Condividi tramite


Configurare le impostazioni e i criteri di sicurezza per Microsoft Defender per endpoint in Linux

Si applica a:

  • Microsoft Defender per endpoint per i server
  • Microsoft Defender per server Piano 1 o Piano 2

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Panoramica delle impostazioni e dei criteri da configurare

Microsoft Defender per endpoint in Linux include antivirus, protezione antimalware, rilevamento degli endpoint e funzionalità di risposta. Questo articolo riepiloga le impostazioni importanti da configurare, con collegamenti a risorse aggiuntive.

Impostazioni Descrizione
1. Configurare l'individuazione del proxy statico. La configurazione di un proxy statico consente di garantire l'invio dei dati di telemetria e di evitare timeout di rete. Eseguire questa attività durante e dopo l'installazione di Defender per endpoint.

Vedere Configurare Microsoft Defender per endpoint in Linux per l'individuazione del proxy statico.
2. Configurare le analisi antivirus. È possibile pianificare le analisi antivirus automatiche usando Anacron o Crontab.

Fare inoltre riferimento ai seguenti articoli:
- Usare Anacron per pianificare un'analisi antivirus in Microsoft Defender per endpoint in Linux
- Usare Crontab per pianificare un'analisi antivirus in Microsoft Defender per endpoint in Linux
3. Configurare le impostazioni e i criteri di sicurezza. È possibile usare il portale di Microsoft Defender (Defender per gestione delle impostazioni di sicurezza degli endpoint) o un profilo di configurazione (.jsonfile) per configurare Defender per endpoint in Linux. In alternativa, se si preferisce, è possibile usare la riga di comando per configurare determinate impostazioni.

Fare inoltre riferimento ai seguenti articoli:
- Gestione delle impostazioni di sicurezza di Defender per endpoint
- Profilo di configurazione
- Riga di comando
4. Configurare e convalidare le esclusioni (in base alle esigenze) È possibile escludere determinati file, cartelle, processi e file aperti dal processo da Defender per endpoint in Linux. Le esclusioni globali si applicano alla protezione in tempo reale (RTP), al monitoraggio del comportamento (BM) e al rilevamento e alla risposta degli endpoint (EDR), arrestando così tutti i rilevamenti antivirus associati, gli avvisi EDR e la visibilità per l'elemento escluso.

Vedere Configurare e convalidare le esclusioni per Microsoft Defender per endpoint in Linux.
5. Configurare il sensore basato su eBPF. Il filtro eBPF (Berkeley Packet Filter) esteso per Microsoft Defender per endpoint in Linux viene abilitato automaticamente per tutti i clienti per impostazione predefinita per le versioni 101.23082.0006 degli agenti e versioni successive. Fornisce dati sugli eventi supplementari per i sistemi operativi Linux e consente di ridurre la possibilità di conflitti tra le applicazioni.

Vedere Usare un sensore basato su eBPF per Microsoft Defender per endpoint in Linux.
6. Configurare l'aggiornamento di Intelligence per la sicurezza offline (in base alle esigenze) L'aggiornamento di Intelligence per la sicurezza offline consente di configurare gli aggiornamenti dell'intelligence di sicurezza per i server Linux che hanno un'esposizione limitata o nessuna a Internet. È possibile configurare un server di hosting locale ("server mirror") in grado di connettersi al cloud Microsoft per scaricare le firme. Altri endpoint Linux possono eseguire il pull degli aggiornamenti dal server mirror a un intervallo predefinito.

Vedere Configurare l'aggiornamento dell'intelligence di sicurezza offline per Microsoft Defender per endpoint in Linux.
7. Distribuire gli aggiornamenti. Microsoft pubblica regolarmente aggiornamenti software per migliorare le prestazioni, la sicurezza e fornire nuove funzionalità.

Vedere Distribuire gli aggiornamenti per Microsoft Defender per endpoint in Linux.
8. Configurare la protezione di rete (anteprima) La protezione di rete consente di impedire ai dipendenti di usare qualsiasi applicazione per accedere a domini pericolosi che potrebbero ospitare truffe di phishing, exploit e altri contenuti dannosi su Internet.

Vedere Protezione di rete per Linux.

Opzioni per la configurazione di criteri e impostazioni di sicurezza

Per configurare i criteri e le impostazioni di sicurezza per Defender per endpoint in Linux, sono disponibili due opzioni principali:

  • Usare il portale di Microsoft Defender (Defender per gestione delle impostazioni di sicurezza degli endpoint) oppure
  • Usare un profilo di configurazione

Se si preferisce usare la riga di comando per configurare le impostazioni di sicurezza, è possibile usarla per configurare determinate impostazioni, raccogliere diagnostica, eseguire analisi e altro ancora. Vedere Risorse.

Gestione delle impostazioni di sicurezza di Defender per endpoint

È possibile configurare Defender per endpoint in Linux nel portale di Microsoft Defender (https://security.microsoft.com) tramite funzionalità note come Gestione impostazioni di sicurezza. Per altre informazioni, tra cui come creare, modificare e verificare i criteri di sicurezza, vedere Usare Microsoft Defender per endpoint Gestione delle impostazioni di sicurezza per gestire Microsoft Defender Antivirus.

Profilo di configurazione

È possibile configurare Defender per endpoint in Linux tramite un profilo di configurazione che usa un .json file. Dopo aver configurato il profilo, è possibile distribuirlo usando lo strumento di gestione preferito. Le preferenze gestite dall'organizzazione hanno la precedenza su quelle impostate localmente nel dispositivo. In altre parole, gli utenti dell'organizzazione non sono in grado di modificare le preferenze impostate tramite questo profilo di configurazione. Se le esclusioni sono state aggiunte tramite il profilo di configurazione gestita, possono essere rimosse solo tramite il profilo di configurazione gestito. La riga di comando funziona per le esclusioni aggiunte in locale.

Questo articolo descrive la struttura di questo profilo (incluso un profilo consigliato che è possibile usare per iniziare) e le istruzioni su come distribuire il profilo.

Struttura del profilo di configurazione

Il profilo di configurazione è un .json file costituito da voci identificate da una chiave (che indica il nome della preferenza), seguito da un valore, che dipende dalla natura della preferenza. I valori possono essere semplici, ad esempio un valore numerico o complessi, ad esempio un elenco annidato di preferenze.

In genere, si usa uno strumento di gestione della configurazione per eseguire il push di un file con il nome mdatp_managed.json nel percorso /etc/opt/microsoft/mdatp/managed/.

Il livello superiore del profilo di configurazione include le preferenze e le voci a livello di prodotto per le sottoaree del prodotto, che vengono illustrate in modo più dettagliato nelle sezioni successive.

Questa sezione include due esempi di profili di configurazione:

  • Profilo di esempio per iniziare a usare le impostazioni consigliate.
  • Esempio di profilo di configurazione completo per le organizzazioni che vogliono un controllo più granulare sulle impostazioni di sicurezza.

Per iniziare, è consigliabile usare il primo profilo di esempio per l'organizzazione. Per un controllo più granulare, è invece possibile usare l'esempio completo del profilo di configurazione .

Profilo di esempio

Consente di sfruttare le importanti funzionalità di protezione fornite da Defender per endpoint in Linux. Il profilo di configurazione seguente:

  • Abilita la protezione in tempo reale (RTP)
  • Specifica come vengono gestiti i tipi di minaccia seguenti:
    • Le applicazioni potenzialmente indesiderate (PUA) sono bloccate
    • Archivio bombe (file con una frequenza di compressione elevata) vengono controllate nei log dei prodotti
  • Abilita gli aggiornamenti automatici delle funzionalità di intelligence per la sicurezza
  • Abilita la protezione fornita dal cloud
  • Abilita l'invio automatico di campioni a livello safe
{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}
Esempio di profilo di configurazione completo

Il profilo di configurazione seguente contiene voci per tutte le impostazioni descritte in questo documento e può essere usato per scenari più avanzati in cui si vuole un maggiore controllo sul prodotto.

Nota

Non è possibile controllare tutte le comunicazioni Microsoft Defender per endpoint solo con un'impostazione proxy in questo JSON.

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":false,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefintionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"diabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

Impostazioni antivirus, antimalware ed EDR in Defender per endpoint in Linux

Sia che si usi un profilo di configurazione (file .json) o il portale di Microsoft Defender (Gestione impostazioni di sicurezza), è possibile configurare le impostazioni antivirus, antimalware ed EDR in Defender per endpoint in Linux. Le sezioni seguenti descrivono dove e come configurare le impostazioni.

Preferenze del motore antivirus

La sezione antivirusEngine del profilo di configurazione viene usata per gestire le preferenze del componente antivirus del prodotto.

Descrizione Valore JSON Valore del portale di Defender
Chiave antivirusEngine Motore antivirus
Data type Dizionario (preferenza annidata) Sezione compressa
Commenti Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti. Per una descrizione delle proprietà dei criteri, vedere le sezioni seguenti.

Livello di imposizione per Microsoft Defender Antivirus

Specifica la preferenza di imposizione del motore antivirus. Sono disponibili tre valori per l'impostazione del livello di imposizione:

  • In tempo reale (real_time): è abilitata la protezione in tempo reale (analisi dei file man mano che vengono modificati).

  • Su richiesta (on_demand): i file vengono analizzati solo su richiesta. In questo caso:

    • La protezione in tempo reale è disattivata.
    • Gli aggiornamenti delle definizioni si verificano solo all'avvio di un'analisi, anche se automaticDefinitionUpdateEnabled è impostata su true in modalità su richiesta.
  • Passivo (passive): esegue il motore antivirus in modalità passiva. In questo caso, si applicano tutte le operazioni seguenti:

    • La protezione in tempo reale è disattivata: le minacce non vengono corrette da Microsoft Defender Antivirus.
    • L'analisi su richiesta è attivata: usare comunque le funzionalità di analisi nell'endpoint.
    • La correzione automatica delle minacce è disattivata: nessun file viene spostato e l'amministratore della sicurezza dovrebbe intraprendere le azioni necessarie.
    • Gli aggiornamenti dell'intelligence per la sicurezza sono attivati: gli avvisi sono disponibili nel tenant dell'amministratore della sicurezza.
    • Gli aggiornamenti delle definizioni si verificano solo all'avvio di un'analisi, anche se automaticDefinitionUpdateEnabled è impostata su true in modalità passiva.

Nota

Disponibile in Defender per la versione 101.10.72 endpoint o versione successiva. Il valore predefinito viene modificato da real_time a passive in Defender per endpoint versione 101.23062.0001 o successiva. È consigliabile usare anche le analisi pianificate in base ai requisiti.

Abilitare o disabilitare il monitoraggio del comportamento (se RTP è abilitato)

Importante

Questa funzionalità funziona solo quando il livello di imposizione è impostato su real-time.

Determina se la funzionalità di monitoraggio e blocco del comportamento è abilitata o meno nel dispositivo.

Descrizione Valore JSON Valore del portale di Defender
Chiave behaviorMonitoring Abilitare il monitoraggio del comportamento
Data type Stringa Elenco a discesa
Valori possibili disabled (impostazione predefinita)
enabled
Non configurata
Disabilitato (impostazione predefinita)
Abilitato

Nota

Disponibile in Defender per la versione 101.45.00 endpoint o versione successiva.

Eseguire un'analisi dopo l'aggiornamento delle definizioni

Importante

Questa funzionalità funziona solo quando il livello di imposizione è impostato su real-time.

Specifica se avviare un'analisi del processo dopo il download di nuovi aggiornamenti di Security Intelligence nel dispositivo. L'abilitazione di questa impostazione attiva un'analisi antivirus nei processi in esecuzione del dispositivo.

Descrizione Valore JSON Valore del portale di Defender
Chiave scanAfterDefinitionUpdate Abilitare l'analisi dopo l'aggiornamento delle definizioni
Data type Booleano Elenco a discesa
Valori possibili true (impostazione predefinita)
false
Not configured
Disabled
Enabled (Impostazione predefinita)

Nota

Disponibile in Defender per la versione 101.45.00 endpoint o versione successiva.

Analizzare gli archivi (solo analisi antivirus su richiesta)

Specifica se analizzare gli archivi durante le analisi antivirus su richiesta.

Descrizione Valore JSON Valore del portale di Defender
Chiave scanArchives Abilitare l'analisi degli archivi
Data type Booleano Elenco a discesa
Valori possibili true (impostazione predefinita)
false
Non configurata
Disabilitato
Abilitato (impostazione predefinita)

Nota

Disponibile in Microsoft Defender per endpoint versione 101.45.00 o successiva. Archivio file non vengono mai analizzati durante la protezione in tempo reale. Quando i file in un archivio vengono estratti, vengono analizzati. L'opzione scanArchives può essere usata per forzare l'analisi degli archivi solo durante l'analisi su richiesta.

Grado di parallelismo per le analisi su richiesta

Specifica il grado di parallelismo per le analisi su richiesta. Corrisponde al numero di thread usati per eseguire l'analisi e influisce sull'utilizzo della CPU e sulla durata dell'analisi su richiesta.

Descrizione Valore JSON Valore del portale di Defender
Chiave maximumOnDemandScanThreads numero massimo di thread di analisi su richiesta
Data type Numero intero Attiva/Disattiva & intero
Valori possibili 2 (impostazione predefinita). I valori consentiti sono numeri interi tra 1 e 64. Not Configured Per impostazione predefinita, l'opzione attiva/disattiva il valore predefinito è 2)
Configured (attiva/disattiva) e integer tra 1 e 64.

Nota

Disponibile in Microsoft Defender per endpoint versione 101.45.00 o successiva.

Criteri di unione di esclusione

Specifica i criteri di unione per le esclusioni. Può essere una combinazione di esclusioni definite dall'amministratore e definite dall'utente (merge) o solo esclusioni definite dall'amministratore (admin_only). Le esclusioni definite dall'amministratore (admin_only) sono esclusioni configurate dai criteri di Defender per endpoint. Questa impostazione può essere usata per impedire agli utenti locali di definire le proprie esclusioni.

Poiché si trova in antivirusEngine, questo criterio è applicabile solo per epp le esclusioni, a meno che mergePolicy in exclusionSettings non sia configurato come (admin_only).

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave exclusionsMergePolicy Unione esclusioni
Data type Stringa Elenco a discesa
Valori possibili merge (impostazione predefinita)
admin_only
Not configured
merge (Impostazione predefinita)
admin_only

Nota

Disponibile in Defender per la versione 100.83.73 endpoint o versione successiva. È consigliabile configurare le esclusioni e i criteri di unione in exclusionSettings, che consente di configurare l'esclusione di e eppglobal dell'ambito con un singolo mergePolicyoggetto .

Esclusioni di analisi

Entità escluse dall'analisi. Le esclusioni possono essere specificate da percorsi completi, estensioni o nomi di file. Le esclusioni vengono specificate come matrice di elementi. L'amministratore può specificare il numero di elementi necessario, in qualsiasi ordine.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave exclusions Esclusioni di analisi
Data type Dizionario (preferenza annidata) Elenco proprietà dinamiche
Commenti Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti.

Tipo di esclusione

Specifica il tipo di contenuto escluso dall'analisi.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave $type Tipo
Data type Stringa Elenco a discesa
Valori possibili excludedPath
excludedFileExtension
excludedFileName
Percorso
Estensione del file
Nome processo

Percorso del contenuto escluso

Usato per escludere il contenuto dall'analisi in base al percorso completo del file.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave sentiero Percorso
Data type Stringa Stringa
Valori possibili percorsi validi percorsi validi
Commenti Applicabile solo se $type è excludedPath Accesso nel popup Modifica istanza

Tipo di percorso (file/directory)

Indica se la proprietà path fa riferimento a un file o a una directory.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave isDirectory Directory is
Data type Booleano Elenco a discesa
Valori possibili false (impostazione predefinita)
true
Enabled
Disabled
Commenti Applicabile solo se $type è excludedPath Accesso nel popup Modifica istanza

Estensione file esclusa dall'analisi

Usato per escludere il contenuto dall'analisi in base all'estensione di file.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave estensione Estensione del file
Data type Stringa Stringa
Valori possibili estensioni di file valide estensioni di file valide
Commenti Applicabile solo se $type è excludedFileExtension Accesso nel popup Configura istanza

Processo escluso dall'analisi

Specifica un processo per il quale tutte le attività di file vengono escluse dall'analisi. Il processo può essere specificato in base al nome (ad esempio, cat) o al percorso completo (ad esempio, /bin/cat).

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave nome Nome del file
Data type Stringa Stringa
Valori possibili qualsiasi stringa qualsiasi stringa
Commenti Applicabile solo se $type è excludedFileName Accesso nel popup Configura istanza

Muting non exec mounts

Specifica il comportamento di RTP nel punto di montaggio contrassegnato come noexec. Per l'impostazione sono disponibili due valori:

  • Non modificato (unmute): il valore predefinito, tutti i punti di montaggio vengono analizzati come parte di RTP.
  • Disattivato (mute): i punti di montaggio contrassegnati come noexec non vengono analizzati come parte di RTP, questi punti di montaggio possono essere creati per:
    • File di database nei server di database per mantenere i file di database.
    • Il file server può mantenere i punti di montaggio dei file di dati con noexec l'opzione .
    • Il backup può mantenere i punti di montaggio dei file di dati con noexec l'opzione .
Descrizione Valore JSON Microsoft Defender valore del portale
Chiave nonExecMountPolicy non execute mount mute
Data type Stringa Elenco a discesa
Valori possibili unmute (impostazione predefinita)
mute
Not configured
unmute (Impostazione predefinita)
mute

Nota

Disponibile in Defender per la versione 101.85.27 endpoint o versione successiva.

Annullare il monitoraggio dei file system

Configurare i file system da non monitorare o escludere dalla protezione in tempo reale (RTP). I file system configurati vengono convalidati in base all'elenco di file system consentiti di Microsoft Defender. I file system possono essere monitorati solo dopo la convalida. Questi file system non monitorati configurati vengono ancora analizzati da analisi rapide, complete e personalizzate in Microsoft Defender Antivirus.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave unmonitoredFilesystems File system non monitorati
Data type Matrice di stringhe Elenco di stringhe dinamiche

Nota

Il file system configurato non verrà monitorato solo se è presente nell'elenco microsoft dei file system non monitorati consentiti.

Per impostazione predefinita, NFS e Fuse non vengono monitorati da analisi RTP, rapide e complete. Tuttavia, possono comunque essere analizzati da un'analisi personalizzata. Ad esempio, per rimuovere NFS dall'elenco di file system non monitorati, aggiornare il file di configurazione gestito come illustrato di seguito. In questo modo, NFS verrà aggiunto automaticamente all'elenco dei file system monitorati per RTP.

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["Fuse"]
  }
}

Per rimuovere sia NFS che Fuse dall'elenco di file system non monitorato, usare il frammento di codice seguente:

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

Nota

Ecco l'elenco predefinito dei file system monitorati per RTP: btrfs, , ecryptfs, ext2ext3, , ext4, fuseblk, jfs, , overlay, , ramfs, reiserfs, , tmpfs, , vfate xfs.

Se è necessario aggiungere un file system monitorato all'elenco dei file system non monitorati, è necessario valutarlo e abilitarlo tramite la configurazione cloud. Dopo di che i clienti possono aggiornare managed_mdatp.json per annullare il monitoraggio del file system.

Configurare la funzionalità di calcolo dell'hash dei file

Abilita o disabilita la funzionalità di calcolo dell'hash dei file. Quando questa funzionalità è abilitata, Defender per endpoint calcola gli hash per i file che analizza. Si noti che l'abilitazione di questa funzionalità potrebbe influire sulle prestazioni del dispositivo. Per altri dettagli, vedere: Creare indicatori per i file.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave enableFileHashComputation Abilitare il calcolo dell'hash dei file
Data type Booleano Elenco a discesa
Valori possibili false (impostazione predefinita)
true
Not configured
Disabled (impostazione predefinita)
Enabled

Nota

Disponibile in Defender per la versione 101.85.27 endpoint o versione successiva.

Minacce consentite

Elenco di minacce (identificate dal nome) che non sono bloccate dal prodotto e che sono invece consentite per l'esecuzione.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave allowedThreats Minacce consentite
Data type Matrice di stringhe Elenco di stringhe dinamiche

Azioni di minaccia non consentite

Limita le azioni che l'utente locale di un dispositivo può eseguire quando vengono rilevate minacce. Le azioni incluse in questo elenco non vengono visualizzate nell'interfaccia utente.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave disallowedThreatActions Azioni di minaccia non consentite
Data type Matrice di stringhe Elenco di stringhe dinamiche
Valori possibili allow (impedisce agli utenti di consentire le minacce)
restore (impedisce agli utenti di ripristinare le minacce dalla quarantena)
allow (impedisce agli utenti di consentire le minacce)
restore (impedisce agli utenti di ripristinare le minacce dalla quarantena)

Nota

Disponibile in Defender per la versione 100.83.73 endpoint o versione successiva.

Impostazioni del tipo di minaccia

La preferenza threatTypeSettings nel motore antivirus viene usata per controllare il modo in cui determinati tipi di minaccia vengono gestiti dal prodotto.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave threatTypeSettings Impostazioni del tipo di minaccia
Data type Dizionario (preferenza annidata) Elenco proprietà dinamiche
Commenti Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti. Per una descrizione delle proprietà dinamiche, vedere le sezioni seguenti.

Tipo di minaccia

Tipo di minaccia per cui è configurato il comportamento.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave chiave Tipo di minaccia
Data type Stringa Elenco a discesa
Valori possibili potentially_unwanted_application
archive_bomb
potentially_unwanted_application
archive_bomb

Procedura da seguire

Azione da eseguire quando si verifica una minaccia del tipo specificato nella sezione precedente. Può essere:

  • Controllo: il dispositivo non è protetto da questo tipo di minaccia, ma viene registrata una voce relativa alla minaccia. (Predefinito)
  • Blocca: il dispositivo è protetto da questo tipo di minaccia e viene inviata una notifica nel portale di Microsoft Defender.
  • Disattivato: il dispositivo non è protetto da questo tipo di minaccia e non viene registrato nulla.
Descrizione Valore JSON Microsoft Defender valore del portale
Chiave valore Procedura da seguire
Data type Stringa Elenco a discesa
Valori possibili audit (impostazione predefinita)
block
off
audit
block
disattivato

Criteri di unione delle impostazioni del tipo di minaccia

Specifica i criteri di unione per le impostazioni del tipo di minaccia. Può trattarsi di una combinazione di impostazioni definite dall'amministratore e definite dall'utente (merge) o solo impostazioni definite dall'amministratore (admin_only). Le impostazioni definite dall'amministratore (admin_only) sono impostazioni del tipo di minaccia configurate dai criteri di Defender per endpoint. Questa impostazione può essere usata per impedire agli utenti locali di definire le proprie impostazioni per tipi di minaccia diversi.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave threatTypeSettingsMergePolicy Unione delle impostazioni del tipo di minaccia
Data type Stringa Elenco a discesa
Valori possibili merge (impostazione predefinita)
admin_only
Not configured
merge (Impostazione predefinita)
admin_only

Nota

Disponibile in Defender per la versione 100.83.73 endpoint o versione successiva.

Conservazione della cronologia dell'analisi antivirus (in giorni)

Specificare il numero di giorni in cui i risultati vengono conservati nella cronologia di analisi nel dispositivo. I risultati dell'analisi precedenti vengono rimossi dalla cronologia. File in quarantena precedenti che vengono rimossi anche dal disco.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave scanResultsRetentionDays Conservazione dei risultati dell'analisi
Data type Stringa Interruttore interruttore e intero
Valori possibili 90 (impostazione predefinita). I valori consentiti sono compresi tra 1 giorno e 180 giorni. Not configured (attiva/disattiva - Impostazione predefinita di 90 giorni)
Configured (attiva/disattiva) e il valore consentito da 1 a 180 giorni.

Nota

Disponibile in Defender per la versione 101.04.76 endpoint o versione successiva.

Numero massimo di elementi nella cronologia di analisi antivirus

Specificare il numero massimo di voci da mantenere nella cronologia di analisi. Le voci includono tutte le analisi su richiesta eseguite in passato e tutti i rilevamenti antivirus.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave scanHistoryMaximumItems Dimensioni della cronologia di analisi
Data type Stringa Attiva/Disattiva e Intero
Valori possibili 10000 (impostazione predefinita). I valori consentiti sono da 5000 elementi a 15000 elementi. Non configurato (disattivato - impostazione predefinita 10000)
Configured (attiva/disattiva) e il valore consentito è compreso tra 5000 e 15000 elementi.

Nota

Disponibile in Defender per la versione 101.04.76 endpoint o versione successiva.

Preferenze di impostazione dell'esclusione

Le preferenze delle impostazioni di esclusione sono attualmente in anteprima.

Nota

Le esclusioni globali sono attualmente in anteprima pubblica e sono disponibili in Defender per endpoint a partire dalla versione 101.23092.0012 o versioni successive negli anelli Insiders Slow e Production.

La exclusionSettings sezione del profilo di configurazione viene usata per configurare diverse esclusioni per Microsoft Defender per endpoint per Linux.

Descrizione Valore JSON
Chiave exclusionSettings
Data type Dizionario (preferenza annidata)
Commenti Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti.

Nota

Le esclusioni antivirus già configurate in (antivirusEngine) in JSON gestito continueranno a funzionare così come sono senza alcun impatto. Tutte le nuove esclusioni , incluse le esclusioni antivirus, possono essere aggiunte in questa sezione completamente nuova (exclusionSettings). Questa sezione non è inclusa nel tag (antivirusEngine) perché è dedicata esclusivamente alla configurazione di tutti i tipi di esclusioni che verranno in futuro. È anche possibile continuare a usare (antivirusEngine) per configurare le esclusioni antivirus.

Criteri di unione

Specifica i criteri di unione per le esclusioni. Specifica se può essere una combinazione di esclusioni definite dall'amministratore e definite dall'utente (merge) o solo esclusioni definite dall'amministratore (admin_only). Questa impostazione può essere usata per impedire agli utenti locali di definire le proprie esclusioni. È applicabile per le esclusioni di tutti gli ambiti.

Descrizione Valore JSON
Chiave mergePolicy
Data type Stringa
Valori possibili merge (impostazione predefinita)
admin_only
Commenti Disponibile in Defender per endpoint versione settembre 2023 o successiva.

Esclusioni

Le entità che devono essere escluse possono essere specificate da percorsi completi, estensioni o nomi di file. Ogni entità di esclusione, ad esempio percorso completo, estensione o nome file, ha un ambito facoltativo che può essere specificato. Se non specificato, il valore predefinito dell'ambito in questa sezione è globale. Le esclusioni vengono specificate come matrice di elementi. L'amministratore può specificare il numero di elementi necessario, in qualsiasi ordine.

Descrizione Valore JSON
Chiave exclusions
Data type Dizionario (preferenza annidata)
Commenti Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti.

Tipo di esclusione

Specifica il tipo di contenuto escluso dall'analisi.

Descrizione Valore JSON
Chiave $type
Data type Stringa
Valori possibili excludedPath
excludedFileExtension
excludedFileName

Ambito di esclusione (facoltativo)

Specifica il set di ambiti di esclusione del contenuto escluso. Gli ambiti attualmente supportati sono epp e global.

Se non viene specificato nulla in per un'esclusione in exclusionSettings nella configurazione gestita, viene global considerato come ambito.

Nota

Le esclusioni antivirus configurate in precedenza in (antivirusEngine) in JSON gestito continueranno a funzionare e il relativo ambito viene considerato (epp) poiché sono state aggiunte come esclusioni antivirus.

Descrizione Valore JSON
Chiave Ambiti
Data type Set di stringhe
Valori possibili epp
global

Nota

Le esclusioni applicate in precedenza tramite (mdatp_managed.json) o dall'interfaccia della riga di comando rimarranno inalterate. L'ambito per tali esclusioni sarà (epp) dal momento che sono state aggiunte in (antivirusEngine).

Percorso del contenuto escluso

Usato per escludere il contenuto dall'analisi in base al percorso completo del file.

Descrizione Valore JSON
Chiave sentiero
Data type Stringa
Valori possibili percorsi validi
Commenti Applicabile solo se $type è excludedPath.
Il carattere jolly non è supportato se l'esclusione è globale come ambito.

Tipo di percorso (file/directory)

Indica se la proprietà path fa riferimento a un file o a una directory.

Nota

Il percorso del file deve esistere già se si aggiunge l'esclusione di file con ambito globale.

Descrizione Valore JSON
Chiave isDirectory
Data type Booleano
Valori possibili false (impostazione predefinita)
true
Commenti Applicabile solo se $type è excludedPath.
Il carattere jolly non è supportato se l'esclusione è globale come ambito.

Estensione file esclusa dall'analisi

Usato per escludere il contenuto dall'analisi in base all'estensione di file.

Descrizione Valore JSON
Chiave estensione
Data type Stringa
Valori possibili estensioni di file valide
Commenti Applicabile solo se $type è excludedFileExtension.
Non supportato se l'esclusione è globale come ambito.

Processo escluso dall'analisi

Specifica un processo per il quale tutte le attività di file vengono escluse dall'analisi. Il processo può essere specificato in base al nome (ad esempio, cat) o al percorso completo (ad esempio, /bin/cat).

Descrizione Valore JSON
Chiave nome
Data type Stringa
Valori possibili qualsiasi stringa
Commenti Applicabile solo se $type è excludedFileName.
I caratteri jolly e il nome del processo non sono supportati se l'esclusione è globale come ambito, è necessario fornire il percorso completo.

Opzioni di analisi avanzate

È possibile configurare le impostazioni seguenti per abilitare alcune funzionalità di analisi avanzate.

Importante

L'abilitazione di queste funzionalità potrebbe influire sulle prestazioni del dispositivo. Di conseguenza, è consigliabile mantenere le impostazioni predefinite, a meno che non sia consigliato diversamente da supporto tecnico Microsoft.

Configurare l'analisi degli eventi delle autorizzazioni di modifica dei file

Quando questa funzionalità è abilitata, Defender per endpoint analizzerà i file quando le relative autorizzazioni sono state modificate per impostare i bit di esecuzione.

Nota

Questa funzionalità è applicabile solo quando la enableFilePermissionEvents funzionalità è abilitata. Per altre informazioni, vedere la sezione Funzionalità facoltative avanzate di seguito per informazioni dettagliate.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave scanFileModifyPermissions Non disponibile
Data type Booleano n/d
Valori possibili false (impostazione predefinita)
true
n/d

Nota

Disponibile in Defender per la versione 101.23062.0010 endpoint o versione successiva.

Configurare l'analisi degli eventi di proprietà di modifica file

Quando questa funzionalità è abilitata, Defender per endpoint analizzerà i file per i quali è stata modificata la proprietà.

Nota

Questa funzionalità è applicabile solo quando la enableFileOwnershipEvents funzionalità è abilitata. Per altre informazioni, vedere la sezione Funzionalità facoltative avanzate di seguito per informazioni dettagliate.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave scanFileModifyOwnership Non disponibile
Data type Booleano n/d
Valori possibili false (impostazione predefinita)
true
n/d

Nota

Disponibile in Defender per la versione 101.23062.0010 endpoint o versione successiva.

Configurare l'analisi degli eventi socket non elaborati

Quando questa funzionalità è abilitata, Defender per endpoint analizzerà gli eventi del socket di rete, ad esempio la creazione di socket non elaborati/socket di pacchetti o l'impostazione dell'opzione socket.

Nota

Questa funzionalità è applicabile solo quando il monitoraggio del comportamento è abilitato. Questa funzionalità è applicabile solo quando la enableRawSocketEvent funzionalità è abilitata. Per altre informazioni, vedere la sezione Funzionalità facoltative avanzate di seguito per informazioni dettagliate.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave scanNetworkSocketEvent Non disponibile
Data type Booleano n/d
Valori possibili false (impostazione predefinita)
true
n/d

Nota

Disponibile in Defender per la versione 101.23062.0010 endpoint o versione successiva.

Preferenze di protezione fornite dal cloud

La voce cloudService nel profilo di configurazione viene usata per configurare la funzionalità di protezione basata sul cloud del prodotto.

Nota

La protezione fornita dal cloud è applicabile a tutte le impostazioni del livello di imposizione (real_time, on_demand, passivo).

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave cloudService Preferenze di protezione recapitate dal cloud
Data type Dizionario (preferenza annidata) Sezione compressa
Commenti Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti. Per una descrizione delle impostazioni dei criteri, vedere le sezioni seguenti.

Abilitare o disabilitare la protezione fornita dal cloud

Determina se la protezione fornita dal cloud è abilitata o meno nel dispositivo. Per migliorare la sicurezza dei servizi, è consigliabile mantenere attiva questa funzionalità.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave enabled Abilitare la protezione fornita dal cloud
Data type Booleano Elenco a discesa
Valori possibili true (impostazione predefinita)
false
Non configurata
Disabilitato
Abilitato (impostazione predefinita)

Livello raccolta diagnostica

I dati di diagnostica vengono usati per mantenere Defender per endpoint sicuro e aggiornato, rilevare, diagnosticare e risolvere i problemi e apportare miglioramenti al prodotto. Questa impostazione determina il livello di diagnostica inviato dal prodotto a Microsoft. Per altre informazioni, vedere Privacy per Microsoft Defender per endpoint in Linux.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave diagnosticLevel Livello di raccolta dati di diagnostica
Data type Stringa Elenco a discesa
Valori possibili optional
required (impostazione predefinita)
Not configured
optional (Impostazione predefinita)
required

Configurare il livello di blocco cloud

Questa impostazione determina quanto defender per endpoint sia aggressivo nel bloccare e analizzare i file sospetti. Se questa impostazione è attivata, Defender per endpoint è più aggressivo quando si identificano i file sospetti da bloccare e analizzare; in caso contrario, è meno aggressivo e quindi blocca e analizza con minore frequenza.

Sono disponibili cinque valori per l'impostazione del livello di blocco cloud:

  • Normale (normal): livello di blocco predefinito.
  • Moderato (moderate): restituisce il verdetto solo per i rilevamenti con attendibilità elevata.
  • Alto (high): blocca in modo aggressivo i file sconosciuti durante l'ottimizzazione per le prestazioni (maggiore probabilità di bloccare i file non dannosi).
  • High Plus (high_plus): blocca in modo aggressivo i file sconosciuti e applica misure di protezione aggiuntive (potrebbe influire sulle prestazioni del dispositivo client).
  • Tolleranza zero (zero_tolerance): blocca tutti i programmi sconosciuti.
Descrizione Valore JSON Microsoft Defender valore del portale
Chiave cloudBlockLevel Configurare il livello di blocco cloud
Data type Stringa Elenco a discesa
Valori possibili normal (impostazione predefinita)
moderate
high
high_plus
zero_tolerance
Not configured
Normal (impostazione predefinita)
Moderate
High
High_Plus
Zero_Tolerance

Nota

Disponibile in Defender per la versione 101.56.62 endpoint o versione successiva.

Abilitare o disabilitare gli invii di esempi automatici

Determina se gli esempi sospetti (che probabilmente contengono minacce) vengono inviati a Microsoft. Esistono tre livelli per controllare l'invio di campioni:

  • Nessuno: nessun esempio sospetto viene inviato a Microsoft.
  • Sicuro: vengono inviati automaticamente solo esempi sospetti che non contengono informazioni personali. Questo è il valore predefinito per questa impostazione.
  • Tutti: tutti gli esempi sospetti vengono inviati a Microsoft.
Descrizione Valore JSON Microsoft Defender valore del portale
Chiave automaticSampleSubmissionConsent Abilitare gli invii di esempi automatici
Data type Stringa Elenco a discesa
Valori possibili none
safe (impostazione predefinita)
all
Not configured
None
Safe (Impostazione predefinita)
All

Abilitare o disabilitare gli aggiornamenti automatici dell'intelligence di sicurezza

Determina se gli aggiornamenti di Security Intelligence vengono installati automaticamente:

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave automaticDefinitionUpdateEnabled Aggiornamenti automatici delle funzionalità di intelligence per la sicurezza
Data type Booleano Elenco a discesa
Valori possibili true (impostazione predefinita)
false
Not configured
Disabled
Enabled (Impostazione predefinita)

A seconda del livello di imposizione, gli aggiornamenti automatici di Security Intelligence vengono installati in modo diverso. In modalità RTP, gli aggiornamenti vengono installati periodicamente. In modalità passiva/su richiesta gli aggiornamenti vengono installati prima di ogni analisi.

Funzionalità facoltative avanzate

Le impostazioni seguenti possono essere configurate per abilitare determinate funzionalità avanzate.

Importante

L'abilitazione di queste funzionalità potrebbe influire sulle prestazioni del dispositivo. È consigliabile mantenere le impostazioni predefinite, a meno che non sia consigliato diversamente da supporto tecnico Microsoft.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave tratti somatici Non disponibile
Data type Dizionario (preferenza annidata) n/a
Commenti Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti.

Funzionalità di caricamento del modulo

Determina se gli eventi di caricamento del modulo (eventi di apertura file nelle librerie condivise) vengono monitorati.

Nota

Questa funzionalità è applicabile solo quando il monitoraggio del comportamento è abilitato.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave moduleLoad Non disponibile
Data type Stringa n/a
Valori possibili disabled (impostazione predefinita)
enabled
n/a
Commenti Disponibile in Defender per la versione 101.68.80 endpoint o versione successiva.

Correzione della funzionalità File infetto

Determina se i processi infetti che aprono o caricano un file infetto verranno corretti o meno.

Nota

Se abilitata, i processi che aprono o caricano qualsiasi file infetto vengono corretti in modalità RTP. Questi processi non vengono visualizzati nell'elenco delle minacce perché non sono dannosi, ma vengono terminati solo perché caricano il file delle minacce in memoria.

Descrizione Valore JSON Valore del portale di Defender
Chiave remediateInfectedFile Non disponibile
Data type Stringa n/a
Valori possibili disabilitato (impostazione predefinita)

abilitati

n/a
Commenti Disponibile in Defender per la versione 101.24122.0001 endpoint o versione successiva.

Configurazioni supplementari del sensore

Le impostazioni seguenti possono essere usate per configurare alcune funzionalità avanzate del sensore supplementare.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave supplementarySensorConfigurations Non disponibile
Data type Dizionario (preferenza annidata) n/a
Commenti Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti.

Configurare il monitoraggio degli eventi di autorizzazioni di modifica dei file

Determina se gli eventi delle autorizzazioni di modifica file (chmod) vengono monitorati.

Nota

Quando questa funzionalità è abilitata, Defender per endpoint monitorerà le modifiche apportate ai bit di esecuzione dei file, ma non analizzerà questi eventi. Per altre informazioni, vedere la sezione Funzionalità di analisi avanzate per altri dettagli.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave enableFilePermissionEvents Non disponibile
Data type Stringa n/a
Valori possibili disabled (impostazione predefinita)
enabled
n/a
Commenti Disponibile in Defender per la versione 101.23062.0010 endpoint o versione successiva.

Configurare il monitoraggio degli eventi di proprietà di modifica file

Determina se gli eventi di proprietà di modifica file (chown) vengono monitorati.

Nota

Quando questa funzionalità è abilitata, Defender per endpoint monitorerà le modifiche alla proprietà dei file, ma non analizzerà questi eventi. Per altre informazioni, vedere la sezione Funzionalità di analisi avanzate per altri dettagli.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave enableFileOwnershipEvents Non disponibile
Data type Stringa n/a
Valori possibili disabled (impostazione predefinita)
enabled
n/a
Commenti Disponibile in Defender per la versione 101.23062.0010 endpoint o versione successiva.

Configurare il monitoraggio degli eventi socket non elaborati

Determina se gli eventi del socket di rete che prevedono la creazione di socket non elaborati/socket di pacchetti o l'impostazione dell'opzione socket vengono monitorati.

Nota

Questa funzionalità è applicabile solo quando il monitoraggio del comportamento è abilitato. Quando questa funzionalità è abilitata, Defender per endpoint monitorerà questi eventi del socket di rete, ma non analizza questi eventi. Per altre informazioni, vedere la sezione Funzionalità di analisi avanzate precedente per altri dettagli.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave enableRawSocketEvent Non disponibile
Data type Stringa n/a
Valori possibili disabled (impostazione predefinita)
enabled
n/a
Commenti Disponibile in Defender per la versione 101.23062.0010 endpoint o versione successiva.

Configurare il monitoraggio degli eventi del caricatore di avvio

Determina se gli eventi del caricatore di avvio vengono monitorati e analizzati.

Nota

Questa funzionalità è applicabile solo quando il monitoraggio del comportamento è abilitato.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave enableBootLoaderCalls Non disponibile
Data type Stringa n/a
Valori possibili disabled (impostazione predefinita)
enabled
n/a
Commenti Disponibile in Defender per la versione 101.68.80 endpoint o versione successiva.

Configurare il monitoraggio degli eventi ptrace

Determina se gli eventi ptrace vengono monitorati e analizzati.

Nota

Questa funzionalità è applicabile solo quando il monitoraggio del comportamento è abilitato.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave enableProcessCalls Non disponibile
Data type Stringa n/a
Valori possibili disabled (impostazione predefinita)
enabled
n/a
Commenti Disponibile in Defender per la versione 101.68.80 endpoint o versione successiva.

Configurare il monitoraggio degli eventi pseudofs

Determina se gli eventi pseudofs vengono monitorati e analizzati.

Nota

Questa funzionalità è applicabile solo quando il monitoraggio del comportamento è abilitato.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave enablePseudofsCalls Non disponibile
Data type Stringa n/a
Valori possibili disabled (impostazione predefinita)
enabled
n/a
Commenti Disponibile in Defender per la versione 101.68.80 endpoint o versione successiva.

Configurare il monitoraggio degli eventi di caricamento dei moduli usando eBPF

Determina se gli eventi di caricamento del modulo vengono monitorati tramite eBPF e analizzati.

Nota

Questa funzionalità è applicabile solo quando il monitoraggio del comportamento è abilitato.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave enableEbpfModuleLoadEvents Non disponibile
Data type Stringa n/a
Valori possibili disabled (impostazione predefinita)
enabled
n/a
Commenti Disponibile in Defender per la versione 101.68.80 endpoint o versione successiva.

Configurare il monitoraggio degli eventi aperti da file system specifici usando eBPF

Determina se gli eventi aperti da procfs vengono monitorati da eBPF.

Nota

Questa funzionalità è applicabile solo quando il monitoraggio del comportamento è abilitato.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave enableOtherFsOpenEvents Non disponibile
Data type Stringa n/a
Valori possibili disabled (impostazione predefinita)
enabled
n/a
Commenti Disponibile in Defender per la versione 101.24072.0001 endpoint o versione successiva.

Configurare l'arricchimento dell'origine degli eventi tramite eBPF

Determina se gli eventi vengono arricchiti con metadati all'origine in eBPF.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave enableEbpfSourceEnrichment Non disponibile
Data type Stringa n/a
Valori possibili disabled (impostazione predefinita)
enabled
n/a
Commenti Disponibile in Defender per la versione 101.24072.0001 endpoint o versione successiva.

Abilitare la cache del motore antivirus

Determina se i metadati degli eventi analizzati dal motore antivirus vengono memorizzati nella cache o meno.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave enableAntivirusEngineCache Non disponibile
Data type Stringa n/a
Valori possibili disabled (impostazione predefinita)
enabled
n/a
Commenti Disponibile in Defender per la versione 101.24072.0001 endpoint o versione successiva.

Segnalare eventi sospetti AV a EDR

Determina se gli eventi sospetti di Antivirus vengono segnalati a EDR.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave sendLowfiEvents Non disponibile
Data type Stringa n/a
Valori possibili disabled (impostazione predefinita)
enabled
n/a
Commenti Disponibile in Defender per la versione 101.23062.0010 endpoint o versione successiva.

Configurazioni di protezione di rete

Nota

Si tratta di una funzionalità di anteprima. Per essere efficaci, La protezione di rete deve essere attivata. Per altre informazioni, vedere Attivare la protezione di rete per Linux.

Le impostazioni seguenti possono essere usate per configurare le funzionalità avanzate di ispezione di Protezione rete per controllare il traffico controllato da Protezione di rete.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave networkProtection Protezione della rete
Data type Dizionario (preferenza annidata) Sezione compressa
Commenti Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti. Per una descrizione delle impostazioni dei criteri, vedere le sezioni seguenti.

Livello di imposizione

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave enforcementLevel Livello di imposizione
Data type Stringa Elenco a discesa
Valori possibili disabled (impostazione predefinita)
audit
block
Not configured
disabled (impostazione predefinita)
audit
block

Configurare l'ispezione ICMP

Determina se gli eventi ICMP vengono monitorati e analizzati.

Nota

Questa funzionalità è applicabile solo quando il monitoraggio del comportamento è abilitato.

Descrizione Valore JSON Microsoft Defender valore del portale
Chiave disableIcmpInspection Non disponibile
Data type Booleano n/a
Valori possibili true (impostazione predefinita)
false
n/a
Commenti Disponibile in Defender per la versione 101.23062.0010 endpoint o versione successiva.

Aggiungere tag o ID gruppo al profilo di configurazione

Quando si esegue il mdatp health comando per la prima volta, il valore per il tag e l'ID gruppo sarà vuoto. Per aggiungere un tag o un ID gruppo al mdatp_managed.json file, seguire questa procedura:

  1. Aprire il profilo di configurazione dal percorso /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

  2. Andare verso il basso nella parte inferiore del file, dove si trova il cloudService blocco.

  3. Aggiungere il tag o l'ID gruppo richiesto come nell'esempio seguente alla fine della parentesi graffa di chiusura per .cloudService

    },
    "cloudService": {
     "enabled": true,
     "diagnosticLevel": "optional",
     "automaticSampleSubmissionConsent": "safe",
     "automaticDefinitionUpdateEnabled": true,
     "proxy": "http://proxy.server:port/"
    },
    "edr": {
    "groupIds":"GroupIdExample",
    "tags": [
             {
             "key": "GROUP",
             "value": "Tag"
             }
           ]
       }
    }
    

    Nota

    Aggiungere la virgola dopo la parentesi graffa di chiusura alla fine del cloudService blocco. Assicurarsi inoltre che siano presenti due parentesi graffe di chiusura dopo l'aggiunta del blocco Tag o ID gruppo (vedere l'esempio precedente). Al momento, l'unico nome di chiave supportato per i tag è GROUP.

Convalida del profilo di configurazione

Il profilo di configurazione deve essere un file in formato JSON valido. Esistono molti strumenti che possono essere usati per verificarlo. Ad esempio, se è stato python installato nel dispositivo:

python -m json.tool mdatp_managed.json

Se il formato JSON è corretto, il comando precedente lo restituisce al terminale e restituisce un codice di uscita di 0. In caso contrario, viene visualizzato un errore che descrive il problema e il comando restituisce un codice di uscita di 1.

Verifica del funzionamento del file mdatp_managed.json come previsto

Per verificare che l'utente /etc/opt/microsoft/mdatp/managed/mdatp_managed.json funzioni correttamente, dovrebbe essere visualizzato "[gestito]" accanto a queste impostazioni:

  • cloud_enabled
  • cloud_automatic_sample_submission_consent
  • passive_mode_enabled
  • real_time_protection_enabled
  • automatic_definition_update_enabled

Nota

Per rendere effettive le modifiche alla maggior parte delle configurazioni in, mdatp_managed.json non è necessario riavviare il daemon mdatp. Eccezione: Per rendere effettive le configurazioni seguenti è necessario un riavvio daemon:

  • cloud-diagnostic
  • log-rotation-parameters

Distribuzione del profilo di configurazione

Dopo aver creato il profilo di configurazione per l'azienda, è possibile distribuirlo tramite lo strumento di gestione usato dall'azienda. Defender per endpoint in Linux legge la configurazione gestita da /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.