Configurações do microagente
Este artigo descreve os diferentes tipos de configurações para os quais o microagente dá suporte. Os clientes podem configurar o microagente para atender às necessidades de seus dispositivos e ambientes de rede.
Observação
O Defender para IoT planeja desativar o microagente em 1º de agosto de 2025.
O comportamento do microagente é configurado por um conjunto de propriedades de módulo. Você pode configurar o microagente para atender melhor às suas necessidades. Por exemplo, você pode desativar determinados eventos para minimizar o consumo de energia e reduzir o uso de outros recursos.
Após qualquer alteração na configuração, o coletor enviará imediatamente todos os dados de evento não enviados. Depois que os dados forem enviados, as alterações serão aplicadas e os coletores serão reiniciados conforme necessário.
Configuração geral
Defina a frequência em que as mensagens são enviadas para cada nível de prioridade. Todos os valores são obrigatórios.
Os valores padrão são os seguintes:
| Frequência | Período (em minutos) |
|---|---|
| Baixo | 1440 (24 horas) |
| Média | 120 (2 horas) |
| Alta | 30 (5 horas) |
Para reduzir o consumo de recursos no dispositivo, cada prioridade deve ser definida como um múltiplo da prioridade que está abaixo dela. Por exemplo, alta: 60 minutos, médio: 120 minutos, baixo: 480 minutos.
A sintaxe para configurar as frequências é a seguinte:
"CollectorsCore_PriorityIntervals" : "<High>,<Medium>,<Low>"
Por exemplo:
"CollectorsCore_PriorityIntervals" : "30,120,1440"
Tipos de coletor e propriedades
Configure o micro agente usando as seguintes propriedades e configurações específicas do coletor:
Configurações específicas do coletor de linha de base
| Nome da Configuração | Opções de configuração | Descrição | Padrão |
|---|---|---|---|
| Baseline_Disabled | True/False |
Desabilita o coletor de linha de base. | False |
| Baseline_MessageFrequency | Low/Medium/High |
Define a frequência na qual enviar eventos de linha de base. | Low |
| Baseline_GroupsDisabled | Uma lista de nomes de grupo de linha de base, separados por uma vírgula. Por exemplo: Time Synchronization, Network Parameters Host |
Define a lista completa de nomes de grupo de linha de base que devem ser desabilitados. | Null |
| Baseline_ChecksDisabled | Uma lista de IDs de verificação de linha de base, separadas por uma vírgula. Por exemplo: 3.3.5,2.2.1.1 |
Define a lista completa de IDs de verificação de linha de base que devem ser desabilitadas. | Null |
Configurações específicas do coletor de informações do sistema
| Nome da Configuração | Opções de configuração | Descrição | Padrão |
|---|---|---|---|
| SystemInformation_Disabled | True/False |
Desabilita o coletor de informações do sistema. | False |
| SystemInformation_MessageFrequency | Low/Medium/High |
Define a frequência na qual enviar eventos de informações do sistema. | Low |
| SystemInformation_HardwareVendor | string | Defina as informações do fornecedor de hardware. | None |
| SystemInformation_HardwareModel | string | Defina informações do modelo de hardware. | None |
| SystemInformation_HardwareSerialNumber | string | Defina as informações de número de série de hardware. | None |
| SystemInformation_FirmwareVendor | string | Defina as informações do fornecedor de firmware. | None |
| SystemInformation_FirmwareVersion | string | Defina as informações de versão do firmware. | None |
Configurações específicas do coletor SBoM
| Nome da Configuração | Opções de configuração | Descrição | Padrão |
|---|---|---|---|
| SBoM_Disabled | True/False |
Desabilita o coletor SBoM. | False |
| SBoM_MessageFrequency | Low/Medium/High |
Define a frequência na qual enviar eventos do SBoM. | Low |
Configurações específicas do coletor de pulsação
| Nome da Configuração | Opções de configuração | Descrição | Padrão |
|---|---|---|---|
| Heartbeat_Disabled | True/False |
Desabilita o envio do evento de Pulsação. | False |
| Heartbeat_MessageFrequency | Low/Medium/High |
Define a frequência na qual enviar eventos de Pulsação. | Low |
Configurações específicas do coletor de logon
| Nome da Configuração | Opções de configuração | Descrição | Padrão |
|---|---|---|---|
| Login_Disabled | True/False |
Desabilita o coletor de logon. | False |
| Login_MessageFrequency | Low/Medium/High |
Define a frequência na qual enviar eventos de Logon. | Medium |
| Login_UsePAM | True/False |
Use um módulo PAM para coletar eventos de logon. Sem o PAM, o agente usa uma combinação de leitura de UTMP e Syslog para coletar eventos de logon. Se o sistema não tiver UTMP ou Syslog habilitado, usar o PAM será uma opção, mas exigirá uma configuração adicional para funcionar corretamente. Para obter mais informações, confira Configurar PAM (Módulos de Autenticação Conectáveis) para auditar eventos de entrada | False |
Configurações específicas do Módulo do Hub IoT
| Nome da Configuração | Opções de configuração | Descrição | Padrão |
|---|---|---|---|
| IothubModule_MessageTimeout | Inteiro positivo, incluindo limites | Define o número de minutos para reter mensagens na fila de saída para o Hub IoT, após o qual as mensagens são descartados. | 2880 (=2 dias) |
Configurações específicas do coletor de atividades de rede
| Nome da Configuração | Opções de configuração | Descrição | Padrão |
|---|---|---|---|
| NetworkActivity_Disabled | True/False |
Desabilita o coletor de atividade da rede. | False |
| NetworkActivity_MessageFrequency | Low/Medium/High |
Define a frequência na qual enviar eventos de atividade de rede. | Medium |
| NetworkActivity_Devices | Uma lista dos dispositivos de rede separados por uma vírgula. Por exemplo eth0,eth1 |
Define a lista de dispositivos (adaptadores) de rede que o agente usará para monitorar o tráfego. Se um dispositivo de rede não estiver listado, os eventos brutos de rede desse dispositivo não serão gravados para o dispositivo ausente. |
eth0 |
| NetworkActivity_CacheSize | Número inteiro positivo | A quantidade de eventos de atividade de rede (após a agregação) a serem mantidos no cache entre intervalos de envio. Além dessa quantidade, eventos mais antigos serão removidos (perdidos). | 256 |
| NetworkActivity_PacketBufferSize | Número inteiro positivo | Defina o tamanho do buffer (em bytes) que será usado para capturar pacotes de um dispositivo individual por direção (tráfego de entrada ou saída). | 2097152 (=2MB) |
Configurações específicas do coletor de processo
| Nome da Configuração | Opções de configuração | Descrição | Padrão |
|---|---|---|---|
| Process_Disabled | True/False |
Desabilita o coletor de processo. | False |
| Process_MessageFrequency | Low/Medium/High |
Define a frequência na qual enviar eventos de Processo. | Medium |
| Process_PollingInterval | Número Inteiro Positivo | Define o intervalo de sondagem em microssegundos. Esse valor é usado quando o Process_Mode está no modo Polling. |
100000 (=0,1 segundo) |
| Process_Mode | 1 = Auto 2 = Netlink 3= Sondagem |
Determina o modo do coletor de processo. No modo Auto, o agente primeiro tenta habilitar o modo Netlink. Se isso falhar, ele retornará/alterna automaticamente para o modo Sondagem. |
1 |
| Process_CacheSize | Número inteiro positivo | A quantidade de eventos de Processo (após a agregação) a serem mantidos no cache entre intervalos de envio. Além dessa quantidade, eventos mais antigos serão removidos (perdidos). | 256 |
Configurações específicas do coletor de logs
| Nome da Configuração | Opções de configuração | Descrição | Padrão |
|---|---|---|---|
| LogCollector_Disabled | True/False |
Desabilita o coletor de logs. | False |
| LogCollector_MessageFrequency | Low/Medium/High |
Define a frequência na qual enviar eventos de log. | Low |
Configurações específicas do coletor do sistema de arquivos
| Nome da Configuração | Opções de configuração | Descrição | Padrão |
|---|---|---|---|
| FileSystem_Disabled | True/False |
Desabilita o coletor do sistema de arquivos. | False |
| FileSystem_MessageFrequency | Low/Medium/High |
Define a frequência na qual enviar eventos do sistema de arquivos. | Low |
| FileSystem_Recursive | True/False |
Se definido como true, monitora todos os diretórios no caminho fornecido. | True |
| FileSystem_Paths | Caminhos a serem monitorados. Por exemplo: /path/to/monitor, /another/path/to/monitor |
Define quais caminhos monitorar, mais de um caminho pode ser monitorado. | Null |
| FileSystem_CacheSize | Número inteiro positivo | A quantidade de eventos de Sistema de arquivos (após a agregação) a serem mantidos no cache entre intervalos de envio. Além dessa quantidade, eventos mais antigos serão removidos (perdidos). | 256 |
Configurações específicas do coletor periférico
| Nome da Configuração | Opções de configuração | Descrição | Padrão |
|---|---|---|---|
| Peripheral_Disabled | True/False |
Desabilita o coletor periférico. | False |
| Peripheral_MessageFrequency | Low/Medium/High |
Define a frequência na qual enviar eventos periféricos. | Low |
| Peripheral_CacheSize | Número inteiro positivo | A quantidade de eventos periféricos (após a agregação) a serem mantidos no cache entre intervalos de envio. Além dessa quantidade, eventos mais antigos serão removidos (perdidos). | 256 |
Configurações específicas do coletor de estatísticas
| Nome da Configuração | Opções de configuração | Descrição | Padrão |
|---|---|---|---|
| Statistics_Disabled | True/False |
Desabilita o coletor de estatísticas. | False |
| Statistics_MessageFrequency | Low/Medium/High |
Define a frequência na qual enviar eventos de estatísticas. | Low |
| Statistics_CacheSize | Número inteiro positivo | A quantidade de eventos de estatísticas (após a agregação) a serem mantidos no cache entre intervalos de envio. Além dessa quantidade, eventos mais antigos serão removidos (perdidos). | 256 |
Próximas etapas
Para obter mais informações, consulte: