Végponthoz készült Microsoft Defender beállítása Linux rendszeren
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Fontos
Ez a témakör útmutatást tartalmaz a Végponthoz készült Defender beállításainak beállításához Linux rendszeren vállalati környezetekben. Ha a parancssorból szeretné konfigurálni a terméket egy eszközön, tekintse meg az Erőforrások című témakört.
Vállalati környezetekben a Végponthoz készült Defender Linuxon egy konfigurációs profilon keresztül kezelhető. Ez a profil az Ön által választott felügyeleti eszközből lesz üzembe helyezve. A vállalat által kezelt beállítások elsőbbséget élveznek az eszközön helyileg beállított beállításokkal szemben. Más szóval a vállalat felhasználói nem tudják módosítani az ezen a konfigurációs profilon keresztül beállított beállításokat. Ha a kizárások a felügyelt konfigurációs profilon keresztül lettek hozzáadva, csak a felügyelt konfigurációs profilon keresztül távolíthatók el. A parancssor helyileg hozzáadott kizárások esetén működik.
Ez a cikk ismerteti ennek a profilnak a szerkezetét (beleértve az első lépésekhez használható ajánlott profilt), valamint a profil üzembe helyezésére vonatkozó utasításokat.
Konfigurációs profil struktúrája
A konfigurációs profil egy .json fájl, amely egy kulcs által azonosított bejegyzésekből áll (amely a beállítás nevét jelöli), majd egy értékből, amely a preferencia jellegétől függ. Az értékek lehetnek egyszerűek, például numerikus értékek vagy összetettek, például a beállítások beágyazott listája.
Általában egy konfigurációkezelő eszközzel kell leküldnie egy nevű fájlt mdatp_managed.json a helyen /etc/opt/microsoft/mdatp/managed/.
A konfigurációs profil legfelső szintje termékszintű beállításokat és bejegyzéseket tartalmaz a termék alterületeihez, amelyeket a következő szakaszok részletesebben ismertetnek.
Víruskereső motor beállításai
A konfigurációs profil antivirusEngine szakasza a termék víruskereső összetevőjének beállításainak kezelésére szolgál.
| Leírás | Érték |
|---|---|
| Kulcs | antivirusEngine |
| Adattípus | Szótár (beágyazott beállítás) |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
A víruskereső motor kényszerítési szintje
Megadja a víruskereső motor kényszerítési beállítását. A kényszerítési szint beállításának három értéke van:
- Valós idejű (
real_time): A valós idejű védelem (a fájlok módosításakor beolvasása) engedélyezve van. - Igény szerinti (
on_demand): A fájlok vizsgálata csak igény szerint lehetséges. Ebben:- A valós idejű védelem ki van kapcsolva.
- Passzív (
passive): Passzív módban futtatja a víruskereső motort. Ebben:- A valós idejű védelem ki van kapcsolva: A fenyegetéseket nem orvosolja Microsoft Defender víruskereső.
- Az igény szerinti vizsgálat be van kapcsolva: Továbbra is használja a vizsgálati képességeket a végponton.
- A fenyegetés automatikus szervizelése ki van kapcsolva: A rendszer nem helyezi át a fájlokat, és a biztonsági rendszergazdának el kell végeznie a szükséges lépéseket.
- A biztonságiintelligencia-frissítések be vannak kapcsolva: A riasztások elérhetők lesznek a biztonsági rendszergazdák bérlőjén.
| Leírás | Érték |
|---|---|
| Kulcs | enforcementLevel |
| Adattípus | Karakterlánc |
| Lehetséges értékek | real_time on_demand passzív (alapértelmezett) |
| Megjegyzések | A Végponthoz készült Defender 101.10.72-es vagy újabb verziójában érhető el. A végpont 101.23062.0001-es vagy újabb verziójának alapértelmezett beállítása real_time értékről passzívra változik. |
Viselkedésfigyelés engedélyezése/letiltása
Meghatározza, hogy a viselkedésfigyelés és a blokkolási képesség engedélyezve van-e az eszközön.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Real-Time Protection funkció engedélyezve van.
| Leírás | Érték |
|---|---|
| Kulcs | behaviorMonitoring |
| Adattípus | Karakterlánc |
| Lehetséges értékek | disabled (alapértelmezett) Engedélyezve |
| Megjegyzések | A Végponthoz készült Defender 101.45.00-s vagy újabb verziójában érhető el. |
Vizsgálat futtatása a definíciók frissítése után
Meghatározza, hogy elindítsa-e a folyamatvizsgálatot az új biztonságiintelligencia-frissítések eszközre való letöltése után. Ennek a beállításnak az engedélyezése elindítja az eszköz futó folyamatainak víruskereső vizsgálatát.
| Leírás | Érték |
|---|---|
| Kulcs | scanAfterDefinitionUpdate |
| Adattípus | Logikai |
| Lehetséges értékek | true (alapértelmezett) Hamis |
| Megjegyzések | A Végponthoz készült Defender 101.45.00-s vagy újabb verziójában érhető el. |
Archívumok vizsgálata (csak igény szerinti víruskereső vizsgálatok esetén)
Meghatározza, hogy az igény szerinti víruskereső vizsgálatok során beolvassa-e az archívumokat.
Megjegyzés:
Az archív fájlokat a rendszer soha nem ellenőrzi a valós idejű védelem során. Az archívumban lévő fájlok kibontásakor a rendszer ellenőrzi őket. A scanArchives lehetőséggel az archívumok vizsgálata csak igény szerinti vizsgálat során kényszeríthető.
| Leírás | Érték |
|---|---|
| Kulcs | scanArchives |
| Adattípus | Logikai |
| Lehetséges értékek | true (alapértelmezett) Hamis |
| Megjegyzések | Végponthoz készült Microsoft Defender 101.45.00-s vagy újabb verziójában érhető el. |
Párhuzamosság foka igény szerinti vizsgálatokhoz
Az igény szerinti vizsgálatok párhuzamossági fokát határozza meg. Ez megfelel a vizsgálat végrehajtásához használt szálak számának, és hatással van a processzorhasználatra, valamint az igény szerinti vizsgálat időtartamára.
| Leírás | Érték |
|---|---|
| Kulcs | maximumOnDemandScanThreads |
| Adattípus | Egész |
| Lehetséges értékek | 2 (alapértelmezett). Az engedélyezett értékek 1 és 64 közötti egész számok. |
| Megjegyzések | Végponthoz készült Microsoft Defender 101.45.00-s vagy újabb verziójában érhető el. |
Kizárási egyesítési szabályzat
A kizárások egyesítési szabályzatát határozza meg. Ez lehet rendszergazda által definiált és felhasználó által definiált kizárások (merge) vagy csak rendszergazda által definiált kizárások (admin_only) kombinációja. Ezzel a beállítással korlátozhatja a helyi felhasználókat a saját kizárásuk meghatározásában.
| Leírás | Érték |
|---|---|
| Kulcs | exclusionsMergePolicy |
| Adattípus | Karakterlánc |
| Lehetséges értékek | egyesítés (alapértelmezett) admin_only |
| Megjegyzések | A Végponthoz készült Defender 100.83.73-es vagy újabb verziójában érhető el. |
Kizárások vizsgálata
A vizsgálatból kizárt entitások. A kizárások megadhatóak teljes elérési utakkal, kiterjesztésekkel vagy fájlnevekkel. (A kizárások elemtömbként vannak megadva, a rendszergazda tetszőleges sorrendben annyi elemet adhat meg, amennyi szükséges.)
| Leírás | Érték |
|---|---|
| Kulcs | Kizárások |
| Adattípus | Szótár (beágyazott beállítás) |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
Kizárás típusa
A vizsgálatból kizárt tartalom típusát adja meg.
| Leírás | Érték |
|---|---|
| Kulcs | $type |
| Adattípus | Karakterlánc |
| Lehetséges értékek | excludedPath excludedFileExtension excludedFileName |
Kizárt tartalom elérési útja
A teljes fájlelérési úttal kizárja a tartalmat a vizsgálatból.
| Leírás | Érték |
|---|---|
| Kulcs | Elérési út |
| Adattípus | Karakterlánc |
| Lehetséges értékek | érvényes elérési utak |
| Megjegyzések | Csak akkor alkalmazható, ha $typeexcludedPath |
Elérési út típusa (fájl/könyvtár)
Azt jelzi, hogy az elérési út tulajdonság egy fájlra vagy könyvtárra hivatkozik-e.
| Leírás | Érték |
|---|---|
| Kulcs | isDirectory |
| Adattípus | Logikai |
| Lehetséges értékek | false (alapértelmezett) Igaz |
| Megjegyzések | Csak akkor alkalmazható, ha $typeexcludedPath |
A vizsgálatból kizárt fájlkiterjesztés
Fájlkiterjesztéssel kizárja a tartalmat a vizsgálatból.
| Leírás | Érték |
|---|---|
| Kulcs | Kiterjesztés |
| Adattípus | Karakterlánc |
| Lehetséges értékek | érvényes fájlkiterjesztések |
| Megjegyzések | Csak akkor alkalmazható, ha $type ki van zárvaFileExtension |
A vizsgálatból kizárt folyamat*
Egy olyan folyamatot határoz meg, amelynek minden fájltevékenysége ki van zárva a vizsgálatból. A folyamat a neve (például cat) vagy teljes elérési útja (például : ) alapján adható meg. /bin/cat
| Leírás | Érték |
|---|---|
| Kulcs | név |
| Adattípus | Karakterlánc |
| Lehetséges értékek | bármely sztring |
| Megjegyzések | Csak akkor alkalmazható, ha $typea excludedFileName |
Nem Exec csatlakoztatások elnémítása
Az RTP viselkedését adja meg a noexec jelölésű csatlakoztatási ponton. A beállításnak két értéke van:
- Nem némított (
unmute): Az alapértelmezett érték, az összes csatlakoztatási pont vizsgálata az RTP részeként. - Elnémított (
mute): A noexec jelölésű csatlakoztatási pontok nincsenek beolvasva az RTP részeként, ezek a csatlakoztatási pontok a következőkhöz hozhatók létre:- Adatbázisfájlok adatbázis-kiszolgálókon az adatbázisfájlok megőrzéséhez.
- A fájlkiszolgáló az adatfájlok csatlakoztatási pontjait noexec beállítással tudja megtartani.
- A biztonsági mentéssel az adatfájlok csatlakoztatási pontokat noexec lehetőséggel tarthatja meg.
| Leírás | Érték |
|---|---|
| Kulcs | nonExecMountPolicy |
| Adattípus | Karakterlánc |
| Lehetséges értékek | visszahangosítás (alapértelmezett) Néma |
| Megjegyzések | A Végponthoz készült Defender 101.85.27-es vagy újabb verziójában érhető el. |
Fájlrendszerek figyelése törlése
Konfigurálja úgy a fájlrendszereket, hogy ne legyenek figyelve vagy kizárva a valós idejű védelemből (RTP). A konfigurált fájlrendszereket a rendszer Microsoft Defender engedélyezett fájlrendszerek listájával ellenőrzi. Csak a sikeres ellenőrzés után lesz engedélyezve a fájlrendszer figyelése. Ezeket a konfigurált nem figyelt fájlrendszereket a gyors, a teljes és az egyéni vizsgálatok továbbra is ellenőrzik.
| Leírás | Érték |
|---|---|
| Kulcs | unmonitoredFilesystems |
| Adattípus | Sztringek tömbje |
| Megjegyzések | A konfigurált fájlrendszer csak akkor lesz figyelve, ha szerepel a Microsoft engedélyezett nem figyelt fájlrendszereinek listáján. |
Alapértelmezés szerint az NFS és a Fuse nincs figyelve az RTP, a Gyors és a Teljes vizsgálatból. Egyéni vizsgálattal azonban továbbra is beolvashatók. Ha például el szeretné távolítani az NFS-t a nem figyelt fájlrendszerek listájáról, frissítse a felügyelt konfigurációs fájlt az alább látható módon. Ez automatikusan hozzáadja az NFS-t az RTP-hez figyelt fájlrendszerek listájához.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Ha az NFS-t és a Fuse-t is el szeretné távolítani a fájlrendszerek nem figyelt listájából, tegye a következőket
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Megjegyzés:
Az alábbiakban az RTP-hez figyelt fájlrendszerek alapértelmezett listája látható.
[btrfs, ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, reiserfs, tmpfs, vfat, xfs]
Ha bármely figyelt fájlrendszert hozzá kell adni a nem figyelt fájlrendszerek listájához, akkor azt a Microsoftnak ki kell értékelnie és engedélyeznie kell a felhőkonfiguráláson keresztül. Azt követően, hogy az ügyfelek mely managed_mdatp.json frissíthetik a fájlrendszer figyelésére.
Fájlkivonat számítási funkció konfigurálása
Engedélyezi vagy letiltja a fájlkivonat számítási funkcióját. Ha ez a funkció engedélyezve van, a Végponthoz készült Defender a beolvasott fájlok kivonatait számítja ki. Vegye figyelembe, hogy a funkció engedélyezése hatással lehet az eszköz teljesítményére. További részletekért lásd: Létrehozás fájlok mutatói.
| Leírás | Érték |
|---|---|
| Kulcs | enableFileHashComputation |
| Adattípus | Logikai |
| Lehetséges értékek | false (alapértelmezett) Igaz |
| Megjegyzések | A Végponthoz készült Defender 101.85.27-es vagy újabb verziójában érhető el. |
Engedélyezett fenyegetések
A termék által nem blokkolt és ehelyett futtatható fenyegetések listája (a nevük alapján azonosítva).
| Leírás | Érték |
|---|---|
| Kulcs | allowedThreats |
| Adattípus | Sztringek tömbje |
Letiltott fenyegetési műveletek
Korlátozza azokat a műveleteket, amelyeket az eszköz helyi felhasználója végrehajthat fenyegetések észlelésekor. A listában szereplő műveletek nem jelennek meg a felhasználói felületen.
| Leírás | Érték |
|---|---|
| Kulcs | disallowedThreatActions |
| Adattípus | Sztringek tömbje |
| Lehetséges értékek | engedélyezés (korlátozza a felhasználókat a fenyegetések engedélyezésében) visszaállítás (korlátozza a felhasználókat a fenyegetések karanténból való visszaállításában) |
| Megjegyzések | A Végponthoz készült Defender 100.83.73-es vagy újabb verziójában érhető el. |
Fenyegetéstípus beállításai
A víruskereső motor threatTypeSettings beállításával szabályozható, hogy a termék hogyan kezeljen bizonyos fenyegetéstípusokat.
| Leírás | Érték |
|---|---|
| Kulcs | threatTypeSettings |
| Adattípus | Szótár (beágyazott beállítás) |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
Fenyegetés típusa
Annak a fenyegetésnek a típusa, amelyhez a viselkedés konfigurálva van.
| Leírás | Érték |
|---|---|
| Kulcs | Kulcs |
| Adattípus | Karakterlánc |
| Lehetséges értékek | potentially_unwanted_application archive_bomb |
Végrehajtandó művelet
Az előző szakaszban megadott típusú fenyegetés észlelésekor végrehajtandó művelet. A következő lehet:
- Naplózás: Az eszköz nem védett az ilyen típusú fenyegetésekkel szemben, de a rendszer naplózza a fenyegetésről szóló bejegyzést.
- Letiltás: Az eszköz védett az ilyen típusú fenyegetésekkel szemben, és a rendszer értesítést küld a biztonsági konzolon.
- Kikapcsolva: Az eszköz nem védett az ilyen típusú fenyegetésekkel szemben, és a rendszer semmit sem naplóz.
| Leírás | Érték |
|---|---|
| Kulcs | Érték |
| Adattípus | Karakterlánc |
| Lehetséges értékek | naplózás (alapértelmezett) Blokk Ki |
Fenyegetéstípus beállításainak egyesítési szabályzata
Megadja a fenyegetéstípus beállításainak egyesítési szabályzatát. Ez lehet a rendszergazda által definiált és a felhasználó által definiált beállítások (merge) kombinációja, vagy csak a rendszergazda által megadott beállítások (admin_only). Ezzel a beállítással korlátozhatja, hogy a helyi felhasználók saját beállításokat határozzanak meg a különböző fenyegetéstípusokhoz.
| Leírás | Érték |
|---|---|
| Kulcs | threatTypeSettingsMergePolicy |
| Adattípus | Karakterlánc |
| Lehetséges értékek | egyesítés (alapértelmezett) admin_only |
| Megjegyzések | A Végponthoz készült Defender 100.83.73-es vagy újabb verziójában érhető el. |
Víruskereső vizsgálati előzményeinek megőrzése (napokban)
Itt adhatja meg, hogy az eszköz vizsgálati előzményei hány napig őrzik meg az eredményeket. A régi vizsgálati eredmények törlődnek az előzményekből. Régi karanténba helyezett fájlok, amelyek szintén el lettek távolítva a lemezről.
| Leírás | Érték |
|---|---|
| Kulcs | scanResultsRetentionDays |
| Adattípus | Karakterlánc |
| Lehetséges értékek | 90 (alapértelmezett). Az engedélyezett értékek 1 naptól 180 napig használhatók. |
| Megjegyzések | A Végponthoz készült Defender 101.04.76-os vagy újabb verziójában érhető el. |
A víruskereső vizsgálati előzményeiben szereplő elemek maximális száma
Itt adhatja meg a vizsgálati előzményekben megtartani kívánt bejegyzések maximális számát. A bejegyzések közé tartozik a múltban végzett összes igény szerinti vizsgálat és az összes víruskereső-észlelés.
| Leírás | Érték |
|---|---|
| Kulcs | scanHistoryMaximumItems |
| Adattípus | Karakterlánc |
| Lehetséges értékek | 10000 (alapértelmezett). Az engedélyezett értékek 5000 és 15000 elem között vannak. |
| Megjegyzések | A Végponthoz készült Defender 101.04.76-os vagy újabb verziójában érhető el. |
Speciális vizsgálati beállítások
Az alábbi beállítások konfigurálhatók bizonyos speciális vizsgálati funkciók engedélyezéséhez.
Megjegyzés:
Ezeknek a funkcióknak az engedélyezése hatással lehet az eszköz teljesítményére. Ezért ajánlott megtartani az alapértelmezett értékeket.
Fájlmódosítási engedélyesemények vizsgálatának konfigurálása
Ha ez a funkció engedélyezve van, a Végponthoz készült Defender megvizsgálja a fájlokat, amikor az engedélyeiket módosították a végrehajtási bit(ek) beállításához.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a enableFilePermissionEvents funkció engedélyezve van. További információt az alábbi Speciális választható funkciók című szakaszban talál.
| Leírás | Érték |
|---|---|
| Kulcs | scanFileModifyPermissions |
| Adattípus | Logikai |
| Lehetséges értékek | false (alapértelmezett) Igaz |
| Megjegyzések | A Végponthoz készült Defender 101.23062.0010-es vagy újabb verziójában érhető el. |
Fájlmódosítási tulajdonosi események vizsgálatának konfigurálása
Ha ez a funkció engedélyezve van, a Végponthoz készült Defender megvizsgálja azokat a fájlokat, amelyek tulajdonjoga megváltozott.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a enableFileOwnershipEvents funkció engedélyezve van. További információt az alábbi Speciális választható funkciók című szakaszban talál.
| Leírás | Érték |
|---|---|
| Kulcs | scanFileModifyOwnership |
| Adattípus | Logikai |
| Lehetséges értékek | false (alapértelmezett) Igaz |
| Megjegyzések | A Végponthoz készült Defender 101.23062.0010-es vagy újabb verziójában érhető el. |
Nyers szoftvercsatorna-események vizsgálatának konfigurálása
Ha ez a funkció engedélyezve van, a Végponthoz készült Defender megvizsgálja a hálózati szoftvercsatornák olyan eseményeit, mint a nyers szoftvercsatornák/csomagcsatornák létrehozása vagy a szoftvercsatornák beállítása.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a enableRawSocketEvent funkció engedélyezve van. További információt az alábbi Speciális választható funkciók című szakaszban talál.
| Leírás | Érték |
|---|---|
| Kulcs | scanNetworkSocketEvent |
| Adattípus | Logikai |
| Lehetséges értékek | false (alapértelmezett) Igaz |
| Megjegyzések | A Végponthoz készült Defender 101.23062.0010-es vagy újabb verziójában érhető el. |
A felhőben biztosított védelmi beállítások
A konfigurációs profil cloudService bejegyzése a termék felhőalapú védelmi funkciójának konfigurálására szolgál.
Megjegyzés:
A felhőben biztosított védelem minden kényszerítési szintű beállítással (real_time, on_demand, passzív) alkalmazható.
| Leírás | Érték |
|---|---|
| Kulcs | cloudService |
| Adattípus | Szótár (beágyazott beállítás) |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
Felhőben biztosított védelem engedélyezése/letiltása
Meghatározza, hogy a felhőben biztosított védelem engedélyezve van-e az eszközön. A szolgáltatások biztonságának javítása érdekében javasoljuk, hogy kapcsolja be ezt a funkciót.
| Leírás | Érték |
|---|---|
| Kulcs | Engedélyezve |
| Adattípus | Logikai |
| Lehetséges értékek | true (alapértelmezett) Hamis |
Diagnosztikai gyűjtemény szintje
A diagnosztikai adatok a Végponthoz készült Defender biztonságának és naprakész állapotának megőrzésére, a problémák észlelésére, diagnosztizálására és kijavítására, valamint a termékek fejlesztésére szolgálnak. Ez a beállítás határozza meg a termék által a Microsoftnak küldött diagnosztika szintjét.
| Leírás | Érték |
|---|---|
| Kulcs | diagnosticLevel |
| Adattípus | Karakterlánc |
| Lehetséges értékek | Választható kötelező (alapértelmezett) |
A felhőblokk szintjének konfigurálása
Ez a beállítás határozza meg, hogy milyen agresszív a Végponthoz készült Defender a gyanús fájlok blokkolásában és vizsgálatában. Ha ez a beállítás be van kapcsolva, a Végponthoz készült Defender agresszívebb a blokkolni és megvizsgálni kívánt gyanús fájlok azonosításakor; ellenkező esetben kevésbé agresszív, ezért kevesebb gyakorisággal blokkolja és vizsgálja.
A felhőblokkok szintjének beállításához öt érték érhető el:
- Normál (
normal): Az alapértelmezett blokkolási szint. - Mérsékelt (
moderate): Csak a nagy megbízhatósági észlelések esetén kézbesíti az ítéletet. - Magas (
high): Agresszíven blokkolja az ismeretlen fájlokat, miközben optimalizálja a teljesítményt (nagyobb eséllyel blokkolja a nem káros fájlokat). - High Plus (
high_plus): Agresszíven blokkolja az ismeretlen fájlokat, és további védelmi intézkedéseket alkalmaz (ez hatással lehet az ügyféleszköz teljesítményére). - Zéró tolerancia (
zero_tolerance): Blokkolja az összes ismeretlen programot.
| Leírás | Érték |
|---|---|
| Kulcs | cloudBlockLevel |
| Adattípus | Karakterlánc |
| Lehetséges értékek | normál (alapértelmezett) Mérsékelt Magas high_plus zero_tolerance |
| Megjegyzések | A Végponthoz készült Defender 101.56.62-es vagy újabb verziójában érhető el. |
Automatikus mintabeküldések engedélyezése/letiltása
Meghatározza, hogy a rendszer elküldi-e a gyanús mintákat (amelyek valószínűleg fenyegetést tartalmaznak) a Microsoftnak. A mintaküldés szabályozásának három szintje van:
- Nincs: a rendszer nem küld gyanús mintákat a Microsoftnak.
- Biztonságos: a rendszer csak a személyazonosításra alkalmas adatokat (PII) nem tartalmazó gyanús mintákat küldi el automatikusan. Ez a beállítás alapértelmezett értéke.
- Minden: minden gyanús minta elküldve a Microsoftnak.
| Leírás | Érték |
|---|---|
| Kulcs | automaticSampleSubmissionConsent |
| Adattípus | Karakterlánc |
| Lehetséges értékek | nincs safe (alapértelmezett) Minden |
Automatikus biztonságiintelligencia-frissítések engedélyezése/letiltása
Meghatározza, hogy a rendszer automatikusan telepíti-e a biztonságiintelligencia-frissítéseket:
| Leírás | Érték |
|---|---|
| Kulcs | automaticDefinitionUpdateEnabled |
| Adattípus | Logikai |
| Lehetséges értékek | true (alapértelmezett) Hamis |
Speciális választható funkciók
A következő beállítások konfigurálhatók bizonyos speciális funkciók engedélyezéséhez.
Megjegyzés:
Ezeknek a funkcióknak az engedélyezése hatással lehet az eszköz teljesítményére. Javasoljuk, hogy tartsa meg az alapértelmezett értékeket.
| Leírás | Érték |
|---|---|
| Kulcs | Funkciók |
| Adattípus | Szótár (beágyazott beállítás) |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
Modulbetöltési funkció
Meghatározza, hogy a rendszer figyeli-e a modulbetöltési eseményeket (megosztott kódtárak fájlmegnyitási eseményeit).
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
| Leírás | Érték |
|---|---|
| Kulcs | moduleLoad |
| Adattípus | Karakterlánc |
| Lehetséges értékek | disabled (alapértelmezett) Engedélyezve |
| Megjegyzések | A Végponthoz készült Defender 101.68.80-es vagy újabb verziójában érhető el. |
Kiegészítő érzékelőkonfigurációk
Az alábbi beállításokkal konfigurálhatók bizonyos speciális kiegészítő érzékelőfunkciók.
| Leírás | Érték |
|---|---|
| Kulcs | supplementarySensorConfigurations |
| Adattípus | Szótár (beágyazott beállítás) |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
Fájlmódosítási engedélyesemények monitorozásának konfigurálása
Meghatározza, hogy a rendszer figyeli-e a fájlmódosítási engedélyekkel (chmod) rendelkező eseményeket.
Megjegyzés:
Ha ez a funkció engedélyezve van, a Végponthoz készült Defender figyelni fogja a fájlok végrehajtási bitjeinek módosításait, de nem ellenőrzi ezeket az eseményeket. További információt a Speciális vizsgálati funkciók című szakaszban talál.
| Leírás | Érték |
|---|---|
| Kulcs | enableFilePermissionEvents |
| Adattípus | Karakterlánc |
| Lehetséges értékek | disabled (alapértelmezett) Engedélyezve |
| Megjegyzések | A Végponthoz készült Defender 101.23062.0010-es vagy újabb verziójában érhető el. |
Fájlmódosítási tulajdonosi események monitorozásának konfigurálása
Meghatározza, hogy a rendszer figyeli-e a fájlmódosítási tulajdonosi eseményeket (chown).
Megjegyzés:
Ha ez a funkció engedélyezve van, a Végponthoz készült Defender figyeli a fájlok tulajdonjogának változásait, de nem vizsgálja ezeket az eseményeket. További információt a Speciális vizsgálati funkciók című szakaszban talál.
| Leírás | Érték |
|---|---|
| Kulcs | enableFileOwnershipEvents |
| Adattípus | Karakterlánc |
| Lehetséges értékek | disabled (alapértelmezett) Engedélyezve |
| Megjegyzések | A Végponthoz készült Defender 101.23062.0010-es vagy újabb verziójában érhető el. |
Nyers szoftvercsatorna-események monitorozásának konfigurálása
Meghatározza, hogy a rendszer figyeli-e a nyers szoftvercsatornák/csomagcsatornák létrehozásával vagy a szoftvercsatornák beállításával kapcsolatos hálózati szoftvercsatorna-eseményeket.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
Megjegyzés:
Ha ez a funkció engedélyezve van, a Végponthoz készült Defender figyeli ezeket a hálózati szoftvercsatornás eseményeket, de nem ellenőrzi ezeket az eseményeket. További információt a fenti Speciális vizsgálati funkciók című szakaszban talál.
| Leírás | Érték |
|---|---|
| Kulcs | enableRawSocketEvent |
| Adattípus | Karakterlánc |
| Lehetséges értékek | disabled (alapértelmezett) Engedélyezve |
| Megjegyzések | A Végponthoz készült Defender 101.23062.0010-es vagy újabb verziójában érhető el. |
A rendszertöltő eseményeinek monitorozásának konfigurálása
Meghatározza, hogy a rendszer monitorozza és megvizsgálja-e a rendszerindító betöltő eseményeit.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
| Leírás | Érték |
|---|---|
| Kulcs | enableBootLoaderCalls |
| Adattípus | Karakterlánc |
| Lehetséges értékek | disabled (alapértelmezett) Engedélyezve |
| Megjegyzések | A Végponthoz készült Defender 101.68.80-es vagy újabb verziójában érhető el. |
A ptrace-események monitorozásának konfigurálása
Meghatározza, hogy a rendszer figyeli és megvizsgálja-e a ptrace-eseményeket.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
| Leírás | Érték |
|---|---|
| Kulcs | enableProcessCalls |
| Adattípus | Karakterlánc |
| Lehetséges értékek | disabled (alapértelmezett) Engedélyezve |
| Megjegyzések | A Végponthoz készült Defender 101.68.80-es vagy újabb verziójában érhető el. |
Pszeudo-események monitorozásának konfigurálása
Meghatározza, hogy a pszeudo-események monitorozása és vizsgálata megtörtént-e.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
| Leírás | Érték |
|---|---|
| Kulcs | enablePseudofsCalls |
| Adattípus | Karakterlánc |
| Lehetséges értékek | disabled (alapértelmezett) Engedélyezve |
| Megjegyzések | A Végponthoz készült Defender 101.68.80-es vagy újabb verziójában érhető el. |
Modulbetöltési események monitorozásának konfigurálása eBPF használatával
Meghatározza, hogy a modulbetöltési események monitorozása eBPF használatával történik-e, és be van-e vizsgálva.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
| Leírás | Érték |
|---|---|
| Kulcs | enableEbpfModuleLoadEvents |
| Adattípus | Karakterlánc |
| Lehetséges értékek | disabled (alapértelmezett) Engedélyezve |
| Megjegyzések | A Végponthoz készült Defender 101.68.80-es vagy újabb verziójában érhető el. |
Gyanús AV-események jelentése az EDR-nek
Meghatározza, hogy a víruskereső gyanús eseményeket jelent-e az EDR-nek.
| Leírás | Érték |
|---|---|
| Kulcs | sendLowfiEvents |
| Adattípus | Karakterlánc |
| Lehetséges értékek | disabled (alapértelmezett) Engedélyezve |
| Megjegyzések | A Végponthoz készült Defender 101.23062.0010-es vagy újabb verziójában érhető el. |
Hálózatvédelmi konfigurációk
Az alábbi beállításokkal konfigurálhatja a hálózatvédelem speciális vizsgálati funkcióit annak szabályozására, hogy a Hálózatvédelem milyen forgalmat vizsgál.
Megjegyzés:
Ahhoz, hogy ezek hatékonyak legyenek, be kell kapcsolni a Hálózatvédelmet. További információ: A hálózatvédelem bekapcsolása Linuxon.
| Leírás | Érték |
|---|---|
| Kulcs | networkProtection |
| Adattípus | Szótár (beágyazott beállítás) |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
ICMP-vizsgálat konfigurálása
Meghatározza, hogy az ICMP-események monitorozása és vizsgálata megtörtént-e.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Viselkedésfigyelés engedélyezve van.
| Leírás | Érték |
|---|---|
| Kulcs | disableIcmpInspection |
| Adattípus | Logikai |
| Lehetséges értékek | true (alapértelmezett) Hamis |
| Megjegyzések | A Végponthoz készült Defender 101.23062.0010-es vagy újabb verziójában érhető el. |
Ajánlott konfigurációs profil
Elsőként javasoljuk a következő konfigurációs profil használatát a vállalat számára, hogy kihasználhassa a Végponthoz készült Defender összes védelmi funkciójának előnyeit.
A következő konfigurációs profil lesz:
- Valós idejű védelem (RTP) engedélyezése
- Adja meg a következő fenyegetéstípusok kezelési módját:
- A potenciálisan nemkívánatos alkalmazások (PUA) le vannak tiltva
- Az archív bombák (magas tömörítési sebességgel rendelkező fájlok) a terméknaplókban vannak naplózva
- Automatikus biztonságiintelligencia-frissítések engedélyezése
- Felhőben nyújtott védelem engedélyezése
- Automatikus mintaküldés engedélyezése a
safeszinten
Mintaprofil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Példa teljes konfigurációs profilra
Az alábbi konfigurációs profil az ebben a dokumentumban ismertetett összes beállításhoz tartalmaz bejegyzéseket, és olyan speciálisabb forgatókönyvekhez használható, ahol nagyobb kontrollt szeretne a termék felett.
Megjegyzés:
Ebben a JSON-ban nem lehet minden Végponthoz készült Microsoft Defender kommunikációt csak proxybeállítással vezérelni.
Teljes profil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Címke vagy csoportazonosító hozzáadása a konfigurációs profilhoz
Amikor első alkalommal futtatja a mdatp health parancsot, a címke és a csoportazonosító értéke üres lesz. Ha címkét vagy csoportazonosítót szeretne hozzáadni a mdatp_managed.json fájlhoz, kövesse az alábbi lépéseket:
- Nyissa meg a konfigurációs profilt az elérési útról
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json. - Lépjen a fájl aljára, ahol a
cloudServiceblokk található. - Adja hozzá a szükséges címkét vagy csoportazonosítót az alábbi példához a záró kapcsos zárójel végén.
cloudService
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
Megjegyzés:
Adja hozzá a vesszőt a blokk végén cloudService található záró kapcsos zárójel után. Győződjön meg arról is, hogy a Címke vagy a Csoportazonosító blokk hozzáadása után két záró kapcsos zárójel található (lásd a fenti példát). Jelenleg a címkék egyetlen támogatott kulcsneve a GROUP.
Konfigurációs profil érvényesítése
A konfigurációs profilnak érvényes JSON-formátumú fájlnak kell lennie. Ennek ellenőrzésére számos eszköz használható. Ha például telepítette python az eszközt:
python -m json.tool mdatp_managed.json
Ha a JSON megfelelően formázott, a fenti parancs visszaadja a terminálnak, és a kilépési kódját 0adja vissza. Ellenkező esetben megjelenik egy hiba, amely leírja a problémát, és a parancs a kilépési kódját 1adja vissza.
Annak ellenőrzése, hogy a mdatp_managed.json fájl a várt módon működik-e
Annak ellenőrzéséhez, hogy az /etc/opt/microsoft/mdatp/managed/mdatp_managed.json megfelelően működik-e, az alábbi beállítások mellett a "[managed]" feliratnak kell megjelennie:
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
Megjegyzés:
A mdatp_managed.json legtöbb konfigurációjának módosításához nincs szükség az mdatp démon újraindítására. Kivétel: A következő konfigurációkhoz a démon újraindítása szükséges a érvénybe lépéshez:
- cloud-diagnostic
- log-rotation-parameters
Konfigurációs profil üzembe helyezése
Miután elkészítette a vállalati konfigurációs profilt, üzembe helyezheti a vállalat által használt felügyeleti eszközzel. A Végponthoz készült Defender Linuxon az /etc/opt/microsoft/mdatp/managed/mdatp_managed.json fájlból olvassa be a felügyelt konfigurációt.
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: