä vain, jos $type on excludedPath. Yleismerkkiä ei tueta, jos vaikutusalueena on yleinen poikkeus. |
Tiedostotunniste, joka jätettiin pois tarkistuksesta
Käytetään sisällön pois jättämiseen tarkistuksesta tiedostotunnisteen mukaan.
| Kuvaus | JSON-arvo |
|---|---|
| Avain | laajennus |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | kelvolliset tiedostotunnisteet |
| Kommentit | Käytettävissä vain, jos $type jätetään poisFileExtension. Ei tueta, jos poikkeuksen vaikutusalueena on yleinen. |
Prosessi, joka jätettiin pois tarkistuksesta*
Määrittää prosessin, jossa kaikki tiedostotoiminnot eivät ole skannattuja. Prosessi voidaan määrittää joko sen nimen (esimerkiksi cat) tai koko polun (esimerkiksi /bin/cat) perusteella.
| Kuvaus | JSON-arvo |
|---|---|
| Avain | Nimi |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | mikä tahansa merkkijono |
| Kommentit | Käytettävissä vain, jos $type on excludedFileName. Yleismerkkejä ja prosessin nimeä ei tueta, jos poikkeuksen vaikutusalueena on yleinen, on annettava täydellinen polku. |
Tarkistuksen lisäasetukset
Seuraavat asetukset voidaan määrittää ottamaan käyttöön tietyt kehittyneet skannausominaisuudet.
Huomautus
Näiden ominaisuuksien ottaminen käyttöön voi vaikuttaa laitteen suorituskykyyn. Siksi on suositeltavaa säilyttää oletusarvot.
Tiedoston muokkausoikeuksien tapahtumien tarkistuksen määrittäminen
Kun tämä ominaisuus on käytössä, Defender for Endpoint tarkistaa tiedostot, kun niiden käyttöoikeuksia on muutettu suoritusbittien määrittämiseksi.
Huomautus
Tämä ominaisuus on käytettävissä vain, enableFilePermissionEvents kun ominaisuus on käytössä. Lisätietoja on alla olevassa Valinnaisten lisäominaisuuksien osiossa.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | scanFileModifyPermissions | Ei käytettävissä |
| Tietotyyppi | Totuusarvo | Ei käytettävissä |
| Mahdolliset arvot | epätosi (oletus) tosi |
Ei käytettävissä |
Huomautus
Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmassa.
Tiedoston omistajuustapahtumien tarkistuksen määrittäminen
Kun tämä ominaisuus on käytössä, Defender for Endpoint tarkistaa tiedostot, joiden omistajuus on muuttunut.
Huomautus
Tämä ominaisuus on käytettävissä vain, enableFileOwnershipEvents kun ominaisuus on käytössä. Lisätietoja on alla olevassa Valinnaisten lisäominaisuuksien osiossa.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | scanFileModifyOwnership | Ei käytettävissä |
| Tietotyyppi | Totuusarvo | Ei käytettävissä |
| Mahdolliset arvot | epätosi (oletus) tosi |
Ei käytettävissä |
Huomautus
Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmassa.
Raakavastaketapahtumien tarkistuksen määrittäminen
Kun tämä ominaisuus on käytössä, Defender for Endpoint tarkistaa verkkovastakkeiden tapahtumat, kuten raakavastakkeiden tai pakettivastakkeiden luomisen tai vastakkeen määrittämisen vaihtoehdon.
Huomautus
Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.
Tämä ominaisuus on käytettävissä vain, enableRawSocketEvent kun ominaisuus on käytössä. Lisätietoja on alla olevassa Valinnaisten lisäominaisuuksien osiossa.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | scanNetworkSocketEvent | Ei käytettävissä |
| Tietotyyppi | Totuusarvo | Ei käytettävissä |
| Mahdolliset arvot | epätosi (oletus) tosi |
Ei käytettävissä |
Huomautus
Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmassa.
Pilvipalveluun toimitetut suojausasetukset
Määritysprofiilin cloudService-merkintää käytetään määrittämään tuotteen pilvipohjainen suojausominaisuus.
Huomautus
Pilvipalveluun toimitettua suojausta voidaan soveltaa kaikkiin pakotustason asetuksiin (real_time, on_demand, passiivinen).
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | cloudService | Pilvipalveluun toimitetut suojausasetukset |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) | Kutistettu osa |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. | Seuraavista osioista saat kuvauksen käytännön asetuksista. |
Pilvipalveluun toimitetun suojauksen ottaminen käyttöön tai poistaminen käytöstä
Määrittää, onko pilvipalveluun toimitettu suojaus käytössä laitteessa vai ei. Jos haluat parantaa palvelusi suojausta, suosittelemme, että pidät tämän ominaisuuden käytössä.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | Käytössä | Pilvipalveluun toimitetun suojauksen käyttöönotto |
| Tietotyyppi | Totuusarvo | Avattavasta |
| Mahdolliset arvot |
true (oletus)
|
Ei määritetty Vammainen Käytössä (oletus) |
Diagnostiikkakokoelman taso
Diagnostiikkatietoja käytetään pitämään Defender for Endpoint suojattuna ja ajan tasalla, tunnistamaan, diagnosoimaan ja korjaamaan ongelmia sekä tekemään myös tuoteparannuksia. Tämä asetus määrittää tuotteen Microsoftille lähettämän diagnostiikkatason. Lisätietoja on kohdassa Microsoft Defender for Endpoint Linuxissa.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | diagnosticLevel | Diagnostiikkatietojen keräystaso |
| Tietotyyppi | Merkkijono | Avattavasta |
| Mahdolliset arvot | optional
|
Ei määritetty valinnainen (oletus) pakollinen |
Pilvilohkotason määrittäminen
Tämä asetus määrittää, kuinka aggressiivinen Defender for Endpoint on epäilyttävien tiedostojen estämisessä ja skannaamisessa. Jos tämä asetus on käytössä, Defender for Endpoint on aggressiivisempi tunnistettaessa epäilyttäviä tiedostoja, jotka estetään ja skannataan; Muussa tapauksessa se on vähemmän aggressiivinen ja estää ja skannaa pienemmällä tiheydellä.
Pilvilohkotason määrittämiseen on viisi arvoa:
- Normaali (
normal): Oletusarvoinen estotaso. - Normaali (
moderate): antaa tuomion vain erittäin luotettavan tunnistuksen osalta. - Suuri (
high): Estää tuntemattomia tiedostoja tehokkaasti optimoitaessa suorituskykyä varten (suurempi mahdollisuus estää ei-haitalliset tiedostot). - High Plus (
high_plus): Estää tuntemattomat tiedostot aggressiivisesti ja ottaa käyttöön lisäsuojausmittareita (saattaa vaikuttaa asiakkaan laitteen suorituskykyyn). - Nollatoleranssi (
zero_tolerance): Estää kaikki tuntemattomat ohjelmat.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | cloudBlockLevel | Pilvilohkotason määrittäminen |
| Tietotyyppi | Merkkijono | Avattavasta |
| Mahdolliset arvot |
normal (oletus)
|
Ei määritetty Normaali (oletus) Kohtalainen Korkea High_Plus Zero_Tolerance |
Huomautus
Käytettävissä Defender for Endpoint -versiossa 101.56.62 tai uudemmassa.
Ota käyttöön tai poista käytöstä mallien automaattiset lähetykset
Määrittää, lähetetäänkö Microsoftille epäilyttäviä näytteitä (jotka todennäköisesti sisältävät uhkia). Näytteen lähettämisen hallintaan on kolme tasoa:
- Ei mitään: Microsoftille ei lähetetä epäilyttäviä näytteitä.
- Turvallinen: automaattisesti lähetetään vain epäilyttävät näytteet, jotka eivät sisällä henkilötietoja. Tämä on tämän asetuksen oletusarvo.
- Kaikki: kaikki epäilyttävät näytteet lähetetään Microsoftille.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | automaticSampleSubmissionConsent | Ota käyttöön automaattiset mallilähetykset |
| Tietotyyppi | Merkkijono | Avattavasta |
| Mahdolliset arvot | none
|
Ei määritetty Ei mitään Turvallinen (oletus) Kaikki |
Automaattisten suojaustietojen päivitysten ottaminen käyttöön tai poistaminen käytöstä
Määrittää, asennetaanko suojaustietojen päivitykset automaattisesti:
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | automaticDefinitionUpdateEnabled | Automaattiset suojaustietojen päivitykset |
| Tietotyyppi | Totuusarvo | Avattavasta |
| Mahdolliset arvot |
true (oletus)
|
Ei määritetty Vammainen Käytössä (oletus) |
Pakotustasosta riippuen automaattiset suojaustietojen päivitykset asennetaan eri tavalla. RTP-tilassa päivitykset asennetaan säännöllisesti. Passiivi- ja on-demand-tilassa päivitykset asennetaan ennen jokaista tarkistusta.
Valinnaiset lisäominaisuudet
Seuraavat asetukset voidaan määrittää ottamaan käyttöön tiettyjä lisäominaisuuksia.
Huomautus
Näiden ominaisuuksien ottaminen käyttöön voi vaikuttaa laitteen suorituskykyyn. Oletusarvot kannattaa säilyttää.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | Ominaisuuksia | Ei käytettävissä |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) | Ei käytettävissä |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
Moduulin latausominaisuus
Määrittää, valvotaanko moduulin lataustapahtumia (jaettujen kirjastojen tiedoston avaamistapahtumia).
Huomautus
Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | moduleLoad | Ei käytettävissä |
| Tietotyyppi | Merkkijono | Ei käytettävissä |
| Mahdolliset arvot | poistettu käytöstä (oletus) Käytössä |
Ei käytettävissä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.68.80 tai uudemmassa. |
Lisätunnistinmääritykset
Seuraavia asetuksia voidaan käyttää tiettyjen lisätunnistinominaisuuksien määrittämiseen.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | supplementarySensorConfigurations | Ei käytettävissä |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) | Ei käytettävissä |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
Määritä tiedoston muokkausoikeuksien tapahtumien valvonta
Määrittää, valvotaanko tiedoston muokkaamisen käyttöoikeustapahtumia (chmod).
Huomautus
Kun tämä ominaisuus on käytössä, Defender for Endpoint valvoo tiedostojen suoritusbittien muutoksia, mutta ei tarkista näitä tapahtumia. Lisätietoja on kohdassa Kehittyneet skannausominaisuudet .
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | enableFilePermissionEvents | Ei käytettävissä |
| Tietotyyppi | Merkkijono | Ei käytettävissä |
| Mahdolliset arvot | poistettu käytöstä (oletus) Käytössä |
Ei käytettävissä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmassa. |
Määritä tiedoston omistajuustapahtumien valvonta
Määrittää, valvotaanko tiedoston omistajuustapahtumia (chown).
Huomautus
Kun tämä ominaisuus on käytössä, Defender for Endpoint valvoo tiedostojen omistajuuteen tehtyjä muutoksia, mutta ei tarkista näitä tapahtumia. Lisätietoja on kohdassa Kehittyneet skannausominaisuudet .
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | enableFileOwnershipEvents | Ei käytettävissä |
| Tietotyyppi | Merkkijono | Ei käytettävissä |
| Mahdolliset arvot | poistettu käytöstä (oletus) Käytössä |
Ei käytettävissä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmassa. |
Raakavastaketapahtumien seurannan määrittäminen
Määrittää, valvotaanko verkkovastakkeen tapahtumia, joihin liittyy raakavastakkeiden tai pakettivastakkeiden luominen tai vastakeasetuksen määrittäminen.
Huomautus
Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä. Kun tämä ominaisuus on käytössä, Defender for Endpoint valvoo näitä verkkovastakkeen tapahtumia, mutta ei tarkista näitä tapahtumia. Lisätietoja on yllä olevassa osiossa Kehittyneet skannausominaisuudet .
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | enableRawSocketEvent | Ei käytettävissä |
| Tietotyyppi | Merkkijono | Ei käytettävissä |
| Mahdolliset arvot | poistettu käytöstä (oletus) Käytössä |
Ei käytettävissä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmassa. |
Käynnistyksen lataustapahtumien seurannan määrittäminen
Määrittää, valvotaanko ja tarkistetaanko käynnistyksen lataustapahtumia.
Huomautus
Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | enableBootLoaderCalls | Ei käytettävissä |
| Tietotyyppi | Merkkijono | Ei käytettävissä |
| Mahdolliset arvot | poistettu käytöstä (oletus) Käytössä |
Ei käytettävissä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.68.80 tai uudemmassa. |
Jäljitystapahtumien seurannan määrittäminen
Määrittää, valvotaanko ja tarkistetaanko jäljitystapahtumia.
Huomautus
Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | enableProcessCalls | Ei käytettävissä |
| Tietotyyppi | Merkkijono | Ei käytettävissä |
| Mahdolliset arvot | poistettu käytöstä (oletus) Käytössä |
Ei käytettävissä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.68.80 tai uudemmassa. |
Pseudofs-tapahtumien seurannan määrittäminen
Määrittää, valvotaanko ja skannataanko pseudofs-tapahtumia.
Huomautus
Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | enablePseudofsCalls | Ei käytettävissä |
| Tietotyyppi | Merkkijono | Ei käytettävissä |
| Mahdolliset arvot | poistettu käytöstä (oletus) Käytössä |
Ei käytettävissä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.68.80 tai uudemmassa. |
Määritä moduulin lataustapahtumien valvonta eBPF:n avulla
Määrittää, valvotaanko moduulin lataustapahtumia eBPF:n avulla ja tarkistetaanko ne.
Huomautus
Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | enableEbpfModuleLoadEvents | Ei käytettävissä |
| Tietotyyppi | Merkkijono | Ei käytettävissä |
| Mahdolliset arvot | poistettu käytöstä (oletus) Käytössä |
Ei käytettävissä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.68.80 tai uudemmassa. |
Ilmoita AV:n epäilyttävistä tapahtumista EDR:lle
Määrittää, raportoidaanko virustentorjunnan epäilyttävistä tapahtumista EDR:lle.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | sendLowfiEvents | Ei käytettävissä |
| Tietotyyppi | Merkkijono | Ei käytettävissä |
| Mahdolliset arvot | poistettu käytöstä (oletus) Käytössä |
Ei käytettävissä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmassa. |
Verkon suojausmääritykset
Seuraavia asetuksia voidaan käyttää verkon suojauksen lisätarkastusominaisuuksien määrittämiseen sen hallitsemiseksi, mitä liikennettä verkon suojaus tutkii.
Huomautus
Jotta ne olisivat tehokkaita, verkon suojaus on otettava käyttöön. Lisätietoja on kohdassa Linux-verkon suojauksen ottaminen käyttöön.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | networkProtection | Verkon suojaus |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) | Kutistettu osa |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. | Seuraavista osioista saat kuvauksen käytäntöasetuksista. |
Pakotustaso
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | enforcementLevel | Pakotustaso |
| Tietotyyppi | Merkkijono | Avattavasta |
| Mahdolliset arvot |
disabled (oletus)audit block |
Ei määritetty poistettu käytöstä (oletus) tilintarkastus estää |
ICMP-tarkastuksen määrittäminen
Määrittää, valvotaanko ja tarkistetaanko ICMP-tapahtumia.
Huomautus
Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.
| Kuvaus | JSON-arvo | Defender Portal -arvo |
|---|---|---|
| Avain | disableIcmpInspection | Ei käytettävissä |
| Tietotyyppi | Totuusarvo | Ei käytettävissä |
| Mahdolliset arvot |
true (oletus)
|
Ei käytettävissä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmassa. |
Suositeltu määritysprofiili
Jotta pääset alkuun, suosittelemme seuraavaa määritysprofiilia yrityksellesi, jotta voit hyödyntää kaikkia Defender for Endpointin tarjoamia suojausominaisuuksia.
Seuraava määritysprofiili:
- Ottaa käyttöön reaaliaikaisen suojauksen (RTP)
- Määrittää, miten seuraavia uhkatyyppejä käsitellään:
- Mahdollisesti ei-toivotut sovellukset (PUA) on estetty
- Tuotelokeihin valvotaan arkistopommeja (tiedosto, jonka pakkausnopeus on suuri)
- Ottaa käyttöön automaattiset suojaustietojen päivitykset
- Ottaa käyttöön pilvipalveluun toimitetun suojauksen
- Ottaa käyttöön automaattisen näytteen lähettämisen tasolla
safe
Malliprofiili
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Täydellinen määritysprofiiliesimerkki
Seuraava määritysprofiili sisältää merkinnät kaikista tässä asiakirjassa kuvatuista asetuksista, ja sitä voidaan käyttää vaativammissa tilanteissa, joissa haluat hallita tuotetta tarkemmin.
Huomautus
Kaikkia Microsoft Defender for Endpoint viestintää ei voi hallita vain tämän JSON-välityspalvelimen asetuksella.
Koko profiili
{
"antivirusEngine":{
"enforcementLevel":"passive",
"behaviorMonitoring": "disabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"enableFileHashComputation": false,
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
],
"scanFileModifyPermissions":false,
"scanFileModifyOwnership":false,
"scanNetworkSocketEvent":false,
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate":"disabled"
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
"definitionUpdatesInterval":28800
},
"features":{
"moduleLoad":"disabled",
"supplementarySensorConfigurations":{
"enableFilePermissionEvents":"disabled",
"enableFileOwnershipEvents":"disabled",
"enableRawSocketEvent":"disabled",
"enableBootLoaderCalls":"disabled",
"enableProcessCalls":"disabled",
"enablePseudofsCalls":"diabled",
"enableEbpfModuleLoadEvents":"disabled",
"sendLowfiEvents":"disabled"
},
"ebpfSupplementaryEventProvider":"enabled",
"offlineDefinitionUpdateVerifySig": "disabled"
},
"networkProtection":{
"enforcementLevel":"disabled",
"disableIcmpInspection":true
},
"edr":{
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Tunnisteen tai ryhmän tunnuksen lisääminen määritysprofiiliin
Kun suoritat komennon mdatp health ensimmäistä kertaa, tunnisteen ja ryhmätunnuksen arvo on tyhjä. Jos haluat lisätä tiedostoon tunnisteen mdatp_managed.json tai ryhmän tunnuksen, toimi seuraavasti:
Avaa määritysprofiili polusta
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json.Siirry tiedoston alaosaan, jossa
cloudServicelohko sijaitsee.Lisää pakollinen tunniste tai ryhmän tunnus seuraavassa esimerkissä kohteen oikean aaltosulkeen
cloudServiceloppuun.}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }
Huomautus
Lisää pilkku lohkon lopussa olevan oikean aaltosulkeen cloudService jälkeen. Varmista myös, että tunniste- tai ryhmätunnuslohkon lisäämisen jälkeen on kaksi suljetta (katso yllä oleva esimerkki). Tällä hetkellä tunnisteiden ainoa tuettu avaimen nimi on GROUP.
Määritysprofiilin vahvistus
Määritysprofiilin on oltava kelvollinen JSON-muotoiltu tiedosto. On monia työkaluja, joiden avulla voit tarkistaa tämän. Jos olet python esimerkiksi asentanut sen laitteeseesi:
python -m json.tool mdatp_managed.json
Jos JSON on oikein muotoiltu, yllä oleva komento tulostaa sen takaisin Päätteeseen ja palauttaa lopetuskoodin parametrille 0. Muussa tapauksessa näyttöön tulee virhe, joka kuvaa ongelmaa, ja komento palauttaa lopetuskoodin parametrille 1.
Tarkistetaan, että mdatp_managed.json tiedosto toimii odotetulla tavalla
Jos haluat varmistaa, että /etc/opt/microsoft/mdatp/managed/mdatp_managed.json toimii oikein, näiden asetusten vieressä pitäisi näkyä "[managed]":
cloud_enabledcloud_automatic_sample_submission_consentpassive_mode_enabledreal_time_protection_enabledautomatic_definition_update_enabled
Huomautus
Mdatp-daemonin uudelleenkäynnistystä ei tarvita, jotta muutokset useimmissa kokoonpanoissa mdatp_managed.json tulevat voimaan.
Poikkeus: Seuraavat määritykset edellyttävät, että daemon-uudelleenkäynnistys tulee voimaan:
cloud-diagnosticlog-rotation-parameters
Määritysprofiilin käyttöönotto
Kun olet luonut määritysprofiilin yrityksellesi, voit ottaa sen käyttöön yrityksesi käyttämällä hallintatyökalulla. Defender for Endpoint on Linux lukee hallitun määrityksen tiedostosta /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.