Dela via


Konfigurera säkerhetsinställningar och principer för Microsoft Defender för Endpoint på Linux

Gäller för:

  • Microsoft Defender för Endpoint för servrar
  • Microsoft Defender för serverplan 1 eller plan 2

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Översikt över inställningar och principer som ska konfigureras

Microsoft Defender för Endpoint på Linux innehåller antivirusprogram, skydd mot skadlig kod, slutpunktsidentifiering och svarsfunktioner. Den här artikeln sammanfattar viktiga inställningar för att konfigurera med länkar till ytterligare resurser.

Inställningar Beskrivning
1. Konfigurera identifiering av statisk proxy. Genom att konfigurera en statisk proxy ser du till att telemetri skickas och hjälper till att undvika tidsgränser för nätverket. Utför den här uppgiften under och efter installationen av Defender för Endpoint.

Se Konfigurera Microsoft Defender för Endpoint på Linux för identifiering av statisk proxy.
2. Konfigurera antivirusgenomsökningarna. Du kan schemalägga automatiska antivirusgenomsökningar med hjälp av Anacron eller Crontab.

Se följande artiklar:
- Använda Anacron för att schemalägga en antivirusgenomsökning i Microsoft Defender för Endpoint på Linux
- Använda Crontab för att schemalägga en antivirusgenomsökning i Microsoft Defender för Endpoint i Linux
3. Konfigurera dina säkerhetsinställningar och principer. Du kan använda Microsoft Defender-portalen (Hantering av säkerhetsinställningar för Defender för Endpoint) eller en konfigurationsprofil (.jsonfil) för att konfigurera Defender för Endpoint i Linux. Eller, om du vill, kan du använda kommandoraden för att konfigurera vissa inställningar.

Se följande artiklar:
- Hantering av säkerhetsinställningar för Defender för Endpoint
- Konfigurationsprofil
- Kommandorad
4. Konfigurera och validera undantag (efter behov) Du kan exkludera vissa filer, mappar, processer och processöppnade filer från Defender för Endpoint i Linux. Globala undantag gäller för realtidsskydd (RTP), beteendeövervakning (BM) och slutpunktsidentifiering och svar (EDR), vilket stoppar alla associerade antivirusidentifieringar, EDR-aviseringar och synlighet för det undantagna objektet.

Se Konfigurera och validera undantag för Microsoft Defender för Endpoint i Linux.
5. Konfigurera den eBPF-baserade sensorn. Det utökade Berkeley-paketfiltret (eBPF) för Microsoft Defender för Endpoint på Linux aktiveras automatiskt för alla kunder som standard för agentversioner 101.23082.0006 och senare. Den tillhandahåller kompletterande händelsedata för Linux-operativsystem och hjälper till att minska risken för konflikter mellan program.

Se Använda eBPF-baserad sensor för Microsoft Defender för Endpoint på Linux.
6. Konfigurera uppdatering av säkerhetsinformation offline (efter behov) Med Uppdateringen av säkerhetsinformation offline kan du konfigurera uppdateringar av säkerhetsinformation för Linux-servrar som har begränsad eller ingen exponering för Internet. Du kan konfigurera en lokal värdserver ("speglingsserver") som kan ansluta till Microsoft-molnet för att ladda ned signaturerna. Andra Linux-slutpunkter kan hämta uppdateringarna från speglingsservern med ett fördefinierat intervall.

Se Konfigurera uppdatering av säkerhetsinformation offline för Microsoft Defender för Endpoint i Linux.
7. Distribuera uppdateringar. Microsoft publicerar regelbundet programuppdateringar för att förbättra prestanda, säkerhet och för att leverera nya funktioner.

Se Distribuera uppdateringar för Microsoft Defender för Endpoint i Linux.
8. Konfigurera nätverksskydd (förhandsversion) Nätverksskydd hjälper till att hindra anställda från att använda alla program för att få åtkomst till farliga domäner som kan vara värdar för nätfiskebedrägerier, kryphål och annat skadligt innehåll på Internet.

Se Nätverksskydd för Linux.

Alternativ för att konfigurera säkerhetsprinciper och inställningar

Om du vill konfigurera dina säkerhetsprinciper och inställningar för Defender för Endpoint i Linux har du två huvudsakliga alternativ:

  • Använd Microsoft Defender-portalen (Hantering av säkerhetsinställningar för Defender för Endpoint); eller
  • Använda en konfigurationsprofil

Om du föredrar att använda kommandoraden för att konfigurera dina säkerhetsinställningar kan du använda den för att konfigurera vissa inställningar, samla in diagnostik, köra genomsökningar med mera. Se Resurser.

Hantering av säkerhetsinställningar för Defender för Endpoint

Du kan konfigurera Defender för Endpoint på Linux i Microsoft Defender-portalen (https://security.microsoft.com) via funktioner som kallas hantering av säkerhetsinställningar. Mer information, inklusive hur du skapar, redigerar och verifierar dina säkerhetsprinciper, finns i Använda hantering av Microsoft Defender för Endpoint säkerhetsinställningar för att hantera Microsoft Defender Antivirus.

Konfigurationsprofil

Du kan konfigurera Defender för Endpoint på Linux via en konfigurationsprofil som använder en .json fil. När du har konfigurerat din profil kan du distribuera den med val av hanteringsverktyg. Inställningar som hanteras av företaget har företräde framför de som anges lokalt på enheten. Med andra ord kan användare i företaget inte ändra inställningar som anges via den här konfigurationsprofilen. Om undantag har lagts till via den hanterade konfigurationsprofilen kan de bara tas bort via den hanterade konfigurationsprofilen. Kommandoraden fungerar för undantag som har lagts till lokalt.

Den här artikeln beskriver strukturen för den här profilen (inklusive en rekommenderad profil som du kan använda för att komma igång) och instruktioner om hur du distribuerar profilen.

Konfigurationsprofilstruktur

Konfigurationsprofilen är en .json fil som består av poster som identifieras av en nyckel (som anger namnet på inställningen), följt av ett värde som beror på inställningens natur. Värden kan vara enkla, till exempel ett numeriskt värde eller komplext, till exempel en kapslad lista med inställningar.

Vanligtvis använder du ett konfigurationshanteringsverktyg för att skicka en fil med namnet mdatp_managed.json på platsen /etc/opt/microsoft/mdatp/managed/.

Den översta nivån i konfigurationsprofilen innehåller produktomfattande inställningar och poster för underområden för produkten, som beskrivs mer detaljerat i nästa avsnitt.

Det här avsnittet innehåller två exempel på konfigurationsprofiler:

  • Exempelprofil som hjälper dig att komma igång med rekommenderade inställningar.
  • Fullständigt konfigurationsprofilexempel för organisationer som vill ha mer detaljerad kontroll över säkerhetsinställningar.

För att komma igång rekommenderar vi att du använder den första exempelprofilen för din organisation. Om du vill ha mer detaljerad kontroll kan du använda det fullständiga konfigurationsprofilexemplet i stället.

Exempelprofil

Det hjälper dig att dra nytta av viktiga skyddsfunktioner som Defender för Endpoint i Linux tillhandahåller. Följande konfigurationsprofil:

  • Aktiverar realtidsskydd (RTP)
  • Anger hur följande hottyper hanteras:
    • Potentiellt oönskade program (PUA) blockeras
    • Arkiv bomber (fil med hög komprimeringshastighet) granskas i produktloggarna
  • Aktiverar automatiska uppdateringar av säkerhetsinformation
  • Aktiverar molnlevererad skydd
  • Aktiverar automatisk sändning av exempel på safe nivå
{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}
Exempel på fullständig konfigurationsprofil

Följande konfigurationsprofil innehåller poster för alla inställningar som beskrivs i det här dokumentet och kan användas för mer avancerade scenarier där du vill ha mer kontroll över produkten.

Obs!

Det går inte att styra all Microsoft Defender för Endpoint kommunikation med endast en proxyinställning i den här JSON-filen.

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":false,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefintionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"diabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

Inställningar för antivirusprogram, program mot skadlig kod och EDR i Defender för Endpoint på Linux

Oavsett om du använder en konfigurationsprofil (.json fil) eller Microsoft Defender-portalen (Hantering av säkerhetsinställningar) kan du konfigurera dina inställningar för antivirusprogram, program mot skadlig kod och EDR i Defender för Endpoint på Linux. I följande avsnitt beskrivs var och hur du konfigurerar dina inställningar.

Inställningar för antivirusmotorn

Avsnittet antivirusEngine i konfigurationsprofilen används för att hantera inställningarna för antiviruskomponenten i produkten.

Beskrivning JSON-värde Defender-portalvärde
Nyckel antivirusEngine Antivirusmotor
Datatyp Ordlista (kapslad inställning) Komprimerat avsnitt
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet. I följande avsnitt finns en beskrivning av principegenskaperna.

Tillämpningsnivå för Microsoft Defender Antivirus

Anger tvingande inställningar för antivirusmotorn. Det finns tre värden för att ange tvingande nivå:

  • Realtidsskydd (real_time): Realtidsskydd (genomsökningsfiler när de ändras) är aktiverat.

  • På begäran (on_demand): Filer genomsöks endast på begäran. I det här:

    • Realtidsskydd är inaktiverat.
    • Definitionsuppdateringar sker endast när en genomsökning startar, även om automaticDefinitionUpdateEnabled den är inställd true på i läget på begäran.
  • Passiv (passive): Kör antivirusmotorn i passivt läge. I det här fallet gäller följande:

    • Realtidsskydd är inaktiverat: Hot åtgärdas inte av Microsoft Defender Antivirus.
    • Genomsökning på begäran är aktiverat: Använd fortfarande genomsökningsfunktionerna på slutpunkten.
    • Automatisk hotreparation är inaktiverad: Inga filer flyttas och säkerhetsadministratören förväntas vidta nödvändiga åtgärder.
    • Uppdateringar av säkerhetsinformation är aktiverade: Aviseringar är tillgängliga i säkerhetsadministratörens klientorganisation.
    • Definitionsuppdateringar sker bara när en genomsökning startar, även om automaticDefinitionUpdateEnabled den är inställd på true i passivt läge.

Obs!

Tillgängligt i Defender för Endpoint-versionen 101.10.72 eller senare. Standardvärdet ändras från real_time till passive i Defender för Endpoint-versionen 101.23062.0001 eller senare. Vi rekommenderar att du även använder schemalagda genomsökningar enligt behov.

Aktivera eller inaktivera beteendeövervakning (om RTP är aktiverat)

Viktigt

Den här funktionen fungerar bara när tvingande nivå är inställd på real-time.

Avgör om funktionen för beteendeövervakning och blockering är aktiverad på enheten eller inte.

Beskrivning JSON-värde Defender-portalvärde
Nyckel behaviorMonitoring Aktivera beteendeövervakning
Datatyp Sträng Listruta
Möjliga värden disabled (standard)
enabled
Inte konfigurerad
Inaktiverad (standard)
Aktiverad

Obs!

Tillgängligt i Defender för Endpoint-versionen 101.45.00 eller senare.

Köra en genomsökning när definitionerna har uppdaterats

Viktigt

Den här funktionen fungerar bara när tvingande nivå är inställd på real-time.

Anger om du vill starta en processgenomsökning när nya uppdateringar av säkerhetsinformation har laddats ned på enheten. Om du aktiverar den här inställningen utlöses en antivirusgenomsökning på enhetens processer som körs.

Beskrivning JSON-värde Defender-portalvärde
Nyckel scanAfterDefinitionUpdate Aktivera genomsökning efter definitionsuppdatering
Datatyp Boolesk Listruta
Möjliga värden true (standard)
false
Not configured
Disabled
Enabled (Standard)

Obs!

Tillgängligt i Defender för Endpoint-versionen 101.45.00 eller senare.

Sök igenom arkiv (endast antivirusgenomsökningar på begäran)

Anger om du vill genomsöka arkiv under antivirusgenomsökningar på begäran.

Beskrivning JSON-värde Defender-portalvärde
Nyckel scanArchives Aktivera genomsökning av arkiv
Datatyp Boolesk Listruta
Möjliga värden true (standard)
false
Inte konfigurerad
Inaktiverad
Aktiverad (standard)

Obs!

Tillgänglig i Microsoft Defender för Endpoint version 101.45.00 eller senare. Arkiv filer genomsöks aldrig under realtidsskydd. När filerna i ett arkiv extraheras genomsöks de. Alternativet scanArchives kan endast användas för att framtvinga genomsökning av arkiv under genomsökning på begäran.

Grad av parallellitet för genomsökningar på begäran

Anger graden av parallellitet för genomsökningar på begäran. Detta motsvarar antalet trådar som används för att utföra genomsökningen och påverkar CPU-användningen och varaktigheten för genomsökningen på begäran.

Beskrivning JSON-värde Defender-portalvärde
Nyckel maximumOnDemandScanThreads maximalt antal genomsökningstrådar på begäran
Datatyp Heltal Växla växla & heltal
Möjliga värden 2 (standard). Tillåtna värden är heltal mellan 1 och 64. Not Configured (Standardinställningen inaktiverar standardvärdet 2)
Configured (växla på) och heltal mellan 1 och 64.

Obs!

Tillgänglig i Microsoft Defender för Endpoint version 101.45.00 eller senare.

Princip för undantagssammanslagning

Anger sammanslagningsprincipen för undantag. Det kan vara en kombination av administratörsdefinierade och användardefinierade undantag (merge) eller endast administratörsdefinierade undantag (admin_only). Administratörsdefinierade (admin_only) är undantag som konfigureras av Defender för Endpoint-principen. Den här inställningen kan användas för att hindra lokala användare från att definiera sina egna undantag.

Som det är under antivirusEngine den här principen gäller endast för epp undantag såvida inte mergePolicy under undantagInställningar har konfigurerats som (admin_only).

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel exclusionsMergePolicy Sammanslagning av undantag
Datatyp Sträng Listruta
Möjliga värden merge (standard)
admin_only
Not configured
merge (Standard)
admin_only

Obs!

Tillgängligt i Defender för Endpoint-versionen 100.83.73 eller senare. Vi rekommenderar att du konfigurerar undantag och sammanslagningsprincipen under exclusionSettings, vilket gör att du kan konfigurera exkludering av både epp och global omfånget med en enda mergePolicy.

Genomsökningsundantag

Entiteter som har exkluderats från genomsökningen. Undantag kan anges av fullständiga sökvägar, tillägg eller filnamn. (Undantag anges som en matris med objekt, administratören kan ange så många element som behövs i valfri ordning.)

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel exclusions Genomsökningsundantag
Datatyp Ordlista (kapslad inställning) Lista över dynamiska egenskaper
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet.

Typ av undantag

Anger vilken typ av innehåll som undantas från genomsökningen.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel $type Typ
Datatyp Sträng Listruta
Möjliga värden excludedPath
excludedFileExtension
excludedFileName
Sökväg
Filnamnstillägg
Processnamn

Sökväg till exkluderat innehåll

Används för att exkludera innehåll från genomsökningen med en fullständig filsökväg.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel stig Sökväg
Datatyp Sträng Sträng
Möjliga värden giltiga sökvägar giltiga sökvägar
Kommentarer Gäller endast om $type är excludedPath Öppnas i popup-fönstret Redigera instans

Sökvägstyp (fil/katalog)

Anger om sökvägsegenskapen refererar till en fil eller katalog.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel isDirectory Är katalog
Datatyp Boolesk Listruta
Möjliga värden false (standard)
true
Enabled
Disabled
Kommentarer Gäller endast om $typeär excludedPath Öppnas i popup-fönstret Redigera instans

Filnamnstillägget undantas från genomsökningen

Används för att exkludera innehåll från genomsökningen efter filnamnstillägg.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel förlängning Filnamnstillägg
Datatyp Sträng Sträng
Möjliga värden giltiga filnamnstillägg giltiga filnamnstillägg
Kommentarer Gäller endast om $typeär excludedFileExtension Nås i popup-fönstret Konfigurera instans

Processen exkluderas från genomsökningen

Anger en process för vilken all filaktivitet undantas från genomsökning. Processen kan anges antingen med dess namn (till exempel cat) eller en fullständig sökväg (till exempel /bin/cat).

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel Namn Filnamn
Datatyp Sträng Sträng
Möjliga värden valfri sträng valfri sträng
Kommentarer Gäller endast om $typeär excludedFileName Nås i popup-fönstret Konfigurera instans

Stänga av icke-exec-monteringar

Anger beteendet för RTP på monteringspunkten som är markerad som noexec. Det finns två värden för inställningen:

  • Oförändert (unmute): Standardvärdet, alla monteringspunkter genomsöks som en del av RTP.
  • Inaktiverad (mute): Monteringspunkter som markerats som noexec inte skannas som en del av RTP kan dessa monteringspunkter skapas för:
    • Databasfiler på databasservrar för att behålla databasfiler.
    • Filservern kan behålla monteringspunkter för datafiler med noexec alternativet .
    • Säkerhetskopiering kan behålla monteringspunkter för datafiler med noexec alternativet .
Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel nonExecMountPolicy non execute mount mute
Datatyp Sträng Listruta
Möjliga värden unmute (standard)
mute
Not configured
unmute (Standard)
mute

Obs!

Tillgängligt i Defender för Endpoint-versionen 101.85.27 eller senare.

Avövervaka filsystem

Konfigurera filsystem som ska vara oövervakade/exkluderade från realtidsskydd (RTP). De konfigurerade filsystemen verifieras mot Microsoft Defender lista över tillåtna filsystem. Filsystem kan bara övervakas efter lyckad validering. Dessa konfigurerade oövervakade filsystem genomsöks fortfarande av snabb-, fullständig- och anpassade genomsökningar i Microsoft Defender Antivirus.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel unmonitoredFilesystems Oövervakade filsystem
Datatyp Matris med strängar Dynamisk stränglista

Obs!

Konfigurerat filsystem kommer endast att vara oövervakat om det finns i Microsofts lista över tillåtna oövervakade filsystem.

Som standard är NFS och Fuse oövervakade från RTP-, Quick- och Full-genomsökningar. De kan dock fortfarande genomsökas med en anpassad genomsökning. Om du till exempel vill ta bort NFS från listan över oövervakade filsystem uppdaterar du den hanterade konfigurationsfilen enligt nedan. Detta lägger automatiskt till NFS i listan över övervakade filsystem för RTP.

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["Fuse"]
  }
}

Om du vill ta bort både NFS och Fuse från en oövervakad lista över filsystem använder du följande kodfragment:

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

Obs!

Här är standardlistan över övervakade filsystem för RTP: btrfs, , ext2ecryptfs, ext3, ext4, , fuseblk, jfs, overlay, ramfs, reiserfs, , tmpfs, , vfatoch xfs.

Om ett övervakat filsystem behöver läggas till i listan över oövervakade filsystem måste det utvärderas och aktiveras av Microsoft via molnkonfiguration. Därefter kan kunder uppdatera managed_mdatp.json för att avövervaka filsystemet.

Konfigurera funktionen för beräkning av filhash

Aktiverar eller inaktiverar funktionen för beräkning av filhash. När den här funktionen är aktiverad beräknar Defender för Endpoint hashvärden för filer som den genomsöker. Observera att aktivering av den här funktionen kan påverka enhetens prestanda. Mer information finns i: Skapa indikatorer för filer.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel enableFileHashComputation Aktivera beräkningen av filhash
Datatyp Boolesk Listruta
Möjliga värden false (standard)
true
Not configured
Disabled (standard)
Enabled

Obs!

Tillgängligt i Defender för Endpoint-versionen 101.85.27 eller senare.

Tillåtna hot

Lista över hot (identifieras med deras namn) som inte blockeras av produkten och som i stället tillåts att köras.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel allowedThreats Tillåtna hot
Datatyp Matris med strängar Dynamisk stränglista

Otillåtna hotåtgärder

Begränsar de åtgärder som den lokala användaren av en enhet kan vidta när hot identifieras. Åtgärderna som ingår i den här listan visas inte i användargränssnittet.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel disallowedThreatActions Otillåtna hotåtgärder
Datatyp Matris med strängar Dynamisk stränglista
Möjliga värden allow (hindrar användare från att tillåta hot)
restore (begränsar användare från att återställa hot från karantänen)
allow (hindrar användare från att tillåta hot)
restore (begränsar användare från att återställa hot från karantänen)

Obs!

Tillgängligt i Defender för Endpoint-versionen 100.83.73 eller senare.

Inställningar för hottyp

Inställningen threatTypeSettings i antivirusmotorn används för att styra hur vissa hottyper hanteras av produkten.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel threatTypeSettings Inställningar för hottyp
Datatyp Ordlista (kapslad inställning) Lista över dynamiska egenskaper
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet. I följande avsnitt finns en beskrivning av de dynamiska egenskaperna.

Hottyp

Typ av hot som beteendet är konfigurerat för.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel nyckel Hottyp
Datatyp Sträng Listruta
Möjliga värden potentially_unwanted_application
archive_bomb
potentially_unwanted_application
archive_bomb

Åtgärd att vidta

Åtgärder som ska vidtas när du stöter på ett hot av den typ som anges i föregående avsnitt. Kan vara:

  • Granskning: Enheten är inte skyddad mot den här typen av hot, men en post om hotet loggas. (Standard)
  • Blockera: Enheten skyddas mot den här typen av hot och du meddelas i Microsoft Defender-portalen.
  • Av: Enheten är inte skyddad mot den här typen av hot och ingenting loggas.
Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel värde Åtgärd att vidta
Datatyp Sträng Listruta
Möjliga värden audit (standard)
block
off
audit
block
bort

Princip för sammanslagning av hottypsinställningar

Anger sammanslagningsprincipen för inställningar för hottyp. Detta kan vara en kombination av administratörsdefinierade och användardefinierade inställningar (merge) eller endast administratörsdefinierade inställningar (admin_only). Administratörsdefinierade (admin_only) är inställningar av hottyp som konfigureras av Defender för Endpoint-principen. Den här inställningen kan användas för att hindra lokala användare från att definiera sina egna inställningar för olika hottyper.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel threatTypeSettingsMergePolicy Koppla inställningar för hottyp
Datatyp Sträng Listruta
Möjliga värden merge (standard)
admin_only
Not configured
merge (Standard)
admin_only

Obs!

Tillgängligt i Defender för Endpoint-versionen 100.83.73 eller senare.

Kvarhållning av antivirusgenomsökningshistorik (i dagar)

Ange hur många dagar resultatet ska behållas i genomsökningshistoriken på enheten. Gamla genomsökningsresultat tas bort från historiken. Gamla filer i karantän som också tas bort från disken.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel scanResultsRetentionDays Kvarhållning av genomsökningsresultat
Datatyp Sträng Växla växel och heltal
Möjliga värden 90 (standard). Tillåtna värden är från 1 dag till 180 dagar. Not configured (inaktivera – 90 dagars standard)
Configured (aktivera) och tillåtet värde 1 till 180 dagar.

Obs!

Tillgängligt i Defender för Endpoint-versionen 101.04.76 eller senare.

Maximalt antal objekt i antivirusgenomsökningshistoriken

Ange det maximala antalet poster som ska behållas i genomsökningshistoriken. Bland posterna finns alla genomsökningar på begäran som utförts tidigare och alla antivirusidentifieringar.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel scanHistoryMaximumItems Storlek på genomsökningshistorik
Datatyp Sträng Växla och heltal
Möjliga värden 10000 (standard). Tillåtna värden är från 5000 objekt till 15000 objekt. Inte konfigurerad (växlingsknappen inaktiveras – 10 000 standard)
Configured (aktivera) och tillåtet värde från 5 000 till 1 5 000 objekt.

Obs!

Tillgängligt i Defender för Endpoint-versionen 101.04.76 eller senare.

Inställningar för undantagsinställningar

Inställningar för undantagsinställningar är för närvarande i förhandsversion.

Obs!

Globala undantag är för närvarande i offentlig förhandsversion och är tillgängliga i Defender för Endpoint från och med version 101.23092.0012 eller senare i ringarna Insiders Slow och Production.

Avsnittet exclusionSettings i konfigurationsprofilen används för att konfigurera olika undantag för Microsoft Defender för Endpoint för Linux.

Beskrivning JSON-värde
Nyckel exclusionSettings
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet.

Obs!

Redan konfigurerade antivirusundantag under (antivirusEngine) i hanterad JSON fortsätter att fungera som det är utan påverkan. Alla nya undantag inklusive antivirusundantag kan läggas till under det här helt nya avsnittet (exclusionSettings). Det här avsnittet ligger utanför taggen (antivirusEngine) som den är dedikerad enbart för att konfigurera alla typer av undantag som kommer i framtiden. Du kan också fortsätta att använda (antivirusEngine) för att konfigurera antivirusundantag.

Sammanslagningsprincip

Anger sammanslagningsprincipen för undantag. Den anger om det kan vara en kombination av administratörsdefinierade och användardefinierade undantag (merge) eller endast administratörsdefinierade undantag (admin_only). Den här inställningen kan användas för att hindra lokala användare från att definiera sina egna undantag. Den gäller för undantag för alla omfång.

Beskrivning JSON-värde
Nyckel mergePolicy
Datatyp Sträng
Möjliga värden merge (standard)
admin_only
Kommentarer Tillgänglig i Defender för Endpoint version sept 2023 eller senare.

Undantag

Entiteter som måste undantas kan anges av fullständiga sökvägar, tillägg eller filnamn. Varje exkluderingsentitet, d.v.s. antingen fullständig sökväg, filnamn eller filnamn har ett valfritt omfång som kan anges. Om det inte anges är standardvärdet för omfånget i det här avsnittet globalt. (Undantag anges som en matris med objekt, administratören kan ange så många element som behövs i valfri ordning.)

Beskrivning JSON-värde
Nyckel exclusions
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet.

Typ av undantag

Anger vilken typ av innehåll som undantas från genomsökningen.

Beskrivning JSON-värde
Nyckel $type
Datatyp Sträng
Möjliga värden excludedPath
excludedFileExtension
excludedFileName

Exkluderingsomfång (valfritt)

Anger uppsättningen undantagsomfattningar för innehåll som undantas. Omfång som stöds för närvarande är epp och global.

Om inget anges i för ett undantag under exclusionInställningar i hanterad konfiguration betraktas det global som omfång.

Obs!

Tidigare konfigurerade antivirusundantag under (antivirusEngine) i hanterad JSON fortsätter att fungera och deras omfång anses (epp) eftersom de har lagts till som antivirusundantag.

Beskrivning JSON-värde
Nyckel Scope
Datatyp Uppsättning med strängar
Möjliga värden epp
global

Obs!

Tidigare tillämpade undantag med hjälp av (mdatp_managed.json) eller av CLI påverkas inte. Omfattningen för dessa undantag kommer att vara (epp) eftersom de lades till under (antivirusEngine).

Sökväg till exkluderat innehåll

Används för att exkludera innehåll från genomsökningen med en fullständig filsökväg.

Beskrivning JSON-värde
Nyckel stig
Datatyp Sträng
Möjliga värden giltiga sökvägar
Kommentarer Gäller endast om $typeär excludedPath.
Jokertecken stöds inte om exkludering har global som omfång.

Sökvägstyp (fil/katalog)

Anger om sökvägsegenskapen refererar till en fil eller katalog.

Obs!

Filsökvägen måste redan finnas om du lägger till filundantag med globalt omfång.

Beskrivning JSON-värde
Nyckel isDirectory
Datatyp Boolesk
Möjliga värden false (standard)
true
Kommentarer Gäller endast om $typeär excludedPath.
Jokertecken stöds inte om exkludering har global som omfång.

Filnamnstillägget undantas från genomsökningen

Används för att exkludera innehåll från genomsökningen efter filnamnstillägg.

Beskrivning JSON-värde
Nyckel förlängning
Datatyp Sträng
Möjliga värden giltiga filnamnstillägg
Kommentarer Gäller endast om $typeär excludedFileExtension.
Stöds inte om exkludering har global som omfång.

Processen exkluderas från genomsökningen

Anger en process för vilken all filaktivitet undantas från genomsökning. Processen kan anges antingen med dess namn (till exempel cat) eller en fullständig sökväg (till exempel /bin/cat).

Beskrivning JSON-värde
Nyckel Namn
Datatyp Sträng
Möjliga värden valfri sträng
Kommentarer Gäller endast om $typeär excludedFileName.
Jokertecken och processnamn stöds inte om exkludering har global som omfång, måste ange en fullständig sökväg.

Avancerade genomsökningsalternativ

Följande inställningar kan konfigureras för att aktivera vissa avancerade genomsökningsfunktioner.

Viktigt

Aktivering av dessa funktioner kan påverka enhetens prestanda. Därför rekommenderar vi att du behåller standardvärdena om inget annat rekommenderas av Microsoft Support.

Konfigurera genomsökning av filändringsbehörighetshändelser

När den här funktionen är aktiverad genomsöker Defender för Endpoint filer när deras behörigheter har ändrats för att ange körningsbitarna.

Obs!

Den här funktionen gäller endast när enableFilePermissionEvents funktionen är aktiverad. Mer information finns i avsnittet Avancerade valfria funktioner nedan för mer information.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel scanFileModifyPermissions Inte tillgängligt
Datatyp Boolesk Saknas
Möjliga värden false (standard)
true
Saknas

Obs!

Tillgängligt i Defender för Endpoint-versionen 101.23062.0010 eller senare.

Konfigurera genomsökning av händelser för filändringsägarskap

När den här funktionen är aktiverad genomsöker Defender för Endpoint filer som ägarskapet har ändrats för.

Obs!

Den här funktionen gäller endast när enableFileOwnershipEvents funktionen är aktiverad. Mer information finns i avsnittet Avancerade valfria funktioner nedan för mer information.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel scanFileModifyOwnership Inte tillgängligt
Datatyp Boolesk Saknas
Möjliga värden false (standard)
true
Saknas

Obs!

Tillgängligt i Defender för Endpoint-versionen 101.23062.0010 eller senare.

Konfigurera genomsökning av råa sockethändelser

När den här funktionen är aktiverad genomsöker Defender för Endpoint nätverkssocketshändelser, till exempel skapande av råa socketar/paketsocketer eller inställning av socketalternativ.

Obs!

Den här funktionen gäller endast när beteendeövervakning är aktiverat. Den här funktionen gäller endast när enableRawSocketEvent funktionen är aktiverad. Mer information finns i avsnittet Avancerade valfria funktioner nedan för mer information.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel scanNetworkSocketEvent Inte tillgängligt
Datatyp Boolesk Saknas
Möjliga värden false (standard)
true
Saknas

Obs!

Tillgängligt i Defender för Endpoint-versionen 101.23062.0010 eller senare.

Molnlevererad skyddsinställningar

Posten cloudService i konfigurationsprofilen används för att konfigurera produktens molndrivna skyddsfunktion.

Obs!

Molnbaserat skydd gäller för alla inställningar på tvingande nivå (real_time, on_demand, passiva).

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel cloudService Molnleverade skyddsinställningar
Datatyp Ordlista (kapslad inställning) Komprimerat avsnitt
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet. I följande avsnitt finns en beskrivning av principens inställningar.

Aktivera eller inaktivera molnbaserat skydd

Avgör om molnlevererat skydd är aktiverat på enheten eller inte. För att förbättra säkerheten för dina tjänster rekommenderar vi att du behåller den här funktionen aktiverad.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel enabled Aktivera molnbaserat skydd
Datatyp Boolesk Listruta
Möjliga värden true (standard)
false
Inte konfigurerad
Inaktiverad
Aktiverad (standard)

Diagnostiksamlingsnivå

Diagnostikdata används för att hålla Defender för Endpoint säkert och uppdaterat, identifiera, diagnostisera och åtgärda problem och även göra produktförbättringar. Den här inställningen bestämmer diagnostiknivån som skickas av produkten till Microsoft. Mer information finns i Sekretess för Microsoft Defender för Endpoint i Linux.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel diagnosticLevel Insamlingsnivå för diagnostikdata
Datatyp Sträng Listruta
Möjliga värden optional
required (standard)
Not configured
optional (Standard)
required

Konfigurera molnblockeringsnivå

Den här inställningen bestämmer hur aggressiv Defender för Endpoint är när det gäller att blockera och genomsöka misstänkta filer. Om den här inställningen är aktiverad är Defender för Endpoint mer aggressivt när du identifierar misstänkta filer som ska blockeras och genomsökas. Annars är den mindre aggressiv och blockerar därför och skannar med mindre frekvens.

Det finns fem värden för att ange molnblocknivå:

  • Normal (normal): Standardblockeringsnivån.
  • Måttlig (moderate): Ger endast bedömning för identifiering av hög konfidens.
  • Hög (high): Blockerar aggressivt okända filer samtidigt som prestandaoptimering optimeras (större risk att blockera icke-skadliga filer).
  • High Plus (high_plus): Blockerar okända filer aggressivt och tillämpar ytterligare skyddsåtgärder (kan påverka klientens enhetsprestanda).
  • Nolltolerans (zero_tolerance): Blockerar alla okända program.
Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel cloudBlockLevel Konfigurera molnblockeringsnivå
Datatyp Sträng Listruta
Möjliga värden normal (standard)
moderate
high
high_plus
zero_tolerance
Not configured
Normal (standard)
Moderate
High
High_Plus
Zero_Tolerance

Obs!

Tillgängligt i Defender för Endpoint-versionen 101.56.62 eller senare.

Aktivera eller inaktivera automatiska exempelöverföringar

Avgör om misstänkta exempel (som sannolikt kommer att innehålla hot) skickas till Microsoft. Det finns tre nivåer för att kontrollera sändning av exempel:

  • Ingen: inga misstänkta exempel skickas till Microsoft.
  • Säker: endast misstänkta exempel som inte innehåller personligt identifierbar information (PII) skickas automatiskt. Det här är standardvärdet för den här inställningen.
  • Alla: alla misstänkta exempel skickas till Microsoft.
Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel automaticSampleSubmissionConsent Aktivera automatiska exempelöverföringar
Datatyp Sträng Listruta
Möjliga värden none
safe (standard)
all
Not configured
None
Safe (Standard)
All

Aktivera eller inaktivera automatiska uppdateringar av säkerhetsinformation

Avgör om uppdateringar av säkerhetsinformation installeras automatiskt:

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel automaticDefinitionUpdateEnabled Automatiska uppdateringar av säkerhetsinformation
Datatyp Boolesk Listruta
Möjliga värden true (standard)
false
Not configured
Disabled
Enabled (Standard)

Beroende på tvingande nivå installeras de automatiska uppdateringarna av säkerhetsinformation på olika sätt. I RTP-läge installeras uppdateringar med jämna mellanrum. I passivt/på begäran-läge installeras uppdateringar före varje genomsökning.

Avancerade valfria funktioner

Följande inställningar kan konfigureras för att aktivera vissa avancerade funktioner.

Viktigt

Aktivering av dessa funktioner kan påverka enhetens prestanda. Vi rekommenderar att du behåller standardinställningarna om inget annat rekommenderas av Microsoft Support.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel Funktioner Kan inte användas
Datatyp Ordlista (kapslad inställning) n/a
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet.

Inläsningsfunktion för modul

Avgör om modulinläsningshändelser (filöppningshändelser i delade bibliotek) övervakas.

Obs!

Den här funktionen gäller endast när beteendeövervakning är aktiverat.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel moduleLoad Kan inte användas
Datatyp Sträng n/a
Möjliga värden disabled (standard)
enabled
n/a
Kommentarer Tillgängligt i Defender för Endpoint-versionen 101.68.80 eller senare.

Åtgärda funktionen Infekterad fil

Avgör om infekterade processer som öppnar eller läser in en infekterad fil kommer att åtgärdas eller inte.

Obs!

När det är aktiverat åtgärdas processerna som öppnar eller läser in en infekterad fil i RTP-läge. Dessa processer visas inte i hotlistan eftersom de inte är skadliga, utan bara avslutas eftersom de läser in hotfilen i minnet.

Beskrivning JSON-värde Defender-portalvärde
Nyckel remediateInfectedFile Kan inte användas
Datatyp Sträng n/a
Möjliga värden inaktiverad (standard)

Aktiverat

n/a
Kommentarer Tillgängligt i Defender för Endpoint-versionen 101.24122.0001 eller senare.

Kompletterande sensorkonfigurationer

Följande inställningar kan användas för att konfigurera vissa avancerade kompletterande sensorfunktioner.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel supplementarySensorConfigurations Kan inte användas
Datatyp Ordlista (kapslad inställning) n/a
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet.

Konfigurera övervakning av händelser för filändringsbehörigheter

Avgör om händelser för filändringsbehörigheter (chmod) övervakas.

Obs!

När den här funktionen är aktiverad övervakar Defender för Endpoint ändringar i körningsbitarna av filer, men genomsöker inte dessa händelser. Mer information finns i avsnittet Avancerade genomsökningsfunktioner för mer information.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel enableFilePermissionEvents Kan inte användas
Datatyp Sträng n/a
Möjliga värden disabled (standard)
enabled
n/a
Kommentarer Tillgängligt i Defender för Endpoint-versionen 101.23062.0010 eller senare.

Konfigurera övervakning av händelser för filändringsägarskap

Avgör om filändring av ägarskapshändelser (chown) övervakas.

Obs!

När den här funktionen är aktiverad övervakar Defender för Endpoint ändringar i ägarskapet för filer, men genomsöker inte dessa händelser. Mer information finns i avsnittet Avancerade genomsökningsfunktioner för mer information.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel enableFileOwnershipEvents Kan inte användas
Datatyp Sträng n/a
Möjliga värden disabled (standard)
enabled
n/a
Kommentarer Tillgängligt i Defender för Endpoint-versionen 101.23062.0010 eller senare.

Konfigurera övervakning av raw socket-händelser

Avgör om nätverkssockethändelser som rör skapande av råa socketar/paketsocketer eller inställning av socketalternativ övervakas.

Obs!

Den här funktionen gäller endast när beteendeövervakning är aktiverat. När den här funktionen är aktiverad övervakar Defender för Endpoint dessa nätverkssockethändelser, men genomsöker inte dessa händelser. Mer information finns i avsnittet Avancerade genomsökningsfunktioner ovan för mer information.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel enableRawSocketEvent Kan inte användas
Datatyp Sträng n/a
Möjliga värden disabled (standard)
enabled
n/a
Kommentarer Tillgängligt i Defender för Endpoint-versionen 101.23062.0010 eller senare.

Konfigurera övervakning av startinläsningshändelser

Avgör om startinläsningshändelser övervakas och genomsöks.

Obs!

Den här funktionen gäller endast när beteendeövervakning är aktiverat.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel enableBootLoaderCalls Kan inte användas
Datatyp Sträng n/a
Möjliga värden disabled (standard)
enabled
n/a
Kommentarer Tillgängligt i Defender för Endpoint-versionen 101.68.80 eller senare.

Konfigurera övervakning av ptrace-händelser

Avgör om ptrace-händelser övervakas och genomsöks.

Obs!

Den här funktionen gäller endast när beteendeövervakning är aktiverat.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel enableProcessCalls Kan inte användas
Datatyp Sträng n/a
Möjliga värden disabled (standard)
enabled
n/a
Kommentarer Tillgängligt i Defender för Endpoint-versionen 101.68.80 eller senare.

Konfigurera övervakning av pseudof-händelser

Avgör om pseudof-händelser övervakas och genomsöks.

Obs!

Den här funktionen gäller endast när beteendeövervakning är aktiverat.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel enablePseudofsCalls Kan inte användas
Datatyp Sträng n/a
Möjliga värden disabled (standard)
enabled
n/a
Kommentarer Tillgängligt i Defender för Endpoint-versionen 101.68.80 eller senare.

Konfigurera övervakning av modulinläsningshändelser med eBPF

Avgör om modulinläsningshändelser övervakas med eBPF och genomsöks.

Obs!

Den här funktionen gäller endast när beteendeövervakning är aktiverat.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel enableEbpfModuleLoadEvents Kan inte användas
Datatyp Sträng n/a
Möjliga värden disabled (standard)
enabled
n/a
Kommentarer Tillgängligt i Defender för Endpoint-versionen 101.68.80 eller senare.

Konfigurera övervakning av öppna händelser från specifika filsystem med eBPF

Avgör om öppna händelser från procfs övervakas av eBPF.

Obs!

Den här funktionen gäller endast när beteendeövervakning är aktiverat.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel enableOtherFsOpenEvents Kan inte användas
Datatyp Sträng n/a
Möjliga värden disabled (standard)
enabled
n/a
Kommentarer Tillgängligt i Defender för Endpoint-versionen 101.24072.0001 eller senare.

Konfigurera källberikning av händelser med eBPF

Avgör om händelser berikas med metadata vid källan i eBPF.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel enableEbpfSourceEnrichment Kan inte användas
Datatyp Sträng n/a
Möjliga värden disabled (standard)
enabled
n/a
Kommentarer Tillgängligt i Defender för Endpoint-versionen 101.24072.0001 eller senare.

Aktivera cacheminne för antivirusmotorn

Avgör om metadata för händelser som genomsöks av antivirusmotorn cachelagras eller inte.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel enableAntivirusEngineCache Kan inte användas
Datatyp Sträng n/a
Möjliga värden disabled (standard)
enabled
n/a
Kommentarer Tillgängligt i Defender för Endpoint-versionen 101.24072.0001 eller senare.

Rapportera misstänkta AV-händelser till EDR

Avgör om misstänkta händelser från Antivirus rapporteras till EDR.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel sendLowfiEvents Kan inte användas
Datatyp Sträng n/a
Möjliga värden disabled (standard)
enabled
n/a
Kommentarer Tillgängligt i Defender för Endpoint-versionen 101.23062.0010 eller senare.

Nätverksskyddskonfigurationer

Obs!

Det här är en förhandsgranskningsfunktion. För att dessa ska vara effektiva måste nätverksskyddet vara aktiverat. Mer information finns i Aktivera nätverksskydd för Linux.

Följande inställningar kan användas för att konfigurera avancerade inspektionsfunktioner för nätverksskydd för att styra vilken trafik som inspekteras av nätverksskyddet.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel networkProtection Nätverksskydd
Datatyp Ordlista (kapslad inställning) Komprimerat avsnitt
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet. En beskrivning av principinställningarna finns i följande avsnitt.

Tillämpningsnivå

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel enforcementLevel Tillämpningsnivå
Datatyp Sträng Listruta
Möjliga värden disabled (standard)
audit
block
Not configured
disabled (standard)
audit
block

Konfigurera ICMP-inspektion

Avgör om ICMP-händelser övervakas och genomsöks.

Obs!

Den här funktionen gäller endast när beteendeövervakning är aktiverat.

Beskrivning JSON-värde Microsoft Defender portalvärde
Nyckel disableIcmpInspection Kan inte användas
Datatyp Boolesk n/a
Möjliga värden true (standard)
false
n/a
Kommentarer Tillgängligt i Defender för Endpoint-versionen 101.23062.0010 eller senare.

Lägga till tagg eller grupp-ID i konfigurationsprofilen

När du kör mdatp health kommandot för första gången är värdet för taggen och grupp-ID:t tomt. Följ stegen nedan om du vill lägga till tagg- eller grupp-ID i mdatp_managed.json filen:

  1. Öppna konfigurationsprofilen från sökvägen /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

  2. Gå ned till slutet av filen, där cloudService blocket finns.

  3. Lägg till den obligatoriska taggen eller grupp-ID:t som följande exempel i slutet av den avslutande klammerparentesen cloudServiceför .

    },
    "cloudService": {
     "enabled": true,
     "diagnosticLevel": "optional",
     "automaticSampleSubmissionConsent": "safe",
     "automaticDefinitionUpdateEnabled": true,
     "proxy": "http://proxy.server:port/"
    },
    "edr": {
    "groupIds":"GroupIdExample",
    "tags": [
             {
             "key": "GROUP",
             "value": "Tag"
             }
           ]
       }
    }
    

    Obs!

    Lägg till kommatecknet efter den avslutande klammerparentesen i slutet av cloudService blocket. Kontrollera också att det finns två avslutande klammerparenteser när du har lagt till tagg- eller grupp-ID-block (se exemplet ovan). För närvarande är GROUPdet enda nyckelnamn som stöds för taggar .

Validering av konfigurationsprofil

Konfigurationsprofilen måste vara en giltig JSON-formaterad fil. Det finns många verktyg som kan användas för att verifiera detta. Om du till exempel har python installerat på enheten:

python -m json.tool mdatp_managed.json

Om JSON är välformulerad matar ovanstående kommando tillbaka den till terminalen och returnerar slutkoden 0. Annars visas ett fel som beskriver problemet och kommandot returnerar slutkoden 1.

Kontrollera att mdatp_managed.json-filen fungerar som förväntat

Om du vill kontrollera att din /etc/opt/microsoft/mdatp/managed/mdatp_managed.json fungerar korrekt bör du se "[hanterad]" bredvid de här inställningarna:

  • cloud_enabled
  • cloud_automatic_sample_submission_consent
  • passive_mode_enabled
  • real_time_protection_enabled
  • automatic_definition_update_enabled

Obs!

Ingen omstart av mdatp-daemon krävs för att ändringar i de flesta konfigurationer i mdatp_managed.json ska börja gälla. Undantag: Följande konfigurationer kräver en omstart av daemon för att börja gälla:

  • cloud-diagnostic
  • log-rotation-parameters

Distribution av konfigurationsprofil

När du har skapat konfigurationsprofilen för ditt företag kan du distribuera den via det hanteringsverktyg som företaget använder. Defender för Endpoint på Linux läser den hanterade konfigurationen från /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.