Linux 上のMicrosoft Defender for Endpointのセキュリティ設定とポリシーを構成する
適用対象:
- サーバーのMicrosoft Defender for Endpoint
- サーバープラン 1 またはプラン 2 のMicrosoft Defender
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
構成する設定とポリシーの概要
Linux 上のMicrosoft Defender for Endpointには、ウイルス対策、マルウェア対策保護、エンドポイント検出、応答機能が含まれます。 この記事では、構成する重要な設定と、その他のリソースへのリンクを示します。
| Settings | 説明 |
|---|---|
| 1. 静的プロキシ検出を構成します。 | 静的プロキシを構成すると、テレメトリが送信され、ネットワークのタイムアウトを回避するのに役立ちます。 Defender for Endpoint のインストール中とインストール後に、このタスクを実行します。 静的プロキシ検出については、「Linux でMicrosoft Defender for Endpointを構成する」を参照してください。 |
| 2. ウイルス対策スキャンを構成します。 | 自動ウイルス対策スキャンをスケジュールするには、Anacron または Crontab を使用します。 次の記事をご覧ください。 - Anacron を使用して Linux 上のMicrosoft Defender for Endpointでウイルス対策スキャンをスケジュールする - Crontab を使用して Linux 上のMicrosoft Defender for Endpointでウイルス対策スキャンをスケジュールする |
| 3. セキュリティ設定とポリシーを構成します。 | Microsoft Defender ポータル (Defender for Endpoint Security Settings Management) または構成プロファイル (.json ファイル) を使用して、Defender for Endpoint on Linux を構成できます。 または、必要に応じて、コマンド ラインを使用して特定の設定を構成できます。 次の記事をご覧ください。 - Defender for Endpoint Security Settings Management - 構成プロファイル - コマンドライン |
| 4. 除外の構成と検証 (必要に応じて) | 特定のファイル、フォルダー、プロセス、プロセスで開かれたファイルを、Linux 上の Defender for Endpoint から除外できます。 グローバル除外は、リアルタイム保護 (RTP)、動作監視 (BM)、エンドポイント検出と応答 (EDR) に適用されるため、関連付けられているすべてのウイルス対策検出、EDR アラート、除外された項目の可視性を停止します。 Linux でのMicrosoft Defender for Endpointの除外の構成と検証に関するページを参照してください。 |
| 5. eBPF ベースのセンサーを構成します。 | Linux 上のMicrosoft Defender for Endpoint用の拡張されたバークレイ パケット フィルター (eBPF) は、101.23082.0006以降のエージェント バージョンでは、既定ですべての顧客に対して自動的に有効になります。 Linux オペレーティング システムの補足イベント データを提供し、アプリケーション間の競合の可能性を減らすのに役立ちます。 Linux でMicrosoft Defender for Endpointするには、「eBPF ベースのセンサーを使用する」を参照してください。 |
| 6. オフライン セキュリティ インテリジェンス更新プログラムを構成する (必要に応じて) | オフライン セキュリティ インテリジェンス更新プログラムを使用すると、インターネットへのアクセスが制限されているか、まったく公開されていない Linux サーバーのセキュリティ インテリジェンス更新プログラムを構成できます。 Microsoft クラウドに接続して署名をダウンロードできるローカル ホスティング サーバー ("ミラー サーバー" を設定できます。 その他の Linux エンドポイントでは、定義済みの間隔でミラー サーバーから更新プログラムをプルできます。 Linux でのMicrosoft Defender for Endpointのオフライン セキュリティ インテリジェンス更新プログラムの構成に関するページを参照してください。 |
| 7. 更新プログラムをデプロイします。 | Microsoft では、パフォーマンス、セキュリティを向上させ、新機能を提供するためのソフトウェア更新プログラムを定期的に公開しています。 Linux でのMicrosoft Defender for Endpointの更新プログラムのデプロイに関するページを参照してください。 |
| 8. ネットワーク保護を構成する (プレビュー) | ネットワーク保護は、従業員がアプリケーションを使用して、インターネット上でフィッシング詐欺、悪用、その他の悪意のあるコンテンツをホストする可能性のある危険なドメインにアクセスできないようにするのに役立ちます。 「Linux のネットワーク保護」を参照してください。 |
セキュリティ ポリシーと設定を構成するためのオプション
Linux 上の Defender for Endpoint のセキュリティ ポリシーと設定を構成するには、次の 2 つのメインオプションがあります。
- Microsoft Defender ポータル (Defender for Endpoint Security Settings Management) または
- 構成プロファイルを使用する
コマンド ラインを使用してセキュリティ設定を構成する場合は、これを使用して特定の設定の構成、診断の収集、スキャンの実行などを行うことができます。 「 リソース」を参照してください。
Defender for Endpoint Security Settings Management
Defender for Endpoint on Linux は、セキュリティ設定管理と呼ばれる機能を使用して、Microsoft Defender ポータル (https://security.microsoft.com) で構成できます。 セキュリティ ポリシーを作成、編集、検証する方法など、詳細については、「Microsoft Defender for Endpointセキュリティ設定管理を使用してウイルス対策Microsoft Defender管理する」を参照してください。
構成プロファイル
.json ファイルを使用する構成プロファイルを使用して、Linux 上の Defender for Endpoint を構成できます。 プロファイルを設定したら、任意の管理ツールを使用して展開できます。 企業によって管理される基本設定は、デバイス上でローカルに設定されたものよりも優先されます。 つまり、エンタープライズ内のユーザーは、この構成プロファイルを使用して設定された基本設定を変更できません。 マネージド構成プロファイルを通じて除外が追加された場合、除外はマネージド構成プロファイルを介してのみ削除できます。 コマンド ラインは、ローカルに追加された除外に対して機能します。
この記事では、このプロファイルの構造 (開始に使用できる推奨プロファイルを含む) と、プロファイルを展開する方法の手順について説明します。
構成プロファイルの構造
構成プロファイルは、キーによって識別されるエントリ (基本設定の名前を示す) で構成される .json ファイルで、その後に値が続きます。これは、基本設定の性質に応じて異なります。 数値などの単純な値や、入れ子になった基本設定のリストなどの複雑な値を指定できます。
通常、構成管理ツールを使用して、/etc/opt/microsoft/mdatp/managed/場所にmdatp_managed.jsonという名前のファイルをプッシュします。
構成プロファイルの最上位には、製品全体の基本設定と、製品のサブエリアのエントリが含まれています。これについては、次のセクションで詳しく説明します。
推奨される構成プロファイル
このセクションには、次の 2 つの構成プロファイルの例が含まれています。
- 推奨設定の使用を開始するのに役立つサンプル プロファイル。
- セキュリティ設定をより詳細に制御する組織の完全な構成プロファイルの例。
開始するには、organizationの最初のサンプル プロファイルを使用することをお勧めします。 より詳細な制御を行うには、代わりに 完全な構成プロファイルの例 を使用できます。
サンプル プロファイル
これは、Defender for Endpoint on Linux が提供する重要な保護機能を活用するのに役立ちます。 次の構成プロファイル:
- リアルタイム保護 (RTP) を有効にする
- 次の脅威の種類の処理方法を指定します。
- 望ましくない可能性のあるアプリケーション (PUA) がブロックされる
- アーカイブ爆弾 (圧縮率の高いファイル) は、製品ログに対して監査されます
- セキュリティ インテリジェンスの自動更新を有効にする
- クラウドで提供される保護を有効にする
-
safeレベルで自動サンプル送信を有効にする
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
完全な構成プロファイルの例
次の構成プロファイルには、このドキュメントで説明されているすべての設定のエントリが含まれており、製品をより詳細に制御する高度なシナリオで使用できます。
注:
この JSON のプロキシ設定のみで、すべてのMicrosoft Defender for Endpoint通信を制御することはできません。
{
"antivirusEngine":{
"enforcementLevel":"passive",
"behaviorMonitoring": "disabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"enableFileHashComputation": false,
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
],
"scanFileModifyPermissions":false,
"scanFileModifyOwnership":false,
"scanNetworkSocketEvent":false,
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate":"disabled"
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
"definitionUpdatesInterval":28800
},
"features":{
"moduleLoad":"disabled",
"supplementarySensorConfigurations":{
"enableFilePermissionEvents":"disabled",
"enableFileOwnershipEvents":"disabled",
"enableRawSocketEvent":"disabled",
"enableBootLoaderCalls":"disabled",
"enableProcessCalls":"disabled",
"enablePseudofsCalls":"diabled",
"enableEbpfModuleLoadEvents":"disabled",
"sendLowfiEvents":"disabled"
},
"ebpfSupplementaryEventProvider":"enabled",
"offlineDefinitionUpdateVerifySig": "disabled"
},
"networkProtection":{
"enforcementLevel":"disabled",
"disableIcmpInspection":true
},
"edr":{
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Defender for Endpoint on Linux でのウイルス対策、マルウェア対策、EDR の設定
構成プロファイル (.json ファイル) を使用している場合でも、Microsoft Defender ポータル (セキュリティ設定管理) を使用している場合でも、Defender for Endpoint on Linux でウイルス対策、マルウェア対策、EDR の設定を構成できます。 次のセクションでは、設定を構成する場所と方法について説明します。
ウイルス対策エンジンの基本設定
構成プロファイルの antivirusEngine セクションは、製品のウイルス対策コンポーネントの基本設定を管理するために使用されます。
| 説明 | JSON 値 | Defender ポータルの値 |
|---|---|---|
| Key | antivirusEngine |
ウイルス対策エンジン |
| データ型 | ディクショナリ (入れ子になった基本設定) | 折りたたまれたセクション |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 | ポリシー プロパティの説明については、次のセクションを参照してください。 |
Microsoft Defender ウイルス対策の適用レベル
ウイルス対策エンジンの適用設定を指定します。 適用レベルの設定には、次の 3 つの値があります。
リアルタイム (
real_time): リアルタイム保護 (変更されたファイルのスキャン) が有効になっています。オンデマンド (
on_demand): ファイルはオンデマンドでのみスキャンされます。 この例では、次の操作を行います。- リアルタイム保護がオフになっています。
- 定義の更新は、
automaticDefinitionUpdateEnabledがオンデマンド モードでtrueに設定されている場合でも、スキャンの開始時にのみ発生します。
パッシブ (
passive): ウイルス対策エンジンをパッシブ モードで実行します。 この場合、次のすべてが適用されます。- リアルタイム保護がオフになっている: 脅威は、Microsoft Defenderウイルス対策によって修復されません。
- オンデマンド スキャンが有効になっている: エンドポイントでスキャン機能を引き続き使用します。
- 脅威の自動修復がオフになっている: ファイルは移動されません。セキュリティ管理者は必要なアクションを実行する必要があります。
- セキュリティ インテリジェンスの更新が有効になっている: アラートは、セキュリティ管理者のテナントで使用できます。
- 定義の更新は、
automaticDefinitionUpdateEnabledがパッシブ モードでtrueに設定されている場合でも、スキャンが開始されたときにのみ発生します。
注:
Defender for Endpoint バージョン 101.10.72 以降で使用できます。 既定は、Defender for Endpoint バージョン 101.23062.0001 以降で real_time から passive に変更されます。
要件に従って スケジュールされたスキャン も使用することをお勧めします。
動作監視を有効または無効にする (RTP が有効になっている場合)
重要
この機能は、適用レベルが real-time に設定されている場合にのみ機能します。
デバイスで動作の監視とブロック機能が有効かどうかを判断します。
| 説明 | JSON 値 | Defender ポータルの値 |
|---|---|---|
| Key | behaviorMonitoring | 動作の監視を有効にする |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 |
disabled (既定値)enabled |
未構成 無効 (既定値) 有効 |
注:
Defender for Endpoint バージョン 101.45.00 以降で使用できます。
定義の更新後にスキャンを実行する
重要
この機能は、適用レベルが real-time に設定されている場合にのみ機能します。
新しいセキュリティ インテリジェンス更新プログラムがデバイスにダウンロードされた後にプロセス スキャンを開始するかどうかを指定します。 この設定を有効にすると、デバイスの実行中のプロセスでウイルス対策スキャンがトリガーされます。
| 説明 | JSON 値 | Defender ポータルの値 |
|---|---|---|
| Key | scanAfterDefinitionUpdate |
定義の更新後にスキャンを有効にする |
| データ型 | ブール型 | ドロップ ダウン |
| 指定可能な値 |
true (既定値)false |
Not configuredDisabledEnabled (既定値) |
注:
Defender for Endpoint バージョン 101.45.00 以降で使用できます。
スキャン アーカイブ (オンデマンドウイルス対策スキャンのみ)
オンデマンドウイルス対策スキャン中にアーカイブをスキャンするかどうかを指定します。
| 説明 | JSON 値 | Defender ポータルの値 |
|---|---|---|
| Key | scanArchives |
アーカイブのスキャンを有効にする |
| データ型 | ブール型 | ドロップ ダウン |
| 指定可能な値 |
true (既定値)false |
未構成 無効 有効 (既定値) |
注:
Microsoft Defender for Endpoint バージョン 101.45.00 以降で使用できます。
アーカイブファイルは、リアルタイム保護中にスキャンされることはありません。 アーカイブ内のファイルが抽出されると、スキャンされます。
scanArchives オプションを使用すると、オンデマンド スキャン中にのみアーカイブを強制的にスキャンできます。
オンデマンド スキャンの並列処理の程度
オンデマンド スキャンの並列処理の程度を指定します。 これは、スキャンの実行に使用されるスレッドの数に対応し、CPU 使用率とオンデマンド スキャンの期間に影響します。
| 説明 | JSON 値 | Defender ポータルの値 |
|---|---|---|
| Key | maximumOnDemandScanThreads |
オンデマンド スキャン スレッドの最大数 |
| データ型 | 整数 | トグル スイッチ & 整数 |
| 指定可能な値 |
2 (既定値)。 使用できる値は、 1 と 64の間の整数です。 |
Not Configured (既定のトグルオフの既定値は 2)Configured (トグルオン) と 1 と 64の間の整数。 |
注:
Microsoft Defender for Endpoint バージョン 101.45.00 以降で使用できます。
除外マージ ポリシー
除外のマージ ポリシーを指定します。 管理者定義の除外とユーザー定義の除外 (merge) の組み合わせ、または管理者定義の除外 (admin_only) のみを指定できます。 管理者定義 (admin_only) は、Defender for Endpoint ポリシーによって構成される除外です。 この設定を使用すると、ローカル ユーザーが独自の除外を定義できないように制限できます。
ウイルス対策の下にあるため、このポリシーは、exclusionSettings にmergePolicyが (admin_only) として構成されていない限り、epp除外にのみ適用されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | exclusionsMergePolicy |
除外のマージ |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 |
merge (既定値)admin_only |
Not configuredmerge (既定値)admin_only |
注:
Defender for Endpoint バージョン 100.83.73 以降で使用できます。
exclusionSettings で除外とマージ ポリシーを構成することをお勧めします。これにより、eppとglobalの両方のスコープの除外を 1 つのmergePolicyで構成できます。
除外をスキャンする
スキャンから除外されたエンティティ。 除外は、完全なパス、拡張子、またはファイル名で指定できます。 (除外は項目の配列として指定され、管理者は必要な数の要素を任意の順序で指定できます)。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | exclusions |
除外をスキャンする |
| データ型 | ディクショナリ (入れ子になった基本設定) | 動的プロパティリスト |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
除外の種類
スキャンから除外されるコンテンツの種類を指定します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | $type |
型 |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 | excludedPath excludedFileExtension excludedFileName |
Path ファイル拡張子 プロセス名 |
除外されたコンテンツへのパス
完全なファイル パスでスキャンからコンテンツを除外するために使用されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | path | Path |
| データ型 | String | String |
| 指定可能な値 | 有効なパス | 有効なパス |
| コメント |
$typeがある場合にのみ適用されますexcludedPath |
インスタンスの編集ポップアップでアクセス |
パスの種類 (ファイル/ディレクトリ)
path プロパティがファイルまたはディレクトリを参照しているかどうかを示します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | isDirectory |
Is directory |
| データ型 | ブール型 | ドロップ ダウン |
| 指定可能な値 |
false (既定値)true |
EnabledDisabled |
| コメント | $typeが excludedPath の場合にのみ適用されます | インスタンスの編集ポップアップでアクセス |
スキャンから除外されたファイル拡張子
ファイル拡張子によるスキャンからコンテンツを除外するために使用されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | 延長 | ファイル拡張子 |
| データ型 | String | String |
| 指定可能な値 | 有効なファイル拡張子 | 有効なファイル拡張子 |
| コメント | $typeが excludedFileExtension の場合にのみ適用されます | [インスタンスの構成] ポップアップでアクセス |
スキャンから除外されたプロセス
すべてのファイル アクティビティをスキャンから除外するプロセスを指定します。 プロセスは、名前 ( cat など) または完全パス ( /bin/cat など) で指定できます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | name | ファイル名 |
| データ型 | String | String |
| 指定可能な値 | 任意の文字列 | 任意の文字列 |
| コメント | $typeが excludedFileName の場合にのみ適用されます | [インスタンスの構成] ポップアップでアクセス |
非 exec マウントのミュート
noexecとしてマークされたマウント ポイントでの RTP の動作を指定します。 設定には、次の 2 つの値があります。
- ミュートなし (
unmute): 既定値では、すべてのマウント ポイントが RTP の一部としてスキャンされます。 - ミュート (
mute):noexecとしてマークされたマウント ポイントは RTP の一部としてスキャンされません。次のマウント ポイントを作成できます。- データベース ファイルを保持するためのデータベース サーバー上のデータベース ファイル。
- ファイル サーバーは、
noexecオプションを使用してデータ ファイルのマウントポイントを保持できます。 - バックアップでは、
noexecオプションを使用してデータ ファイルのマウントポイントを保持できます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | nonExecMountPolicy |
non execute mount mute |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 |
unmute (既定値)mute |
Not configured unmute (既定値)mute |
注:
Defender for Endpoint バージョン 101.85.27 以降で使用できます。
ファイルシステムの監視を解除する
リアルタイム保護 (RTP) から監視/除外されないようにファイルシステムを構成します。 構成されたファイルシステムは、許可されているファイルシステムMicrosoft Defenderの一覧に対して検証されます。 ファイルシステムは、検証が成功した後にのみ監視できます。 これらの構成済みの監視されていないファイルシステムは、Microsoft Defenderウイルス対策のクイック スキャン、フル スキャン、カスタム スキャンによって引き続きスキャンされます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | unmonitoredFilesystems |
監視されていないファイルシステム |
| データ型 | 文字列の配列 | 動的文字列リスト |
注:
構成されたファイルシステムは、許可されている監視されていないファイルシステムの Microsoft の一覧に存在する場合にのみ監視されません。
既定では、NFS と Fuse は RTP、クイック、フル スキャンから監視されません。 ただし、カスタム スキャンでもスキャンできます。 たとえば、監視されていないファイルシステムの一覧から NFS を削除するには、次に示すようにマネージド構成ファイルを更新します。 これにより、RTP の監視対象ファイルシステムの一覧に NFS が自動的に追加されます。
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
監視されていないファイルシステムの一覧から NFS と Fuse の両方を削除するには、次のスニペットを使用します。
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
注:
RTP の監視対象ファイルシステムの既定の一覧は、 btrfs、 ecryptfs、 ext2、 ext3、 ext4fuseblk、 jfs、 overlay、 ramfs、 reiserfs、 tmpfs、 vfat、 xfsです。
監視されていないファイルシステムの一覧に監視対象のファイルシステムを追加する必要がある場合は、クラウド構成を使用して Microsoft によって評価および有効にする必要があります。どのお客様がmanaged_mdatp.jsonを更新して、そのファイルシステムの監視を解除できるかに従います。
ファイル ハッシュ計算機能を構成する
ファイル ハッシュ計算機能を有効または無効にします。 この機能を有効にすると、Defender for Endpoint はスキャンするファイルのハッシュを計算します。 この機能を有効にすると、デバイスのパフォーマンスに影響する可能性があることに注意してください。 詳細については、「 ファイルのインジケーターを作成する」を参照してください。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enableFileHashComputation |
ファイル ハッシュ計算を有効にする |
| データ型 | ブール型 | ドロップ ダウン |
| 指定可能な値 |
false (既定値)true |
Not configuredDisabled (既定値)Enabled |
注:
Defender for Endpoint バージョン 101.85.27 以降で使用できます。
許可される脅威
製品によってブロックされず、代わりに実行が許可されている (名前で識別される) 脅威の一覧。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | allowedThreats |
許可される脅威 |
| データ型 | 文字列の配列 | 動的文字列リスト |
許可されていない脅威アクション
脅威が検出されたときにデバイスのローカル ユーザーが実行できるアクションを制限します。 この一覧に含まれるアクションは、ユーザー インターフェイスには表示されません。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | disallowedThreatActions |
許可されていない脅威アクション |
| データ型 | 文字列の配列 | 動的文字列リスト |
| 指定可能な値 |
allow (ユーザーが脅威を許可できないように制限します)restore (ユーザーが検疫から脅威を復元できないように制限します) |
allow (ユーザーが脅威を許可できないように制限します)restore (ユーザーが検疫から脅威を復元できないように制限します) |
注:
Defender for Endpoint バージョン 100.83.73 以降で使用できます。
脅威の種類の設定
ウイルス対策エンジンの threatTypeSettings 基本設定は、特定の脅威の種類が製品によって処理される方法を制御するために使用されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | threatTypeSettings |
脅威の種類の設定 |
| データ型 | ディクショナリ (入れ子になった基本設定) | 動的プロパティリスト |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 | 動的プロパティの説明については、次のセクションを参照してください。 |
脅威の種類
動作が構成されている脅威の種類。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | キー | 脅威の種類 |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 | potentially_unwanted_application archive_bomb |
potentially_unwanted_application archive_bomb |
実行する操作
前のセクションで指定した型の脅威に遭遇したときに実行するアクション。 次のことができます。
- 監査: デバイスはこの種類の脅威から保護されていませんが、脅威に関するエントリがログに記録されます。 (既定)
- ブロック: デバイスはこの種類の脅威から保護され、Microsoft Defender ポータルで通知されます。
- オフ: デバイスはこの種類の脅威から保護されておらず、何もログに記録されません。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | 値 | 実行する操作 |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 |
audit (既定値)block off |
audit block オフ |
脅威の種類の設定のマージ ポリシー
脅威の種類の設定のマージ ポリシーを指定します。 管理者定義の設定とユーザー定義の設定 (merge) の組み合わせ、または管理者定義の設定 (admin_only) のみを指定できます。 管理者定義 (admin_only) は、Defender for Endpoint ポリシーによって構成される脅威の種類の設定です。 この設定を使用すると、ローカル ユーザーがさまざまな脅威の種類に対して独自の設定を定義できないように制限できます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | threatTypeSettingsMergePolicy |
脅威の種類の設定のマージ |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 |
merge (既定値)admin_only |
Not configuredmerge (既定値)admin_only |
注:
Defender for Endpoint バージョン 100.83.73 以降で使用できます。
ウイルス対策スキャン履歴の保持期間 (日数)
デバイスのスキャン履歴に結果が保持される日数を指定します。 古いスキャン結果は履歴から削除されます。 古い検疫済みファイル。ディスクからも削除されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | scanResultsRetentionDays |
スキャン結果の保持 |
| データ型 | String | 切り替えスイッチと整数 |
| 指定可能な値 |
90 (既定値)。 使用できる値は、1 日から 180 日です。 |
Not configured (トグルオフ - 90 日の既定値)Configured (トグルオン) と許可される値 1 から 180 日。 |
注:
Defender for Endpoint バージョン 101.04.76 以降で使用できます。
ウイルス対策スキャン履歴のアイテムの最大数
スキャン履歴に保持するエントリの最大数を指定します。 エントリには、過去に実行されたすべてのオンデマンド スキャンと、すべてのウイルス対策検出が含まれます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | scanHistoryMaximumItems |
スキャン履歴のサイズ |
| データ型 | String | トグルと整数 |
| 指定可能な値 |
10000 (既定値)。 使用できる値は、 5000 項目から 15000 項目までです。 |
未構成 (トグルオフ - 10000 既定値)Configured (トグルオン) と許可される値を 5000 から 15000 項目に設定します。 |
注:
Defender for Endpoint バージョン 101.04.76 以降で使用できます。
除外設定の基本設定
除外設定の設定は現在プレビュー段階です。
注:
グローバル除外は現在パブリック プレビュー段階にあり、バージョン 101.23092.0012 以降の Insider 低速および運用リングで Defender for Endpoint で使用できます。
構成プロファイルのexclusionSettingsセクションは、Linux 用のMicrosoft Defender for Endpointのさまざまな除外を構成するために使用されます。
| 説明 | JSON 値 |
|---|---|
| Key | exclusionSettings |
| データ型 | ディクショナリ (入れ子になった基本設定) |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
注:
マネージド JSON の (antivirusEngine) で既に構成されているウイルス対策の除外は、引き続きそのまま機能し、影響はありません。 ウイルス対策 の除外を 含むすべての新しい除外は、この完全に新しいセクション (exclusionSettings) に追加できます。 このセクションは、(antivirusEngine) タグの外部にあり、今後すべての種類の除外を構成するためだけに専用になっています。 ウイルス対策の除外を構成するために (antivirusEngine) を引き続き使用することもできます。
マージ ポリシー
除外のマージ ポリシーを指定します。 管理者定義の除外とユーザー定義の除外 (merge) を組み合わせることができるか、管理者が定義した除外 (admin_only) のみを指定します。 この設定を使用すると、ローカル ユーザーが独自の除外を定義できないように制限できます。 すべてのスコープの除外に適用されます。
| 説明 | JSON 値 |
|---|---|
| Key | mergePolicy |
| データ型 | String |
| 指定可能な値 |
merge (既定値)admin_only |
| コメント | Defender for Endpoint バージョン 2023 年 9 月以降で使用できます。 |
除外
除外する必要があるエンティティは、完全なパス、拡張子、またはファイル名で指定できます。 各除外エンティティ (つまり、完全パス、拡張子、またはファイル名) には、指定できるオプションのスコープがあります。 指定しない場合、このセクションのスコープの既定値は グローバルです。 (除外は項目の配列として指定され、管理者は必要な数の要素を任意の順序で指定できます)。
| 説明 | JSON 値 |
|---|---|
| Key | exclusions |
| データ型 | ディクショナリ (入れ子になった基本設定) |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
除外の種類
スキャンから除外されるコンテンツの種類を指定します。
| 説明 | JSON 値 |
|---|---|
| Key | $type |
| データ型 | String |
| 指定可能な値 | excludedPathexcludedFileExtension excludedFileName |
除外のスコープ (省略可能)
除外されるコンテンツの除外スコープのセットを指定します。 現在サポートされているスコープは、 epp と global。
exclusionSettings in managed configuration で除外に何も指定されていない場合、globalはスコープと見なされます。
注:
マネージド JSON の (antivirusEngine) で以前に構成されたウイルス対策除外は引き続き機能し、そのスコープはウイルス対策の除外として追加されたので (epp) と見なされます。
| 説明 | JSON 値 |
|---|---|
| Key | scopes |
| データ型 | 文字列のセット |
| 指定可能な値 | epp global |
注:
(mdatp_managed.json) または CLI によって以前に適用された除外は影響を受けません。 これらの除外のスコープは、(antivirusEngine) の下に追加されたので (epp) になります。
除外されたコンテンツへのパス
完全なファイル パスでスキャンからコンテンツを除外するために使用されます。
| 説明 | JSON 値 |
|---|---|
| Key | path |
| データ型 | String |
| 指定可能な値 | 有効なパス |
| コメント |
$typeが excludedPath の場合にのみ適用されます。 除外にスコープとしてグローバルがある場合、ワイルドカードはサポートされません。 |
パスの種類 (ファイル/ディレクトリ)
path プロパティがファイルまたはディレクトリを参照しているかどうかを示します。
注:
グローバル スコープでファイルの除外を追加する場合は、ファイル パスが既に存在している必要があります。
| 説明 | JSON 値 |
|---|---|
| Key | isDirectory |
| データ型 | ブール型 |
| 指定可能な値 |
false (既定値)true |
| コメント |
$typeが excludedPath の場合にのみ適用されます。 除外にスコープとしてグローバルがある場合、ワイルドカードはサポートされません。 |
スキャンから除外されたファイル拡張子
ファイル拡張子によるスキャンからコンテンツを除外するために使用されます。
| 説明 | JSON 値 |
|---|---|
| Key | 延長 |
| データ型 | String |
| 指定可能な値 | 有効なファイル拡張子 |
| コメント |
$typeが excludedFileExtension の場合にのみ適用されます。 除外にスコープとしてグローバルがある場合はサポートされません。 |
スキャンから除外されたプロセス
すべてのファイル アクティビティをスキャンから除外するプロセスを指定します。 プロセスは、名前 ( cat など) または完全パス ( /bin/cat など) で指定できます。
| 説明 | JSON 値 |
|---|---|
| Key | name |
| データ型 | String |
| 指定可能な値 | 任意の文字列 |
| コメント |
$typeが excludedFileName の場合にのみ適用されます。 除外にスコープとしてグローバルがある場合、ワイルドカードとプロセス名はサポートされていません。完全なパスを指定する必要があります。 |
高度なスキャン オプション
特定の高度なスキャン機能を有効にするために、次の設定を構成できます。
重要
これらの機能を有効にすると、デバイスのパフォーマンスに影響する可能性があります。 そのため、Microsoft サポートで特に推奨されない限り、既定値を保持することをお勧めします。
ファイル変更アクセス許可イベントのスキャンを構成する
この機能を有効にすると、Defender for Endpoint は、実行ビットを設定するためにアクセス許可が変更されたときにファイルをスキャンします。
注:
この機能は、 enableFilePermissionEvents 機能が有効になっている場合にのみ適用されます。 詳細については、以下の 「高度なオプション機能 」セクションを参照してください。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | scanFileModifyPermissions |
使用不可 |
| データ型 | ブール型 | 該当なし |
| 指定可能な値 |
false (既定値)true |
該当なし |
注:
Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。
ファイル変更所有権イベントのスキャンを構成する
この機能を有効にすると、Defender for Endpoint は所有権が変更されたファイルをスキャンします。
注:
この機能は、 enableFileOwnershipEvents 機能が有効になっている場合にのみ適用されます。 詳細については、以下の 「高度なオプション機能 」セクションを参照してください。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | scanFileModifyOwnership |
使用不可 |
| データ型 | ブール型 | 該当なし |
| 指定可能な値 |
false (既定値)true |
該当なし |
注:
Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。
生ソケット イベントのスキャンを構成する
この機能を有効にすると、Defender for Endpoint は、生のソケット/パケット ソケットの作成やソケット オプションの設定などのネットワーク ソケット イベントをスキャンします。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
この機能は、 enableRawSocketEvent 機能が有効になっている場合にのみ適用されます。 詳細については、以下の 「高度なオプション機能 」セクションを参照してください。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | scanNetworkSocketEvent |
使用不可 |
| データ型 | ブール型 | 該当なし |
| 指定可能な値 |
false (既定値)true |
該当なし |
注:
Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。
クラウド配信の保護の基本設定
構成プロファイルの cloudService エントリを使用して、製品のクラウド駆動型保護機能を構成します。
注:
クラウド配信の保護は、適用レベルの設定 (real_time、on_demand、パッシブ) に適用できます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | cloudService |
クラウドで提供される保護の基本設定 |
| データ型 | ディクショナリ (入れ子になった基本設定) | 折りたたまれたセクション |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 | ポリシーの設定の説明については、次のセクションを参照してください。 |
クラウド配信保護を有効または無効にする
クラウド配信の保護がデバイスで有効かどうかを判断します。 サービスのセキュリティを強化するために、この機能をオンにしておくことをお勧めします。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enabled |
クラウド提供の保護を有効にする |
| データ型 | ブール型 | ドロップ ダウン |
| 指定可能な値 |
true (既定値)false |
未構成 無効 有効 (既定値) |
診断収集のレベル
診断データは、Defender for Endpoint を安全かつ最新の状態に保ち、問題を検出、診断、修正し、製品を改善するために使用されます。 この設定は、製品から Microsoft に送信される診断のレベルを決定します。 詳細については、「Linux 上のMicrosoft Defender for Endpointのプライバシー」を参照してください。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | diagnosticLevel |
診断データ収集レベル |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 | optional required (既定値) |
Not configuredoptional (既定値)required |
クラウド ブロック レベルを構成する
この設定は、疑わしいファイルをブロックおよびスキャンする際の Defender for Endpoint の攻撃性を決定します。 この設定がオンの場合、Defender for Endpoint は、ブロックおよびスキャンする疑わしいファイルを特定するときに、より積極的になります。それ以外の場合は、攻撃的ではなく、より頻度の低いブロックとスキャンが行われます。
クラウド ブロック レベルの設定には、次の 5 つの値があります。
- 標準 (
normal): 既定のブロック レベル。 - 中程度 (
moderate): 高信頼度の検出に対してのみ判定を行います。 - 高 (
high): パフォーマンスを最適化しながら、不明なファイルを積極的にブロックします (有害でないファイルをブロックする可能性が高くなります)。 - High Plus (
high_plus): 不明なファイルを積極的にブロックし、追加の保護対策を適用します (クライアント デバイスのパフォーマンスに影響する可能性があります)。 - ゼロ 許容値 (
zero_tolerance): 不明なプログラムをすべてブロックします。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | cloudBlockLevel |
クラウド ブロック レベルを構成する |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 |
normal (既定値)moderate high high_plus zero_tolerance |
Not configuredNormal (既定値)Moderate High High_Plus Zero_Tolerance |
注:
Defender for Endpoint バージョン 101.56.62 以降で使用できます。
サンプルの自動送信を有効または無効にする
疑わしいサンプル (脅威が含まれている可能性が高い) を Microsoft に送信するかどうかを決定します。 サンプルの送信を制御するには、次の 3 つのレベルがあります。
- なし: 疑わしいサンプルは Microsoft に送信されません。
- 安全: 個人を特定できる情報 (PII) が含まれていない疑わしいサンプルのみが自動的に送信されます。 これは、この設定の既定値です。
- すべて: すべての疑わしいサンプルが Microsoft に送信されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | automaticSampleSubmissionConsent |
自動サンプル送信を有効にする |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 | none safe (既定値)all |
Not configuredNoneSafe (既定値)All |
セキュリティ インテリジェンスの自動更新を有効または無効にする
セキュリティ インテリジェンスの更新プログラムが自動的にインストールされるかどうかを判断します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | automaticDefinitionUpdateEnabled |
セキュリティ インテリジェンスの自動更新 |
| データ型 | ブール型 | ドロップ ダウン |
| 指定可能な値 |
true (既定値)false |
Not configuredDisabledEnabled (既定値) |
適用レベルに応じて、セキュリティ インテリジェンスの自動更新が異なる方法でインストールされます。 RTP モードでは、更新プログラムが定期的にインストールされます。 パッシブ/オンデマンド モードでは、すべてのスキャンの前に更新プログラムがインストールされます。
高度なオプション機能
次の設定を構成して、特定の高度な機能を有効にすることができます。
重要
これらの機能を有効にすると、デバイスのパフォーマンスに影響する可能性があります。 Microsoft サポートで特に推奨されない限り、既定値を保持することをお勧めします。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | 顔立ち | 使用不可 |
| データ型 | ディクショナリ (入れ子になった基本設定) | 該当なし |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
モジュールの読み込み機能
モジュール読み込みイベント (共有ライブラリ上のファイル開いているイベント) を監視するかどうかを決定します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | moduleLoad |
使用不可 |
| データ型 | String | 該当なし |
| 指定可能な値 |
disabled (既定値)enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.68.80 以降で使用できます。 |
感染ファイルの修復機能
感染したファイルを開いたり読み込んだりする感染したプロセスが修復されるかどうかを判断します。
注:
有効にすると、感染したファイルを開いたり読み込んだりするプロセスが RTP モードで修復されます。 これらのプロセスは悪意がないため、脅威リストには表示されませんが、メモリに脅威ファイルを読み込んでいるためのみ終了されます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | remediateInfectedFile | 使用不可 |
| データ型 | String | 該当なし |
| 指定可能な値 | disabled (既定値) enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.24122.0001 以降で使用できます。 |
補助センサー構成
次の設定を使用して、特定の高度な補助センサー機能を構成できます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | supplementarySensorConfigurations |
使用不可 |
| データ型 | ディクショナリ (入れ子になった基本設定) | 該当なし |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
ファイル変更アクセス許可イベントの監視を構成する
ファイル変更アクセス許可イベント (chmod) を監視するかどうかを決定します。
注:
この機能を有効にすると、Defender for Endpoint はファイルの実行ビットに対する変更を監視しますが、これらのイベントはスキャンしません。 詳細については、「 高度なスキャン機能 」セクションを参照してください。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enableFilePermissionEvents |
使用不可 |
| データ型 | String | 該当なし |
| 指定可能な値 |
disabled (既定値)enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
ファイル変更所有権イベントの監視を構成する
ファイル変更所有権イベント (chown) を監視するかどうかを決定します。
注:
この機能を有効にすると、Defender for Endpoint はファイルの所有権に対する変更を監視しますが、これらのイベントはスキャンしません。 詳細については、「 高度なスキャン機能 」セクションを参照してください。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enableFileOwnershipEvents |
使用不可 |
| データ型 | String | 該当なし |
| 指定可能な値 |
disabled (既定値)enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
生ソケット イベントの監視を構成する
生ソケット/パケット ソケットの作成またはソケット オプションの設定に関連するネットワーク ソケット イベントを監視するかどうかを決定します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。 この機能を有効にすると、Defender for Endpoint はこれらのネットワーク ソケット イベントを監視しますが、これらのイベントはスキャンしません。 詳細については、上記の 「高度なスキャン機能 」セクションを参照してください。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enableRawSocketEvent |
使用不可 |
| データ型 | String | 該当なし |
| 指定可能な値 |
disabled (既定値)enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
ブート ローダー イベントの監視を構成する
ブート ローダー イベントを監視およびスキャンするかどうかを決定します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enableBootLoaderCalls |
使用不可 |
| データ型 | String | 該当なし |
| 指定可能な値 |
disabled (既定値)enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.68.80 以降で使用できます。 |
ptrace イベントの監視を構成する
ptrace イベントを監視およびスキャンするかどうかを決定します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enableProcessCalls |
使用不可 |
| データ型 | String | 該当なし |
| 指定可能な値 |
disabled (既定値)enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.68.80 以降で使用できます。 |
擬似イベントの監視を構成する
疑似イベントが監視およびスキャンされるかどうかを判断します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enablePseudofsCalls |
使用不可 |
| データ型 | String | 該当なし |
| 指定可能な値 |
disabled (既定値)enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.68.80 以降で使用できます。 |
eBPF を使用してモジュール・ロード・イベントのモニターを構成する
モジュールの読み込みイベントが eBPF を使用して監視され、スキャンされるかどうかを判断します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enableEbpfModuleLoadEvents |
使用不可 |
| データ型 | String | 該当なし |
| 指定可能な値 |
disabled (既定値)enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.68.80 以降で使用できます。 |
eBPF を使用して特定のファイルシステムからのオープン イベントの監視を構成する
procfs からのオープン・イベントが eBPF によってモニターされるかどうかを判別します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enableOtherFsOpenEvents |
使用不可 |
| データ型 | String | 該当なし |
| 指定可能な値 |
disabled (既定値)enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.24072.0001 以降で使用できます。 |
eBPF を使用してイベントのソース エンリッチメントを構成する
eBPF のソースで、イベントがメタデータでエンリッチされるかどうかを判断します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enableEbpfSourceEnrichment |
使用不可 |
| データ型 | String | 該当なし |
| 指定可能な値 |
disabled (既定値)enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.24072.0001 以降で使用できます。 |
ウイルス対策エンジン キャッシュを有効にする
ウイルス対策エンジンによってスキャンされるイベントのメタデータをキャッシュするかどうかを決定します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enableAntivirusEngineCache |
使用不可 |
| データ型 | String | 該当なし |
| 指定可能な値 |
disabled (既定値)enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.24072.0001 以降で使用できます。 |
AV 疑わしいイベントを EDR に報告する
ウイルス対策からの疑わしいイベントが EDR に報告されるかどうかを判断します。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | sendLowfiEvents |
使用不可 |
| データ型 | String | 該当なし |
| 指定可能な値 |
disabled (既定値)enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
ネットワーク保護の構成
注:
これはプレビュー機能です。 これらを有効にするには、Network Protection を有効にする必要があります。 詳細については、「 Linux のネットワーク保護を有効にする」を参照してください。
次の設定を使用して、ネットワーク保護によって検査されるトラフィックを制御する高度なネットワーク保護検査機能を構成できます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | networkProtection |
ネットワーク保護 |
| データ型 | ディクショナリ (入れ子になった基本設定) | 折りたたまれたセクション |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 | ポリシー設定の説明については、次のセクションを参照してください。 |
適用レベル
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | enforcementLevel |
適用レベル |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 |
disabled (既定値)audit block |
Not configureddisabled (既定値)auditblock |
ICMP 検査を構成する
ICMP イベントを監視およびスキャンするかどうかを決定します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | JSON 値 | ポータル値のMicrosoft Defender |
|---|---|---|
| Key | disableIcmpInspection |
使用不可 |
| データ型 | ブール型 | 該当なし |
| 指定可能な値 |
true (既定値)false |
該当なし |
| コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
構成プロファイルにタグまたはグループ ID を追加する
mdatp health コマンドを初めて実行すると、タグとグループ ID の値は空白になります。
mdatp_managed.json ファイルにタグまたはグループ ID を追加するには、次の手順に従います。
パス
/etc/opt/microsoft/mdatp/managed/mdatp_managed.jsonから構成プロファイルを開きます。cloudServiceブロックがあるファイルの下部に移動します。次の例のように、
cloudServiceの閉じ中かっこの末尾に必要なタグまたはグループ ID を追加します。}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }注:
cloudServiceブロックの末尾にある中かっこの後にコンマを追加します。 また、Tag ブロックまたはグループ ID ブロックを追加した後に、2 つの閉じる中かっこがあることを確認します (上記の例を参照してください)。 現時点では、タグでサポートされているキー名はGROUPのみです。
構成プロファイルの検証
構成プロファイルは、有効な JSON 形式のファイルである必要があります。 これを確認するために使用できるツールは多数あります。 たとえば、デバイスに python がインストールされている場合は、次のようになります。
python -m json.tool mdatp_managed.json
JSON が整形式の場合、上記のコマンドによってターミナルに出力され、 0の終了コードが返されます。 それ以外の場合は、問題を説明するエラーが表示され、コマンドは 1 の終了コードを返します。
mdatp_managed.json ファイルが期待どおりに動作していることを確認する
/etc/opt/microsoft/mdatp/managed/mdatp_managed.jsonが正常に動作していることを確認するには、次の設定の横に "[マネージド]" と表示されます。
cloud_enabledcloud_automatic_sample_submission_consentpassive_mode_enabledreal_time_protection_enabledautomatic_definition_update_enabled
注:
mdatp_managed.jsonのほとんどの構成を変更して有効にするために、mdatp デーモンを再起動する必要はありません。
例外: 次の構成では、デーモンの再起動を有効にする必要があります。
cloud-diagnosticlog-rotation-parameters
構成プロファイルの展開
エンタープライズの構成プロファイルを構築したら、企業が使用している管理ツールを使用して展開できます。 Defender for Endpoint on Linux は、 /etc/opt/microsoft/mdatp/managed/mdatp_managed.jsonからマネージド構成を読み取ります。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。