Asetusten määrittäminen Microsoft Defender for Endpoint Linuxissa
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Tärkeää
Tässä ohjeaiheessa on ohjeita defenderin asetusten määrittämiseen Linuxin päätepisteelle yritysympäristöissä. Jos olet kiinnostunut tuotteen määrittämisestä laitteessa komentoriviltä, katso Resurssit.
Yritysympäristöissä Defender for Endpointia Linuxissa voidaan hallita määritysprofiilin kautta. Tämä profiili otetaan käyttöön valitsemastasi hallintatyökalusta. Yrityksen hallitsemat asetukset ovat etusijalla laitteessa paikallisesti asetettuihin asetuksiin nähden. Toisin sanoen yrityksesi käyttäjät eivät voi muuttaa asetuksia, jotka on määritetty tämän määritysprofiilin kautta. Jos poikkeuksia on lisätty hallitun määritysprofiilin kautta, ne voidaan poistaa vain hallitun määritysprofiilin kautta. Komentorivi toimii paikallisesti lisättyjen poissulkemisten kanssa.
Tässä artikkelissa kuvataan tämän profiilin rakenne (mukaan lukien suositeltu profiili, jonka avulla pääset alkuun) sekä ohjeet profiilin käyttöönottoon.
Profiilirakenteen määritys
Määritysprofiili on .json -tiedosto, joka koostuu avaimen tunnistamista merkinnöistä (jotka ilmaisevat asetuksen nimen), ja sen jälkeen arvosta, joka riippuu mieltymyksen luonteesta. Arvot voivat olla yksinkertaisia, kuten numeerinen arvo, tai monimutkaisia, kuten sisäkkäinen asetusluettelo.
Yleensä käytät määritystenhallintatyökalua työntämään tiedoston, jonka nimi mdatp_managed.json on sijainnissa /etc/opt/microsoft/mdatp/managed/.
Määritysprofiilin ylätaso sisältää tuotteen kattavat asetukset ja merkinnät tuotteen alialueille, jotka selitetään tarkemmin seuraavissa osioissa.
Virustentorjuntaohjelman asetukset
Määritysprofiilin AntivirusEngine-osaa käytetään tuotteen virustentorjuntakomponentin asetusten hallintaan.
| Kuvaus | Arvo |
|---|---|
| Näppäin | antivirusEngine |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
Virustentorjuntaohjelman täytäntöönpanotaso
Määrittää virustentorjuntaohjelman pakotusmieltymyksen. Täytäntöönpanotason määrittämiseen on kolme arvoa:
- Reaaliaikainen (
real_time): Reaaliaikainen suojaus (tarkistustiedostot muokattaessa) on käytössä. - Pyydettäessä (
on_demand): tiedostot skannataan vain pyydettäessä. Tässä:- Reaaliaikainen suojaus on poistettu käytöstä.
- Passiivinen (
passive): Suorittaa virustentorjuntaohjelman passiivitilassa. Tässä:- Reaaliaikainen suojaus on poistettu käytöstä: Microsoft Defender virustentorjunta ei korjaa uhkia.
- Pyydettäessä suoritettava skannaus on käytössä: Käytä yhä päätepisteen tarkistusominaisuuksia.
- Automaattinen uhkien korjaaminen on poistettu käytöstä: Tiedostoja ei siirretä ja suojauksen järjestelmänvalvojan odotetaan ryhtyvän tarvittaviin toimiin.
- Suojaustietojen päivitykset on otettu käyttöön: Ilmoitukset ovat käytettävissä suojauksen järjestelmänvalvojien vuokraajassa.
| Kuvaus | Arvo |
|---|---|
| Näppäin | enforcementLevel |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | real_time on_demand passiivinen (oletus) |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.10.72 tai uudemmissa versioissa. Oletusarvo muutetaan real_time passiiviseksi päätepisteen versiossa 101.23062.0001 tai uudemmissa versioissa. |
Ota käyttöön tai poista käytöstä toiminnan valvonta
Määrittää, onko toiminnan valvonta ja estotoiminto käytössä laitteessa vai ei.
Huomautus
Tämä ominaisuus on käytettävissä vain, kun Real-Time Protection -ominaisuus on käytössä.
| Kuvaus | Arvo |
|---|---|
| Näppäin | behaviorMonitoring |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | poistettu käytöstä (oletus) Käytössä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.45.00 tai uudemmissa versioissa. |
Suorita tarkistus, kun määritelmät on päivitetty
Määrittää, aloitetaanko prosessin tarkistus sen jälkeen, kun laitteeseen on ladattu uusia tietoturvatietopäivityksiä. Tämän asetuksen ottaminen käyttöön käynnistää virustentorjuntatarkistuksen laitteen käynnissä oleissa prosesseissa.
| Kuvaus | Arvo |
|---|---|
| Näppäin | scanAfterDefinitionUpdate |
| Tietotyyppi | Totuusarvo |
| Mahdolliset arvot | true (oletus) Vääriä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.45.00 tai uudemmissa versioissa. |
Skannaa arkistot (vain tarvittaessa suoritettavat virustentorjuntatarkistuksia)
Määrittää, skannataanko arkistot pyydettäessä suoritettavan virustentorjuntatarkistuksen aikana.
Huomautus
Arkistotiedostoja ei koskaan skannata reaaliaikaisesti suojauksen aikana. Kun arkistossa olevat tiedostot puretaan, ne tarkistetaan. ScanArchives-vaihtoehtoa voidaan käyttää arkistojen skannauksen pakottamiseen vain pyydettäessä suoritettavan tarkistuksen aikana.
| Kuvaus | Arvo |
|---|---|
| Näppäin | scanArchives |
| Tietotyyppi | Totuusarvo |
| Mahdolliset arvot | true (oletus) Vääriä |
| Kommentit | Käytettävissä Microsoft Defender for Endpoint versiossa 101.45.00 tai uudemmissa versioissa. |
Rinnakkaisuuden aste pyydettäessä luotaessa
Määrittää pyydettäessä luotavien tarkistusten rinnakkaisuuden asteen. Tämä vastaa tarkistuksen suorittamiseen käytettyjen säikeiden määrää ja vaikuttaa suorittimen käyttöön sekä pyydettäessä suoritettavan tarkistuksen kestoon.
| Kuvaus | Arvo |
|---|---|
| Näppäin | maximumOnDemandScanThreads |
| Tietotyyppi | Kokonaisluku |
| Mahdolliset arvot | 2 (oletus). Sallitut arvot ovat kokonaislukuja väliltä 1 - 64. |
| Kommentit | Käytettävissä Microsoft Defender for Endpoint versiossa 101.45.00 tai uudemmissa versioissa. |
Poissulkemisen yhdistämiskäytäntö
Määrittää poissulkemisten yhdistämiskäytännön. Se voi olla yhdistelmä järjestelmänvalvojan määrittämiä ja käyttäjän määrittämiä poissulkemisia (merge) tai vain järjestelmänvalvojan määrittämiä poissulkemisia (admin_only). Tämän asetuksen avulla voidaan rajoittaa paikallisia käyttäjiä määrittämästä omia poissulkemisiaan.
| Kuvaus | Arvo |
|---|---|
| Näppäin | exclusionsMergePolicy |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | yhdistäminen (oletus) admin_only |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 100.83.73 tai uudemmissa versioissa. |
Skannauksen poikkeukset
Entiteetit, jotka on jätetty pois tarkistuksesta. Poikkeukset voidaan määrittää täysien polkujen, tunnisteiden tai tiedostonimien mukaan. (Poikkeukset määritetään kohteiden matriisiksi, järjestelmänvalvoja voi määrittää niin monta elementtiä kuin on tarpeen missä tahansa järjestyksessä.)
| Kuvaus | Arvo |
|---|---|
| Näppäin | Poikkeukset |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
Poissulkemisen tyyppi
Määrittää tarkistuksesta pois jätetyn sisällön tyypin.
| Kuvaus | Arvo |
|---|---|
| Näppäin | $type |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | excludedPath excludedFileExtension excludedFileName |
Ulkoisesti käsiteltävän sisällön polku
Käytetään sisällön pois jättämiseen tarkistuksesta koko tiedostopolun mukaan.
| Kuvaus | Arvo |
|---|---|
| Näppäin | Polku |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | kelvolliset polut |
| Kommentit | Käytettävissä vain, jos $type on excludedPath |
Polun tyyppi (tiedosto tai hakemisto)
Ilmaisee, viittaako polkuominaisuus tiedostoon tai hakemistoon.
| Kuvaus | Arvo |
|---|---|
| Näppäin | isDirectory |
| Tietotyyppi | Totuusarvo |
| Mahdolliset arvot | epätosi (oletus) Totta |
| Kommentit | Käytettävissä vain, jos $type on excludedPath |
Tiedostotunniste, joka jätettiin pois tarkistuksesta
Käytetään sisällön pois jättämiseen tarkistuksesta tiedostotunnisteen mukaan.
| Kuvaus | Arvo |
|---|---|
| Näppäin | Tiedostopääte |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | kelvolliset tiedostotunnisteet |
| Kommentit | Käytettävissä vain, jos $type jätetään poisFileExtension |
Prosessi, joka jätettiin pois tarkistuksesta*
Määrittää prosessin, jossa kaikki tiedostotoiminnot eivät ole skannattuja. Prosessi voidaan määrittää joko sen nimen (esimerkiksi cat) tai koko polun (esimerkiksi /bin/cat) perusteella.
| Kuvaus | Arvo |
|---|---|
| Näppäin | Nimi |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | mikä tahansa merkkijono |
| Kommentit | Käytettävissä vain, jos $type on jätetty poisFileName |
Muiden kuin exec-asennusten mykistys
Määrittää RTP:n toiminnan noexec-merkinnällä merkityssä käyttöönottopisteessä. Asetukselle on kaksi arvoa:
- Vaipaton (
unmute): Oletusarvo, kaikki käyttöönottopisteet tarkistetaan osana RTP:tä. - Vaimennettu (
mute): noexec-merkinnällä merkittyjä käyttöönottopisteitä ei skannata osana RTP:tä. Nämä käyttöönottopisteet voidaan luoda seuraaville:- Tietokantatiedostot tietokantapalvelimien tietokantatiedostojen säilyttämistä varten.
- Tiedostopalvelin voi säilyttää datatiedostojen käyttöönottopisteet noexec-asetuksella.
- Varmuuskopioi voi säilyttää datatiedostojen käyttöönottopisteet noexec-asetuksella.
| Kuvaus | Arvo |
|---|---|
| Näppäin | nonExecMountPolicy |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | poista vaimennus (oletus) Mykistää |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.85.27 tai uudemmissa versioissa. |
Unmonitor Filesystems
Määritä, että tiedostojärjestelmiä ei valvota tai että ne jätetään pois reaaliaikaisen suojauksen (RTP) käytöstä. Määritetyt tiedostojärjestelmät vahvistetaan Microsoft Defender sallittujen tiedostojärjestelmien luettelon mukaan. Vain onnistuneen vahvistuksen jälkeen, sallitaanko tiedostojärjestelmän valvominen. Nopeat, täydet ja mukautetut tarkistukset tarkistavat edelleen nämä määritetyt valvomattomat tiedostojärjestelmät.
| Kuvaus | Arvo |
|---|---|
| Näppäin | unmonitoredFilesystems |
| Tietotyyppi | Merkkijonojen matriisi |
| Kommentit | Määritettyä tiedostojärjestelmää ei valvota vain, jos se on Microsoftin sallittujen valvomattomien tiedostojärjestelmien luettelossa. |
Oletusarvon mukaan NFS ja Fuse eivät ole valvottuja RTP-, Quick- ja Full scans -toiminnoista. Ne voidaan kuitenkin yhä skannata mukautetulla tarkistuksella. Jos haluat esimerkiksi poistaa NFS:n valvomattomien tiedostojärjestelmien luettelosta, päivitä hallittu määritystiedosto alla kuvatulla tavalla. Tämä lisää automaattisesti NFS:n RTP:n valvottujen tiedostojärjestelmien luetteloon.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Jos haluat poistaa sekä NFS: n että Sulakkeen valvomattomasta tiedostojärjestelmien luettelosta, toimi seuraavasti
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Huomautus
Alla on RTP:n valvottujen tiedostojärjestelmien oletusluettelo -
[btrfs, ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, reiserfs, tmpfs, vfat, xfs]
Jos valvottu tiedostojärjestelmä on lisättävä valvomattomien tiedostojärjestelmien luetteloon, Microsoftin on arvioitava ja otettava se käyttöön pilvimäärityksen kautta. Sen jälkeen asiakkaat voivat päivittää managed_mdatp.json kyseisen tiedostojärjestelmän valvomattomaksi.
Määritä tiedoston hajautustoiminto
Ottaa käyttöön tai poistaa käytöstä tiedoston hajautusarvon laskentaominaisuuden. Kun tämä ominaisuus on käytössä, Defender for Endpoint laskee hajautuksia skannatuille tiedostoille. Huomaa, että tämän ominaisuuden ottaminen käyttöön voi vaikuttaa laitteen suorituskykyyn. Lisätietoja on kohdissa: Create tiedostojen ilmaisimet.
| Kuvaus | Arvo |
|---|---|
| Näppäin | enableFileHashComputation |
| Tietotyyppi | Totuusarvo |
| Mahdolliset arvot | epätosi (oletus) Totta |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.85.27 tai uudemmissa versioissa. |
Sallitut uhat
Niiden uhkien luettelo (jotka tunnistetaan niiden nimen mukaan), joita tuote ei estä ja joiden suorittamisen sallitaan sen sijaan.
| Kuvaus | Arvo |
|---|---|
| Näppäin | allowedThreats |
| Tietotyyppi | Merkkijonojen matriisi |
Kiellettyjä uhkatoimintoja
Rajoittaa toimintoja, joita laitteen paikallinen käyttäjä voi suorittaa, kun uhkia havaitaan. Tähän luetteloon sisältyvät toiminnot eivät näy käyttöliittymässä.
| Kuvaus | Arvo |
|---|---|
| Näppäin | disallowedThreatActions |
| Tietotyyppi | Merkkijonojen matriisi |
| Mahdolliset arvot | salli (rajoittaa käyttäjiä sallimasta uhkia) palauta (rajoittaa käyttäjiä palauttamasta uhkia karanteenista) |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 100.83.73 tai uudemmissa versioissa. |
Uhkatyyppiasetukset
Virustentorjuntaohjelman threatTypeSettings-asetuksen avulla hallitaan, miten tuote käsittelee tiettyjä uhkatyyppejä.
| Kuvaus | Arvo |
|---|---|
| Näppäin | threatTypeSettings |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
Uhkatyyppi
Uhkatyyppi, jolle toiminta on määritetty.
| Kuvaus | Arvo |
|---|---|
| Näppäin | Avain |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | potentially_unwanted_application archive_bomb |
Suoritettava toiminto
Toiminto, joka suoritetaan, kun kohtaat edellisessä osiossa määritetyn lajin uhan. Voi olla:
- Valvonta: Laitetta ei ole suojattu tämäntyyppiseltä uhalta, mutta merkintä uhasta kirjataan.
- Lohko: Laite on suojattu tämäntyyppiseltä uhalta, ja saat ilmoituksen suojauskonsolissa.
- Pois käytöstä: Laitetta ei ole suojattu tämäntyyppiseltä uhalta, eikä mitään kirjata.
| Kuvaus | Arvo |
|---|---|
| Näppäin | Arvo |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | valvonta (oletus) Estää Pois |
Uhkatyyppiasetusten yhdistämiskäytäntö
Määrittää uhkatyyppiasetusten yhdistämiskäytännön. Tämä voi olla yhdistelmä järjestelmänvalvojan määrittämiä ja käyttäjän määrittämiä asetuksia (merge) tai vain järjestelmänvalvojan määrittämiä asetuksia (admin_only). Tämän asetuksen avulla voidaan rajoittaa paikallisia käyttäjiä määrittämästä omia asetuksiaan eri uhkatyypeille.
| Kuvaus | Arvo |
|---|---|
| Näppäin | threatTypeSettingsMergePolicy |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | yhdistäminen (oletus) admin_only |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 100.83.73 tai uudemmissa versioissa. |
Virustentorjuntaohjelman tarkistushistorian säilyttäminen (päivinä)
Määritä, kuinka monta päivää tulokset säilytetään laitteen tarkistushistoriassa. Vanhat tarkistustulokset poistetaan historiasta. Vanhat karanteeniin asetetut tiedostot, jotka myös poistetaan levyltä.
| Kuvaus | Arvo |
|---|---|
| Näppäin | scanResultsRetentionDays |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | 90 (oletus). Sallitut arvot ovat 1 päivästä 180 päivään. |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.04.76 tai uudemmissa versioissa. |
Virustentorjunnan tarkistushistorian kohteiden enimmäismäärä
Määritä tarkistushistoriassa säilytettävien merkintöjen enimmäismäärä. Merkinnät sisältävät kaikki aiemmin suoritetut pyydettäessä suoritettavat tarkistukset ja kaikki virustentorjuntaohjelman tunnistukset.
| Kuvaus | Arvo |
|---|---|
| Näppäin | scanHistoryMaximumItems |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | 10000 (oletus). Sallitut arvot ovat 5 000 kohteesta 15 000 kohteeseen. |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.04.76 tai uudemmissa versioissa. |
Tarkistuksen lisäasetukset
Seuraavat asetukset voidaan määrittää ottamaan käyttöön tietyt kehittyneet skannausominaisuudet.
Huomautus
Näiden ominaisuuksien ottaminen käyttöön voi vaikuttaa laitteen suorituskykyyn. Siksi on suositeltavaa säilyttää oletusarvot.
Tiedoston muokkausoikeuksien tapahtumien tarkistuksen määrittäminen
Kun tämä ominaisuus on käytössä, Defender for Endpoint tarkistaa tiedostot, kun niiden käyttöoikeuksia on muutettu suoritusbittien määrittämiseksi.
Huomautus
Tämä ominaisuus on käytettävissä vain, enableFilePermissionEvents kun ominaisuus on käytössä. Lisätietoja on alla olevassa Valinnaisten lisäominaisuuksien osiossa.
| Kuvaus | Arvo |
|---|---|
| Näppäin | scanFileModifyPermissions |
| Tietotyyppi | Totuusarvo |
| Mahdolliset arvot | epätosi (oletus) Totta |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmissa versioissa. |
Tiedoston omistajuustapahtumien tarkistuksen määrittäminen
Kun tämä ominaisuus on käytössä, Defender for Endpoint tarkistaa tiedostot, joiden omistajuus on muuttunut.
Huomautus
Tämä ominaisuus on käytettävissä vain, enableFileOwnershipEvents kun ominaisuus on käytössä. Lisätietoja on alla olevassa Valinnaisten lisäominaisuuksien osiossa.
| Kuvaus | Arvo |
|---|---|
| Näppäin | scanFileModifyOwnership |
| Tietotyyppi | Totuusarvo |
| Mahdolliset arvot | epätosi (oletus) Totta |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmissa versioissa. |
Raakavastaketapahtumien tarkistuksen määrittäminen
Kun tämä ominaisuus on käytössä, Defender for Endpoint tarkistaa verkkovastakkeiden tapahtumat, kuten raakavastakkeiden tai pakettivastakkeiden luomisen tai vastakkeen määrittämisen vaihtoehdon.
Huomautus
Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.
Huomautus
Tämä ominaisuus on käytettävissä vain, enableRawSocketEvent kun ominaisuus on käytössä. Lisätietoja on alla olevassa Valinnaisten lisäominaisuuksien osiossa.
| Kuvaus | Arvo |
|---|---|
| Näppäin | scanNetworkSocketEvent |
| Tietotyyppi | Totuusarvo |
| Mahdolliset arvot | epätosi (oletus) Totta |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmissa versioissa. |
Pilvipalveluun toimitetut suojausasetukset
Määritysprofiilin cloudService-merkintää käytetään määrittämään tuotteen pilvipohjainen suojausominaisuus.
Huomautus
Pilvipalveluun toimitettua suojausta voidaan soveltaa kaikkiin pakotustason asetuksiin (real_time, on_demand, passiivinen).
| Kuvaus | Arvo |
|---|---|
| Näppäin | cloudService |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
Pilvipalveluun toimitetun suojauksen ottaminen käyttöön tai poistaminen käytöstä
Määrittää, onko pilvipalveluun toimitettu suojaus käytössä laitteessa vai ei. Jos haluat parantaa palvelusi suojausta, suosittelemme, että pidät tämän ominaisuuden käytössä.
| Kuvaus | Arvo |
|---|---|
| Näppäin | Käytössä |
| Tietotyyppi | Totuusarvo |
| Mahdolliset arvot | true (oletus) Vääriä |
Diagnostiikkakokoelman taso
Diagnostiikkatietoja käytetään pitämään Defender for Endpoint suojattuna ja ajan tasalla, tunnistamaan, diagnosoimaan ja korjaamaan ongelmia sekä tekemään myös tuoteparannuksia. Tämä asetus määrittää tuotteen Microsoftille lähettämän diagnostiikkatason.
| Kuvaus | Arvo |
|---|---|
| Näppäin | diagnosticLevel |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | Valinnainen pakollinen (oletus) |
Pilvilohkotason määrittäminen
Tämä asetus määrittää, kuinka aggressiivinen Defender for Endpoint on epäilyttävien tiedostojen estämisessä ja skannaamisessa. Jos tämä asetus on käytössä, Defender for Endpoint on aggressiivisempi tunnistettaessa epäilyttäviä tiedostoja, jotka estetään ja skannataan; Muussa tapauksessa se on vähemmän aggressiivinen ja estää ja skannaa pienemmällä tiheydellä.
Pilvilohkotason määrittämiseen on viisi arvoa:
- Normaali (
normal): Oletusarvoinen estotaso. - Normaali (
moderate): antaa tuomion vain erittäin luotettavan tunnistuksen osalta. - Suuri (
high): Estää tuntemattomia tiedostoja tehokkaasti optimoitaessa suorituskykyä varten (suurempi mahdollisuus estää ei-haitalliset tiedostot). - High Plus (
high_plus): Estää tuntemattomat tiedostot aggressiivisesti ja ottaa käyttöön lisäsuojausmittareita (saattaa vaikuttaa asiakkaan laitteen suorituskykyyn). - Nollatoleranssi (
zero_tolerance): Estää kaikki tuntemattomat ohjelmat.
| Kuvaus | Arvo |
|---|---|
| Näppäin | cloudBlockLevel |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | normal (oletus) Kohtalainen Korkea high_plus zero_tolerance |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.56.62 tai uudemmissa versioissa. |
Ota käyttöön tai poista käytöstä mallien automaattiset lähetykset
Määrittää, lähetetäänkö Microsoftille epäilyttäviä näytteitä (jotka todennäköisesti sisältävät uhkia). Näytteen lähettämisen hallintaan on kolme tasoa:
- Ei mitään: Microsoftille ei lähetetä epäilyttäviä näytteitä.
- Turvallinen: automaattisesti lähetetään vain epäilyttävät näytteet, jotka eivät sisällä henkilötietoja. Tämä on tämän asetuksen oletusarvo.
- Kaikki: kaikki epäilyttävät näytteet lähetetään Microsoftille.
| Kuvaus | Arvo |
|---|---|
| Näppäin | automaticSampleSubmissionConsent |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | Ei mitään turvallinen (oletus) Kaikki |
Automaattisten suojaustietojen päivitysten ottaminen käyttöön tai poistaminen käytöstä
Määrittää, asennetaanko suojaustietojen päivitykset automaattisesti:
| Kuvaus | Arvo |
|---|---|
| Näppäin | automaticDefinitionUpdateEnabled |
| Tietotyyppi | Totuusarvo |
| Mahdolliset arvot | true (oletus) Vääriä |
Valinnaiset lisäominaisuudet
Seuraavat asetukset voidaan määrittää ottamaan käyttöön tiettyjä lisäominaisuuksia.
Huomautus
Näiden ominaisuuksien ottaminen käyttöön voi vaikuttaa laitteen suorituskykyyn. Oletusarvot kannattaa säilyttää.
| Kuvaus | Arvo |
|---|---|
| Näppäin | Ominaisuuksia |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
Moduulin latausominaisuus
Määrittää, valvotaanko moduulin lataustapahtumia (jaettujen kirjastojen tiedoston avaamistapahtumia).
Huomautus
Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.
| Kuvaus | Arvo |
|---|---|
| Näppäin | moduleLoad |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | poistettu käytöstä (oletus) Käytössä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.68.80 tai uudemmissa versioissa. |
Lisätunnistinmääritykset
Seuraavia asetuksia voidaan käyttää tiettyjen lisätunnistinominaisuuksien määrittämiseen.
| Kuvaus | Arvo |
|---|---|
| Näppäin | supplementarySensorConfigurations |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
Määritä tiedoston muokkausoikeuksien tapahtumien valvonta
Määrittää, valvotaanko tiedoston muokkaamisen käyttöoikeustapahtumia (chmod).
Huomautus
Kun tämä ominaisuus on käytössä, Defender for Endpoint valvoo tiedostojen suoritusbittien muutoksia, mutta ei tarkista näitä tapahtumia. Lisätietoja on kohdassa Kehittyneet skannausominaisuudet .
| Kuvaus | Arvo |
|---|---|
| Näppäin | enableFilePermissionEvents |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | poistettu käytöstä (oletus) Käytössä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmissa versioissa. |
Määritä tiedoston omistajuustapahtumien valvonta
Määrittää, valvotaanko tiedoston omistajuustapahtumia (chown).
Huomautus
Kun tämä ominaisuus on käytössä, Defender for Endpoint valvoo tiedostojen omistajuuteen tehtyjä muutoksia, mutta ei tarkista näitä tapahtumia. Lisätietoja on kohdassa Kehittyneet skannausominaisuudet .
| Kuvaus | Arvo |
|---|---|
| Näppäin | enableFileOwnershipEvents |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | poistettu käytöstä (oletus) Käytössä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmissa versioissa. |
Raakavastaketapahtumien seurannan määrittäminen
Määrittää, valvotaanko verkkovastakkeen tapahtumia, joihin liittyy raakavastakkeiden tai pakettivastakkeiden luominen tai vastakeasetuksen määrittäminen.
Huomautus
Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.
Huomautus
Kun tämä ominaisuus on käytössä, Defender for Endpoint valvoo näitä verkkovastakkeen tapahtumia, mutta ei tarkista näitä tapahtumia. Lisätietoja on yllä olevassa osiossa Kehittyneet skannausominaisuudet .
| Kuvaus | Arvo |
|---|---|
| Näppäin | enableRawSocketEvent |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | poistettu käytöstä (oletus) Käytössä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmissa versioissa. |
Käynnistyksen lataustapahtumien seurannan määrittäminen
Määrittää, valvotaanko ja tarkistetaanko käynnistyksen lataustapahtumia.
Huomautus
Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.
| Kuvaus | Arvo |
|---|---|
| Näppäin | enableBootLoaderCalls |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | poistettu käytöstä (oletus) Käytössä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.68.80 tai uudemmissa versioissa. |
Jäljitystapahtumien seurannan määrittäminen
Määrittää, valvotaanko ja tarkistetaanko jäljitystapahtumia.
Huomautus
Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.
| Kuvaus | Arvo |
|---|---|
| Näppäin | enableProcessCalls |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | poistettu käytöstä (oletus) Käytössä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.68.80 tai uudemmissa versioissa. |
Pseudofs-tapahtumien seurannan määrittäminen
Määrittää, valvotaanko ja skannataanko pseudofs-tapahtumia.
Huomautus
Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.
| Kuvaus | Arvo |
|---|---|
| Näppäin | enablePseudofsCalls |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | poistettu käytöstä (oletus) Käytössä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.68.80 tai uudemmissa versioissa. |
Määritä moduulin lataustapahtumien valvonta eBPF:n avulla
Määrittää, valvotaanko moduulin lataustapahtumia eBPF:n avulla ja tarkistetaanko ne.
Huomautus
Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.
| Kuvaus | Arvo |
|---|---|
| Näppäin | enableEbpfModuleLoadEvents |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | poistettu käytöstä (oletus) Käytössä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.68.80 tai uudemmissa versioissa. |
Ilmoita AV:n epäilyttävistä tapahtumista EDR:lle
Määrittää, raportoidaanko virustentorjunnan epäilyttävistä tapahtumista EDR:lle.
| Kuvaus | Arvo |
|---|---|
| Näppäin | sendLowfiEvents |
| Tietotyyppi | Merkkijono |
| Mahdolliset arvot | poistettu käytöstä (oletus) Käytössä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmissa versioissa. |
Verkon suojausmääritykset
Seuraavia asetuksia voidaan käyttää verkon suojauksen lisätarkastusominaisuuksien määrittämiseen sen hallitsemiseksi, mitä liikennettä verkon suojaus tutkii.
Huomautus
Jotta ne olisivat tehokkaita, verkon suojaus on otettava käyttöön. Lisätietoja on kohdassa Linux-verkon suojauksen ottaminen käyttöön.
| Kuvaus | Arvo |
|---|---|
| Näppäin | networkProtection |
| Tietotyyppi | Sanasto (sisäkkäinen asetus) |
| Kommentit | Seuraavissa osissa on kuvaus sanaston sisällöstä. |
ICMP-tarkastuksen määrittäminen
Määrittää, valvotaanko ja tarkistetaanko ICMP-tapahtumia.
Huomautus
Tämä ominaisuus on käytettävissä vain, kun toiminnan valvonta on käytössä.
| Kuvaus | Arvo |
|---|---|
| Näppäin | disableIcmpInspection |
| Tietotyyppi | Totuusarvo |
| Mahdolliset arvot | true (oletus) Vääriä |
| Kommentit | Käytettävissä Defender for Endpoint -versiossa 101.23062.0010 tai uudemmissa versioissa. |
Suositeltu määritysprofiili
Jotta pääset alkuun, suosittelemme seuraavaa määritysprofiilia yrityksellesi, jotta voit hyödyntää kaikkia Defender for Endpointin tarjoamia suojausominaisuuksia.
Seuraava määritysprofiili:
- Ota reaaliaikainen suojaus käyttöön (RTP)
- Määritä, miten seuraavia uhkatyyppejä käsitellään:
- Mahdollisesti ei-toivotut sovellukset (PUA) on estetty
- Tuotelokeihin valvotaan arkistopommeja (tiedosto, jonka pakkausnopeus on suuri)
- Ota käyttöön automaattiset suojaustietopäivitykset
- Pilvipalveluun toimitetun suojauksen käyttöönotto
- Ota käyttöön automaattinen mallien
safelähettäminen tasolla
Malliprofiili
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Täydellinen määritysprofiiliesimerkki
Seuraava määritysprofiili sisältää merkinnät kaikista tässä asiakirjassa kuvatuista asetuksista, ja sitä voidaan käyttää vaativammissa tilanteissa, joissa haluat hallita tuotetta tarkemmin.
Huomautus
Kaikkia Microsoft Defender for Endpoint viestintää ei voi hallita vain tämän JSON-välityspalvelimen asetuksella.
Koko profiili
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Tunnisteen tai ryhmän tunnuksen lisääminen määritysprofiiliin
Kun suoritat komennon mdatp health ensimmäistä kertaa, tunnisteen ja ryhmätunnuksen arvo on tyhjä. Jos haluat lisätä tiedostoon tunnisteen mdatp_managed.json tai ryhmän tunnuksen, toimi seuraavasti:
- Avaa määritysprofiili polusta
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json. - Siirry tiedoston alaosaan, jossa
cloudServicelohko sijaitsee. - Lisää pakollinen tunniste tai ryhmän tunnus seuraavassa esimerkissä kohteen oikean aaltosulkeen
cloudServiceloppuun.
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
Huomautus
Lisää pilkku lohkon lopussa olevan oikean aaltosulkeen cloudService jälkeen. Varmista myös, että tunniste- tai ryhmätunnuslohkon lisäämisen jälkeen on kaksi suljetta (katso yllä oleva esimerkki). Tällä hetkellä tunnisteiden ainoa tuettu avaimen nimi on GROUP.
Määritysprofiilin vahvistus
Määritysprofiilin on oltava kelvollinen JSON-muotoiltu tiedosto. On monia työkaluja, joiden avulla voit tarkistaa tämän. Jos olet python esimerkiksi asentanut sen laitteeseesi:
python -m json.tool mdatp_managed.json
Jos JSON on oikein muotoiltu, yllä oleva komento tulostaa sen takaisin Päätteeseen ja palauttaa lopetuskoodin parametrille 0. Muussa tapauksessa näyttöön tulee virhe, joka kuvaa ongelmaa, ja komento palauttaa lopetuskoodin parametrille 1.
Tarkistetaan, että mdatp_managed.json tiedosto toimii odotetulla tavalla
Jos haluat varmistaa, että /etc/opt/microsoft/mdatp/managed/mdatp_managed.json toimii oikein, näiden asetusten vieressä pitäisi näkyä "[managed]":
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
Huomautus
Mdatp-daemonin uudelleenkäynnistystä ei tarvita, jotta muutokset useimmissa mdatp_managed.json kokoonpanoissa tulevat voimaan. Poikkeus: Seuraavat määritykset edellyttävät, että daemon-uudelleenkäynnistys tulee voimaan:
- pilvidiagnostiikka
- log-rotation-parameters
Määritysprofiilin käyttöönotto
Kun olet luonut määritysprofiilin yrityksellesi, voit ottaa sen käyttöön yrityksesi käyttämällä hallintatyökalulla. Defender for Endpoint on Linux lukee hallitun määrityksen tiedostosta /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle