Ustaw preferencje dla ochrony punktu końcowego w usłudze Microsoft Defender w systemie Linux
Dotyczy:
- serwer Ochrona punktu końcowego w usłudze Microsoft Defender
- Microsoft Defender dla serwerów
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Ważna
Ten artykuł zawiera instrukcje dotyczące ustawiania preferencji dla usługi Defender dla punktu końcowego w systemie Linux w środowiskach przedsiębiorstwa. Jeśli chcesz skonfigurować produkt na urządzeniu z poziomu wiersza polecenia, zobacz Zasoby.
W środowiskach przedsiębiorstwa usługą Defender for Endpoint w systemie Linux można zarządzać za pośrednictwem profilu konfiguracji. Ten profil jest wdrażany z wybranego narzędzia do zarządzania. Preferencje zarządzane przez przedsiębiorstwo mają pierwszeństwo przed preferencjami ustawionymi lokalnie na urządzeniu. Innymi słowy, użytkownicy w przedsiębiorstwie nie mogą zmieniać preferencji ustawionych za pomocą tego profilu konfiguracji. Jeśli wykluczenia zostały dodane za pośrednictwem profilu konfiguracji zarządzanej, można je usunąć tylko za pośrednictwem profilu konfiguracji zarządzanej. Wiersz polecenia działa w przypadku wykluczeń, które zostały dodane lokalnie.
W tym artykule opisano strukturę tego profilu (w tym zalecany profil, którego można użyć do rozpoczęcia pracy) oraz instrukcje dotyczące sposobu wdrażania profilu.
Struktura profilu konfiguracji
Profil konfiguracji to .json
plik, który składa się z wpisów zidentyfikowanych przez klucz (co oznacza nazwę preferencji), po którym następuje wartość, która zależy od charakteru preferencji. Wartości mogą być proste, takie jak wartość liczbowa lub złożone, takie jak zagnieżdżona lista preferencji.
Zazwyczaj należy użyć narzędzia do zarządzania konfiguracją, aby wypchnąć plik o nazwie mdatp_managed.json
w lokalizacji /etc/opt/microsoft/mdatp/managed/
.
Najwyższy poziom profilu konfiguracji zawiera preferencje dla całego produktu i wpisy dla obszarów podrzędnych produktu, co opisano bardziej szczegółowo w następnych sekcjach.
Preferencje aparatu antywirusowego
Sekcja antivirusEngine profilu konfiguracji służy do zarządzania preferencjami składnika antywirusowego produktu.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | antivirusEngine | Aparat antywirusowy |
Typ danych | Słownik (preferencja zagnieżdżona) | Zwinięta sekcja |
Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. | Opis właściwości zasad można znaleźć w poniższych sekcjach. |
Poziom wymuszania dla aparatu antywirusowego
Określa preferencje wymuszania aparatu antywirusowego. Istnieją trzy wartości dotyczące ustawiania poziomu wymuszania:
- W czasie rzeczywistym (
real_time
): włączono ochronę w czasie rzeczywistym (skanuj pliki w miarę ich modyfikowania). - Na żądanie (
on_demand
): pliki są skanowane tylko na żądanie. W tym:- Ochrona w czasie rzeczywistym jest wyłączona.
- Aktualizacje definicji występują tylko wtedy, gdy rozpoczyna się skanowanie, nawet jeśli
automaticDefinitionUpdateEnabled
jest ustawione natrue
tryb na żądanie.
- Pasywne (
passive
): uruchamia aparat antywirusowy w trybie pasywnym. W tym przypadku mają zastosowanie wszystkie następujące elementy:- Ochrona w czasie rzeczywistym jest wyłączona: zagrożenia nie są korygowane przez program antywirusowy Microsoft Defender.
- Skanowanie na żądanie jest włączone: nadal używaj możliwości skanowania w punkcie końcowym.
- Automatyczne korygowanie zagrożeń jest wyłączone: żadne pliki nie są przenoszone, a administrator zabezpieczeń powinien podjąć wymagane działania.
- Aktualizacje analizy zabezpieczeń są włączone: alerty są dostępne w dzierżawie administratora zabezpieczeń.
- Aktualizacje definicji występują tylko wtedy, gdy rozpoczyna się skanowanie, nawet jeśli
automaticDefinitionUpdateEnabled
jest ustawione natrue
w trybie pasywnym.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | enforcementLevel | Poziom wymuszania |
Typ danych | Ciąg | Lista rozwijana |
Dopuszczalne wartości | real_time on_demand passive (wartość domyślna) |
Nie skonfigurowano Czas rzeczywisty OnDemand Pasywne (domyślne) |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.10.72
. Wartość domyślna jest zmieniana z real_time
na passive
w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0001
.
Zaleca się również używanie zaplanowanych skanów zgodnie z wymaganiami.
Włączanie/wyłączanie monitorowania zachowania
Określa, czy funkcja monitorowania i blokowania zachowania jest włączona na urządzeniu, czy nie.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | behaviorMonitoring | Włączanie monitorowania zachowania |
Typ danych | Ciąg | Lista rozwijana |
Dopuszczalne wartości |
disabled (wartość domyślna) |
Nie skonfigurowano Wyłączone (domyślne) Włączone |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.45.00
.
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono ochronę w czasie rzeczywistym.
Uruchamianie skanowania po zaktualizowaniu definicji
Określa, czy należy rozpocząć skanowanie procesu po pobraniu nowych aktualizacji analizy zabezpieczeń na urządzeniu. Włączenie tego ustawienia powoduje uruchomienie skanowania antywirusowego w uruchomionych procesach urządzenia.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | scanAfterDefinitionUpdate | Włączanie skanowania po aktualizacji definicji |
Typ danych | Wartość logiczna | Lista rozwijana |
Dopuszczalne wartości |
true (wartość domyślna) |
Nie skonfigurowano Wyłączona Włączone (domyślne) |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.45.00
.
Ta funkcja działa tylko wtedy, gdy poziom wymuszania jest ustawiony na real-time
.
Skanuj archiwa (tylko skanowanie antywirusowe na żądanie)
Określa, czy skanować archiwa podczas skanowania antywirusowego na żądanie.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | scanArchives | Włączanie skanowania archiwów |
Typ danych | Wartość logiczna | Lista rozwijana |
Dopuszczalne wartości |
true (wartość domyślna)
|
Nie skonfigurowano Wyłączona Włączone (domyślne) |
Uwaga
Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji lub nowszej101.45.00
.
Pliki archiwum nigdy nie są skanowane podczas ochrony w czasie rzeczywistym. Po wyodrębnieniu plików w archiwum są one skanowane. Opcja scanArchives może służyć do wymuszania skanowania archiwów tylko podczas skanowania na żądanie.
Stopień równoległości skanowania na żądanie
Określa stopień równoległości skanowania na żądanie. Odpowiada to liczbie wątków używanych do skanowania i wpływa na użycie procesora CPU oraz czas trwania skanowania na żądanie.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | maximumOnDemandScanThreads | maksymalna liczba wątków skanowania na żądanie |
Typ danych | Liczba całkowita | Przełącz przełącznik & liczba całkowita |
Dopuszczalne wartości | 2 (wartość domyślna). Dozwolone wartości to liczby całkowite z zakresu od 1 do 64. | Nie skonfigurowano (ustawienie domyślne powoduje wyłączenie ustawień domyślnych na 2) Skonfigurowano (włącz) i liczbę całkowitą z zakresu od 1 do 64. |
Uwaga
Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji lub nowszej101.45.00
.
Zasady scalania wykluczeń
Określa zasady scalania dla wykluczeń. Może to być kombinacja wykluczeń zdefiniowanych przez administratora i zdefiniowanych przez użytkownika (merge
) lub tylko wykluczeń zdefiniowanych przez administratora (admin_only
). Zdefiniowane przez administratora (admin_only) to wykluczenia skonfigurowane przez zasady punktu końcowego usługi Defender. To ustawienie może służyć do ograniczania użytkownikom lokalnym definiowania własnych wykluczeń.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | exclusionsMergePolicy | Scalanie wykluczeń |
Typ danych | Ciąg | Lista rozwijana |
Dopuszczalne wartości |
merge (wartość domyślna)
|
Nie skonfigurowano scalanie (domyślne) admin_only |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 100.83.73
.
Można również skonfigurować wykluczenia w obszarze wykluczeniaUstawienia
Wykluczeń skanowania
Jednostki, które zostały wykluczone ze skanowania. Wykluczenia można określić za pomocą pełnych ścieżek, rozszerzeń lub nazw plików. (Wykluczenia są określane jako tablica elementów, administrator może określić dowolną liczbę elementów w dowolnej kolejności).
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | Wykluczenia | Wykluczeń skanowania |
Typ danych | Słownik (preferencja zagnieżdżona) | Lista właściwości dynamicznych |
Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Typ wykluczenia
Określa typ zawartości wykluczonej ze skanowania.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | $type | Wpisać |
Typ danych | Ciąg | Lista rozwijana |
Dopuszczalne wartości | excludedPath
|
Ścieżka Formatem Nazwa procesu |
Ścieżka do wykluczonej zawartości
Służy do wykluczania zawartości ze skanowania za pomocą pełnej ścieżki pliku.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | ścieżka | Ścieżka |
Typ danych | Ciąg | Ciąg |
Dopuszczalne wartości | prawidłowe ścieżki | prawidłowe ścieżki |
Komentarze | Dotyczy tylko wtedy, gdy $type jest excludedPath | Dostęp w oknie podręcznym Edytuj wystąpienie |
Typ ścieżki (plik/katalog)
Wskazuje, czy właściwość path odwołuje się do pliku lub katalogu.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | isDirectory | Czy katalog |
Typ danych | Wartość logiczna | Lista rozwijana |
Dopuszczalne wartości |
false (wartość domyślna)
|
Włączone Wyłączona |
Komentarze | Dotyczy tylko wtedy, gdy $type jest excludedPath | Dostęp w oknie podręcznym Edytuj wystąpienie |
Rozszerzenie pliku wykluczone ze skanowania
Służy do wykluczania zawartości ze skanowania według rozszerzenia pliku.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | rozszerzenie | Formatem |
Typ danych | Ciąg | Ciąg |
Dopuszczalne wartości | prawidłowe rozszerzenia plików | prawidłowe rozszerzenia plików |
Komentarze | Dotyczy tylko wtedy, gdy $type jest wykluczoneFileExtension | Dostęp w oknie podręcznym Konfigurowanie wystąpienia |
Proces wykluczony ze skanowania*
Określa proces, dla którego wszystkie działania plików są wykluczone ze skanowania. Proces można określić za pomocą jego nazwy (na przykład cat
) lub pełnej ścieżki (na przykład /bin/cat
).
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | nazwa | Nazwa pliku |
Typ danych | Ciąg | Ciąg |
Dopuszczalne wartości | dowolny ciąg | dowolny ciąg |
Komentarze | Dotyczy tylko wtedy, gdy $type jest wykluczoneFileName | Dostęp w oknie podręcznym Konfigurowanie wystąpienia |
Wyciszenie instalacji innych niż exec
Określa zachowanie protokołu RTP w punkcie instalacji oznaczonym jako noexec. Istnieją dwie wartości ustawienia:
- Unmuted (
unmute
): wartość domyślna, wszystkie punkty instalacji są skanowane w ramach rtp. - Wyciszony (
mute
): punkty instalacji oznaczone jako noexec nie są skanowane w ramach rtp, te punkty instalacji można utworzyć dla:- Pliki bazy danych na serwerach bazy danych do przechowywania plików bazy danych.
- Serwer plików może przechowywać punkty instalacji plików danych z opcją noexec.
- Kopia zapasowa może przechowywać punkty instalacji plików danych z opcją noexec.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | nonExecMountPolicy | nie wykonać wyciszenia instalacji |
Typ danych | Ciąg | Lista rozwijana |
Dopuszczalne wartości |
unmute (wartość domyślna)
|
Nie skonfigurowano unmute (wartość domyślna) niemy |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.85.27
.
Niemonitoruj systemów plików
Skonfiguruj systemy plików tak, aby były niemonitorowane/wykluczone z ochrony w czasie rzeczywistym (RTP). Skonfigurowane systemy plików są weryfikowane względem listy dozwolonych systemów plików Microsoft Defender. Systemy plików można monitorować tylko po pomyślnym walidacji. Te skonfigurowane niemonitorowane systemy plików są nadal skanowane za pomocą szybkich, pełnych i niestandardowych skanów w programie antywirusowym Microsoft Defender.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | unmonitoredFilesystems | Niemonitorowane systemy plików |
Typ danych | Tablica ciągów | Dynamiczna lista ciągów |
Uwaga
Skonfigurowany system plików będzie niemonitorowany tylko wtedy, gdy znajduje się na liście dozwolonych niemonitorowanych systemów plików firmy Microsoft.
Domyślnie NFS i Fuse są niemonitorowane z rtp, szybkie i pełne skanowania. Jednak nadal można je skanować za pomocą skanowania niestandardowego. Aby na przykład usunąć system plików NFS z listy niemonitorowanych systemów plików, zaktualizuj zarządzany plik konfiguracji, jak pokazano poniżej. Spowoduje to automatyczne dodanie systemu plików NFS do listy monitorowanych systemów plików dla protokołu RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Aby usunąć systemy plików NFS i Fuse z niemonitorowanej listy systemów plików, wykonaj następujące czynności
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Uwaga
Oto domyślna lista monitorowanych systemów plików dla programu RTP: btrfs
, ecryptfs
, , ext2
, ext3
, ext4
, fuseblk
, , jfs
, overlay
, , ramfs
, , reiserfs
, , tmpfs
, vfat
. xfs
Jeśli jakikolwiek monitorowany system plików musi zostać dodany do listy niemonitorowanych systemów plików, musi zostać oceniony i włączony przez firmę Microsoft za pośrednictwem konfiguracji w chmurze. Po tym, którzy klienci mogą zaktualizować managed_mdatp.json, aby niemonitorować tego systemu plików.
Konfigurowanie funkcji obliczania skrótów plików
Włącza lub wyłącza funkcję obliczania skrótów plików. Po włączeniu tej funkcji usługa Defender for Endpoint oblicza skróty skanujących plików. Należy pamiętać, że włączenie tej funkcji może mieć wpływ na wydajność urządzenia. Aby uzyskać więcej informacji, zobacz: Tworzenie wskaźników dla plików.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | enableFileHashComputation | Włączanie obliczeń skrótów plików |
Typ danych | Wartość logiczna | Lista rozwijana |
Dopuszczalne wartości |
false (wartość domyślna)
|
Nie skonfigurowano Wyłączone (ustawienie domyślne) Włączone |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.85.27
.
Dozwolone zagrożenia
Lista zagrożeń (identyfikowanych przez ich nazwę), które nie są blokowane przez produkt i zamiast tego mogą być uruchamiane.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | allowedThreats | Dozwolone zagrożenia |
Typ danych | Tablica ciągów | Dynamiczna lista ciągów |
Niedozwolone akcje zagrożeń
Ogranicza akcje, które może wykonać lokalny użytkownik urządzenia po wykryciu zagrożeń. Akcje zawarte na tej liście nie są wyświetlane w interfejsie użytkownika.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | disallowedThreatActions | Niedozwolone akcje zagrożeń |
Typ danych | Tablica ciągów | Dynamiczna lista ciągów |
Dopuszczalne wartości |
allow (ogranicza użytkownikom możliwość zezwalania na zagrożenia)
|
zezwalaj (ogranicza użytkownikom możliwość zezwalania na zagrożenia) przywracanie (ogranicza użytkownikom możliwość przywracania zagrożeń z kwarantanny) |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 100.83.73
.
Ustawienia typu zagrożenia
Preferencja threatTypeSettings w aparacie antywirusowym służy do kontrolowania sposobu obsługi określonych typów zagrożeń przez produkt.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | threatTypeSettings | Ustawienia typu zagrożenia |
Typ danych | Słownik (preferencja zagnieżdżona) | Lista właściwości dynamicznych |
Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. | Opis właściwości dynamicznych można znaleźć w poniższych sekcjach. |
Typ zagrożenia
Typ zagrożenia, dla którego skonfigurowano zachowanie.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | klucz | Typ zagrożenia |
Typ danych | Ciąg | Lista rozwijana |
Dopuszczalne wartości | potentially_unwanted_application
|
potentially_unwanted_application archive_bomb |
Akcja do wykonania
Akcja do wykonania w przypadku wystąpienia zagrożenia typu określonego w poprzedniej sekcji. Może to być:
- Inspekcja: urządzenie nie jest chronione przed tego typu zagrożeniem, ale wpis dotyczący zagrożenia jest rejestrowany. (Ustawienie domyślne)
- Blokuj: urządzenie jest chronione przed tego typu zagrożeniem i otrzymujesz powiadomienie w konsoli zabezpieczeń.
- Wyłączone: urządzenie nie jest chronione przed tego typu zagrożeniem i nic nie jest rejestrowane.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | wartość | Akcja do wykonania |
Typ danych | Ciąg | Lista rozwijana |
Dopuszczalne wartości |
audit (wartość domyślna)
|
audyt blok od |
Zasady scalania ustawień typu zagrożenia
Określa zasady scalania dla ustawień typu zagrożenia. Może to być kombinacja ustawień zdefiniowanych przez administratora i zdefiniowanych przez użytkownika (merge
) lub tylko ustawień zdefiniowanych przez administratora (admin_only
). Zdefiniowane przez administratora (admin_only) to ustawienia typu zagrożenia skonfigurowane przez zasady punktu końcowego usługi Defender. To ustawienie może służyć do ograniczania użytkownikom lokalnym możliwości definiowania własnych ustawień dla różnych typów zagrożeń.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | threatTypeSettingsMergePolicy | Scalanie ustawień typu zagrożenia |
Typ danych | Ciąg | Lista rozwijana |
Dopuszczalne wartości | scalanie (domyślne) admin_only |
Nie skonfigurowano scalanie (domyślne) admin_only |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 100.83.73
.
Przechowywanie historii skanowania antywirusowego (w dniach)
Określ liczbę dni przechowywania wyników w historii skanowania na urządzeniu. Stare wyniki skanowania są usuwane z historii. Stare pliki poddane kwarantannie, które również są usuwane z dysku.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | scanResultsRetentionDays | Przechowywanie wyników skanowania |
Typ danych | Ciąg | Przełączanie przełącznika i liczby całkowitej |
Dopuszczalne wartości | 90 (wartość domyślna). Dozwolone wartości to od 1 dnia do 180 dni. | Nieskonfigurowane (ustawienie wyłączone — domyślne 90-dniowe) Skonfigurowano (włącz) i dozwoloną wartość od 1 do 180 dni. |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.04.76
.
Maksymalna liczba elementów w historii skanowania antywirusowego
Określ maksymalną liczbę wpisów do zachowania w historii skanowania. Wpisy obejmują wszystkie skany na żądanie wykonywane w przeszłości i wszystkie wykrycia antywirusowe.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | scanHistoryMaximumItems | Rozmiar historii skanowania |
Typ danych | Ciąg | Przełączanie i liczba całkowita |
Dopuszczalne wartości | 10000 (wartość domyślna). Dozwolone wartości to od 5000 do 15000 elementów. | Nie skonfigurowano (ustawienie wyłączone — domyślne 10000) Skonfigurowano (włącz) i dozwoloną wartość od 5000 do 15000 elementów. |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.04.76
.
Preferencje ustawień wykluczeń
Preferencje ustawień wyłączności są obecnie dostępne w wersji zapoznawczej.
Uwaga
Wykluczenia globalne są obecnie dostępne w publicznej wersji zapoznawczej i są dostępne w usłudze Defender for Endpoint, począwszy od wersji 101.23092.0012
lub nowszej w pierścieniach Slow and Production Insiders.
Sekcja exclusionSettings
profilu konfiguracji służy do konfigurowania różnych wykluczeń dla Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux.
Opis | Wartość JSON |
---|---|
Klucz | exclusionSettings |
Typ danych | Słownik (preferencja zagnieżdżona) |
Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Uwaga
Już skonfigurowane wykluczenia programu antywirusowego w obszarze (antivirusEngine
) w zarządzanym formacie JSON będą nadal działać bez wpływu. Wszystkie nowe wykluczenia, w tym wykluczenia antywirusowe, można dodać w tej zupełnie nowej sekcji (exclusionSettings
). Ta sekcja znajduje się poza tagiem (antivirusEngine
) jako przeznaczona wyłącznie do konfigurowania wszystkich typów wykluczeń, które pojawią się w przyszłości. Można również nadal używać (antivirusEngine
) do konfigurowania wykluczeń programu antywirusowego.
Zasady scalania
Określa zasady scalania dla wykluczeń. Określa, czy może to być kombinacja wykluczeń zdefiniowanych przez administratora i zdefiniowanych przez użytkownika (merge
) lub tylko wykluczeń zdefiniowanych przez administratora (admin_only
). To ustawienie może służyć do ograniczania użytkownikom lokalnym definiowania własnych wykluczeń. Ma zastosowanie do wykluczeń wszystkich zakresów.
Opis | Wartość JSON |
---|---|
Klucz | mergePolicy |
Typ danych | Ciąg |
Dopuszczalne wartości | scalanie (domyślne) admin_only |
Komentarze | Dostępne w usłudze Defender dla punktu końcowego w wersji wrzesień 2023 lub nowszej. |
Wykluczenia
Jednostki, które muszą zostać wykluczone, można określić za pomocą pełnych ścieżek, rozszerzeń lub nazw plików. Każda jednostka wykluczenia, czyli pełna ścieżka, rozszerzenie lub nazwa pliku, ma opcjonalny zakres, który można określić. Jeśli nie zostanie określony, wartość domyślna zakresu w tej sekcji jest globalna. (Wykluczenia są określane jako tablica elementów, administrator może określić dowolną liczbę elementów w dowolnej kolejności).
Opis | Wartość JSON |
---|---|
Klucz | Wykluczenia |
Typ danych | Słownik (preferencja zagnieżdżona) |
Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Typ wykluczenia
Określa typ zawartości wykluczonej ze skanowania.
Opis | Wartość JSON |
---|---|
Klucz | $type |
Typ danych | Ciąg |
Dopuszczalne wartości | excludedPath excludedFileExtension excludedFileName |
Zakresy wykluczeń (opcjonalnie)
Określa zestaw zakresów wyłączności wykluczonej zawartości. Obecnie obsługiwane zakresy to epp
i global
.
Jeśli w przypadku wykluczenia w ramach wykluczeniaUstawienia w konfiguracji zarządzanej nie określono żadnych elementów , zostanie ono global
uznane za zakres.
Uwaga
Wcześniej skonfigurowane wykluczenia antywirusowe w obszarze (antivirusEngine
) w zarządzanym formacie JSON będą nadal działać, a ich zakres będzie traktowany jako (epp
), ponieważ zostały dodane jako wykluczenia antywirusowe.
Opis | Wartość JSON |
---|---|
Klucz | Zakresów |
Typ danych | Zestaw ciągów |
Dopuszczalne wartości | Epp globalny |
Uwaga
Wcześniej zastosowane wykluczenia przy użyciu (mdatp_managed.json
) lub interfejsu wiersza polecenia pozostaną nienaruszone. Zakres tych wykluczeń będzie (epp
), ponieważ zostały dodane w obszarze (antivirusEngine
).
Ścieżka do wykluczonej zawartości
Służy do wykluczania zawartości ze skanowania za pomocą pełnej ścieżki pliku.
Opis | Wartość JSON |
---|---|
Klucz | ścieżka |
Typ danych | Ciąg |
Dopuszczalne wartości | prawidłowe ścieżki |
Komentarze | Dotyczy tylko wtedy, gdy $type jest excludedPath. Symbol wieloznaczny nie jest obsługiwany, jeśli wykluczenie ma zakres globalny. |
Typ ścieżki (plik/katalog)
Wskazuje, czy właściwość path odwołuje się do pliku lub katalogu.
Uwaga
Ścieżka pliku musi już istnieć w przypadku dodawania wykluczenia pliku z zakresem globalnym.
Opis | Wartość JSON |
---|---|
Klucz | isDirectory |
Typ danych | Wartość logiczna |
Dopuszczalne wartości | false (wartość domyślna) prawdziwy |
Komentarze | Dotyczy tylko wtedy, gdy $type jest excludedPath. Symbol wieloznaczny nie jest obsługiwany, jeśli wykluczenie ma zakres globalny. |
Rozszerzenie pliku wykluczone ze skanowania
Służy do wykluczania zawartości ze skanowania według rozszerzenia pliku.
Opis | Wartość JSON |
---|---|
Klucz | rozszerzenie |
Typ danych | Ciąg |
Dopuszczalne wartości | prawidłowe rozszerzenia plików |
Komentarze | Dotyczy tylko wtedy, gdy $type jest wykluczoneFileExtension. Nieobsługiwane, jeśli wykluczenie ma zakres globalny. |
Proces wykluczony ze skanowania*
Określa proces, dla którego wszystkie działania plików są wykluczone ze skanowania. Proces można określić za pomocą jego nazwy (na przykład cat
) lub pełnej ścieżki (na przykład /bin/cat
).
Opis | Wartość JSON |
---|---|
Klucz | nazwa |
Typ danych | Ciąg |
Dopuszczalne wartości | dowolny ciąg |
Komentarze | Dotyczy tylko wtedy, gdy $type jest wykluczoneFileName. Symbol wieloznaczny i nazwa procesu nie są obsługiwane, jeśli wykluczenie ma zakres globalny, należy podać pełną ścieżkę. |
Zaawansowane opcje skanowania
Następujące ustawienia można skonfigurować w celu włączenia niektórych zaawansowanych funkcji skanowania.
Uwaga
Włączenie tych funkcji może mieć wpływ na wydajność urządzenia. W związku z tym zaleca się zachowanie wartości domyślnych.
Konfigurowanie skanowania zdarzeń uprawnień modyfikowania pliku
Po włączeniu tej funkcji usługa Defender dla punktu końcowego będzie skanować pliki po zmianie ich uprawnień w celu ustawienia bitów wykonywania.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy funkcja jest włączona enableFilePermissionEvents
. Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje opcjonalne poniżej, aby uzyskać szczegółowe informacje.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | scanFileModifyPermissions | Niedostępny |
Typ danych | Wartość logiczna | nie dotyczy |
Dopuszczalne wartości | false (wartość domyślna) prawdziwy |
nie dotyczy |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010
.
Konfigurowanie skanowania zdarzeń własności modyfikowania plików
Po włączeniu tej funkcji usługa Defender for Endpoint przeskanuje pliki, dla których zmieniono własność.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy funkcja jest włączona enableFileOwnershipEvents
. Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje opcjonalne poniżej, aby uzyskać szczegółowe informacje.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | scanFileModifyOwnership | Niedostępny |
Typ danych | Wartość logiczna | nie dotyczy |
Dopuszczalne wartości | false (wartość domyślna) prawdziwy |
nie dotyczy |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010
.
Konfigurowanie skanowania nieprzetworzonych zdarzeń gniazd
Po włączeniu tej funkcji usługa Defender for Endpoint przeskanuje zdarzenia gniazd sieciowych, takie jak tworzenie nieprzetworzonych gniazd/gniazd pakietów lub opcja gniazda ustawień.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
Ta funkcja ma zastosowanie tylko wtedy, gdy funkcja jest włączona enableRawSocketEvent
. Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje opcjonalne poniżej, aby uzyskać szczegółowe informacje.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | scanNetworkSocketEvent | Niedostępny |
Typ danych | Wartość logiczna | nie dotyczy |
Dopuszczalne wartości | false (wartość domyślna) prawdziwy |
nie dotyczy |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010
.
Preferencje ochrony dostarczanej w chmurze
Wpis cloudService w profilu konfiguracji służy do konfigurowania funkcji ochrony opartej na chmurze produktu.
Uwaga
Ochrona dostarczana w chmurze ma zastosowanie do wszystkich ustawień poziomu wymuszania (real_time, on_demand, pasywnych).
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | cloudService | Preferencje ochrony dostarczanej w chmurze |
Typ danych | Słownik (preferencja zagnieżdżona) | Zwinięta sekcja |
Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. | Zapoznaj się z poniższymi sekcjami, aby uzyskać opis ustawień zasad. |
Włączanie/wyłączanie ochrony dostarczanej w chmurze
Określa, czy ochrona dostarczana w chmurze jest włączona na urządzeniu, czy nie. Aby zwiększyć bezpieczeństwo usług, zalecamy włączenie tej funkcji.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | Włączone | Włączanie ochrony dostarczanej w chmurze |
Typ danych | Wartość logiczna | Lista rozwijana |
Dopuszczalne wartości |
true (wartość domyślna)
|
Nie skonfigurowano Wyłączona Włączone (domyślne) |
Poziom kolekcji diagnostycznej
Dane diagnostyczne służą do zapewnienia bezpieczeństwa i aktualności usługi Defender for Endpoint, wykrywania, diagnozowania i rozwiązywania problemów, a także wprowadzania ulepszeń produktu. To ustawienie określa poziom diagnostyki wysyłanej przez produkt do firmy Microsoft. Aby uzyskać więcej informacji, zobacz Prywatność dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | diagnosticLevel | Poziom zbierania danych diagnostycznych |
Typ danych | Ciąg | Lista rozwijana |
Dopuszczalne wartości | optional
|
Nie skonfigurowano opcjonalne (domyślne) Wymagane |
Konfigurowanie poziomu bloku chmury
To ustawienie określa, jak agresywna usługa Defender dla punktu końcowego blokuje i skanuje podejrzane pliki. Jeśli to ustawienie jest włączone, usługa Defender for Endpoint jest bardziej agresywna podczas identyfikowania podejrzanych plików do zablokowania i skanowania; W przeciwnym razie jest mniej agresywny, dlatego blokuje i skanuje z mniejszą częstotliwością.
Istnieje pięć wartości dotyczących ustawiania poziomu bloku chmury:
- Normalny (
normal
): domyślny poziom blokowania. - Umiarkowane (
moderate
): Dostarcza werdykt tylko w przypadku wykrywania wysokiej ufności. - Wysoka (
high
): Agresywnie blokuje nieznane pliki, optymalizując pod kątem wydajności (większe prawdopodobieństwo zablokowania nie szkodliwych plików). - Wysoki plus (
high_plus
): agresywnie blokuje nieznane pliki i stosuje dodatkowe środki ochrony (może mieć wpływ na wydajność urządzenia klienckiego). - Zero tolerancji (
zero_tolerance
): blokuje wszystkie nieznane programy.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | cloudBlockLevel | Konfigurowanie poziomu bloku chmury |
Typ danych | Ciąg | Lista rozwijana |
Dopuszczalne wartości |
normal (wartość domyślna)
|
Nie skonfigurowano Normalny (domyślny) Umiarkowany High (Wysoki) High_Plus Zero_Tolerance |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.56.62
.
Włączanie/wyłączanie automatycznych przesyłania przykładów
Określa, czy podejrzane próbki (które mogą zawierać zagrożenia) są wysyłane do firmy Microsoft. Istnieją trzy poziomy kontroli przesyłania przykładów:
- Brak: firma Microsoft nie przesyła żadnych podejrzanych przykładów.
- Bezpieczne: tylko podejrzane próbki, które nie zawierają danych osobowych, są przesyłane automatycznie. Jest to wartość domyślna dla tego ustawienia.
- Wszystkie: wszystkie podejrzane przykłady są przesyłane do firmy Microsoft.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | automaticSampleSubmissionConsent | Włączanie automatycznego przesyłania przykładów |
Typ danych | Ciąg | Lista rozwijana |
Dopuszczalne wartości | none
|
Nie skonfigurowano Brak Bezpieczne (domyślne) Wszystkie |
Włączanie/wyłączanie automatycznych aktualizacji analizy zabezpieczeń
Określa, czy aktualizacje analizy zabezpieczeń są instalowane automatycznie:
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | automaticDefinitionUpdateEnabled | Automatyczne aktualizacje analizy zabezpieczeń |
Typ danych | Wartość logiczna | Lista rozwijana |
Dopuszczalne wartości |
true (wartość domyślna)
|
Nie skonfigurowano Wyłączona Włączone (domyślne) |
W zależności od poziomu wymuszania aktualizacje automatycznej analizy zabezpieczeń są instalowane inaczej. W trybie RTP aktualizacje są instalowane okresowo. W trybie pasywnym/na żądanie aktualizacje są instalowane przed każdym skanowaniem.
Zaawansowane funkcje opcjonalne
Następujące ustawienia można skonfigurować w celu włączenia niektórych zaawansowanych funkcji.
Uwaga
Włączenie tych funkcji może mieć wpływ na wydajność urządzenia. Zaleca się zachowanie wartości domyślnych.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | Funkcje | Niedostępny |
Typ danych | Słownik (preferencja zagnieżdżona) | nie dotyczy |
Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Funkcja ładowania modułu
Określa, czy zdarzenia ładowania modułu (zdarzenia otwierania pliku w bibliotekach udostępnionych) są monitorowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | moduleLoad | Niedostępny |
Typ danych | Ciąg | nie dotyczy |
Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
nie dotyczy |
Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.68.80 . |
Dodatkowe konfiguracje czujników
Poniższe ustawienia mogą służyć do konfigurowania niektórych zaawansowanych funkcji dodatkowych czujników.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | supplementarySensorConfigurations | Niedostępny |
Typ danych | Słownik (preferencja zagnieżdżona) | nie dotyczy |
Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Konfigurowanie monitorowania zdarzeń uprawnień modyfikowania plików
Określa, czy zdarzenia uprawnień modyfikowania pliku (chmod
) są monitorowane.
Uwaga
Po włączeniu tej funkcji usługa Defender dla punktu końcowego będzie monitorować zmiany w wykonywaniu bitów plików, ale nie skanuje tych zdarzeń. Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje skanowania , aby uzyskać więcej informacji.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | enableFilePermissionEvents | Niedostępny |
Typ danych | Ciąg | nie dotyczy |
Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
nie dotyczy |
Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 . |
Konfigurowanie monitorowania zdarzeń dotyczących modyfikowania plików
Określa, czy zdarzenia własności modyfikowania pliku (chown) są monitorowane.
Uwaga
Po włączeniu tej funkcji usługa Defender for Endpoint będzie monitorować zmiany własności plików, ale nie skanuje tych zdarzeń. Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje skanowania , aby uzyskać więcej informacji.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | enableFileOwnershipEvents | Niedostępny |
Typ danych | Ciąg | nie dotyczy |
Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
nie dotyczy |
Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 . |
Konfigurowanie monitorowania nieprzetworzonych zdarzeń gniazd
Określa, czy zdarzenia gniazd sieciowych związane z tworzeniem nieprzetworzonych gniazd/gniazd pakietów lub opcją gniazda ustawień są monitorowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania. Po włączeniu tej funkcji usługa Defender dla punktu końcowego będzie monitorować te zdarzenia gniazd sieciowych, ale nie będzie skanować tych zdarzeń. Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje skanowania powyżej, aby uzyskać więcej informacji.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | enableRawSocketEvent | Niedostępny |
Typ danych | Ciąg | nie dotyczy |
Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
nie dotyczy |
Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 . |
Konfigurowanie monitorowania zdarzeń modułu ładującego rozruch
Określa, czy zdarzenia modułu ładującego rozruchu są monitorowane i skanowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | enableBootLoaderCalls | Niedostępny |
Typ danych | Ciąg | nie dotyczy |
Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
nie dotyczy |
Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.68.80 . |
Konfigurowanie monitorowania zdarzeń śledzenia
Określa, czy zdarzenia śledzenia są monitorowane i skanowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | enableProcessCalls | Niedostępny |
Typ danych | Ciąg | nie dotyczy |
Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
nie dotyczy |
Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.68.80 . |
Konfigurowanie monitorowania zdarzeń pseudofs
Określa, czy zdarzenia pseudofs są monitorowane i skanowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | enablePseudofsCalls | Niedostępny |
Typ danych | Ciąg | nie dotyczy |
Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
nie dotyczy |
Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.68.80 . |
Konfigurowanie monitorowania zdarzeń ładowania modułu przy użyciu eBPF
Określa, czy zdarzenia ładowania modułu są monitorowane przy użyciu eBPF i skanowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | enableEbpfModuleLoadEvents | Niedostępny |
Typ danych | Ciąg | nie dotyczy |
Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
nie dotyczy |
Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.68.80 . |
Zgłaszanie podejrzanych zdarzeń av do EDR
Określa, czy podejrzane zdarzenia z programu antywirusowego są zgłaszane do EDR.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | sendLowfiEvents | Niedostępny |
Typ danych | Ciąg | nie dotyczy |
Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
nie dotyczy |
Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 . |
Konfiguracje ochrony sieci
Poniższe ustawienia mogą służyć do konfigurowania zaawansowanych funkcji inspekcji ochrony sieci w celu kontrolowania ruchu sprawdzanego przez usługę Network Protection.
Uwaga
Aby były one skuteczne, należy włączyć ochronę sieci. Aby uzyskać więcej informacji, zobacz Włączanie ochrony sieci dla systemu Linux.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | networkProtection | Ochrona sieci |
Typ danych | Słownik (preferencja zagnieżdżona) | Zwinięta sekcja |
Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. | Opis ustawień zasad można znaleźć w poniższych sekcjach. |
Poziom wymuszania
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | enforcementLevel | Poziom wymuszania |
Typ danych | Ciąg | Lista rozwijana |
Dopuszczalne wartości |
disabled (wartość domyślna)audit block |
Nie skonfigurowano wyłączone (ustawienie domyślne) audyt blok |
Konfigurowanie inspekcji protokołu ICMP
Określa, czy zdarzenia ICMP są monitorowane i skanowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
Opis | Wartość JSON | Wartość portalu usługi Defender |
---|---|---|
Klucz | disableIcmpInspection | Niedostępny |
Typ danych | Wartość logiczna | nie dotyczy |
Dopuszczalne wartości |
true (wartość domyślna)
|
nie dotyczy |
Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 . |
Zalecany profil konfiguracji
Aby rozpocząć pracę, zalecamy korzystanie ze wszystkich funkcji ochrony udostępnianych przez usługę Defender for Endpoint w następującym profilu konfiguracji dla przedsiębiorstwa.
Następujący profil konfiguracji:
- Włącza ochronę w czasie rzeczywistym (RTP)
- Określa sposób obsługi następujących typów zagrożeń:
- Potencjalnie niechciane aplikacje (PUA) są blokowane
- Bomby archiwalne (plik o wysokiej szybkości kompresji) są poddawane inspekcji w dziennikach produktów
- Włącza automatyczne aktualizacje analizy zabezpieczeń
- Włącza ochronę dostarczaną przez chmurę
- Włącza automatyczne przesyłanie przykładów na
safe
poziomie
Przykładowy profil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Przykład pełnego profilu konfiguracji
Poniższy profil konfiguracji zawiera wpisy dla wszystkich ustawień opisanych w tym dokumencie i może służyć do bardziej zaawansowanych scenariuszy, w których chcesz mieć większą kontrolę nad produktem.
Uwaga
Nie można kontrolować wszystkich Ochrona punktu końcowego w usłudze Microsoft Defender komunikacji tylko z ustawieniem serwera proxy w tym formacie JSON.
Pełny profil
{
"antivirusEngine":{
"enforcementLevel":"passive",
"behaviorMonitoring": "disabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"enableFileHashComputation": false,
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
],
"scanFileModifyPermissions":false,
"scanFileModifyOwnership":false,
"scanNetworkSocketEvent":false,
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate":"disabled"
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
"definitionUpdatesInterval":28800
},
"features":{
"moduleLoad":"disabled",
"supplementarySensorConfigurations":{
"enableFilePermissionEvents":"disabled",
"enableFileOwnershipEvents":"disabled",
"enableRawSocketEvent":"disabled",
"enableBootLoaderCalls":"disabled",
"enableProcessCalls":"disabled",
"enablePseudofsCalls":"diabled",
"enableEbpfModuleLoadEvents":"disabled",
"sendLowfiEvents":"disabled"
},
"ebpfSupplementaryEventProvider":"enabled",
"offlineDefinitionUpdateVerifySig": "disabled"
},
"networkProtection":{
"enforcementLevel":"disabled",
"disableIcmpInspection":true
},
"edr":{
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Dodawanie tagu lub identyfikatora grupy do profilu konfiguracji
Po pierwszym uruchomieniu mdatp health
polecenia wartość tagu i identyfikatora grupy będzie pusta. Aby dodać tag lub identyfikator grupy do mdatp_managed.json
pliku, wykonaj poniższe kroki:
Otwórz profil konfiguracji ze ścieżki
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json
.Przejdź do dolnej części pliku, gdzie
cloudService
znajduje się blok.Dodaj wymagany tag lub identyfikator grupy jako poniższy przykład na końcu zamykającego nawiasu klamrowego
cloudService
dla elementu .}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }
Uwaga
Dodaj przecinek po zamykającym nawiasie klamrowym na końcu
cloudService
bloku. Upewnij się również, że istnieją dwa zamykające nawiasy klamrowe po dodaniu bloku Tag lub Identyfikator grupy (zobacz powyższy przykład). Obecnie jedyną obsługiwaną nazwą klucza tagów jestGROUP
.
Sprawdzanie poprawności profilu konfiguracji
Profil konfiguracji musi być prawidłowym plikiem w formacie JSON. Istnieje wiele narzędzi, których można użyć do zweryfikowania tego. Jeśli na przykład python
zainstalowano na urządzeniu:
python -m json.tool mdatp_managed.json
Jeśli kod JSON jest dobrze sformułowany, powyższe polecenie wyprowadza go z powrotem do terminalu i zwraca kod zakończenia .0
W przeciwnym razie zostanie wyświetlony błąd opisujący problem, a polecenie zwróci kod zakończenia .1
Sprawdzanie, czy plik mdatp_managed.json działa zgodnie z oczekiwaniami
Aby sprawdzić, czy /etc/opt/microsoft/mdatp/managed/mdatp_managed.json działa prawidłowo, obok tych ustawień powinien zostać wyświetlony komunikat "[managed]":
cloud_enabled
cloud_automatic_sample_submission_consent
passive_mode_enabled
real_time_protection_enabled
automatic_definition_update_enabled
Uwaga
Aby zmiany większości konfiguracji zaczęły mdatp_managed.json
obowiązywać, nie jest wymagane ponowne uruchomienie demona mdatp.
Wyjątek: Następujące konfiguracje wymagają ponownego uruchomienia demona, aby obowiązywać:
cloud-diagnostic
log-rotation-parameters
Wdrażanie profilu konfiguracji
Po utworzeniu profilu konfiguracji dla przedsiębiorstwa można go wdrożyć za pomocą narzędzia do zarządzania używanego przez przedsiębiorstwo. Usługa Defender for Endpoint w systemie Linux odczytuje konfigurację zarządzana z programu /etc/opt/microsoft/mdatp/managed/mdatp_managed.json
.
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.