Konfigurowanie ustawień zabezpieczeń i zasad dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender dla serwerów
- Microsoft Defender dla serwerów plan 1 lub plan 2
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Omówienie ustawień i zasad do skonfigurowania
Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux obejmuje oprogramowanie antywirusowe, ochronę przed złośliwym oprogramowaniem, wykrywanie punktów końcowych i możliwości reagowania. Ten artykuł zawiera podsumowanie ważnych ustawień do skonfigurowania za pomocą linków do dodatkowych zasobów.
| Ustawienia | Opis |
|---|---|
| 1. Skonfiguruj odnajdywanie statycznego serwera proxy. | Konfigurowanie statycznego serwera proxy pomaga zapewnić przesyłanie danych telemetrycznych i pomaga uniknąć przekroczenia limitu czasu sieci. Wykonaj to zadanie podczas instalacji usługi Defender for Endpoint i po jej zakończeniu. Zobacz Konfigurowanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux pod kątem odnajdywania statycznego serwera proxy. |
| 2. Skonfiguruj skanowanie antywirusowe. | Automatyczne skanowanie antywirusowe można zaplanować przy użyciu narzędzia Anacron lub Crontab. Zobacz następujące artykuły: - Planowanie skanowania antywirusowego w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux przy użyciu narzędzia Anacron - Planowanie skanowania antywirusowego w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux przy użyciu narzędzia Crontab |
| 3. Skonfiguruj ustawienia zabezpieczeń i zasady. | Aby skonfigurować usługę Defender for Endpoint w systemie Linux, możesz użyć portalu Microsoft Defender (Defender for Endpoint Security Settings Management) lub profilu konfiguracji (.jsonpliku). Jeśli wolisz, możesz użyć wiersza polecenia, aby skonfigurować określone ustawienia. Zobacz następujące artykuły: - Zarządzanie ustawieniami zabezpieczeń usługi Defender for Endpoint - Profil konfiguracji - Wiersz polecenia |
| 4. Konfigurowanie i weryfikowanie wykluczeń (odpowiednio) | Niektóre pliki, foldery, procesy i pliki otwierane przez proces można wykluczyć z usługi Defender for Endpoint w systemie Linux. Globalne wykluczenia mają zastosowanie do ochrony w czasie rzeczywistym (RTP), monitorowania zachowania (BM) oraz wykrywania i reagowania punktów końcowych (EDR), zatrzymując w ten sposób wszystkie skojarzone wykrycia antywirusowe, alerty EDR i widoczność wykluczonego elementu. Zobacz Konfigurowanie i weryfikowanie wykluczeń dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux. |
| 5. Skonfiguruj czujnik oparty na eBPF. | Rozszerzony filtr pakietów Berkeley (eBPF) dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux jest automatycznie włączany dla wszystkich klientów domyślnie dla wersji agenta i nowszych101.23082.0006. Udostępnia ona dodatkowe dane zdarzeń dla systemów operacyjnych Linux i pomaga zmniejszyć możliwość konfliktów między aplikacjami. Zobacz Use eBPF-based sensor for Ochrona punktu końcowego w usłudze Microsoft Defender on Linux (Używanie czujnika opartego na eBPF do Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux). |
| 6. Konfigurowanie aktualizacji analizy zabezpieczeń w trybie offline (odpowiednio) | Aktualizacja analizy zabezpieczeń w trybie offline umożliwia konfigurowanie aktualizacji analizy zabezpieczeń dla serwerów z systemem Linux, które mają ograniczoną lub żadną ekspozycję na Internet. Możesz skonfigurować lokalny serwer hostingu ("serwer dublowania"), który może połączyć się z chmurą firmy Microsoft w celu pobrania podpisów. Inne punkty końcowe systemu Linux mogą ściągać aktualizacje z serwera dublowanego w wstępnie zdefiniowanym interwale. Zobacz Konfigurowanie aktualizacji analizy zabezpieczeń w trybie offline dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux. |
| 7. Wdrażanie aktualizacji. | Firma Microsoft regularnie publikuje aktualizacje oprogramowania w celu zwiększenia wydajności, bezpieczeństwa i dostarczania nowych funkcji. Zobacz Wdrażanie aktualizacji dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux. |
| 8. Konfigurowanie ochrony sieci (wersja zapoznawcza) | Ochrona sieci pomaga uniemożliwić pracownikom korzystanie z dowolnej aplikacji w celu uzyskania dostępu do niebezpiecznych domen, które mogą hostować wyłudzanie informacji, luki w zabezpieczeniach i inną złośliwą zawartość w Internecie. Zobacz Ochrona sieci dla systemu Linux. |
Opcje konfigurowania zasad i ustawień zabezpieczeń
Aby skonfigurować zasady zabezpieczeń i ustawienia usługi Defender dla punktu końcowego w systemie Linux, dostępne są dwie główne opcje:
- Użyj portalu Microsoft Defender (Defender for Endpoint Security Settings Management) lub
- Korzystanie z profilu konfiguracji
Jeśli wolisz używać wiersza polecenia do konfigurowania ustawień zabezpieczeń, możesz go użyć do skonfigurowania określonych ustawień, zebrania diagnostyki, uruchomienia skanowania i nie tylko. Zobacz Zasoby.
Zarządzanie ustawieniami zabezpieczeń usługi Defender for Endpoint
Usługę Defender for Endpoint w systemie Linux można skonfigurować w portalu Microsoft Defender (https://security.microsoft.com) za pomocą funkcji znanej jako Zarządzanie ustawieniami zabezpieczeń. Aby uzyskać więcej informacji, w tym sposób tworzenia, edytowania i weryfikowania zasad zabezpieczeń, zobacz Zarządzanie Ochrona punktu końcowego w usłudze Microsoft Defender ustawieniami zabezpieczeń w celu zarządzania programem antywirusowym Microsoft Defender.
Profil konfiguracji
Usługę Defender for Endpoint w systemie Linux można skonfigurować za pomocą profilu konfiguracji, który używa .json pliku. Po skonfigurowaniu profilu można go wdrożyć przy użyciu wybranego narzędzia do zarządzania. Preferencje zarządzane przez przedsiębiorstwo mają pierwszeństwo przed preferencjami ustawionymi lokalnie na urządzeniu. Innymi słowy, użytkownicy w przedsiębiorstwie nie mogą zmieniać preferencji ustawionych za pomocą tego profilu konfiguracji. Jeśli wykluczenia zostały dodane za pośrednictwem profilu konfiguracji zarządzanej, można je usunąć tylko za pośrednictwem profilu konfiguracji zarządzanej. Wiersz polecenia działa w przypadku wykluczeń, które zostały dodane lokalnie.
W tym artykule opisano strukturę tego profilu (w tym zalecany profil, którego można użyć do rozpoczęcia pracy) oraz instrukcje dotyczące sposobu wdrażania profilu.
Struktura profilu konfiguracji
Profil konfiguracji to .json plik, który składa się z wpisów zidentyfikowanych przez klucz (co oznacza nazwę preferencji), po którym następuje wartość, która zależy od charakteru preferencji. Wartości mogą być proste, takie jak wartość liczbowa lub złożone, takie jak zagnieżdżona lista preferencji.
Zazwyczaj należy użyć narzędzia do zarządzania konfiguracją, aby wypchnąć plik o nazwie mdatp_managed.json w lokalizacji /etc/opt/microsoft/mdatp/managed/.
Najwyższy poziom profilu konfiguracji zawiera preferencje dla całego produktu i wpisy dla obszarów podrzędnych produktu, co opisano bardziej szczegółowo w następnych sekcjach.
Zalecany profil konfiguracji
Ta sekcja zawiera dwa przykłady profilów konfiguracji:
- Przykładowy profil ułatwiający rozpoczęcie pracy z zalecanymi ustawieniami.
- Przykład profilu pełnej konfiguracji dla organizacji, które chcą bardziej szczegółowej kontroli nad ustawieniami zabezpieczeń.
Aby rozpocząć pracę, zalecamy użycie pierwszego przykładowego profilu organizacji. Aby uzyskać bardziej szczegółową kontrolę, możesz użyć przykładu pełnego profilu konfiguracji .
Przykładowy profil
Ułatwi to korzystanie z ważnych funkcji ochrony udostępnianych przez usługę Defender for Endpoint w systemie Linux. Następujący profil konfiguracji:
- Włącza ochronę w czasie rzeczywistym (RTP)
- Określa sposób obsługi następujących typów zagrożeń:
- Potencjalnie niechciane aplikacje (PUA) są blokowane
- Archiwum bomby (plik o wysokiej szybkości kompresji) są poddawane inspekcji w dziennikach produktów
- Włącza automatyczne aktualizacje analizy zabezpieczeń
- Włącza ochronę dostarczaną przez chmurę
- Włącza automatyczne przesyłanie przykładów na
safepoziomie
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Przykład pełnego profilu konfiguracji
Poniższy profil konfiguracji zawiera wpisy dla wszystkich ustawień opisanych w tym dokumencie i może służyć do bardziej zaawansowanych scenariuszy, w których chcesz mieć większą kontrolę nad produktem.
Uwaga
Nie można kontrolować wszystkich Ochrona punktu końcowego w usłudze Microsoft Defender komunikacji tylko z ustawieniem serwera proxy w tym formacie JSON.
{
"antivirusEngine":{
"enforcementLevel":"passive",
"behaviorMonitoring": "disabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"enableFileHashComputation": false,
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
],
"scanFileModifyPermissions":false,
"scanFileModifyOwnership":false,
"scanNetworkSocketEvent":false,
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate":"disabled"
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
"definitionUpdatesInterval":28800
},
"features":{
"moduleLoad":"disabled",
"supplementarySensorConfigurations":{
"enableFilePermissionEvents":"disabled",
"enableFileOwnershipEvents":"disabled",
"enableRawSocketEvent":"disabled",
"enableBootLoaderCalls":"disabled",
"enableProcessCalls":"disabled",
"enablePseudofsCalls":"diabled",
"enableEbpfModuleLoadEvents":"disabled",
"sendLowfiEvents":"disabled"
},
"ebpfSupplementaryEventProvider":"enabled",
"offlineDefinitionUpdateVerifySig": "disabled"
},
"networkProtection":{
"enforcementLevel":"disabled",
"disableIcmpInspection":true
},
"edr":{
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Ustawienia oprogramowania antywirusowego, ochrony przed złośliwym kodem i EDR w usłudze Defender for Endpoint w systemie Linux
Niezależnie od tego, czy używasz profilu konfiguracji (pliku .json), czy portalu Microsoft Defender (zarządzanie ustawieniami zabezpieczeń), możesz skonfigurować ustawienia oprogramowania antywirusowego, ochrony przed złośliwym kodem i EDR w usłudze Defender for Endpoint w systemie Linux. W poniższych sekcjach opisano, gdzie i jak skonfigurować ustawienia.
Preferencje aparatu antywirusowego
Sekcja antivirusEngine profilu konfiguracji służy do zarządzania preferencjami składnika antywirusowego produktu.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | antivirusEngine |
Aparat antywirusowy |
| Typ danych | Słownik (preferencja zagnieżdżona) | Zwinięta sekcja |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. | Opis właściwości zasad można znaleźć w poniższych sekcjach. |
Poziom wymuszania dla programu antywirusowego Microsoft Defender
Określa preferencje wymuszania aparatu antywirusowego. Istnieją trzy wartości dotyczące ustawiania poziomu wymuszania:
W czasie rzeczywistym (
real_time): włączono ochronę w czasie rzeczywistym (skanuj pliki w miarę ich modyfikowania).Na żądanie (
on_demand): pliki są skanowane tylko na żądanie. W tym:- Ochrona w czasie rzeczywistym jest wyłączona.
- Aktualizacje definicji występują tylko wtedy, gdy rozpoczyna się skanowanie, nawet jeśli
automaticDefinitionUpdateEnabledjest ustawione natruetryb na żądanie.
Pasywne (
passive): uruchamia aparat antywirusowy w trybie pasywnym. W tym przypadku mają zastosowanie wszystkie następujące elementy:- Ochrona w czasie rzeczywistym jest wyłączona: zagrożenia nie są korygowane przez program antywirusowy Microsoft Defender.
- Skanowanie na żądanie jest włączone: nadal używaj możliwości skanowania w punkcie końcowym.
- Automatyczne korygowanie zagrożeń jest wyłączone: żadne pliki nie są przenoszone, a administrator zabezpieczeń powinien podjąć wymagane działania.
- Aktualizacje analizy zabezpieczeń są włączone: alerty są dostępne w dzierżawie administratora zabezpieczeń.
- Aktualizacje definicji występują tylko wtedy, gdy rozpoczyna się skanowanie, nawet jeśli
automaticDefinitionUpdateEnabledjest ustawione natruew trybie pasywnym.
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.10.72 . Wartość domyślna jest zmieniana z real_time na passive w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0001 .
Zaleca się również używanie zaplanowanych skanów zgodnie z wymaganiami.
Włączanie lub wyłączanie monitorowania zachowania (jeśli włączono protokół RTP)
Ważna
Ta funkcja działa tylko wtedy, gdy poziom wymuszania jest ustawiony na real-time.
Określa, czy funkcja monitorowania i blokowania zachowania jest włączona na urządzeniu, czy nie.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | behaviorMonitoring | Włączanie monitorowania zachowania |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości |
disabled (wartość domyślna)enabled |
Nie skonfigurowano Wyłączone (domyślne) Włączone |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.45.00 .
Uruchamianie skanowania po zaktualizowaniu definicji
Ważna
Ta funkcja działa tylko wtedy, gdy poziom wymuszania jest ustawiony na real-time.
Określa, czy należy rozpocząć skanowanie procesu po pobraniu nowych aktualizacji analizy zabezpieczeń na urządzeniu. Włączenie tego ustawienia powoduje uruchomienie skanowania antywirusowego w uruchomionych procesach urządzenia.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | scanAfterDefinitionUpdate |
Włączanie skanowania po aktualizacji definicji |
| Typ danych | Wartość logiczna | Lista rozwijana |
| Dopuszczalne wartości |
true (wartość domyślna)false |
Not configuredDisabledEnabled (Ustawienie domyślne) |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.45.00 .
Skanuj archiwa (tylko skanowanie antywirusowe na żądanie)
Określa, czy skanować archiwa podczas skanowania antywirusowego na żądanie.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | scanArchives |
Włączanie skanowania archiwów |
| Typ danych | Wartość logiczna | Lista rozwijana |
| Dopuszczalne wartości |
true (wartość domyślna)false |
Nie skonfigurowano Wyłączona Włączone (domyślne) |
Uwaga
Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji lub nowszej101.45.00.
Archiwum pliki nigdy nie są skanowane podczas ochrony w czasie rzeczywistym. Po wyodrębnieniu plików w archiwum są one skanowane. Opcja scanArchives może służyć do wymuszania skanowania archiwów tylko podczas skanowania na żądanie.
Stopień równoległości skanowania na żądanie
Określa stopień równoległości skanowania na żądanie. Odpowiada to liczbie wątków używanych do skanowania i wpływa na użycie procesora CPU oraz czas trwania skanowania na żądanie.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | maximumOnDemandScanThreads |
maksymalna liczba wątków skanowania na żądanie |
| Typ danych | Liczba całkowita | Przełącz przełącznik & liczba całkowita |
| Dopuszczalne wartości |
2 (wartość domyślna). Dozwolone wartości to liczby całkowite między 1 i 64. |
Not Configured (Domyślne przełączanie ustawień domyślnych wyłącz na 2)Configured (przełączanie) i liczba całkowita między 1 i 64. |
Uwaga
Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji lub nowszej101.45.00.
Zasady scalania wykluczeń
Określa zasady scalania dla wykluczeń. Może to być kombinacja wykluczeń zdefiniowanych przez administratora i zdefiniowanych przez użytkownika (merge) lub tylko wykluczeń zdefiniowanych przez administratora (admin_only). Zdefiniowane przez administratora (admin_only) to wykluczenia skonfigurowane przez zasady punktu końcowego usługi Defender. To ustawienie może służyć do ograniczania użytkownikom lokalnym definiowania własnych wykluczeń.
Ponieważ jest ono objęte programem antywirusowymZaangażowanie tych zasad dotyczy tylko epp wykluczeń, chyba że mergePolicy w obszarze wykluczeniaUstawienia są skonfigurowane jako (admin_only).
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | exclusionsMergePolicy |
Scalanie wykluczeń |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości |
merge (wartość domyślna)admin_only |
Not configuredmerge (Ustawienie domyślne)admin_only |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 100.83.73 .
Zalecamy skonfigurowanie wykluczeń i zasad scalania w obszarze exclusionSettings, co umożliwia skonfigurowanie wykluczenia zarówno zakresu, jak epp i global pojedynczego mergePolicy.
Wykluczeń skanowania
Jednostki, które zostały wykluczone ze skanowania. Wykluczenia można określić za pomocą pełnych ścieżek, rozszerzeń lub nazw plików. (Wykluczenia są określane jako tablica elementów, administrator może określić dowolną liczbę elementów w dowolnej kolejności).
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | exclusions |
Wykluczeń skanowania |
| Typ danych | Słownik (preferencja zagnieżdżona) | Lista właściwości dynamicznych |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Typ wykluczenia
Określa typ zawartości wykluczonej ze skanowania.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | $type |
Wpisać |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości | excludedPath excludedFileExtension excludedFileName |
Ścieżka Formatem Nazwa procesu |
Ścieżka do wykluczonej zawartości
Służy do wykluczania zawartości ze skanowania za pomocą pełnej ścieżki pliku.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | ścieżka | Ścieżka |
| Typ danych | Ciąg | Ciąg |
| Dopuszczalne wartości | prawidłowe ścieżki | prawidłowe ścieżki |
| Komentarze | Dotyczy tylko wtedy, gdy $type jest excludedPath |
Dostęp w oknie podręcznym Edytuj wystąpienie |
Typ ścieżki (plik/katalog)
Wskazuje, czy właściwość path odwołuje się do pliku lub katalogu.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | isDirectory |
Czy katalog |
| Typ danych | Wartość logiczna | Lista rozwijana |
| Dopuszczalne wartości |
false (wartość domyślna)true |
EnabledDisabled |
| Komentarze | Dotyczy tylko wtedy, gdy $type jest excludedPath | Dostęp w oknie podręcznym Edytuj wystąpienie |
Rozszerzenie pliku wykluczone ze skanowania
Służy do wykluczania zawartości ze skanowania według rozszerzenia pliku.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | rozszerzenie | Formatem |
| Typ danych | Ciąg | Ciąg |
| Dopuszczalne wartości | prawidłowe rozszerzenia plików | prawidłowe rozszerzenia plików |
| Komentarze | Dotyczy tylko wtedy, gdy $type jest wykluczoneFileExtension | Dostęp w oknie podręcznym Konfigurowanie wystąpienia |
Proces wykluczony ze skanowania
Określa proces, dla którego wszystkie działania plików są wykluczone ze skanowania. Proces można określić za pomocą jego nazwy (na przykład cat) lub pełnej ścieżki (na przykład /bin/cat).
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | nazwa | Nazwa pliku |
| Typ danych | Ciąg | Ciąg |
| Dopuszczalne wartości | dowolny ciąg | dowolny ciąg |
| Komentarze | Dotyczy tylko wtedy, gdy $type jest wykluczoneFileName | Dostęp w oknie podręcznym Konfigurowanie wystąpienia |
Wyciszenie instalacji innych niż exec
Określa zachowanie protokołu RTP w punkcie instalacji oznaczonym jako noexec. Istnieją dwie wartości ustawienia:
- Unmuted (
unmute): wartość domyślna, wszystkie punkty instalacji są skanowane w ramach rtp. - Wyciszony (
mute): punkty instalacji oznaczone jakonoexecnie są skanowane w ramach rtp, te punkty instalacji można utworzyć dla:- Pliki bazy danych na serwerach bazy danych do przechowywania plików bazy danych.
- Serwer plików może przechowywać punkty instalacji plików danych z
noexecopcją . - Kopia zapasowa może przechowywać punkty instalacji plików danych z
noexecopcją.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | nonExecMountPolicy |
non execute mount mute |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości |
unmute (wartość domyślna)mute |
Not configured unmute (Ustawienie domyślne)mute |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.85.27 .
Niemonitoruj systemów plików
Skonfiguruj systemy plików tak, aby były niemonitorowane/wykluczone z ochrony w czasie rzeczywistym (RTP). Skonfigurowane systemy plików są weryfikowane względem listy dozwolonych systemów plików Microsoft Defender. Systemy plików można monitorować tylko po pomyślnym walidacji. Te skonfigurowane niemonitorowane systemy plików są nadal skanowane za pomocą szybkich, pełnych i niestandardowych skanów w programie antywirusowym Microsoft Defender.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | unmonitoredFilesystems |
Niemonitorowane systemy plików |
| Typ danych | Tablica ciągów | Dynamiczna lista ciągów |
Uwaga
Skonfigurowany system plików będzie niemonitorowany tylko wtedy, gdy znajduje się na liście dozwolonych niemonitorowanych systemów plików firmy Microsoft.
Domyślnie NFS i Fuse są niemonitorowane z rtp, szybkie i pełne skanowania. Jednak nadal można je skanować za pomocą skanowania niestandardowego. Aby na przykład usunąć system plików NFS z listy niemonitorowanych systemów plików, zaktualizuj zarządzany plik konfiguracji, jak pokazano poniżej. Spowoduje to automatyczne dodanie systemu plików NFS do listy monitorowanych systemów plików dla protokołu RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Aby usunąć systemy plików NFS i Fuse z niemonitorowanej listy systemów plików, użyj następującego fragmentu kodu:
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Uwaga
Oto domyślna lista monitorowanych systemów plików rtp: , , , , , ext4, fuseblk, , jfs, overlay, ramfs, , reiserfs, , , tmpfs, vfati xfs. ext3ext2ecryptfsbtrfs
Jeśli jakikolwiek monitorowany system plików musi zostać dodany do listy niemonitorowanych systemów plików, musi zostać oceniony i włączony przez firmę Microsoft za pośrednictwem konfiguracji w chmurze. Po tym, którzy klienci mogą zaktualizować managed_mdatp.json, aby niemonitorować tego systemu plików.
Konfigurowanie funkcji obliczania skrótów plików
Włącza lub wyłącza funkcję obliczania skrótów plików. Po włączeniu tej funkcji usługa Defender for Endpoint oblicza skróty skanujących plików. Należy pamiętać, że włączenie tej funkcji może mieć wpływ na wydajność urządzenia. Aby uzyskać więcej informacji, zobacz: Tworzenie wskaźników dla plików.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | enableFileHashComputation |
Włączanie obliczeń skrótów plików |
| Typ danych | Wartość logiczna | Lista rozwijana |
| Dopuszczalne wartości |
false (wartość domyślna)true |
Not configuredDisabled (wartość domyślna)Enabled |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.85.27 .
Dozwolone zagrożenia
Lista zagrożeń (identyfikowanych przez ich nazwę), które nie są blokowane przez produkt i zamiast tego mogą być uruchamiane.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | allowedThreats |
Dozwolone zagrożenia |
| Typ danych | Tablica ciągów | Dynamiczna lista ciągów |
Niedozwolone akcje zagrożeń
Ogranicza akcje, które może wykonać lokalny użytkownik urządzenia po wykryciu zagrożeń. Akcje zawarte na tej liście nie są wyświetlane w interfejsie użytkownika.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | disallowedThreatActions |
Niedozwolone akcje zagrożeń |
| Typ danych | Tablica ciągów | Dynamiczna lista ciągów |
| Dopuszczalne wartości |
allow (ogranicza użytkownikom możliwość zezwalania na zagrożenia)restore (ogranicza użytkownikom możliwość przywracania zagrożeń z kwarantanny) |
allow (ogranicza użytkownikom możliwość zezwalania na zagrożenia)restore (ogranicza użytkownikom możliwość przywracania zagrożeń z kwarantanny) |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 100.83.73 .
Ustawienia typu zagrożenia
Preferencja threatTypeSettings w aparacie antywirusowym służy do kontrolowania sposobu obsługi określonych typów zagrożeń przez produkt.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | threatTypeSettings |
Ustawienia typu zagrożenia |
| Typ danych | Słownik (preferencja zagnieżdżona) | Lista właściwości dynamicznych |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. | Opis właściwości dynamicznych można znaleźć w poniższych sekcjach. |
Typ zagrożenia
Typ zagrożenia, dla którego skonfigurowano zachowanie.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | klucz | Typ zagrożenia |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości | potentially_unwanted_application archive_bomb |
potentially_unwanted_application archive_bomb |
Akcja do wykonania
Akcja do wykonania w przypadku wystąpienia zagrożenia typu określonego w poprzedniej sekcji. Może to być:
- Inspekcja: urządzenie nie jest chronione przed tego typu zagrożeniem, ale wpis dotyczący zagrożenia jest rejestrowany. (Ustawienie domyślne)
- Blokuj: urządzenie jest chronione przed tego typu zagrożeniem i otrzymasz powiadomienie w portalu Microsoft Defender.
- Wyłączone: urządzenie nie jest chronione przed tego typu zagrożeniem i nic nie jest rejestrowane.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | wartość | Akcja do wykonania |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości |
audit (wartość domyślna)block off |
audit block od |
Zasady scalania ustawień typu zagrożenia
Określa zasady scalania dla ustawień typu zagrożenia. Może to być kombinacja ustawień zdefiniowanych przez administratora i zdefiniowanych przez użytkownika (merge) lub tylko ustawień zdefiniowanych przez administratora (admin_only). Zdefiniowane przez administratora (admin_only) to ustawienia typu zagrożenia skonfigurowane przez zasady punktu końcowego usługi Defender. To ustawienie może służyć do ograniczania użytkownikom lokalnym możliwości definiowania własnych ustawień dla różnych typów zagrożeń.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | threatTypeSettingsMergePolicy |
Scalanie ustawień typu zagrożenia |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości |
merge (wartość domyślna)admin_only |
Not configuredmerge (Ustawienie domyślne)admin_only |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 100.83.73 .
Przechowywanie historii skanowania antywirusowego (w dniach)
Określ liczbę dni przechowywania wyników w historii skanowania na urządzeniu. Stare wyniki skanowania są usuwane z historii. Stare pliki poddane kwarantannie, które również są usuwane z dysku.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | scanResultsRetentionDays |
Przechowywanie wyników skanowania |
| Typ danych | Ciąg | Przełączanie przełącznika i liczby całkowitej |
| Dopuszczalne wartości |
90 (wartość domyślna). Dozwolone wartości to od 1 dnia do 180 dni. |
Not configured (przełącz wyłączone — ustawienie domyślne 90-dniowe)Configured (włącz) i dozwoloną wartość od 1 do 180 dni. |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.04.76 .
Maksymalna liczba elementów w historii skanowania antywirusowego
Określ maksymalną liczbę wpisów do zachowania w historii skanowania. Wpisy obejmują wszystkie skany na żądanie wykonywane w przeszłości i wszystkie wykrycia antywirusowe.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | scanHistoryMaximumItems |
Rozmiar historii skanowania |
| Typ danych | Ciąg | Przełączanie i liczba całkowita |
| Dopuszczalne wartości |
10000 (wartość domyślna). Dozwolone wartości są od 5000 elementów do 15000 elementów. |
Nie skonfigurowano (ustawienie wyłączone — domyślne 10000)Configured (przełącz włączone) i dozwolona wartość od 5000 do 15000 elementów. |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.04.76 .
Preferencje ustawień wykluczeń
Preferencje ustawień wykluczeń są obecnie dostępne w wersji zapoznawczej.
Uwaga
Wykluczenia globalne są obecnie dostępne w publicznej wersji zapoznawczej i są dostępne w usłudze Defender for Endpoint, począwszy od wersji 101.23092.0012 lub nowszej w pierścieniach Slow and Production Insiders.
Sekcja exclusionSettings profilu konfiguracji służy do konfigurowania różnych wykluczeń dla Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux.
| Opis | Wartość JSON |
|---|---|
| Klucz | exclusionSettings |
| Typ danych | Słownik (preferencja zagnieżdżona) |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Uwaga
Już skonfigurowane wykluczenia programu antywirusowego w obszarze (antivirusEngine) w zarządzanym formacie JSON będą nadal działać bez wpływu. Wszystkie nowe wykluczenia, w tym wykluczenia antywirusowe, można dodać w tej zupełnie nowej sekcji (exclusionSettings). Ta sekcja znajduje się poza tagiem (antivirusEngine) jako przeznaczona wyłącznie do konfigurowania wszystkich typów wykluczeń, które pojawią się w przyszłości. Można również nadal używać (antivirusEngine) do konfigurowania wykluczeń programu antywirusowego.
Zasady scalania
Określa zasady scalania dla wykluczeń. Określa, czy może to być kombinacja wykluczeń zdefiniowanych przez administratora i zdefiniowanych przez użytkownika (merge) lub tylko wykluczeń zdefiniowanych przez administratora (admin_only). To ustawienie może służyć do ograniczania użytkownikom lokalnym definiowania własnych wykluczeń. Ma zastosowanie do wykluczeń wszystkich zakresów.
| Opis | Wartość JSON |
|---|---|
| Klucz | mergePolicy |
| Typ danych | Ciąg |
| Dopuszczalne wartości |
merge (wartość domyślna)admin_only |
| Komentarze | Dostępne w usłudze Defender dla punktu końcowego w wersji wrzesień 2023 lub nowszej. |
Wykluczenia
Jednostki, które muszą zostać wykluczone, można określić za pomocą pełnych ścieżek, rozszerzeń lub nazw plików. Każda jednostka wykluczenia, czyli pełna ścieżka, rozszerzenie lub nazwa pliku, ma opcjonalny zakres, który można określić. Jeśli nie zostanie określony, wartość domyślna zakresu w tej sekcji jest globalna. (Wykluczenia są określane jako tablica elementów, administrator może określić dowolną liczbę elementów w dowolnej kolejności).
| Opis | Wartość JSON |
|---|---|
| Klucz | exclusions |
| Typ danych | Słownik (preferencja zagnieżdżona) |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Typ wykluczenia
Określa typ zawartości wykluczonej ze skanowania.
| Opis | Wartość JSON |
|---|---|
| Klucz | $type |
| Typ danych | Ciąg |
| Dopuszczalne wartości | excludedPathexcludedFileExtension excludedFileName |
Zakres wykluczeń (opcjonalnie)
Określa zestaw zakresów wykluczenia wykluczonej zawartości. Obecnie obsługiwane zakresy to epp i global.
Jeśli w przypadku wykluczenia w ramach wykluczeniaUstawienia w konfiguracji zarządzanej nie określono żadnych elementów , zostanie ono global uznane za zakres.
Uwaga
Wcześniej skonfigurowane wykluczenia antywirusowe w obszarze (antivirusEngine) w zarządzanym formacie JSON będą nadal działać, a ich zakres będzie traktowany jako (epp), ponieważ zostały dodane jako wykluczenia antywirusowe.
| Opis | Wartość JSON |
|---|---|
| Klucz | Zakresów |
| Typ danych | Zestaw ciągów |
| Dopuszczalne wartości | epp global |
Uwaga
Wcześniej zastosowane wykluczenia przy użyciu (mdatp_managed.json) lub interfejsu wiersza polecenia pozostaną nienaruszone. Zakres tych wykluczeń będzie (epp), ponieważ zostały dodane w obszarze (antivirusEngine).
Ścieżka do wykluczonej zawartości
Służy do wykluczania zawartości ze skanowania za pomocą pełnej ścieżki pliku.
| Opis | Wartość JSON |
|---|---|
| Klucz | ścieżka |
| Typ danych | Ciąg |
| Dopuszczalne wartości | prawidłowe ścieżki |
| Komentarze | Dotyczy tylko wtedy, gdy $type jest excludedPath. Symbol wieloznaczny nie jest obsługiwany, jeśli wykluczenie ma zakres globalny. |
Typ ścieżki (plik/katalog)
Wskazuje, czy właściwość path odwołuje się do pliku lub katalogu.
Uwaga
Ścieżka pliku musi już istnieć w przypadku dodawania wykluczenia pliku z zakresem globalnym.
| Opis | Wartość JSON |
|---|---|
| Klucz | isDirectory |
| Typ danych | Wartość logiczna |
| Dopuszczalne wartości |
false (wartość domyślna)true |
| Komentarze | Dotyczy tylko wtedy, gdy $type jest excludedPath. Symbol wieloznaczny nie jest obsługiwany, jeśli wykluczenie ma zakres globalny. |
Rozszerzenie pliku wykluczone ze skanowania
Służy do wykluczania zawartości ze skanowania według rozszerzenia pliku.
| Opis | Wartość JSON |
|---|---|
| Klucz | rozszerzenie |
| Typ danych | Ciąg |
| Dopuszczalne wartości | prawidłowe rozszerzenia plików |
| Komentarze | Dotyczy tylko wtedy, gdy $type jest wykluczoneFileExtension. Nieobsługiwane, jeśli wykluczenie ma zakres globalny. |
Proces wykluczony ze skanowania
Określa proces, dla którego wszystkie działania plików są wykluczone ze skanowania. Proces można określić za pomocą jego nazwy (na przykład cat) lub pełnej ścieżki (na przykład /bin/cat).
| Opis | Wartość JSON |
|---|---|
| Klucz | nazwa |
| Typ danych | Ciąg |
| Dopuszczalne wartości | dowolny ciąg |
| Komentarze | Dotyczy tylko wtedy, gdy $type jest wykluczoneFileName. Symbol wieloznaczny i nazwa procesu nie są obsługiwane, jeśli wykluczenie ma zakres globalny, należy podać pełną ścieżkę. |
Zaawansowane opcje skanowania
Następujące ustawienia można skonfigurować w celu włączenia niektórych zaawansowanych funkcji skanowania.
Ważna
Włączenie tych funkcji może mieć wpływ na wydajność urządzenia. W związku z tym zaleca się zachowanie wartości domyślnych, chyba że jest to zalecane inaczej przez pomoc techniczna firmy Microsoft.
Konfigurowanie skanowania zdarzeń uprawnień modyfikowania pliku
Po włączeniu tej funkcji usługa Defender dla punktu końcowego będzie skanować pliki po zmianie ich uprawnień w celu ustawienia bitów wykonywania.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy funkcja jest włączona enableFilePermissionEvents . Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje opcjonalne poniżej, aby uzyskać szczegółowe informacje.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | scanFileModifyPermissions |
Niedostępny |
| Typ danych | Wartość logiczna | nie dotyczy |
| Dopuszczalne wartości |
false (wartość domyślna)true |
nie dotyczy |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 .
Konfigurowanie skanowania zdarzeń własności modyfikowania plików
Po włączeniu tej funkcji usługa Defender for Endpoint przeskanuje pliki, dla których zmieniono własność.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy funkcja jest włączona enableFileOwnershipEvents . Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje opcjonalne poniżej, aby uzyskać szczegółowe informacje.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | scanFileModifyOwnership |
Niedostępny |
| Typ danych | Wartość logiczna | nie dotyczy |
| Dopuszczalne wartości |
false (wartość domyślna)true |
nie dotyczy |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 .
Konfigurowanie skanowania nieprzetworzonych zdarzeń gniazd
Po włączeniu tej funkcji usługa Defender for Endpoint przeskanuje zdarzenia gniazd sieciowych, takie jak tworzenie nieprzetworzonych gniazd/gniazd pakietów lub opcja gniazda ustawień.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
Ta funkcja ma zastosowanie tylko wtedy, gdy funkcja jest włączona enableRawSocketEvent . Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje opcjonalne poniżej, aby uzyskać szczegółowe informacje.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | scanNetworkSocketEvent |
Niedostępny |
| Typ danych | Wartość logiczna | nie dotyczy |
| Dopuszczalne wartości |
false (wartość domyślna)true |
nie dotyczy |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 .
Preferencje ochrony dostarczanej w chmurze
Wpis cloudService w profilu konfiguracji służy do konfigurowania funkcji ochrony opartej na chmurze produktu.
Uwaga
Ochrona dostarczana w chmurze ma zastosowanie do wszystkich ustawień poziomu wymuszania (real_time, on_demand, pasywnych).
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | cloudService |
Preferencje ochrony dostarczanej w chmurze |
| Typ danych | Słownik (preferencja zagnieżdżona) | Zwinięta sekcja |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. | Zapoznaj się z poniższymi sekcjami, aby uzyskać opis ustawień zasad. |
Włączanie lub wyłączanie ochrony dostarczanej w chmurze
Określa, czy ochrona dostarczana w chmurze jest włączona na urządzeniu, czy nie. Aby zwiększyć bezpieczeństwo usług, zalecamy włączenie tej funkcji.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | enabled |
Włączanie ochrony dostarczanej w chmurze |
| Typ danych | Wartość logiczna | Lista rozwijana |
| Dopuszczalne wartości |
true (wartość domyślna)false |
Nie skonfigurowano Wyłączona Włączone (domyślne) |
Poziom kolekcji diagnostycznej
Dane diagnostyczne służą do zapewnienia bezpieczeństwa i aktualności usługi Defender for Endpoint, wykrywania, diagnozowania i rozwiązywania problemów, a także wprowadzania ulepszeń produktu. To ustawienie określa poziom diagnostyki wysyłanej przez produkt do firmy Microsoft. Aby uzyskać więcej informacji, zobacz Prywatność dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | diagnosticLevel |
Poziom zbierania danych diagnostycznych |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości | optional required (wartość domyślna) |
Not configuredoptional (Ustawienie domyślne)required |
Konfigurowanie poziomu bloku chmury
To ustawienie określa, jak agresywna usługa Defender dla punktu końcowego blokuje i skanuje podejrzane pliki. Jeśli to ustawienie jest włączone, usługa Defender for Endpoint jest bardziej agresywna podczas identyfikowania podejrzanych plików do zablokowania i skanowania; W przeciwnym razie jest mniej agresywny, dlatego blokuje i skanuje z mniejszą częstotliwością.
Istnieje pięć wartości dotyczących ustawiania poziomu bloku chmury:
- Normalny (
normal): domyślny poziom blokowania. - Umiarkowane (
moderate): Dostarcza werdykt tylko w przypadku wykrywania wysokiej ufności. - Wysoka (
high): Agresywnie blokuje nieznane pliki, optymalizując pod kątem wydajności (większe prawdopodobieństwo zablokowania nie szkodliwych plików). - Wysoki plus (
high_plus): agresywnie blokuje nieznane pliki i stosuje dodatkowe środki ochrony (może mieć wpływ na wydajność urządzenia klienckiego). - Zero tolerancji (
zero_tolerance): blokuje wszystkie nieznane programy.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | cloudBlockLevel |
Konfigurowanie poziomu bloku chmury |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości |
normal (wartość domyślna)moderate high high_plus zero_tolerance |
Not configuredNormal (wartość domyślna)Moderate High High_Plus Zero_Tolerance |
Uwaga
Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.56.62 .
Włączanie lub wyłączanie automatycznych przykładowych przesyłania
Określa, czy podejrzane próbki (które mogą zawierać zagrożenia) są wysyłane do firmy Microsoft. Istnieją trzy poziomy kontroli przesyłania przykładów:
- Brak: firma Microsoft nie przesyła żadnych podejrzanych przykładów.
- Bezpieczne: tylko podejrzane próbki, które nie zawierają danych osobowych, są przesyłane automatycznie. Jest to wartość domyślna dla tego ustawienia.
- Wszystkie: wszystkie podejrzane przykłady są przesyłane do firmy Microsoft.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | automaticSampleSubmissionConsent |
Włączanie automatycznego przesyłania przykładów |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości | none safe (wartość domyślna)all |
Not configuredNoneSafe (Ustawienie domyślne)All |
Włączanie lub wyłączanie automatycznych aktualizacji analizy zabezpieczeń
Określa, czy aktualizacje analizy zabezpieczeń są instalowane automatycznie:
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | automaticDefinitionUpdateEnabled |
Automatyczne aktualizacje analizy zabezpieczeń |
| Typ danych | Wartość logiczna | Lista rozwijana |
| Dopuszczalne wartości |
true (wartość domyślna)false |
Not configuredDisabledEnabled (Ustawienie domyślne) |
W zależności od poziomu wymuszania aktualizacje automatycznej analizy zabezpieczeń są instalowane inaczej. W trybie RTP aktualizacje są instalowane okresowo. W trybie pasywnym/na żądanie aktualizacje są instalowane przed każdym skanowaniem.
Zaawansowane funkcje opcjonalne
Następujące ustawienia można skonfigurować w celu włączenia niektórych zaawansowanych funkcji.
Ważna
Włączenie tych funkcji może mieć wpływ na wydajność urządzenia. Zaleca się zachowanie wartości domyślnych, chyba że jest to zalecane inaczej przez pomoc techniczna firmy Microsoft.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | Funkcje | Niedostępny |
| Typ danych | Słownik (preferencja zagnieżdżona) | nie dotyczy |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Funkcja ładowania modułu
Określa, czy zdarzenia ładowania modułu (zdarzenia otwierania pliku w bibliotekach udostępnionych) są monitorowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | moduleLoad |
Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości |
disabled (wartość domyślna)enabled |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.68.80 . |
Korygowanie funkcji zainfekowanego pliku
Określa, czy zainfekowane procesy, które otwierają lub ładują zainfekowany plik, zostaną skorygowane.
Uwaga
Po włączeniu procesy, które otwierają lub ładują zainfekowany plik, są korygowane w trybie RTP. Te procesy nie są wyświetlane na liście zagrożeń, ponieważ nie są złośliwe, ale są przerywane tylko dlatego, że ładują plik zagrożeń w pamięci.
| Opis | Wartość JSON | Wartość portalu usługi Defender |
|---|---|---|
| Klucz | remediateInfectedFile | Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości | wyłączone (ustawienie domyślne) Włączone |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.24122.0001 . |
Dodatkowe konfiguracje czujników
Poniższe ustawienia mogą służyć do konfigurowania niektórych zaawansowanych funkcji dodatkowych czujników.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | supplementarySensorConfigurations |
Niedostępny |
| Typ danych | Słownik (preferencja zagnieżdżona) | nie dotyczy |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Konfigurowanie monitorowania zdarzeń uprawnień modyfikowania plików
Określa, czy zdarzenia uprawnień modyfikowania pliku (chmod) są monitorowane.
Uwaga
Po włączeniu tej funkcji usługa Defender dla punktu końcowego będzie monitorować zmiany w wykonywaniu bitów plików, ale nie skanuje tych zdarzeń. Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje skanowania , aby uzyskać więcej informacji.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | enableFilePermissionEvents |
Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości |
disabled (wartość domyślna)enabled |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 . |
Konfigurowanie monitorowania zdarzeń dotyczących modyfikowania plików
Określa, czy zdarzenia własności modyfikowania pliku (chown) są monitorowane.
Uwaga
Po włączeniu tej funkcji usługa Defender for Endpoint będzie monitorować zmiany własności plików, ale nie skanuje tych zdarzeń. Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje skanowania , aby uzyskać więcej informacji.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | enableFileOwnershipEvents |
Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości |
disabled (wartość domyślna)enabled |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 . |
Konfigurowanie monitorowania nieprzetworzonych zdarzeń gniazd
Określa, czy zdarzenia gniazd sieciowych związane z tworzeniem nieprzetworzonych gniazd/gniazd pakietów lub opcją gniazda ustawień są monitorowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania. Po włączeniu tej funkcji usługa Defender dla punktu końcowego będzie monitorować te zdarzenia gniazd sieciowych, ale nie będzie skanować tych zdarzeń. Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje skanowania powyżej, aby uzyskać więcej informacji.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | enableRawSocketEvent |
Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości |
disabled (wartość domyślna)enabled |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 . |
Konfigurowanie monitorowania zdarzeń modułu ładującego rozruch
Określa, czy zdarzenia modułu ładującego rozruchu są monitorowane i skanowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | enableBootLoaderCalls |
Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości |
disabled (wartość domyślna)enabled |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.68.80 . |
Konfigurowanie monitorowania zdarzeń śledzenia
Określa, czy zdarzenia śledzenia są monitorowane i skanowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | enableProcessCalls |
Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości |
disabled (wartość domyślna)enabled |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.68.80 . |
Konfigurowanie monitorowania zdarzeń pseudofs
Określa, czy zdarzenia pseudofs są monitorowane i skanowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | enablePseudofsCalls |
Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości |
disabled (wartość domyślna)enabled |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.68.80 . |
Konfigurowanie monitorowania zdarzeń ładowania modułu przy użyciu eBPF
Określa, czy zdarzenia ładowania modułu są monitorowane przy użyciu eBPF i skanowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | enableEbpfModuleLoadEvents |
Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości |
disabled (wartość domyślna)enabled |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.68.80 . |
Konfigurowanie monitorowania otwartych zdarzeń z określonych systemów plików przy użyciu eBPF
Określa, czy otwarte zdarzenia z procfs są monitorowane przez eBPF.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | enableOtherFsOpenEvents |
Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości |
disabled (wartość domyślna)enabled |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.24072.0001 . |
Konfigurowanie wzbogacania źródła zdarzeń przy użyciu eBPF
Określa, czy zdarzenia są wzbogacone o metadane u źródła w eBPF.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | enableEbpfSourceEnrichment |
Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości |
disabled (wartość domyślna)enabled |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.24072.0001 . |
Włączanie pamięci podręcznej aparatu antywirusowego
Określa, czy metadane zdarzeń skanowanych przez aparat antywirusowy są buforowane, czy nie.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | enableAntivirusEngineCache |
Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości |
disabled (wartość domyślna)enabled |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.24072.0001 . |
Zgłaszanie podejrzanych zdarzeń av do EDR
Określa, czy podejrzane zdarzenia z programu antywirusowego są zgłaszane do EDR.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | sendLowfiEvents |
Niedostępny |
| Typ danych | Ciąg | nie dotyczy |
| Dopuszczalne wartości |
disabled (wartość domyślna)enabled |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 . |
Konfiguracje ochrony sieci
Uwaga
Jest to funkcja w wersji zapoznawczej. Aby były one skuteczne, należy włączyć ochronę sieci. Aby uzyskać więcej informacji, zobacz Włączanie ochrony sieci dla systemu Linux.
Poniższe ustawienia mogą służyć do konfigurowania zaawansowanych funkcji inspekcji ochrony sieci w celu kontrolowania ruchu sprawdzanego przez usługę Network Protection.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | networkProtection |
Ochrona sieci |
| Typ danych | Słownik (preferencja zagnieżdżona) | Zwinięta sekcja |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. | Opis ustawień zasad można znaleźć w poniższych sekcjach. |
Poziom wymuszania
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | enforcementLevel |
Poziom wymuszania |
| Typ danych | Ciąg | Lista rozwijana |
| Dopuszczalne wartości |
disabled (wartość domyślna)audit block |
Not configureddisabled (wartość domyślna)auditblock |
Konfigurowanie inspekcji protokołu ICMP
Określa, czy zdarzenia ICMP są monitorowane i skanowane.
Uwaga
Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.
| Opis | Wartość JSON | wartość portalu Microsoft Defender |
|---|---|---|
| Klucz | disableIcmpInspection |
Niedostępny |
| Typ danych | Wartość logiczna | nie dotyczy |
| Dopuszczalne wartości |
true (wartość domyślna)false |
nie dotyczy |
| Komentarze | Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 . |
Dodawanie tagu lub identyfikatora grupy do profilu konfiguracji
Po pierwszym uruchomieniu mdatp health polecenia wartość tagu i identyfikatora grupy będzie pusta. Aby dodać tag lub identyfikator grupy do mdatp_managed.json pliku, wykonaj poniższe kroki:
Otwórz profil konfiguracji ze ścieżki
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json.Przejdź do dolnej części pliku, gdzie
cloudServiceznajduje się blok.Dodaj wymagany tag lub identyfikator grupy jako poniższy przykład na końcu zamykającego nawiasu klamrowego
cloudServicedla elementu .}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }Uwaga
Dodaj przecinek po zamykającym nawiasie klamrowym na końcu
cloudServicebloku. Upewnij się również, że istnieją dwa zamykające nawiasy klamrowe po dodaniu bloku Tag lub Identyfikator grupy (zobacz powyższy przykład). Obecnie jedyną obsługiwaną nazwą klucza tagów jestGROUP.
Sprawdzanie poprawności profilu konfiguracji
Profil konfiguracji musi być prawidłowym plikiem w formacie JSON. Istnieje wiele narzędzi, których można użyć do zweryfikowania tego. Jeśli na przykład python zainstalowano na urządzeniu:
python -m json.tool mdatp_managed.json
Jeśli kod JSON jest dobrze sformułowany, powyższe polecenie wyprowadza go z powrotem do terminalu i zwraca kod zakończenia .0 W przeciwnym razie zostanie wyświetlony błąd opisujący problem, a polecenie zwróci kod zakończenia .1
Sprawdzanie, czy plik mdatp_managed.json działa zgodnie z oczekiwaniami
Aby sprawdzić, czy działa /etc/opt/microsoft/mdatp/managed/mdatp_managed.json prawidłowo, obok tych ustawień powinien zostać wyświetlony komunikat "[managed]":
cloud_enabledcloud_automatic_sample_submission_consentpassive_mode_enabledreal_time_protection_enabledautomatic_definition_update_enabled
Uwaga
Aby zmiany większości konfiguracji zaczęły mdatp_managed.json obowiązywać, nie jest wymagane ponowne uruchomienie demona mdatp.
Wyjątek: Następujące konfiguracje wymagają ponownego uruchomienia demona, aby obowiązywać:
cloud-diagnosticlog-rotation-parameters
Wdrażanie profilu konfiguracji
Po utworzeniu profilu konfiguracji dla przedsiębiorstwa można go wdrożyć za pomocą narzędzia do zarządzania używanego przez przedsiębiorstwo. Usługa Defender for Endpoint w systemie Linux odczytuje konfigurację zarządzana z programu /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.