Beveiligingsinstellingen en -beleid configureren voor Microsoft Defender voor Eindpunt in Linux
Van toepassing op:
- Microsoft Defender voor Eindpunt voor servers
- Microsoft Defender voor servers, abonnement 1 of abonnement 2
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Overzicht van instellingen en beleidsregels die moeten worden geconfigureerd
Microsoft Defender voor Eindpunt op Linux omvat antivirus, antimalwarebeveiliging, eindpuntdetectie en reactiemogelijkheden. Dit artikel bevat een overzicht van belangrijke instellingen die moeten worden geconfigureerd, met koppelingen naar aanvullende resources.
Instellingen | Beschrijving |
---|---|
1. Statische proxydetectie configureren. | Als u een statische proxy configureert, zorgt u ervoor dat telemetriegegevens worden verzonden en worden netwerktime-outs voorkomen. Voer deze taak uit tijdens en na de installatie van Defender voor Eindpunt. Zie Configureer Microsoft Defender voor Eindpunt in Linux voor detectie van statische proxy's. |
2. Configureer uw antivirusscans. | U kunt automatische antivirusscans plannen met behulp van Anacron of Crontab. Zie de volgende artikelen: - Anacron gebruiken om een antivirusscan te plannen in Microsoft Defender voor Eindpunt op Linux - Crontab gebruiken om een antivirusscan te plannen in Microsoft Defender voor Eindpunt op Linux |
3. Configureer uw beveiligingsinstellingen en -beleid. | U kunt de Microsoft Defender portal (Defender for Endpoint Security Settings Management) of een configuratieprofiel (.json bestand) gebruiken om Defender voor Eindpunt in Linux te configureren. Of, als u wilt, kunt u de opdrachtregel gebruiken om bepaalde instellingen te configureren. Zie de volgende artikelen: - Beheer van beveiligingsinstellingen voor Defender for Endpoint - Configuratieprofiel - Opdrachtregel |
4. Uitsluitingen configureren en valideren (indien van toepassing) | U kunt bepaalde bestanden, mappen, processen en proces geopende bestanden uitsluiten van Defender voor Eindpunt in Linux. Globale uitsluitingen zijn van toepassing op realtime-beveiliging (RTP), gedragscontrole (BM) en eindpuntdetectie en -respons (EDR), waardoor alle bijbehorende antivirusdetecties, EDR-waarschuwingen en zichtbaarheid voor het uitgesloten item worden gestopt. Zie Uitsluitingen configureren en valideren voor Microsoft Defender voor Eindpunt in Linux. |
5. Configureer de eBPF-sensor. | Het uitgebreide Berkeley Packet Filter (eBPF) voor Microsoft Defender voor Eindpunt op Linux wordt standaard automatisch ingeschakeld voor alle klanten voor agentversies 101.23082.0006 en hoger. Het biedt aanvullende gebeurtenisgegevens voor Linux-besturingssystemen en helpt de kans op conflicten tussen toepassingen te verminderen. Zie Op eBPF gebaseerde sensor gebruiken voor Microsoft Defender voor Eindpunt in Linux. |
6. Offline Security Intelligence Update configureren (indien van toepassing) | Met Offline Security Intelligence Update kunt u updates voor beveiligingsupdates configureren voor Linux-servers die beperkte of geen blootstelling aan internet hebben. U kunt een lokale hostingserver ('mirrorserver') instellen die verbinding kan maken met de Microsoft-cloud om de handtekeningen te downloaden. Andere Linux-eindpunten kunnen de updates met een vooraf gedefinieerd interval van uw mirrorserver ophalen. Zie Offline update voor beveiligingsinformatie configureren voor Microsoft Defender voor Eindpunt in Linux. |
7. Implementeer updates. | Microsoft publiceert regelmatig software-updates om de prestaties en beveiliging te verbeteren en nieuwe functies te leveren. Zie Updates implementeren voor Microsoft Defender voor Eindpunt in Linux. |
8. Netwerkbeveiliging configureren (preview) | Netwerkbeveiliging helpt voorkomen dat werknemers een toepassing gebruiken voor toegang tot gevaarlijke domeinen die phishing-oplichting, exploits en andere schadelijke inhoud op internet kunnen hosten. Zie Netwerkbeveiliging voor Linux. |
Opties voor het configureren van beveiligingsbeleid en -instellingen
Als u uw beveiligingsbeleid en -instellingen voor Defender voor Eindpunt in Linux wilt configureren, hebt u twee hoofdopties:
- Gebruik de Microsoft Defender portal (Defender for Endpoint Security Settings Management); of
- Een configuratieprofiel gebruiken
Als u liever de opdrachtregel gebruikt om uw beveiligingsinstellingen te configureren, kunt u die gebruiken om bepaalde instellingen te configureren, diagnostische gegevens te verzamelen, scans uit te voeren en meer. Zie Resources.
Beheer van beveiligingsinstellingen voor Defender for Endpoint
U kunt Defender for Endpoint in Linux configureren in de Microsoft Defender-portal (https://security.microsoft.com) via functionaliteit die bekend staat als Beheer van beveiligingsinstellingen. Zie Use Microsoft Defender voor Eindpunt Security Settings Management to manage Microsoft Defender Antivirus (Beheer van Microsoft Defender voor Eindpunt beveiligingsinstellingen gebruiken om Microsoft Defender Antivirus te beheren) voor meer informatie, waaronder het maken, bewerken en verifiëren van uw beveiligingsbeleid.
Configuratieprofiel
U kunt Defender for Endpoint in Linux configureren via een configuratieprofiel dat gebruikmaakt van een .json
bestand. Nadat u uw profiel hebt ingesteld, kunt u het implementeren met behulp van uw gewenste beheerprogramma. Voorkeuren die door de onderneming worden beheerd, hebben voorrang op de voorkeuren die lokaal op het apparaat zijn ingesteld. Met andere woorden, gebruikers in uw onderneming kunnen geen voorkeuren wijzigen die via dit configuratieprofiel zijn ingesteld. Als uitsluitingen zijn toegevoegd via het beheerde configuratieprofiel, kunnen ze alleen worden verwijderd via het beheerde configuratieprofiel. De opdrachtregel werkt voor uitsluitingen die lokaal zijn toegevoegd.
In dit artikel wordt de structuur van dit profiel beschreven (inclusief een aanbevolen profiel dat u kunt gebruiken om aan de slag te gaan) en instructies voor het implementeren van het profiel.
Configuratieprofielstructuur
Het configuratieprofiel is een .json
bestand dat bestaat uit vermeldingen die worden geïdentificeerd door een sleutel (die de naam van de voorkeur aangeeft), gevolgd door een waarde, die afhankelijk is van de aard van de voorkeur. Waarden kunnen eenvoudig zijn, zoals een numerieke waarde, of complex, zoals een geneste lijst met voorkeuren.
Normaal gesproken gebruikt u een hulpprogramma voor configuratiebeheer om een bestand met de naam mdatp_managed.json
op de locatie /etc/opt/microsoft/mdatp/managed/
te pushen.
Het hoogste niveau van het configuratieprofiel bevat productbrede voorkeuren en vermeldingen voor subgebieden van het product, die in meer detail worden uitgelegd in de volgende secties.
Aanbevolen configuratieprofiel
Deze sectie bevat twee voorbeelden van configuratieprofielen:
- Voorbeeldprofiel om u aan de slag te helpen met aanbevolen instellingen.
- Voorbeeld van een volledig configuratieprofiel voor organisaties die meer gedetailleerde controle willen over beveiligingsinstellingen.
Om aan de slag te gaan, raden we u aan het eerste voorbeeldprofiel voor uw organisatie te gebruiken. Voor gedetailleerdere controle kunt u in plaats daarvan het volledige voorbeeld van het configuratieprofiel gebruiken.
Voorbeeldprofiel
Hiermee kunt u profiteren van belangrijke beveiligingsfuncties die Defender voor Eindpunt in Linux biedt. Het volgende configuratieprofiel:
- Realtime-beveiliging (RTP) inschakelen
- Hiermee geeft u op hoe de volgende bedreigingstypen worden verwerkt:
- Mogelijk ongewenste toepassingen (PUA) worden geblokkeerd
- Archief bommen (bestand met een hoge compressiesnelheid) worden gecontroleerd in de productlogboeken
- Automatische updates voor beveiligingsinformatie inschakelen
- Cloudbeveiliging inschakelen
- Hiermee schakelt u automatische voorbeeldinzending op
safe
niveau in
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Voorbeeld van volledig configuratieprofiel
Het volgende configuratieprofiel bevat vermeldingen voor alle instellingen die in dit document worden beschreven en kan worden gebruikt voor meer geavanceerde scenario's waarin u meer controle over het product wilt.
Opmerking
Het is niet mogelijk om alle Microsoft Defender voor Eindpunt communicatie te beheren met alleen een proxy-instelling in deze JSON.
{
"antivirusEngine":{
"enforcementLevel":"passive",
"behaviorMonitoring": "disabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"enableFileHashComputation": false,
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
],
"scanFileModifyPermissions":false,
"scanFileModifyOwnership":false,
"scanNetworkSocketEvent":false,
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate":"disabled"
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
"definitionUpdatesInterval":28800
},
"features":{
"moduleLoad":"disabled",
"supplementarySensorConfigurations":{
"enableFilePermissionEvents":"disabled",
"enableFileOwnershipEvents":"disabled",
"enableRawSocketEvent":"disabled",
"enableBootLoaderCalls":"disabled",
"enableProcessCalls":"disabled",
"enablePseudofsCalls":"diabled",
"enableEbpfModuleLoadEvents":"disabled",
"sendLowfiEvents":"disabled"
},
"ebpfSupplementaryEventProvider":"enabled",
"offlineDefinitionUpdateVerifySig": "disabled"
},
"networkProtection":{
"enforcementLevel":"disabled",
"disableIcmpInspection":true
},
"edr":{
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Antivirus-, antimalware- en EDR-instellingen in Defender voor Eindpunt op Linux
Of u nu een configuratieprofiel (.json-bestand) of de Microsoft Defender portal (Beheer van beveiligingsinstellingen) gebruikt, u kunt uw antivirus-, antimalware- en EDR-instellingen configureren in Defender voor Eindpunt op Linux. In de volgende secties wordt beschreven waar en hoe u uw instellingen configureert.
Voorkeuren voor antivirusprogramma's
De sectie antivirusEngine van het configuratieprofiel wordt gebruikt om de voorkeuren van het antivirusonderdeel van het product te beheren.
Beschrijving | JSON-waarde | Waarde van Defender-portal |
---|---|---|
Sleutel | antivirusEngine |
Antivirus-engine |
Gegevenstype | Woordenlijst (geneste voorkeur) | Samengevouwen sectie |
Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. | Zie de volgende secties voor een beschrijving van de beleidseigenschappen. |
Afdwingingsniveau voor Microsoft Defender Antivirus
Hiermee geeft u de afdwingingsvoorkeur van antivirus-engine op. Er zijn drie waarden voor het instellen van afdwingingsniveau:
Realtime (
real_time
): Realtime-beveiliging (bestanden scannen wanneer ze worden gewijzigd) is ingeschakeld.Op aanvraag (
on_demand
): bestanden worden alleen op aanvraag gescand. In dit:- Realtime-beveiliging is uitgeschakeld.
- Definitie-updates vinden alleen plaats wanneer een scan wordt gestart, zelfs als
automaticDefinitionUpdateEnabled
deze is ingesteldtrue
op in de modus op aanvraag.
Passief (
passive
): hiermee wordt de antivirus-engine uitgevoerd in de passieve modus. In dit geval zijn al het volgende van toepassing:- Realtime-beveiliging is uitgeschakeld: bedreigingen worden niet hersteld door Microsoft Defender Antivirus.
- Scannen op aanvraag is ingeschakeld: gebruik nog steeds de scanmogelijkheden op het eindpunt.
- Automatisch herstel van bedreigingen is uitgeschakeld: er worden geen bestanden verplaatst en uw beveiligingsbeheerder wordt geacht de vereiste actie te ondernemen.
- Updates voor beveiligingsinformatie zijn ingeschakeld: waarschuwingen zijn beschikbaar in de tenant van de beveiligingsbeheerder.
- Definitie-updates vinden alleen plaats wanneer een scan wordt gestart, zelfs als
automaticDefinitionUpdateEnabled
deze is ingesteld optrue
in de passieve modus.
Opmerking
Beschikbaar in defender voor eindpuntversie 101.10.72
of hoger. De standaardwaarde wordt gewijzigd van real_time
in passive
in de versie 101.23062.0001
van Defender voor Eindpunt of hoger.
Het wordt aanbevolen om ook geplande scans te gebruiken op basis van de vereiste.
Gedragscontrole in- of uitschakelen (als RTP is ingeschakeld)
Belangrijk
Deze functie werkt alleen wanneer het afdwingingsniveau is ingesteld op real-time
.
Bepaalt of gedragscontrole en blokkeringsfunctie is ingeschakeld op het apparaat of niet.
Beschrijving | JSON-waarde | Waarde van Defender-portal |
---|---|---|
Sleutel | behaviorMonitoring | Gedragscontrole inschakelen |
Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
Mogelijke waarden |
disabled (standaard)enabled |
Niet geconfigureerd Uitgeschakeld (standaard) Ingeschakeld |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.45.00
of hoger.
Een scan uitvoeren nadat definities zijn bijgewerkt
Belangrijk
Deze functie werkt alleen wanneer het afdwingingsniveau is ingesteld op real-time
.
Hiermee geeft u op of een processcan moet worden gestart nadat nieuwe updates voor beveiligingsupdates op het apparaat zijn gedownload. Als u deze instelling inschakelt, wordt een antivirusscan geactiveerd op de actieve processen van het apparaat.
Beschrijving | JSON-waarde | Waarde van Defender-portal |
---|---|---|
Sleutel | scanAfterDefinitionUpdate |
Scannen inschakelen na definitie-update |
Gegevenstype | Booleaanse waarde | Vervolgkeuzelijst |
Mogelijke waarden |
true (standaard)false |
Not configured Disabled Enabled (Standaard) |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.45.00
of hoger.
Archieven scannen (alleen antivirusscans op aanvraag)
Hiermee geeft u op of archieven moeten worden gescand tijdens antivirusscans op aanvraag.
Beschrijving | JSON-waarde | Waarde van Defender-portal |
---|---|---|
Sleutel | scanArchives |
Scannen van archieven inschakelen |
Gegevenstype | Booleaanse waarde | Vervolgkeuzelijst |
Mogelijke waarden |
true (standaard)false |
Niet geconfigureerd Uitgeschakeld Ingeschakeld (standaard) |
Opmerking
Beschikbaar in Microsoft Defender voor Eindpunt versie 101.45.00
of hoger.
Archief bestanden worden nooit gescand tijdens realtime-beveiliging. Wanneer de bestanden in een archief worden uitgepakt, worden ze gescand. De optie scanArchives kan worden gebruikt om de scan van archieven alleen tijdens een scan op aanvraag af te dwingen.
Mate van parallelle uitvoering van scans op aanvraag
Hiermee geeft u de mate van parallellisme voor scans op aanvraag op. Dit komt overeen met het aantal threads dat wordt gebruikt om de scan uit te voeren en heeft invloed op het CPU-gebruik en de duur van de scan op aanvraag.
Beschrijving | JSON-waarde | Waarde van Defender-portal |
---|---|---|
Sleutel | maximumOnDemandScanThreads |
maximum aantal scanthreads op aanvraag |
Gegevenstype | Geheel getal | Schakeloptie & geheel getal |
Mogelijke waarden |
2 (standaard). Toegestane waarden zijn gehele getallen tussen 1 en 64 . |
Not Configured (Standaardinstellingen uitschakelen op 2 )Configured (wissel op) en geheel getal tussen 1 en 64 . |
Opmerking
Beschikbaar in Microsoft Defender voor Eindpunt versie 101.45.00
of hoger.
Beleid voor samenvoeging van uitsluitingen
Hiermee geeft u het samenvoegbeleid voor uitsluitingen op. Dit kan een combinatie zijn van door de beheerder gedefinieerde en door de gebruiker gedefinieerde uitsluitingen (merge
) of alleen door de beheerder gedefinieerde uitsluitingen (admin_only
). Door de beheerder gedefinieerde (admin_only) zijn uitsluitingen die worden geconfigureerd door defender voor eindpuntbeleid. Deze instelling kan worden gebruikt om te voorkomen dat lokale gebruikers hun eigen uitsluitingen definiëren.
Omdat het onder antivirusEngine staat, is dit beleid alleen van toepassing op epp
uitsluitingen, tenzij mergePolicy
onder exclusionSettings is geconfigureerd als (admin_only
).
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | exclusionsMergePolicy |
Samenvoegen van uitsluitingen |
Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
Mogelijke waarden |
merge (standaard)admin_only |
Not configured merge (Standaard)admin_only |
Opmerking
Beschikbaar in defender voor eindpuntversie 100.83.73
of hoger.
We raden u aan uitsluitingen en het samenvoegbeleid te configureren onder exclusionSettings, waarmee u de uitsluiting van zowel en epp
global
het bereik kunt configureren met één mergePolicy
.
Scanuitsluitingen
Entiteiten die zijn uitgesloten van de scan. Uitsluitingen kunnen worden opgegeven door volledige paden, extensies of bestandsnamen. (Uitsluitingen worden opgegeven als een matrix met items, de beheerder kan zoveel elementen opgeven als nodig is, in elke volgorde.)
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | exclusions |
Scanuitsluitingen |
Gegevenstype | Woordenlijst (geneste voorkeur) | Lijst met dynamische eigenschappen |
Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Type uitsluiting
Hiermee geeft u het type inhoud dat wordt uitgesloten van de scan.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | $type |
Type |
Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
Mogelijke waarden | excludedPath excludedFileExtension excludedFileName |
Pad Bestandsextensie Procesnaam |
Pad naar uitgesloten inhoud
Wordt gebruikt om inhoud van de scan uit te sluiten op het volledige bestandspad.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | pad | Pad |
Gegevenstype | Tekenreeks | Tekenreeks |
Mogelijke waarden | geldige paden | geldige paden |
Opmerkingen | Alleen van toepassing als $type excludedPath |
Geopend in het pop-upvenster Exemplaar bewerken |
Padtype (bestand/map)
Geeft aan of de padeigenschap verwijst naar een bestand of map.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | isDirectory |
Is-map |
Gegevenstype | Booleaanse waarde | Vervolgkeuzelijst |
Mogelijke waarden |
false (standaard)true |
Enabled Disabled |
Opmerkingen | Alleen van toepassing als $type is uitgeslotendPath | Geopend in het pop-upvenster Exemplaar bewerken |
Bestandsextensie uitgesloten van de scan
Wordt gebruikt om inhoud uit te sluiten van de scan op bestandsextensie.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | extensie | Bestandsextensie |
Gegevenstype | Tekenreeks | Tekenreeks |
Mogelijke waarden | geldige bestandsextensies | geldige bestandsextensies |
Opmerkingen | Alleen van toepassing als $type is uitgeslotenFileExtension | Geopend in het pop-upvenster Exemplaar configureren |
Proces dat is uitgesloten van de scan
Hiermee geeft u een proces op waarvoor alle bestandsactiviteit wordt uitgesloten van scannen. Het proces kan worden opgegeven met de naam (bijvoorbeeld cat
) of het volledige pad (bijvoorbeeld /bin/cat
).
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | naam | Bestandsnaam |
Gegevenstype | Tekenreeks | Tekenreeks |
Mogelijke waarden | elke tekenreeks | elke tekenreeks |
Opmerkingen | Alleen van toepassing als $typeis uitgeslotenFileName | Geopend in het pop-upvenster Exemplaar configureren |
Niet-exec-koppelingen dempen
Hiermee geeft u het gedrag van RTP op het koppelpunt gemarkeerd als noexec
. Er zijn twee waarden voor de instelling:
- Niet-gedempt (
unmute
): de standaardwaarde, alle koppelpunten worden gescand als onderdeel van RTP. - Gedempt (
mute
): koppelpunten gemarkeerd alsnoexec
worden niet gescand als onderdeel van RTP. Dit koppelpunt kan worden gemaakt voor:- Databasebestanden op databaseservers voor het bewaren van databasebestanden.
- Bestandsserver kan koppelpunten voor gegevensbestanden behouden met
noexec
optie. - Back-up kan koppelpunten voor gegevensbestanden behouden met
noexec
optie.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | nonExecMountPolicy |
non execute mount mute |
Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
Mogelijke waarden |
unmute (standaard)mute |
Not configured unmute (Standaard)mute |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.85.27
of hoger.
Controle van bestandssystemen opheffen
Configureer bestandssystemen om niet te worden bewaakt/uitgesloten van realtime-beveiliging (RTP). De geconfigureerde bestandssystemen worden gevalideerd op basis van de lijst met toegestane bestandssystemen van Microsoft Defender. Bestandssystemen kunnen alleen worden bewaakt na een geslaagde validatie. Deze geconfigureerde niet-bewaakte bestandssystemen worden nog steeds gescand door snelle, volledige en aangepaste scans in Microsoft Defender Antivirus.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | unmonitoredFilesystems |
Niet-bewaakte bestandssystemen |
Gegevenstype | Matrix van tekenreeksen | Lijst met dynamische tekenreeksen |
Opmerking
Geconfigureerd bestandssysteem wordt alleen niet bewaakt als het aanwezig is in de lijst met toegestane niet-bewaakte bestandssystemen van Microsoft.
Standaard worden NFS en Fuse niet gecontroleerd vanuit RTP-, Snelle en Volledige scans. Ze kunnen echter nog steeds worden gescand door een aangepaste scan. Als u bijvoorbeeld NFS wilt verwijderen uit de lijst met niet-bewaakte bestandssystemen, werkt u het beheerde configuratiebestand bij zoals hieronder wordt weergegeven. Hiermee wordt NFS automatisch toegevoegd aan de lijst met bewaakte bestandssystemen voor RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Als u zowel NFS als Fuse wilt verwijderen uit een niet-bewaakte lijst met bestandssystemen, gebruikt u het volgende fragment:
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Opmerking
Hier volgt de standaardlijst met bewaakte bestandssystemen voor RTP: , , , , , , , , overlay
, ramfs
, reiserfs
, , tmpfs
, vfat
en xfs
. jfs
ext4
fuseblk
ext3
ext2
ecryptfs
btrfs
Als een bewaakt bestandssysteem moet worden toegevoegd aan de lijst met niet-bewaakte bestandssystemen, moet het worden geëvalueerd en ingeschakeld door Microsoft via cloudconfiguratie. Na welke klanten managed_mdatp.json kunnen bijwerken om dat bestandssysteem op te heffen.
Rekenfunctie voor bestands-hash configureren
Hiermee schakelt u de rekenfunctie voor bestands-hashs in of uit. Wanneer deze functie is ingeschakeld, rekent Defender voor Eindpunt hashes uit voor bestanden die worden gescand. Houd er rekening mee dat het inschakelen van deze functie van invloed kan zijn op de prestaties van het apparaat. Raadpleeg voor meer informatie: Indicatoren voor bestanden maken.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | enableFileHashComputation |
Bestandshashberekening inschakelen |
Gegevenstype | Booleaanse waarde | Vervolgkeuzelijst |
Mogelijke waarden |
false (standaard)true |
Not configured Disabled (standaard)Enabled |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.85.27
of hoger.
Toegestane bedreigingen
Lijst met bedreigingen (aangeduid met hun naam) die niet door het product worden geblokkeerd en in plaats daarvan mogen worden uitgevoerd.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | allowedThreats |
Toegestane bedreigingen |
Gegevenstype | Matrix van tekenreeksen | Lijst met dynamische tekenreeksen |
Niet-toegestane bedreigingsacties
Hiermee worden de acties beperkt die de lokale gebruiker van een apparaat kan uitvoeren wanneer bedreigingen worden gedetecteerd. De acties in deze lijst worden niet weergegeven in de gebruikersinterface.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | disallowedThreatActions |
Niet-toegestane bedreigingsacties |
Gegevenstype | Matrix van tekenreeksen | Lijst met dynamische tekenreeksen |
Mogelijke waarden |
allow (hiermee wordt voorkomen dat gebruikers bedreigingen toestaan)restore (hiermee kunnen gebruikers geen bedreigingen herstellen uit de quarantaine) |
allow (hiermee wordt voorkomen dat gebruikers bedreigingen toestaan)restore (hiermee kunnen gebruikers geen bedreigingen herstellen uit de quarantaine) |
Opmerking
Beschikbaar in defender voor eindpuntversie 100.83.73
of hoger.
Instellingen voor bedreigingstype
De threatTypeSettings-voorkeur in de antivirus-engine wordt gebruikt om te bepalen hoe bepaalde bedreigingstypen door het product worden verwerkt.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | threatTypeSettings |
Instellingen voor bedreigingstype |
Gegevenstype | Woordenlijst (geneste voorkeur) | Lijst met dynamische eigenschappen |
Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. | Zie de volgende secties voor een beschrijving van de dynamische eigenschappen. |
Bedreigingstype
Type bedreiging waarvoor het gedrag is geconfigureerd.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | sleutel | Bedreigingstype |
Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
Mogelijke waarden | potentially_unwanted_application archive_bomb |
potentially_unwanted_application archive_bomb |
Te ondernemen actie
Actie die moet worden ondernomen bij het tegenkomen van een bedreiging van het type dat in de voorgaande sectie is opgegeven. Dit kan zijn:
- Controle: Het apparaat is niet beveiligd tegen dit type bedreiging, maar er wordt een vermelding over de bedreiging geregistreerd. (Standaard)
- Blokkeren: het apparaat is beveiligd tegen dit type bedreiging en u krijgt een melding in de Microsoft Defender-portal.
- Uit: het apparaat is niet beveiligd tegen dit type bedreiging en er wordt niets geregistreerd.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | waarde | Te ondernemen actie |
Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
Mogelijke waarden |
audit (standaard)block off |
audit block af |
Beleid voor het samenvoegen van instellingen voor bedreigingstypen
Hiermee geeft u het samenvoegbeleid voor instellingen voor bedreigingstypen op. Dit kan een combinatie zijn van door de beheerder gedefinieerde en door de gebruiker gedefinieerde instellingen (merge
) of alleen door de beheerder gedefinieerde instellingen (admin_only
). Door de beheerder gedefinieerde instellingen (admin_only) zijn instellingen voor bedreigingstypen die zijn geconfigureerd door defender voor eindpuntbeleid. Deze instelling kan worden gebruikt om te voorkomen dat lokale gebruikers hun eigen instellingen definiëren voor verschillende bedreigingstypen.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | threatTypeSettingsMergePolicy |
Instellingen voor bedreigingstype samenvoegen |
Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
Mogelijke waarden |
merge (standaard)admin_only |
Not configured merge (Standaard)admin_only |
Opmerking
Beschikbaar in defender voor eindpuntversie 100.83.73
of hoger.
Retentie van antivirusscangeschiedenis (in dagen)
Geef het aantal dagen op dat de resultaten worden bewaard in de scangeschiedenis op het apparaat. Oude scanresultaten worden uit de geschiedenis verwijderd. Oude in quarantaine geplaatste bestanden die ook van de schijf worden verwijderd.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | scanResultsRetentionDays |
Retentie van scanresultaten |
Gegevenstype | Tekenreeks | Schakelaar en geheel getal in-/uitschakelen |
Mogelijke waarden |
90 (standaard). Toegestane waarden liggen tussen 1 dag en 180 dagen. |
Not configured (uitschakelen - standaard 90 dagen)Configured (wissel aan) en toegestane waarde 1 tot 180 dagen. |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.04.76
of hoger.
Maximum aantal items in de antivirusscangeschiedenis
Geef het maximum aantal vermeldingen op dat in de scangeschiedenis moet worden bewaard. Vermeldingen omvatten alle scans op aanvraag die in het verleden zijn uitgevoerd en alle antivirusdetecties.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | scanHistoryMaximumItems |
Grootte van scangeschiedenis |
Gegevenstype | Tekenreeks | Wisselknop en geheel getal |
Mogelijke waarden |
10000 (standaard). Toegestane waarden zijn van 5000 items naar 15000 items. |
Niet geconfigureerd (uitschakelen - standaard 10000)Configured (wisselknop) en toegestane waarde van 5000 tot 15000 items. |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.04.76
of hoger.
Voorkeuren voor uitsluitingsinstellingen
Voorkeuren voor uitsluitingsinstellingen zijn momenteel in preview.
Opmerking
Globale uitsluitingen zijn momenteel beschikbaar in openbare preview en zijn beschikbaar in Defender voor Eindpunt vanaf versie 101.23092.0012
of hoger in de Insiders Slow- en Production-ringen.
De exclusionSettings
sectie van het configuratieprofiel wordt gebruikt voor het configureren van verschillende uitsluitingen voor Microsoft Defender voor Eindpunt voor Linux.
Beschrijving | JSON-waarde |
---|---|
Sleutel | exclusionSettings |
Gegevenstype | Woordenlijst (geneste voorkeur) |
Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Opmerking
Al geconfigureerde antivirusuitsluitingen onder (antivirusEngine
) in beheerde JSON blijven werken zoals het is, zonder dat dit van invloed is. Alle nieuwe uitsluitingen , inclusief antivirusuitsluitingen, kunnen worden toegevoegd onder deze volledig nieuwe sectie (exclusionSettings
). Deze sectie bevindt zich buiten de tag (antivirusEngine
) omdat deze uitsluitend is toegewezen voor het configureren van alle typen uitsluitingen die in de toekomst beschikbaar zullen zijn. U kunt ook (antivirusEngine
) blijven gebruiken voor het configureren van antivirusuitsluitingen.
Beleid voor samenvoegen
Hiermee geeft u het samenvoegbeleid voor uitsluitingen op. Hiermee wordt aangegeven of het een combinatie kan zijn van door de beheerder gedefinieerde en door de gebruiker gedefinieerde uitsluitingen (merge
) of alleen door de beheerder gedefinieerde uitsluitingen (admin_only
). Deze instelling kan worden gebruikt om te voorkomen dat lokale gebruikers hun eigen uitsluitingen definiëren. Deze is van toepassing op uitsluitingen van alle bereiken.
Beschrijving | JSON-waarde |
---|---|
Sleutel | mergePolicy |
Gegevenstype | Tekenreeks |
Mogelijke waarden |
merge (standaard)admin_only |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie september 2023 of hoger. |
Uitsluitingen
Entiteiten die moeten worden uitgesloten, kunnen worden opgegeven met volledige paden, extensies of bestandsnamen. Elke uitsluitingsentiteit, d.w.w.v. het volledige pad, de extensie of de bestandsnaam, heeft een optioneel bereik dat kan worden opgegeven. Als dit niet is opgegeven, is de standaardwaarde van het bereik in deze sectie globaal. (Uitsluitingen worden opgegeven als een matrix met items, de beheerder kan zoveel elementen opgeven als nodig is, in elke volgorde.)
Beschrijving | JSON-waarde |
---|---|
Sleutel | exclusions |
Gegevenstype | Woordenlijst (geneste voorkeur) |
Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Type uitsluiting
Hiermee geeft u het type inhoud dat wordt uitgesloten van de scan.
Beschrijving | JSON-waarde |
---|---|
Sleutel | $type |
Gegevenstype | Tekenreeks |
Mogelijke waarden | excludedPath excludedFileExtension excludedFileName |
Bereik van uitsluiting (optioneel)
Hiermee geeft u de set uitsluitingsbereiken van uitgesloten inhoud op. Momenteel worden ondersteunde bereiken epp
en global
.
Als er niets is opgegeven voor een uitsluiting onder exclusionSettings in de beheerde configuratie, wordt dit global
beschouwd als bereik.
Opmerking
Eerder geconfigureerde antivirusuitsluitingen onder (antivirusEngine
) in beheerde JSON blijven werken en hun bereik wordt beschouwd (epp
) omdat ze zijn toegevoegd als antivirusuitsluitingen.
Beschrijving | JSON-waarde |
---|---|
Sleutel | Scopes |
Gegevenstype | Reeks tekenreeksen |
Mogelijke waarden | epp global |
Opmerking
Eerder toegepaste uitsluitingen met (mdatp_managed.json
) of door CLI blijven ongewijzigd. Het bereik voor deze uitsluitingen is (epp
) omdat ze zijn toegevoegd onder (antivirusEngine
).
Pad naar uitgesloten inhoud
Wordt gebruikt om inhoud van de scan uit te sluiten op het volledige bestandspad.
Beschrijving | JSON-waarde |
---|---|
Sleutel | pad |
Gegevenstype | Tekenreeks |
Mogelijke waarden | geldige paden |
Opmerkingen | Alleen van toepassing als $typeis uitgesloten. Jokertekens worden niet ondersteund als uitsluiting een globaal bereik heeft. |
Padtype (bestand/map)
Geeft aan of de padeigenschap verwijst naar een bestand of map.
Opmerking
Bestandspad moet al bestaan als u bestandsuitsluiting met een globaal bereik toevoegt.
Beschrijving | JSON-waarde |
---|---|
Sleutel | isDirectory |
Gegevenstype | Booleaanse waarde |
Mogelijke waarden |
false (standaard)true |
Opmerkingen | Alleen van toepassing als $typeis uitgesloten. Jokertekens worden niet ondersteund als uitsluiting een globaal bereik heeft. |
Bestandsextensie uitgesloten van de scan
Wordt gebruikt om inhoud uit te sluiten van de scan op bestandsextensie.
Beschrijving | JSON-waarde |
---|---|
Sleutel | extensie |
Gegevenstype | Tekenreeks |
Mogelijke waarden | geldige bestandsextensies |
Opmerkingen | Alleen van toepassing als $typeis uitgeslotenFileExtension. Niet ondersteund als uitsluiting een globaal bereik heeft. |
Proces dat is uitgesloten van de scan
Hiermee geeft u een proces op waarvoor alle bestandsactiviteit wordt uitgesloten van scannen. Het proces kan worden opgegeven met de naam (bijvoorbeeld cat
) of het volledige pad (bijvoorbeeld /bin/cat
).
Beschrijving | JSON-waarde |
---|---|
Sleutel | naam |
Gegevenstype | Tekenreeks |
Mogelijke waarden | elke tekenreeks |
Opmerkingen | Alleen van toepassing als $typeis uitgeslotenFileName. Jokerteken en procesnaam worden niet ondersteund als uitsluiting globaal als bereik heeft, moet het volledige pad opgeven. |
Geavanceerde scanopties
De volgende instellingen kunnen worden geconfigureerd om bepaalde geavanceerde scanfuncties in te schakelen.
Belangrijk
Het inschakelen van deze functies kan van invloed zijn op de prestaties van het apparaat. Daarom wordt aanbevolen om de standaardinstellingen te behouden, tenzij anders wordt aanbevolen door Microsoft Ondersteuning.
Scannen van bestandsmachtigingen configureren
Wanneer deze functie is ingeschakeld, scant Defender voor Eindpunt bestanden wanneer hun machtigingen zijn gewijzigd om de uitvoeringsbit(en) in te stellen.
Opmerking
Deze functie is alleen van toepassing wanneer de enableFilePermissionEvents
functie is ingeschakeld. Zie de sectie Geavanceerde optionele functies hieronder voor meer informatie.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | scanFileModifyPermissions |
Niet beschikbaar |
Gegevenstype | Booleaanse waarde | n.v.t. |
Mogelijke waarden |
false (standaard)true |
n.v.t. |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.23062.0010
of hoger.
Scannen van eigendomsevenementen voor het wijzigen van bestanden configureren
Wanneer deze functie is ingeschakeld, scant Defender voor Eindpunt bestanden waarvan het eigendom is gewijzigd.
Opmerking
Deze functie is alleen van toepassing wanneer de enableFileOwnershipEvents
functie is ingeschakeld. Zie de sectie Geavanceerde optionele functies hieronder voor meer informatie.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | scanFileModifyOwnership |
Niet beschikbaar |
Gegevenstype | Booleaanse waarde | n.v.t. |
Mogelijke waarden |
false (standaard)true |
n.v.t. |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.23062.0010
of hoger.
Scannen van onbewerkte socket-gebeurtenissen configureren
Wanneer deze functie is ingeschakeld, scant Defender voor Eindpunt netwerksocket-gebeurtenissen, zoals het maken van onbewerkte sockets/pakketsockets of het instellen van de socketoptie.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
Deze functie is alleen van toepassing wanneer de enableRawSocketEvent
functie is ingeschakeld. Zie de sectie Geavanceerde optionele functies hieronder voor meer informatie.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | scanNetworkSocketEvent |
Niet beschikbaar |
Gegevenstype | Booleaanse waarde | n.v.t. |
Mogelijke waarden |
false (standaard)true |
n.v.t. |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.23062.0010
of hoger.
Cloudbeveiligingsvoorkeuren
De vermelding cloudService in het configuratieprofiel wordt gebruikt om de cloudgestuurde beveiligingsfunctie van het product te configureren.
Opmerking
Cloudbeveiliging is van toepassing met alle instellingen voor afdwingingsniveaus (real_time, on_demand, passief).
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | cloudService |
Cloudbeveiligingsvoorkeuren |
Gegevenstype | Woordenlijst (geneste voorkeur) | Samengevouwen sectie |
Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. | Zie de volgende secties voor een beschrijving van de instellingen van het beleid. |
Cloudbeveiliging in- of uitschakelen
Bepaalt of cloudbeveiliging is ingeschakeld op het apparaat of niet. Om de beveiliging van uw services te verbeteren, raden we u aan deze functie ingeschakeld te houden.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | enabled |
Cloudbeveiliging inschakelen |
Gegevenstype | Booleaanse waarde | Vervolgkeuzelijst |
Mogelijke waarden |
true (standaard)false |
Niet geconfigureerd Uitgeschakeld Ingeschakeld (standaard) |
Niveau van diagnostische verzameling
Diagnostische gegevens worden gebruikt om Defender voor Eindpunt veilig en up-to-date te houden, problemen te detecteren, te diagnosticeren en op te lossen, en ook om productverbeteringen aan te brengen. Deze instelling bepaalt het niveau van de diagnostische gegevens die door het product naar Microsoft worden verzonden. Zie Privacy voor Microsoft Defender voor Eindpunt in Linux voor meer informatie.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | diagnosticLevel |
Niveau voor het verzamelen van diagnostische gegevens |
Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
Mogelijke waarden | optional required (standaard) |
Not configured optional (Standaard)required |
Cloudblokniveau configureren
Deze instelling bepaalt hoe agressief Defender voor Eindpunt verdachte bestanden blokkeert en scant. Als deze instelling is ingeschakeld, is Defender voor Eindpunt agressiever bij het identificeren van verdachte bestanden die moeten worden geblokkeerd en gescand. anders is het minder agressief en blokkeert en scant het met minder frequentie.
Er zijn vijf waarden voor het instellen van cloudblokniveau:
- Normaal (
normal
): het standaardblokkeringsniveau. - Gemiddeld (
moderate
): levert alleen een oordeel voor detecties met hoge betrouwbaarheid. - Hoog (
high
): Onbekende bestanden worden agressief geblokkeerd terwijl ze worden geoptimaliseerd voor prestaties (grotere kans op het blokkeren van niet-schadelijke bestanden). - Hoog pluspunt (
high_plus
): onbekende bestanden worden agressief geblokkeerd en aanvullende beveiligingsmaatregelen toegepast (mogelijk van invloed op de prestaties van clientapparaten). - Nultolerantie (
zero_tolerance
): blokkeert alle onbekende programma's.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | cloudBlockLevel |
Cloudblokniveau configureren |
Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
Mogelijke waarden |
normal (standaard)moderate high high_plus zero_tolerance |
Not configured Normal (standaard)Moderate High High_Plus Zero_Tolerance |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.56.62
of hoger.
Automatische voorbeeldinzendingen in- of uitschakelen
Bepaalt of verdachte voorbeelden (die waarschijnlijk bedreigingen bevatten) naar Microsoft worden verzonden. Er zijn drie niveaus voor het beheren van het indienen van voorbeelden:
- Geen: er worden geen verdachte voorbeelden naar Microsoft verzonden.
- Veilig: alleen verdachte steekproeven die geen persoonlijk identificeerbare informatie (PII) bevatten, worden automatisch verzonden. Dit is de standaardwaarde voor deze instelling.
- Alle: alle verdachte voorbeelden worden verzonden naar Microsoft.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | automaticSampleSubmissionConsent |
Automatische voorbeeldinzendingen inschakelen |
Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
Mogelijke waarden | none safe (standaard)all |
Not configured None Safe (Standaard)All |
Automatische updates voor beveiligingsinformatie in- of uitschakelen
Bepaalt of updates voor beveiligingsinformatie automatisch worden geïnstalleerd:
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | automaticDefinitionUpdateEnabled |
Automatische updates voor beveiligingsinformatie |
Gegevenstype | Booleaanse waarde | Vervolgkeuzelijst |
Mogelijke waarden |
true (standaard)false |
Not configured Disabled Enabled (Standaard) |
Afhankelijk van het afdwingingsniveau worden de automatische updates voor beveiligingsinformatie anders geïnstalleerd. In de RTP-modus worden updates periodiek geïnstalleerd. In passieve/on-demand modus worden updates geïnstalleerd vóór elke scan.
Geavanceerde optionele functies
De volgende instellingen kunnen worden geconfigureerd om bepaalde geavanceerde functies in te schakelen.
Belangrijk
Het inschakelen van deze functies kan van invloed zijn op de prestaties van het apparaat. Het wordt aanbevolen om de standaardinstellingen te behouden, tenzij anders wordt aanbevolen door Microsoft Ondersteuning.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | Functies | Niet beschikbaar |
Gegevenstype | Woordenlijst (geneste voorkeur) | n.v.t |
Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Functie module laden
Bepaalt of gebeurtenissen voor het laden van modules (bestandsopen-gebeurtenissen in gedeelde bibliotheken) worden bewaakt.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | moduleLoad |
Niet beschikbaar |
Gegevenstype | Tekenreeks | n.v.t |
Mogelijke waarden |
disabled (standaard)enabled |
n.v.t |
Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.68.80 of hoger. |
De functie Geïnfecteerd bestand herstellen
Bepaalt of geïnfecteerde processen die een geïnfecteerd bestand openen of laden, worden hersteld of niet.
Opmerking
Wanneer dit is ingeschakeld, worden de processen waarmee een geïnfecteerd bestand wordt geopend of geladen, hersteld in de RTP-modus. Deze processen worden niet weergegeven in de lijst met bedreigingen omdat ze niet schadelijk zijn, maar alleen worden beëindigd omdat ze het bedreigingsbestand in het geheugen laden.
Beschrijving | JSON-waarde | Waarde van Defender Portal |
---|---|---|
Sleutel | remediateInfectedFile | Niet beschikbaar |
Gegevenstype | Tekenreeks | n.v.t |
Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t |
Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.24122.0001 of hoger. |
Aanvullende sensorconfiguraties
De volgende instellingen kunnen worden gebruikt om bepaalde geavanceerde aanvullende sensorfuncties te configureren.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | supplementarySensorConfigurations |
Niet beschikbaar |
Gegevenstype | Woordenlijst (geneste voorkeur) | n.v.t |
Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Bewaking van bestandsmachtigingen configureren
Bepaalt of bestandsmachtigingen (chmod
) worden bewaakt.
Opmerking
Wanneer deze functie is ingeschakeld, controleert Defender voor Eindpunt wijzigingen in de uitvoeringsbits van bestanden, maar scant deze gebeurtenissen niet. Zie de sectie Geavanceerde scanfuncties voor meer informatie.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | enableFilePermissionEvents |
Niet beschikbaar |
Gegevenstype | Tekenreeks | n.v.t |
Mogelijke waarden |
disabled (standaard)enabled |
n.v.t |
Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.23062.0010 of hoger. |
Bewaking van eigendomsevenementen voor het wijzigen van bestanden configureren
Bepaalt of bestandseigendomsevenementen (chown
) worden bewaakt.
Opmerking
Wanneer deze functie is ingeschakeld, bewaakt Defender voor Eindpunt wijzigingen in het eigendom van bestanden, maar scant deze gebeurtenissen niet. Zie de sectie Geavanceerde scanfuncties voor meer informatie.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | enableFileOwnershipEvents |
Niet beschikbaar |
Gegevenstype | Tekenreeks | n.v.t |
Mogelijke waarden |
disabled (standaard)enabled |
n.v.t |
Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.23062.0010 of hoger. |
Bewaking van onbewerkte socket-gebeurtenissen configureren
Bepaalt of netwerksocket-gebeurtenissen met betrekking tot het maken van onbewerkte sockets/pakketsockets of het instellen van de socketoptie worden bewaakt.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld. Wanneer deze functie is ingeschakeld, bewaakt Defender voor Eindpunt deze netwerksocket-gebeurtenissen, maar scant deze gebeurtenissen niet. Zie de sectie Geavanceerde scanfuncties hierboven voor meer informatie.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | enableRawSocketEvent |
Niet beschikbaar |
Gegevenstype | Tekenreeks | n.v.t |
Mogelijke waarden |
disabled (standaard)enabled |
n.v.t |
Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.23062.0010 of hoger. |
Bewaking van opstartlaadprogramma-gebeurtenissen configureren
Bepaalt of gebeurtenissen van het opstartlaadprogramma worden bewaakt en gescand.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | enableBootLoaderCalls |
Niet beschikbaar |
Gegevenstype | Tekenreeks | n.v.t |
Mogelijke waarden |
disabled (standaard)enabled |
n.v.t |
Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.68.80 of hoger. |
Bewaking van ptrace-gebeurtenissen configureren
Bepaalt of ptrace-gebeurtenissen worden bewaakt en gescand.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | enableProcessCalls |
Niet beschikbaar |
Gegevenstype | Tekenreeks | n.v.t |
Mogelijke waarden |
disabled (standaard)enabled |
n.v.t |
Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.68.80 of hoger. |
Bewaking van pseudofs-gebeurtenissen configureren
Bepaalt of pseudofs-gebeurtenissen worden bewaakt en gescand.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | enablePseudofsCalls |
Niet beschikbaar |
Gegevenstype | Tekenreeks | n.v.t |
Mogelijke waarden |
disabled (standaard)enabled |
n.v.t |
Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.68.80 of hoger. |
Bewaking van modulelaadbeurtenissen configureren met behulp van eBPF
Bepaalt of gebeurtenissen voor het laden van modules worden bewaakt met behulp van eBPF en worden gescand.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | enableEbpfModuleLoadEvents |
Niet beschikbaar |
Gegevenstype | Tekenreeks | n.v.t |
Mogelijke waarden |
disabled (standaard)enabled |
n.v.t |
Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.68.80 of hoger. |
Bewaking van open gebeurtenissen van specifieke bestandssystemen configureren met behulp van eBPF
Bepaalt of open gebeurtenissen van procfs worden bewaakt door eBPF.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | enableOtherFsOpenEvents |
Niet beschikbaar |
Gegevenstype | Tekenreeks | n.v.t |
Mogelijke waarden |
disabled (standaard)enabled |
n.v.t |
Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.24072.0001 of hoger. |
Bronverrijking van gebeurtenissen configureren met eBPF
Bepaalt of gebeurtenissen worden verrijkt met metagegevens bij de bron in eBPF.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | enableEbpfSourceEnrichment |
Niet beschikbaar |
Gegevenstype | Tekenreeks | n.v.t |
Mogelijke waarden |
disabled (standaard)enabled |
n.v.t |
Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.24072.0001 of hoger. |
Antivirus-enginecache inschakelen
Bepaalt of metagegevens van gebeurtenissen die door de antivirus-engine worden gescand, al dan niet in de cache worden opgeslagen.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | enableAntivirusEngineCache |
Niet beschikbaar |
Gegevenstype | Tekenreeks | n.v.t |
Mogelijke waarden |
disabled (standaard)enabled |
n.v.t |
Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.24072.0001 of hoger. |
Av-verdachte gebeurtenissen rapporteren aan EDR
Bepaalt of verdachte gebeurtenissen van Antivirus worden gerapporteerd aan EDR.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | sendLowfiEvents |
Niet beschikbaar |
Gegevenstype | Tekenreeks | n.v.t |
Mogelijke waarden |
disabled (standaard)enabled |
n.v.t |
Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.23062.0010 of hoger. |
Configuraties voor netwerkbeveiliging
Opmerking
Dit is een preview-functie. Om deze effectief te maken, moet Netwerkbeveiliging zijn ingeschakeld. Zie Netwerkbeveiliging inschakelen voor Linux voor meer informatie.
De volgende instellingen kunnen worden gebruikt voor het configureren van geavanceerde netwerkbeveiligingsinspectiefuncties om te bepalen welk verkeer wordt geïnspecteerd door Netwerkbeveiliging.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | networkProtection |
Netwerkbeveiliging |
Gegevenstype | Woordenlijst (geneste voorkeur) | Samengevouwen sectie |
Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. | Zie de volgende secties voor een beschrijving van de beleidsinstellingen. |
Afdwingingsniveau
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | enforcementLevel |
Afdwingingsniveau |
Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
Mogelijke waarden |
disabled (standaard)audit block |
Not configured disabled (standaard)audit block |
ICMP-inspectie configureren
Bepaalt of ICMP-gebeurtenissen worden bewaakt en gescand.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
Beschrijving | JSON-waarde | Microsoft Defender portalwaarde |
---|---|---|
Sleutel | disableIcmpInspection |
Niet beschikbaar |
Gegevenstype | Booleaanse waarde | n.v.t |
Mogelijke waarden |
true (standaard)false |
n.v.t |
Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.23062.0010 of hoger. |
Tag of groeps-id toevoegen aan het configuratieprofiel
Wanneer u de opdracht voor het mdatp health
eerst uitvoert, zijn de waarde voor de tag en de groeps-id leeg. Volg de onderstaande stappen om een tag of groeps-id toe te voegen aan het mdatp_managed.json
bestand:
Open het configuratieprofiel vanuit het pad
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json
.Ga omlaag naar de onderkant van het bestand, waar het
cloudService
blok zich bevindt.Voeg de vereiste tag of groeps-id toe zoals in het volgende voorbeeld aan het einde van de accolade sluiten voor de
cloudService
.}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }
Opmerking
Voeg de komma toe na de accolade sluiten aan het einde van het
cloudService
blok. Zorg er ook voor dat er twee accolades sluiten na het toevoegen van het tag- of groeps-id-blok (zie het bovenstaande voorbeeld). Op dit moment isGROUP
de enige ondersteunde sleutelnaam voor tags .
Validatie van configuratieprofiel
Het configuratieprofiel moet een geldig bestand met JSON-indeling zijn. Er zijn veel hulpprogramma's die kunnen worden gebruikt om dit te controleren. Als u bijvoorbeeld op uw apparaat hebt python
geïnstalleerd:
python -m json.tool mdatp_managed.json
Als de JSON goed is opgemaakt, voert de bovenstaande opdracht deze terug naar de Terminal en retourneert de afsluitcode van 0
. Anders wordt een fout weergegeven die het probleem beschrijft en retourneert de opdracht een afsluitcode van 1
.
Controleren of het mdatp_managed.json-bestand werkt zoals verwacht
Als u wilt controleren of uw /etc/opt/microsoft/mdatp/managed/mdatp_managed.json
apparaat goed werkt, ziet u '[managed]' naast deze instellingen:
cloud_enabled
cloud_automatic_sample_submission_consent
passive_mode_enabled
real_time_protection_enabled
automatic_definition_update_enabled
Opmerking
Er is geen herstart van mdatp-daemon vereist om wijzigingen in de meeste configuraties in mdatp_managed.json
van kracht te laten worden.
Uitzondering: Voor de volgende configuraties moet de daemon opnieuw worden opgestart om van kracht te worden:
cloud-diagnostic
log-rotation-parameters
Implementatie van configuratieprofiel
Zodra u het configuratieprofiel voor uw onderneming hebt gemaakt, kunt u het implementeren via het beheerprogramma dat uw onderneming gebruikt. Defender voor Eindpunt op Linux leest de beheerde configuratie van /etc/opt/microsoft/mdatp/managed/mdatp_managed.json
.
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.