Voorkeuren instellen voor Microsoft Defender voor Eindpunt in Linux
Van toepassing op:
- Microsoft Defender voor Eindpunt Server
- Microsoft Defender voor servers
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Belangrijk
Dit artikel bevat instructies voor het instellen van voorkeuren voor Defender voor Eindpunt in Linux in bedrijfsomgevingen. Als u geïnteresseerd bent in het configureren van het product op een apparaat vanaf de opdrachtregel, raadpleegt u Resources.
In bedrijfsomgevingen kan Defender voor Eindpunt op Linux worden beheerd via een configuratieprofiel. Dit profiel wordt geïmplementeerd vanuit het beheerprogramma van uw keuze. Voorkeuren die door de onderneming worden beheerd, hebben voorrang op de voorkeuren die lokaal op het apparaat zijn ingesteld. Met andere woorden, gebruikers in uw onderneming kunnen geen voorkeuren wijzigen die via dit configuratieprofiel zijn ingesteld. Als uitsluitingen zijn toegevoegd via het beheerde configuratieprofiel, kunnen ze alleen worden verwijderd via het beheerde configuratieprofiel. De opdrachtregel werkt voor uitsluitingen die lokaal zijn toegevoegd.
In dit artikel wordt de structuur van dit profiel beschreven (inclusief een aanbevolen profiel dat u kunt gebruiken om aan de slag te gaan) en instructies voor het implementeren van het profiel.
Configuratieprofielstructuur
Het configuratieprofiel is een .json bestand dat bestaat uit vermeldingen die worden geïdentificeerd door een sleutel (die de naam van de voorkeur aangeeft), gevolgd door een waarde, die afhankelijk is van de aard van de voorkeur. Waarden kunnen eenvoudig zijn, zoals een numerieke waarde, of complex, zoals een geneste lijst met voorkeuren.
Normaal gesproken gebruikt u een hulpprogramma voor configuratiebeheer om een bestand met de naam mdatp_managed.json op de locatie /etc/opt/microsoft/mdatp/managed/te pushen.
Het hoogste niveau van het configuratieprofiel bevat productbrede voorkeuren en vermeldingen voor subgebieden van het product, die in meer detail worden uitgelegd in de volgende secties.
Voorkeuren voor antivirusprogramma's
De sectie antivirusEngine van het configuratieprofiel wordt gebruikt om de voorkeuren van het antivirusonderdeel van het product te beheren.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | antivirusEngine | Antivirus-engine |
| Gegevenstype | Woordenlijst (geneste voorkeur) | Samengevouwen sectie |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. | Zie de volgende secties voor een beschrijving van de beleidseigenschappen. |
Afdwingingsniveau voor antivirusengine
Hiermee geeft u de afdwingingsvoorkeur van antivirus-engine op. Er zijn drie waarden voor het instellen van afdwingingsniveau:
- Realtime (
real_time): Realtime-beveiliging (bestanden scannen wanneer ze worden gewijzigd) is ingeschakeld. - Op aanvraag (
on_demand): bestanden worden alleen op aanvraag gescand. In dit:- Realtime-beveiliging is uitgeschakeld.
- Definitie-updates vinden alleen plaats wanneer een scan wordt gestart, zelfs als
automaticDefinitionUpdateEnableddeze is ingesteldtrueop in de modus op aanvraag.
- Passief (
passive): hiermee wordt de antivirus-engine uitgevoerd in de passieve modus. In dit geval zijn al het volgende van toepassing:- Realtime-beveiliging is uitgeschakeld: bedreigingen worden niet hersteld door Microsoft Defender Antivirus.
- Scannen op aanvraag is ingeschakeld: gebruik nog steeds de scanmogelijkheden op het eindpunt.
- Automatisch herstel van bedreigingen is uitgeschakeld: er worden geen bestanden verplaatst en uw beveiligingsbeheerder wordt geacht de vereiste actie te ondernemen.
- Updates voor beveiligingsinformatie zijn ingeschakeld: waarschuwingen zijn beschikbaar in de tenant van de beveiligingsbeheerder.
- Definitie-updates vinden alleen plaats wanneer een scan wordt gestart, zelfs als
automaticDefinitionUpdateEnableddeze is ingesteld optruein de passieve modus.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enforcementLevel | Afdwingingsniveau |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden | real_timeon_demandpassive (standaard) |
Niet geconfigureerd Realtime OnDemand Passief (standaard) |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.10.72 of hoger. De standaardwaarde wordt gewijzigd van real_time in passive in de versie 101.23062.0001 van Defender voor Eindpunt of hoger.
Het wordt aanbevolen om ook geplande scans te gebruiken op basis van de vereiste.
Gedragscontrole in-/uitschakelen [alleen als RTP is ingeschakeld]
Belangrijk
Deze functie werkt alleen wanneer het afdwingingsniveau is ingesteld op real-time.
Bepaalt of gedragscontrole en blokkeringsfunctie is ingeschakeld op het apparaat of niet.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | behaviorMonitoring | Gedragscontrole inschakelen |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden |
disabled (standaard) |
Niet geconfigureerd Uitgeschakeld (standaard) Ingeschakeld |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.45.00 of hoger.
Een scan uitvoeren nadat definities zijn bijgewerkt
Belangrijk
Deze functie werkt alleen wanneer het afdwingingsniveau is ingesteld op real-time.
Hiermee geeft u op of een processcan moet worden gestart nadat nieuwe updates voor beveiligingsupdates op het apparaat zijn gedownload. Als u deze instelling inschakelt, wordt een antivirusscan geactiveerd op de actieve processen van het apparaat.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | scanAfterDefinitionUpdate | Scannen inschakelen na definitie-update |
| Gegevenstype | Booleaanse waarde | Vervolgkeuzelijst |
| Mogelijke waarden |
true (standaard) |
Niet geconfigureerd Uitgeschakeld Ingeschakeld (standaard) |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.45.00 of hoger.
Archieven scannen (alleen antivirusscans op aanvraag)
Hiermee geeft u op of archieven moeten worden gescand tijdens antivirusscans op aanvraag.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | scanArchives | Scannen van archieven inschakelen |
| Gegevenstype | Booleaanse waarde | Vervolgkeuzelijst |
| Mogelijke waarden |
true (standaard)
|
Niet geconfigureerd Uitgeschakeld Ingeschakeld (standaard) |
Opmerking
Beschikbaar in Microsoft Defender voor Eindpunt versie 101.45.00 of hoger.
Archief bestanden worden nooit gescand tijdens realtime-beveiliging. Wanneer de bestanden in een archief worden uitgepakt, worden ze gescand. De optie scanArchives kan worden gebruikt om de scan van archieven alleen tijdens een scan op aanvraag af te dwingen.
Mate van parallelle uitvoering van scans op aanvraag
Hiermee geeft u de mate van parallellisme voor scans op aanvraag op. Dit komt overeen met het aantal threads dat wordt gebruikt om de scan uit te voeren en heeft invloed op het CPU-gebruik en de duur van de scan op aanvraag.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | maximumOnDemandScanThreads | maximum aantal scanthreads op aanvraag |
| Gegevenstype | Geheel getal | Schakeloptie & geheel getal |
| Mogelijke waarden | 2 (standaard). Toegestane waarden zijn gehele getallen tussen 1 en 64. | Niet geconfigureerd (standaardinstellingen uitschakelen op 2) Geconfigureerd (wisselknop aan) en geheel getal tussen 1 en 64. |
Opmerking
Beschikbaar in Microsoft Defender voor Eindpunt versie 101.45.00 of hoger.
Beleid voor samenvoeging van uitsluitingen
Hiermee geeft u het samenvoegbeleid voor uitsluitingen op. Dit kan een combinatie zijn van door de beheerder gedefinieerde en door de gebruiker gedefinieerde uitsluitingen (merge) of alleen door de beheerder gedefinieerde uitsluitingen (admin_only). Door de beheerder gedefinieerde (admin_only) zijn uitsluitingen die worden geconfigureerd door defender voor eindpuntbeleid. Deze instelling kan worden gebruikt om te voorkomen dat lokale gebruikers hun eigen uitsluitingen definiëren.
Dit beleid is alleen van toepassing op antivirusEngineepp uitsluitingen, tenzij mergePolicy under exclusionSettings is geconfigureerd als (admin_only).
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | exclusionsMergePolicy | Samenvoegen van uitsluitingen |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden |
merge (standaard)
|
Niet geconfigureerd samenvoegen (standaard) admin_only |
Opmerking
Beschikbaar in defender voor eindpuntversie 100.83.73 of hoger.
We raden u aan uitsluitingen en het samenvoegbeleid te configureren onder exclusionSettings, waarmee u de uitsluiting van zowel en eppglobal het bereik kunt configureren met één mergePolicy.
Scanuitsluitingen
Entiteiten die zijn uitgesloten van de scan. Uitsluitingen kunnen worden opgegeven door volledige paden, extensies of bestandsnamen. (Uitsluitingen worden opgegeven als een matrix met items, de beheerder kan zoveel elementen opgeven als nodig is, in elke volgorde.)
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | Uitsluitingen | Scanuitsluitingen |
| Gegevenstype | Woordenlijst (geneste voorkeur) | Lijst met dynamische eigenschappen |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Type uitsluiting
Hiermee geeft u het type inhoud dat wordt uitgesloten van de scan.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | $type | Type |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden | excludedPath
|
Pad Bestandsextensie Procesnaam |
Pad naar uitgesloten inhoud
Wordt gebruikt om inhoud van de scan uit te sluiten op het volledige bestandspad.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | pad | Pad |
| Gegevenstype | Tekenreeks | Tekenreeks |
| Mogelijke waarden | geldige paden | geldige paden |
| Opmerkingen | Alleen van toepassing als $type is uitgeslotendPath | Geopend in het pop-upvenster Exemplaar bewerken |
Padtype (bestand/map)
Geeft aan of de padeigenschap verwijst naar een bestand of map.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | isDirectory | Is-map |
| Gegevenstype | Booleaanse waarde | Vervolgkeuzelijst |
| Mogelijke waarden |
false (standaard)
|
Ingeschakeld Uitgeschakeld |
| Opmerkingen | Alleen van toepassing als $type is uitgeslotendPath | Geopend in het pop-upvenster Exemplaar bewerken |
Bestandsextensie uitgesloten van de scan
Wordt gebruikt om inhoud uit te sluiten van de scan op bestandsextensie.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | extensie | Bestandsextensie |
| Gegevenstype | Tekenreeks | Tekenreeks |
| Mogelijke waarden | geldige bestandsextensies | geldige bestandsextensies |
| Opmerkingen | Alleen van toepassing als $type is uitgeslotenFileExtension | Geopend in het pop-upvenster Exemplaar configureren |
Proces dat is uitgesloten van de scan*
Hiermee geeft u een proces op waarvoor alle bestandsactiviteit wordt uitgesloten van scannen. Het proces kan worden opgegeven met de naam (bijvoorbeeld cat) of het volledige pad (bijvoorbeeld /bin/cat).
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | naam | Bestandsnaam |
| Gegevenstype | Tekenreeks | Tekenreeks |
| Mogelijke waarden | elke tekenreeks | elke tekenreeks |
| Opmerkingen | Alleen van toepassing als $typeis uitgeslotenFileName | Geopend in het pop-upvenster Exemplaar configureren |
Niet-exec-koppelingen dempen
Hiermee geeft u het gedrag van RTP op het koppelpunt gemarkeerd als noexec. Er zijn twee waarden voor de instelling:
- Niet-gedempt (
unmute): de standaardwaarde, alle koppelpunten worden gescand als onderdeel van RTP. - Gedempt (
mute): koppelpunten gemarkeerd als noexec worden niet gescand als onderdeel van RTP. Dit koppelpunt kan worden gemaakt voor:- Databasebestanden op databaseservers voor het bewaren van databasebestanden.
- Bestandsserver kan koppelpunten voor gegevensbestanden behouden met de optie noexec.
- Back-up kan koppelpunten voor gegevensbestanden behouden met de optie noexec.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | nonExecMountPolicy | niet uitvoeren van mount dempen |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden |
unmute (standaard)
|
Niet geconfigureerd dempen opheffen (standaard) stom |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.85.27 of hoger.
Controle van bestandssystemen opheffen
Configureer bestandssystemen om niet te worden bewaakt/uitgesloten van realtime-beveiliging (RTP). De geconfigureerde bestandssystemen worden gevalideerd op basis van de lijst met toegestane bestandssystemen van Microsoft Defender. Bestandssystemen kunnen alleen worden bewaakt na een geslaagde validatie. Deze geconfigureerde niet-bewaakte bestandssystemen worden nog steeds gescand door snelle, volledige en aangepaste scans in Microsoft Defender Antivirus.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | unmonitoredFilesystems | Niet-bewaakte bestandssystemen |
| Gegevenstype | Matrix van tekenreeksen | Lijst met dynamische tekenreeksen |
Opmerking
Geconfigureerd bestandssysteem wordt alleen niet bewaakt als het aanwezig is in de lijst met toegestane niet-bewaakte bestandssystemen van Microsoft.
Standaard worden NFS en Fuse niet gecontroleerd vanuit RTP-, Snelle en Volledige scans. Ze kunnen echter nog steeds worden gescand door een aangepaste scan. Als u bijvoorbeeld NFS wilt verwijderen uit de lijst met niet-bewaakte bestandssystemen, werkt u het beheerde configuratiebestand bij zoals hieronder wordt weergegeven. Hiermee wordt NFS automatisch toegevoegd aan de lijst met bewaakte bestandssystemen voor RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Als u zowel NFS als Fuse wilt verwijderen uit een lijst met niet-bewaakte bestandssystemen, gaat u als volgt te werk
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Opmerking
Dit is de standaardlijst met bewaakte bestandssystemen voor RTP: btrfs, ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, , reiserfs, , tmpfs, vfat. xfs
Als een bewaakt bestandssysteem moet worden toegevoegd aan de lijst met niet-bewaakte bestandssystemen, moet het worden geëvalueerd en ingeschakeld door Microsoft via cloudconfiguratie. Na welke klanten managed_mdatp.json kunnen bijwerken om dat bestandssysteem op te heffen.
Rekenfunctie voor bestands-hash configureren
Hiermee schakelt u de rekenfunctie voor bestands-hashs in of uit. Wanneer deze functie is ingeschakeld, rekent Defender voor Eindpunt hashes uit voor bestanden die worden gescand. Houd er rekening mee dat het inschakelen van deze functie van invloed kan zijn op de prestaties van het apparaat. Raadpleeg voor meer informatie: Indicatoren voor bestanden maken.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enableFileHashComputation | Bestandshashberekening inschakelen |
| Gegevenstype | Booleaanse waarde | Vervolgkeuzelijst |
| Mogelijke waarden |
false (standaard)
|
Niet geconfigureerd Uitgeschakeld (standaard) Ingeschakeld |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.85.27 of hoger.
Toegestane bedreigingen
Lijst met bedreigingen (aangeduid met hun naam) die niet door het product worden geblokkeerd en in plaats daarvan mogen worden uitgevoerd.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | allowedThreats | Toegestane bedreigingen |
| Gegevenstype | Matrix van tekenreeksen | Lijst met dynamische tekenreeksen |
Niet-toegestane bedreigingsacties
Hiermee worden de acties beperkt die de lokale gebruiker van een apparaat kan uitvoeren wanneer bedreigingen worden gedetecteerd. De acties in deze lijst worden niet weergegeven in de gebruikersinterface.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | disallowedThreatActions | Niet-toegestane bedreigingsacties |
| Gegevenstype | Matrix van tekenreeksen | Lijst met dynamische tekenreeksen |
| Mogelijke waarden |
allow (hiermee wordt voorkomen dat gebruikers bedreigingen toestaan)
|
toestaan (hiermee wordt voorkomen dat gebruikers bedreigingen toestaan) herstellen (hiermee wordt voorkomen dat gebruikers bedreigingen uit de quarantaine kunnen herstellen) |
Opmerking
Beschikbaar in defender voor eindpuntversie 100.83.73 of hoger.
Instellingen voor bedreigingstype
De threatTypeSettings-voorkeur in de antivirus-engine wordt gebruikt om te bepalen hoe bepaalde bedreigingstypen door het product worden verwerkt.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | threatTypeSettings | Instellingen voor bedreigingstype |
| Gegevenstype | Woordenlijst (geneste voorkeur) | Lijst met dynamische eigenschappen |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. | Zie de volgende secties voor een beschrijving van de dynamische eigenschappen. |
Bedreigingstype
Type bedreiging waarvoor het gedrag is geconfigureerd.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | sleutel | Bedreigingstype |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden | potentially_unwanted_application
|
potentially_unwanted_application archive_bomb |
Te ondernemen actie
Actie die moet worden ondernomen bij het tegenkomen van een bedreiging van het type dat in de voorgaande sectie is opgegeven. Dit kan zijn:
- Controle: Het apparaat is niet beveiligd tegen dit type bedreiging, maar er wordt een vermelding over de bedreiging geregistreerd. (Standaard)
- Blokkeren: Het apparaat is beveiligd tegen dit type bedreiging en u krijgt een melding in de beveiligingsconsole.
- Uit: het apparaat is niet beveiligd tegen dit type bedreiging en er wordt niets geregistreerd.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | waarde | Te ondernemen actie |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden |
audit (standaard)
|
audit blokkeren af |
Beleid voor het samenvoegen van instellingen voor bedreigingstypen
Hiermee geeft u het samenvoegbeleid voor instellingen voor bedreigingstypen op. Dit kan een combinatie zijn van door de beheerder gedefinieerde en door de gebruiker gedefinieerde instellingen (merge) of alleen door de beheerder gedefinieerde instellingen (admin_only). Door de beheerder gedefinieerde instellingen (admin_only) zijn instellingen voor bedreigingstypen die zijn geconfigureerd door defender voor eindpuntbeleid. Deze instelling kan worden gebruikt om te voorkomen dat lokale gebruikers hun eigen instellingen definiëren voor verschillende bedreigingstypen.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | threatTypeSettingsMergePolicy | Instellingen voor bedreigingstype samenvoegen |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden | samenvoegen (standaard) admin_only |
Niet geconfigureerd samenvoegen (standaard) admin_only |
Opmerking
Beschikbaar in defender voor eindpuntversie 100.83.73 of hoger.
Retentie van antivirusscangeschiedenis (in dagen)
Geef het aantal dagen op dat de resultaten worden bewaard in de scangeschiedenis op het apparaat. Oude scanresultaten worden uit de geschiedenis verwijderd. Oude in quarantaine geplaatste bestanden die ook van de schijf worden verwijderd.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | scanResultsRetentionDays | Retentie van scanresultaten |
| Gegevenstype | Tekenreeks | Schakelaar en geheel getal in-/uitschakelen |
| Mogelijke waarden | 90 (standaard). Toegestane waarden liggen tussen 1 dag en 180 dagen. | Niet geconfigureerd (uitschakelen - standaard 90 dagen) Geconfigureerd (wisselknop aan) en toegestane waarde 1 tot 180 dagen. |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.04.76 of hoger.
Maximum aantal items in de antivirusscangeschiedenis
Geef het maximum aantal vermeldingen op dat in de scangeschiedenis moet worden bewaard. Vermeldingen omvatten alle scans op aanvraag die in het verleden zijn uitgevoerd en alle antivirusdetecties.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | scanHistoryMaximumItems | Grootte van scangeschiedenis |
| Gegevenstype | Tekenreeks | Wisselknop en geheel getal |
| Mogelijke waarden | 10000 (standaard). Toegestane waarden variëren van 5000 items tot 15000 items. | Niet geconfigureerd (uitschakelen - standaard 10000) Geconfigureerd (wisselknop aan) en toegestane waarde van 5000 tot 15000 items. |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.04.76 of hoger.
Voorkeuren voor uitsluitingsinstellingen
Voorkeuren voor uitsluitingsinstellingen zijn momenteel in preview.
Opmerking
Globale uitsluitingen zijn momenteel beschikbaar in openbare preview en zijn beschikbaar in Defender voor Eindpunt vanaf versie 101.23092.0012 of hoger in de Insiders Slow- en Production-ringen.
De exclusionSettings sectie van het configuratieprofiel wordt gebruikt voor het configureren van verschillende uitsluitingen voor Microsoft Defender voor Eindpunt voor Linux.
| Beschrijving | JSON-waarde |
|---|---|
| Sleutel | exclusionSettings |
| Gegevenstype | Woordenlijst (geneste voorkeur) |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Opmerking
Al geconfigureerde antivirusuitsluitingen onder (antivirusEngine) in beheerde JSON blijven werken zoals het is, zonder dat dit van invloed is. Alle nieuwe uitsluitingen , inclusief antivirusuitsluitingen, kunnen worden toegevoegd onder deze volledig nieuwe sectie (exclusionSettings). Deze sectie bevindt zich buiten de tag (antivirusEngine) omdat deze uitsluitend is toegewezen voor het configureren van alle typen uitsluitingen die in de toekomst beschikbaar zullen zijn. U kunt ook (antivirusEngine) blijven gebruiken voor het configureren van antivirusuitsluitingen.
Beleid voor samenvoegen
Hiermee geeft u het samenvoegbeleid voor uitsluitingen op. Hiermee wordt aangegeven of het een combinatie kan zijn van door de beheerder gedefinieerde en door de gebruiker gedefinieerde uitsluitingen (merge) of alleen door de beheerder gedefinieerde uitsluitingen (admin_only). Deze instelling kan worden gebruikt om te voorkomen dat lokale gebruikers hun eigen uitsluitingen definiëren. Deze is van toepassing op uitsluitingen van alle bereiken.
| Beschrijving | JSON-waarde |
|---|---|
| Sleutel | mergePolicy |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | samenvoegen (standaard) admin_only |
| Opmerkingen | Beschikbaar in Defender voor Eindpunt versie september 2023 of hoger. |
Uitsluitingen
Entiteiten die moeten worden uitgesloten, kunnen worden opgegeven met volledige paden, extensies of bestandsnamen. Elke uitsluitingsentiteit, d.w.w.v. het volledige pad, de extensie of de bestandsnaam, heeft een optioneel bereik dat kan worden opgegeven. Als dit niet is opgegeven, is de standaardwaarde van het bereik in deze sectie globaal. (Uitsluitingen worden opgegeven als een matrix met items, de beheerder kan zoveel elementen opgeven als nodig is, in elke volgorde.)
| Beschrijving | JSON-waarde |
|---|---|
| Sleutel | Uitsluitingen |
| Gegevenstype | Woordenlijst (geneste voorkeur) |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Type uitsluiting
Hiermee geeft u het type inhoud dat wordt uitgesloten van de scan.
| Beschrijving | JSON-waarde |
|---|---|
| Sleutel | $type |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | excludedPath excludedFileExtension excludedFileName |
Uitsluitingsbereiken (optioneel)
Hiermee geeft u de set uitsluitingsbereiken van uitgesloten inhoud op. Momenteel worden ondersteunde bereiken epp en global.
Als er niets is opgegeven voor een uitsluiting onder exclusionSettings in de beheerde configuratie, wordt dit global beschouwd als bereik.
Opmerking
Eerder geconfigureerde antivirusuitsluitingen onder (antivirusEngine) in beheerde JSON blijven werken en hun bereik wordt beschouwd (epp) omdat ze zijn toegevoegd als antivirusuitsluitingen.
| Beschrijving | JSON-waarde |
|---|---|
| Sleutel | Scopes |
| Gegevenstype | Reeks tekenreeksen |
| Mogelijke waarden | Evp globaal |
Opmerking
Eerder toegepaste uitsluitingen met (mdatp_managed.json) of door CLI blijven ongewijzigd. Het bereik voor deze uitsluitingen is (epp) omdat ze zijn toegevoegd onder (antivirusEngine).
Pad naar uitgesloten inhoud
Wordt gebruikt om inhoud van de scan uit te sluiten op het volledige bestandspad.
| Beschrijving | JSON-waarde |
|---|---|
| Sleutel | pad |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | geldige paden |
| Opmerkingen | Alleen van toepassing als $typeis uitgesloten. Jokertekens worden niet ondersteund als uitsluiting een globaal bereik heeft. |
Padtype (bestand/map)
Geeft aan of de padeigenschap verwijst naar een bestand of map.
Opmerking
Bestandspad moet al bestaan als u bestandsuitsluiting met een globaal bereik toevoegt.
| Beschrijving | JSON-waarde |
|---|---|
| Sleutel | isDirectory |
| Gegevenstype | Booleaanse waarde |
| Mogelijke waarden | false (standaard) waar |
| Opmerkingen | Alleen van toepassing als $typeis uitgesloten. Jokertekens worden niet ondersteund als uitsluiting een globaal bereik heeft. |
Bestandsextensie uitgesloten van de scan
Wordt gebruikt om inhoud uit te sluiten van de scan op bestandsextensie.
| Beschrijving | JSON-waarde |
|---|---|
| Sleutel | extensie |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | geldige bestandsextensies |
| Opmerkingen | Alleen van toepassing als $typeis uitgeslotenFileExtension. Niet ondersteund als uitsluiting een globaal bereik heeft. |
Proces dat is uitgesloten van de scan*
Hiermee geeft u een proces op waarvoor alle bestandsactiviteit wordt uitgesloten van scannen. Het proces kan worden opgegeven met de naam (bijvoorbeeld cat) of het volledige pad (bijvoorbeeld /bin/cat).
| Beschrijving | JSON-waarde |
|---|---|
| Sleutel | naam |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | elke tekenreeks |
| Opmerkingen | Alleen van toepassing als $typeis uitgeslotenFileName. Jokerteken en procesnaam worden niet ondersteund als uitsluiting globaal als bereik heeft, moet het volledige pad opgeven. |
Geavanceerde scanopties
De volgende instellingen kunnen worden geconfigureerd om bepaalde geavanceerde scanfuncties in te schakelen.
Belangrijk
Het inschakelen van deze functies kan van invloed zijn op de prestaties van het apparaat. Daarom wordt aanbevolen om de standaardinstellingen te behouden, tenzij anders wordt aanbevolen door Microsoft Ondersteuning.
Scannen van bestandsmachtigingen configureren
Wanneer deze functie is ingeschakeld, scant Defender voor Eindpunt bestanden wanneer hun machtigingen zijn gewijzigd om de uitvoeringsbit(en) in te stellen.
Opmerking
Deze functie is alleen van toepassing wanneer de enableFilePermissionEvents functie is ingeschakeld. Zie de sectie Geavanceerde optionele functies hieronder voor meer informatie.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | scanFileModifyPermissions | Niet beschikbaar |
| Gegevenstype | Booleaanse waarde | n.v.t. |
| Mogelijke waarden | false (standaard) waar |
n.v.t. |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.23062.0010 of hoger.
Scannen van eigendomsevenementen voor het wijzigen van bestanden configureren
Wanneer deze functie is ingeschakeld, scant Defender voor Eindpunt bestanden waarvan het eigendom is gewijzigd.
Opmerking
Deze functie is alleen van toepassing wanneer de enableFileOwnershipEvents functie is ingeschakeld. Zie de sectie Geavanceerde optionele functies hieronder voor meer informatie.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | scanFileModifyOwnership | Niet beschikbaar |
| Gegevenstype | Booleaanse waarde | n.v.t. |
| Mogelijke waarden | false (standaard) waar |
n.v.t. |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.23062.0010 of hoger.
Scannen van onbewerkte socket-gebeurtenissen configureren
Wanneer deze functie is ingeschakeld, scant Defender voor Eindpunt netwerksocket-gebeurtenissen, zoals het maken van onbewerkte sockets/pakketsockets of het instellen van de socketoptie.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
Deze functie is alleen van toepassing wanneer de enableRawSocketEvent functie is ingeschakeld. Zie de sectie Geavanceerde optionele functies hieronder voor meer informatie.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | scanNetworkSocketEvent | Niet beschikbaar |
| Gegevenstype | Booleaanse waarde | n.v.t. |
| Mogelijke waarden | false (standaard) waar |
n.v.t. |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.23062.0010 of hoger.
Cloudbeveiligingsvoorkeuren
De vermelding cloudService in het configuratieprofiel wordt gebruikt om de cloudgestuurde beveiligingsfunctie van het product te configureren.
Opmerking
Cloudbeveiliging is van toepassing met alle instellingen voor afdwingingsniveaus (real_time, on_demand, passief).
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | cloudService | Cloudbeveiligingsvoorkeuren |
| Gegevenstype | Woordenlijst (geneste voorkeur) | Samengevouwen sectie |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. | Zie de volgende secties voor een beschrijving van de instellingen van het beleid. |
Cloudbeveiliging in- of uitschakelen
Bepaalt of cloudbeveiliging is ingeschakeld op het apparaat of niet. Om de beveiliging van uw services te verbeteren, raden we u aan deze functie ingeschakeld te houden.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | Ingeschakeld | Cloudbeveiliging inschakelen |
| Gegevenstype | Booleaanse waarde | Vervolgkeuzelijst |
| Mogelijke waarden |
true (standaard)
|
Niet geconfigureerd Uitgeschakeld Ingeschakeld (standaard) |
Niveau van diagnostische verzameling
Diagnostische gegevens worden gebruikt om Defender voor Eindpunt veilig en up-to-date te houden, problemen te detecteren, te diagnosticeren en op te lossen, en ook om productverbeteringen aan te brengen. Deze instelling bepaalt het niveau van de diagnostische gegevens die door het product naar Microsoft worden verzonden. Zie Privacy voor Microsoft Defender voor Eindpunt in Linux voor meer informatie.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | diagnosticLevel | Niveau voor het verzamelen van diagnostische gegevens |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden | optional
|
Niet geconfigureerd optioneel (standaard) Vereist |
Cloudblokniveau configureren
Deze instelling bepaalt hoe agressief Defender voor Eindpunt verdachte bestanden blokkeert en scant. Als deze instelling is ingeschakeld, is Defender voor Eindpunt agressiever bij het identificeren van verdachte bestanden die moeten worden geblokkeerd en gescand. anders is het minder agressief en blokkeert en scant het met minder frequentie.
Er zijn vijf waarden voor het instellen van cloudblokniveau:
- Normaal (
normal): het standaardblokkeringsniveau. - Gemiddeld (
moderate): levert alleen een oordeel voor detecties met hoge betrouwbaarheid. - Hoog (
high): Onbekende bestanden worden agressief geblokkeerd terwijl ze worden geoptimaliseerd voor prestaties (grotere kans op het blokkeren van niet-schadelijke bestanden). - Hoog pluspunt (
high_plus): onbekende bestanden worden agressief geblokkeerd en aanvullende beveiligingsmaatregelen toegepast (mogelijk van invloed op de prestaties van clientapparaten). - Nultolerantie (
zero_tolerance): blokkeert alle onbekende programma's.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | cloudBlockLevel | Cloudblokniveau configureren |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden |
normal (standaard)
|
Niet geconfigureerd Normaal (standaard) Gemiddeld Hoog High_Plus Zero_Tolerance |
Opmerking
Beschikbaar in defender voor eindpuntversie 101.56.62 of hoger.
Automatische voorbeeldinzendingen in- of uitschakelen
Bepaalt of verdachte voorbeelden (die waarschijnlijk bedreigingen bevatten) naar Microsoft worden verzonden. Er zijn drie niveaus voor het beheren van het indienen van voorbeelden:
- Geen: er worden geen verdachte voorbeelden naar Microsoft verzonden.
- Veilig: alleen verdachte steekproeven die geen persoonlijk identificeerbare informatie (PII) bevatten, worden automatisch verzonden. Dit is de standaardwaarde voor deze instelling.
- Alle: alle verdachte voorbeelden worden verzonden naar Microsoft.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | automaticSampleSubmissionConsent | Automatische voorbeeldinzendingen inschakelen |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden | none
|
Niet geconfigureerd Geen Veilig (standaard) Alles |
Automatische updates voor beveiligingsinformatie in- of uitschakelen
Bepaalt of updates voor beveiligingsinformatie automatisch worden geïnstalleerd:
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | automaticDefinitionUpdateEnabled | Automatische updates voor beveiligingsinformatie |
| Gegevenstype | Booleaanse waarde | Vervolgkeuzelijst |
| Mogelijke waarden |
true (standaard)
|
Niet geconfigureerd Uitgeschakeld Ingeschakeld (standaard) |
Afhankelijk van het afdwingingsniveau worden de automatische updates voor beveiligingsinformatie anders geïnstalleerd. In de RTP-modus worden updates periodiek geïnstalleerd. In passieve/on-demand modus worden updates geïnstalleerd vóór elke scan.
Geavanceerde optionele functies
De volgende instellingen kunnen worden geconfigureerd om bepaalde geavanceerde functies in te schakelen.
Belangrijk
Het inschakelen van deze functies kan van invloed zijn op de prestaties van het apparaat. Het wordt aanbevolen om de standaardinstellingen te behouden, tenzij anders wordt aanbevolen door Microsoft Ondersteuning.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | Functies | Niet beschikbaar |
| Gegevenstype | Woordenlijst (geneste voorkeur) | n.v.t |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Functie module laden
Bepaalt of gebeurtenissen voor het laden van modules (bestandsopen-gebeurtenissen in gedeelde bibliotheken) worden bewaakt.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | moduleLoaden | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t |
| Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.68.80 of hoger. |
De functie Geïnfecteerd bestand herstellen
Bepaalt of geïnfecteerde processen die een geïnfecteerd bestand openen of laden, worden hersteld of niet.
Opmerking
Wanneer dit is ingeschakeld, worden de processen die een geïnfecteerd bestand openen of laden, hersteld in de RTP-modus. Deze processen worden niet weergegeven in de lijst met bedreigingen, omdat deze niet schadelijk zijn, maar alleen worden beëindigd omdat ze het bedreigingsbestand in het geheugen hebben geladen.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | remediateInfectedFile | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t |
| Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.24122.0001 of hoger. |
Aanvullende sensorconfiguraties
De volgende instellingen kunnen worden gebruikt om bepaalde geavanceerde aanvullende sensorfuncties te configureren.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | supplementarySensorConfigurations | Niet beschikbaar |
| Gegevenstype | Woordenlijst (geneste voorkeur) | n.v.t |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Bewaking van bestandsmachtigingen configureren
Bepaalt of bestandsmachtigingen (chmod) worden bewaakt.
Opmerking
Wanneer deze functie is ingeschakeld, controleert Defender voor Eindpunt wijzigingen in de uitvoeringsbits van bestanden, maar scant deze gebeurtenissen niet. Zie de sectie Geavanceerde scanfuncties voor meer informatie.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enableFilePermissionEvents | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t |
| Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.23062.0010 of hoger. |
Bewaking van eigendomsevenementen voor het wijzigen van bestanden configureren
Bepaalt of bestandseigendomsevenementen (chown) worden bewaakt.
Opmerking
Wanneer deze functie is ingeschakeld, bewaakt Defender voor Eindpunt wijzigingen in het eigendom van bestanden, maar scant deze gebeurtenissen niet. Zie de sectie Geavanceerde scanfuncties voor meer informatie.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enableFileOwnershipEvents | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t |
| Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.23062.0010 of hoger. |
Bewaking van onbewerkte socket-gebeurtenissen configureren
Bepaalt of netwerksocket-gebeurtenissen met betrekking tot het maken van onbewerkte sockets/pakketsockets of het instellen van de socketoptie worden bewaakt.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld. Wanneer deze functie is ingeschakeld, bewaakt Defender voor Eindpunt deze netwerksocket-gebeurtenissen, maar scant deze gebeurtenissen niet. Zie de sectie Geavanceerde scanfuncties hierboven voor meer informatie.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enableRawSocketEvent | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t |
| Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.23062.0010 of hoger. |
Bewaking van opstartlaadprogramma-gebeurtenissen configureren
Bepaalt of gebeurtenissen van het opstartlaadprogramma worden bewaakt en gescand.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enableBootLoaderCalls | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t |
| Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.68.80 of hoger. |
Bewaking van ptrace-gebeurtenissen configureren
Bepaalt of ptrace-gebeurtenissen worden bewaakt en gescand.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enableProcessCalls | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t |
| Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.68.80 of hoger. |
Bewaking van pseudofs-gebeurtenissen configureren
Bepaalt of pseudofs-gebeurtenissen worden bewaakt en gescand.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enablePseudofsCalls | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t |
| Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.68.80 of hoger. |
Bewaking van modulelaadbeurtenissen configureren met behulp van eBPF
Bepaalt of gebeurtenissen voor het laden van modules worden bewaakt met behulp van eBPF en worden gescand.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enableEbpfModuleLoadEvents | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t |
| Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.68.80 of hoger. |
Bewaking van open gebeurtenissen van specifieke bestandssystemen configureren met behulp van eBPF
Bepaalt of open gebeurtenissen van procfs worden bewaakt door eBPF.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enableOtherFsOpenEvents | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t |
| Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.24072.0001 of hoger. |
Bronverrijking van gebeurtenissen configureren met eBPF
Bepaalt of gebeurtenissen worden verrijkt met metagegevens bij de bron in eBPF.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enableEbpfSourceEnrichment | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t |
| Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.24072.0001 of hoger. |
Antivirus-enginecache inschakelen
Bepaalt of metagegevens van gebeurtenissen die door de antivirus-engine worden gescand, al dan niet in de cache worden opgeslagen.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enableAntivirusEngineCache | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t |
| Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.24072.0001 of hoger. |
Av-verdachte gebeurtenissen rapporteren aan EDR
Bepaalt of verdachte gebeurtenissen van Antivirus worden gerapporteerd aan EDR.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | sendLowfiEvents | Niet beschikbaar |
| Gegevenstype | Tekenreeks | n.v.t |
| Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
n.v.t |
| Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.23062.0010 of hoger. |
Configuraties voor netwerkbeveiliging
Opmerking
Dit is een preview-functie. Om deze effectief te maken, moet Netwerkbeveiliging zijn ingeschakeld. Zie Netwerkbeveiliging inschakelen voor Linux voor meer informatie.
De volgende instellingen kunnen worden gebruikt voor het configureren van geavanceerde netwerkbeveiligingsinspectiefuncties om te bepalen welk verkeer wordt geïnspecteerd door Netwerkbeveiliging.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | networkProtection | Netwerkbeveiliging |
| Gegevenstype | Woordenlijst (geneste voorkeur) | Samengevouwen sectie |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. | Zie de volgende secties voor een beschrijving van de beleidsinstellingen. |
Afdwingingsniveau
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | enforcementLevel | Afdwingingsniveau |
| Gegevenstype | Tekenreeks | Vervolgkeuzelijst |
| Mogelijke waarden |
disabled (standaard)audit block |
Niet geconfigureerd uitgeschakeld (standaard) audit blokkeren |
ICMP-inspectie configureren
Bepaalt of ICMP-gebeurtenissen worden bewaakt en gescand.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
| Beschrijving | JSON-waarde | Waarde van Defender Portal |
|---|---|---|
| Sleutel | disableIcmpInspection | Niet beschikbaar |
| Gegevenstype | Booleaanse waarde | n.v.t |
| Mogelijke waarden |
true (standaard)
|
n.v.t |
| Opmerkingen | Beschikbaar in defender voor eindpuntversie 101.23062.0010 of hoger. |
Aanbevolen configuratieprofiel
Om aan de slag te gaan, raden we u aan het volgende configuratieprofiel voor uw bedrijf te gebruiken om te profiteren van alle beveiligingsfuncties die Defender voor Eindpunt biedt.
Het volgende configuratieprofiel:
- Realtime-beveiliging (RTP) inschakelen
- Hiermee geeft u op hoe de volgende bedreigingstypen worden verwerkt:
- Mogelijk ongewenste toepassingen (PUA) worden geblokkeerd
- Archief bommen (bestand met een hoge compressiesnelheid) worden gecontroleerd in de productlogboeken
- Automatische updates voor beveiligingsinformatie inschakelen
- Cloudbeveiliging inschakelen
- Hiermee schakelt u automatische voorbeeldinzending op
safeniveau in
Voorbeeldprofiel
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Voorbeeld van volledig configuratieprofiel
Het volgende configuratieprofiel bevat vermeldingen voor alle instellingen die in dit document worden beschreven en kan worden gebruikt voor meer geavanceerde scenario's waarin u meer controle over het product wilt.
Opmerking
Het is niet mogelijk om alle Microsoft Defender voor Eindpunt communicatie te beheren met alleen een proxy-instelling in deze JSON.
Volledig profiel
{
"antivirusEngine":{
"enforcementLevel":"passive",
"behaviorMonitoring": "disabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"enableFileHashComputation": false,
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
],
"scanFileModifyPermissions":false,
"scanFileModifyOwnership":false,
"scanNetworkSocketEvent":false,
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
"offlineDefinitionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate":"disabled"
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
"definitionUpdatesInterval":28800
},
"features":{
"moduleLoad":"disabled",
"supplementarySensorConfigurations":{
"enableFilePermissionEvents":"disabled",
"enableFileOwnershipEvents":"disabled",
"enableRawSocketEvent":"disabled",
"enableBootLoaderCalls":"disabled",
"enableProcessCalls":"disabled",
"enablePseudofsCalls":"disabled",
"enableEbpfModuleLoadEvents":"disabled",
"sendLowfiEvents":"disabled"
},
"ebpfSupplementaryEventProvider":"enabled",
"offlineDefinitionUpdateVerifySig": "disabled",
"remediateInfectedFile": "enabled"
},
"networkProtection":{
"enforcementLevel":"disabled",
"disableIcmpInspection":true
},
"edr":{
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Tag of groeps-id toevoegen aan het configuratieprofiel
Wanneer u de opdracht voor het mdatp health eerst uitvoert, zijn de waarde voor de tag en de groeps-id leeg. Volg de onderstaande stappen om een tag of groeps-id toe te voegen aan het mdatp_managed.json bestand:
Open het configuratieprofiel vanuit het pad
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json.Ga omlaag naar de onderkant van het bestand, waar het
cloudServiceblok zich bevindt.Voeg de vereiste tag of groeps-id toe zoals in het volgende voorbeeld aan het einde van de accolade sluiten voor de
cloudService.}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }Opmerking
Voeg de komma toe na de accolade sluiten aan het einde van het
cloudServiceblok. Zorg er ook voor dat er twee accolades sluiten na het toevoegen van het tag- of groeps-id-blok (zie het bovenstaande voorbeeld). Op dit moment isGROUPde enige ondersteunde sleutelnaam voor tags .
Validatie van configuratieprofiel
Het configuratieprofiel moet een geldig bestand met JSON-indeling zijn. Er zijn veel hulpprogramma's die kunnen worden gebruikt om dit te controleren. Als u bijvoorbeeld op uw apparaat hebt python geïnstalleerd:
python -m json.tool mdatp_managed.json
Als de JSON goed is opgemaakt, voert de bovenstaande opdracht deze terug naar de Terminal en retourneert de afsluitcode van 0. Anders wordt een fout weergegeven die het probleem beschrijft en retourneert de opdracht een afsluitcode van 1.
Controleren of het mdatp_managed.json-bestand werkt zoals verwacht
Als u wilt controleren of uw /etc/opt/microsoft/mdatp/managed/mdatp_managed.json apparaat goed werkt, ziet u '[managed]' naast deze instellingen:
cloud_enabledcloud_automatic_sample_submission_consentpassive_mode_enabledreal_time_protection_enabledautomatic_definition_update_enabled
Opmerking
Er is geen herstart van mdatp-daemon vereist om wijzigingen in de meeste configuraties in mdatp_managed.json van kracht te laten worden.
Uitzondering: Voor de volgende configuraties moet de daemon opnieuw worden opgestart om van kracht te worden:
cloud-diagnosticlog-rotation-parameters
Implementatie van configuratieprofiel
Zodra u het configuratieprofiel voor uw onderneming hebt gemaakt, kunt u het implementeren via het beheerprogramma dat uw onderneming gebruikt. Defender voor Eindpunt op Linux leest de beheerde configuratie van /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.