Impostare le preferenze per Microsoft Defender per Endpoint su LinuxSet preferences for Microsoft Defender for Endpoint on Linux

Si applica a:Applies to:

Vuoi provare Defender per Endpoint?Want to experience Defender for Endpoint? Iscriversi per una versione di valutazione gratuita.Sign up for a free trial.

Importante

Questo argomento contiene istruzioni su come impostare le preferenze per Defender per Endpoint in Linux in ambienti aziendali.This topic contains instructions for how to set preferences for Defender for Endpoint on Linux in enterprise environments. Se si desidera configurare il prodotto in un dispositivo dalla riga di comando, vedere Resources.If you are interested in configuring the product on a device from the command-line, see Resources.

In ambienti aziendali, Defender per Endpoint su Linux può essere gestito tramite un profilo di configurazione.In enterprise environments, Defender for Endpoint on Linux can be managed through a configuration profile. Questo profilo viene distribuito dallo strumento di gestione scelto.This profile is deployed from the management tool of your choice. Le preferenze gestite dall'organizzazione hanno la precedenza su quelle impostate localmente nel dispositivo.Preferences managed by the enterprise take precedence over the ones set locally on the device. In altre parole, gli utenti dell'organizzazione non sono in grado di modificare le preferenze impostate tramite questo profilo di configurazione.In other words, users in your enterprise are not able to change preferences that are set through this configuration profile.

Questo articolo descrive la struttura di questo profilo (incluso un profilo consigliato che puoi usare per iniziare) e le istruzioni su come distribuire il profilo.This article describes the structure of this profile (including a recommended profile that you can use to get started) and instructions on how to deploy the profile.

Struttura del profilo di configurazioneConfiguration profile structure

Il profilo di configurazione è un file JSON costituito da voci identificate da una chiave (che indica il nome della preferenza), seguita da un valore, che dipende dalla natura della preferenza.The configuration profile is a .json file that consists of entries identified by a key (which denotes the name of the preference), followed by a value, which depends on the nature of the preference. I valori possono essere semplici, ad esempio un valore numerico o complessi, ad esempio un elenco nidificato di preferenze.Values can be simple, such as a numerical value, or complex, such as a nested list of preferences.

In genere, si utilizza uno strumento di gestione della configurazione per eseguire il push di un file con il nome mdatp_managed.json nel percorso /etc/opt/microsoft/mdatp/managed/ .Typically, you would use a configuration management tool to push a file with the name mdatp_managed.json at the location /etc/opt/microsoft/mdatp/managed/.

Il livello superiore del profilo di configurazione include le preferenze e le voci a livello di prodotto per le sottoaree del prodotto, che vengono illustrate in modo più dettagliato nelle sezioni successive.The top level of the configuration profile includes product-wide preferences and entries for subareas of the product, which are explained in more detail in the next sections.

Preferenze del motore antivirusAntivirus engine preferences

La sezione antivirusEngine del profilo di configurazione viene utilizzata per gestire le preferenze del componente antivirus del prodotto.The antivirusEngine section of the configuration profile is used to manage the preferences of the antivirus component of the product.

ChiaveKey antivirusEngineantivirusEngine
Data typeData type Dizionario (preferenza annidata)Dictionary (nested preference)
CommentsComments Per una descrizione del contenuto del dizionario, vedi le sezioni seguenti.See the following sections for a description of the dictionary contents.

Abilitare/disabilitare la protezione in tempo realeEnable / disable real-time protection

Determina se la protezione in tempo reale (analizza i file quando vi si accede) è abilitata o meno.Determines whether real-time protection (scan files as they are accessed) is enabled or not.

ChiaveKey enableRealTimeProtectionenableRealTimeProtection
Data typeData type BooleanoBoolean
Valori possibiliPossible values true (impostazione predefinita)true (default)
falsefalse

Abilitare/disabilitare la modalità passivaEnable / disable passive mode

Determina se il motore antivirus viene eseguito in modalità passiva o meno.Determines whether the antivirus engine runs in passive mode or not. In modalità passiva:In passive mode:

  • La protezione in tempo reale è disattivata.Real-time protection is turned off.
  • L'analisi su richiesta è attivata.On-demand scanning is turned on.
  • La correzione automatica delle minacce è disattivata.Automatic threat remediation is turned off.
  • Gli aggiornamenti delle funzionalità di intelligence per la sicurezza sono attivati.Security intelligence updates are turned on.
  • L'icona del menu Stato è nascosta.Status menu icon is hidden.
ChiaveKey passiveModepassiveMode
Data typeData type BooleanoBoolean
Valori possibiliPossible values false (impostazione predefinita)false (default)
truetrue
CommentsComments Disponibile in Defender per Endpoint versione 100.67.60 o successiva.Available in Defender for Endpoint version 100.67.60 or higher.

Criteri di unione esclusioniExclusion merge policy

Specifica i criteri di unione per le esclusioni.Specifies the merge policy for exclusions. Può essere una combinazione di esclusioni definite dall'amministratore e definite dall'utente ( ) o solo esclusioni definite merge dall'amministratore ( admin_only ).It can be a combination of administrator-defined and user-defined exclusions (merge) or only administrator-defined exclusions (admin_only). Questa impostazione può essere utilizzata per impedire agli utenti locali di definire le proprie esclusioni.This setting can be used to restrict local users from defining their own exclusions.

ChiaveKey exclusionsMergePolicyexclusionsMergePolicy
Data typeData type StringaString
Valori possibiliPossible values merge (impostazione predefinita)merge (default)
admin_onlyadmin_only
CommentsComments Disponibile in Defender per Endpoint versione 100.83.73 o successiva.Available in Defender for Endpoint version 100.83.73 or higher.

Esclusioni analisiScan exclusions

Entità escluse dall'analisi.Entities that have been excluded from the scan. Le esclusioni possono essere specificate da percorsi completi, estensioni o nomi di file.Exclusions can be specified by full paths, extensions, or file names. Le esclusioni vengono specificate come matrice di elementi, l'amministratore può specificare il numero di elementi necessario, in qualsiasi ordine.(Exclusions are specified as an array of items, administrator can specify as many elements as necessary, in any order.)

ChiaveKey esclusioniexclusions
Data typeData type Dizionario (preferenza annidata)Dictionary (nested preference)
CommentsComments Per una descrizione del contenuto del dizionario, vedi le sezioni seguenti.See the following sections for a description of the dictionary contents.

Tipo di esclusioneType of exclusion

Specifica il tipo di contenuto escluso dall'analisi.Specifies the type of content excluded from the scan.

ChiaveKey $type$type
Data typeData type StringaString
Valori possibiliPossible values excludedPathexcludedPath
excludedFileExtensionexcludedFileExtension
excludedFileNameexcludedFileName

Percorso del contenuto esclusoPath to excluded content

Utilizzato per escludere il contenuto dall'analisi in base al percorso completo del file.Used to exclude content from the scan by full file path.

ChiaveKey pathpath
Data typeData type StringaString
Valori possibiliPossible values percorsi validivalid paths
CommentsComments Applicabile solo se $type è excludedPathApplicable only if $type is excludedPath

Tipo di percorso (file/directory)Path type (file / directory)

Indica se la proprietà path fa riferimento a un file o a una directory.Indicates if the path property refers to a file or directory.

ChiaveKey isDirectoryisDirectory
Data typeData type BooleanoBoolean
Valori possibiliPossible values false (impostazione predefinita)false (default)
truetrue
CommentsComments Applicabile solo se $type è excludedPathApplicable only if $type is excludedPath

Estensione di file esclusa dall'analisiFile extension excluded from the scan

Usato per escludere il contenuto dall'analisi per estensione di file.Used to exclude content from the scan by file extension.

ChiaveKey extensionextension
Data typeData type StringaString
Valori possibiliPossible values estensioni di file validevalid file extensions
CommentsComments Applicabile solo se $type è excludedFileExtensionApplicable only if $type is excludedFileExtension

Processo escluso dall'analisiProcess excluded from the scan

Specifica un processo per il quale tutte le attività di file vengono escluse dall'analisi.Specifies a process for which all file activity is excluded from scanning. Il processo può essere specificato in base al nome (ad esempio, cat ) o al percorso completo (ad esempio, /bin/cat ).The process can be specified either by its name (for example, cat) or full path (for example, /bin/cat).

ChiaveKey namename
Data typeData type StringaString
Valori possibiliPossible values qualsiasi stringaany string
CommentsComments Applicabile solo se $type è excludedFileNameApplicable only if $type is excludedFileName

Minacce consentiteAllowed threats

Elenco delle minacce (identificate dal nome) che non sono bloccate dal prodotto e che possono essere eseguite.List of threats (identified by their name) that are not blocked by the product and are instead allowed to run.

ChiaveKey allowedThreatsallowedThreats
Data typeData type Matrice di stringheArray of strings

Azioni di minaccia non consentiteDisallowed threat actions

Limita le azioni che l'utente locale di un dispositivo può intraprendere quando vengono rilevate minacce.Restricts the actions that the local user of a device can take when threats are detected. Le azioni incluse in questo elenco non vengono visualizzate nell'interfaccia utente.The actions included in this list are not displayed in the user interface.

ChiaveKey disallowedThreatActionsdisallowedThreatActions
Data typeData type Matrice di stringheArray of strings
Valori possibiliPossible values allow (impedisce agli utenti di consentire minacce)allow (restricts users from allowing threats)
restore (impedisce agli utenti di ripristinare le minacce dalla quarantena)restore (restricts users from restoring threats from the quarantine)
CommentsComments Disponibile in Defender per Endpoint versione 100.83.73 o successiva.Available in Defender for Endpoint version 100.83.73 or higher.

Impostazioni del tipo di minacciaThreat type settings

La preferenza threatTypeSettings nel motore antivirus viene utilizzata per controllare la modalità di gestione di determinati tipi di minacce da parte del prodotto.The threatTypeSettings preference in the antivirus engine is used to control how certain threat types are handled by the product.

ChiaveKey threatTypeSettingsthreatTypeSettings
Data typeData type Dizionario (preferenza annidata)Dictionary (nested preference)
CommentsComments Per una descrizione del contenuto del dizionario, vedi le sezioni seguenti.See the following sections for a description of the dictionary contents.

Tipo di minacciaThreat type

Tipo di minaccia per cui è configurato il comportamento.Type of threat for which the behavior is configured.

ChiaveKey chiavekey
Data typeData type StringaString
Valori possibiliPossible values potentially_unwanted_applicationpotentially_unwanted_application
archive_bombarchive_bomb

Procedura da seguireAction to take

Azione da intraprendere quando si verifica una minaccia del tipo specificato nella sezione precedente.Action to take when coming across a threat of the type specified in the preceding section. Può essere:Can be:

  • Controllo: il dispositivo non è protetto da questo tipo di minaccia, ma viene registrata una voce relativa alla minaccia.Audit: The device is not protected against this type of threat, but an entry about the threat is logged.
  • Blocca: il dispositivo è protetto da questo tipo di minaccia e si viene informati nella console di sicurezza.Block: The device is protected against this type of threat and you are notified in the security console.
  • Disattivato: il dispositivo non è protetto da questo tipo di minaccia e non viene registrato nulla.Off: The device is not protected against this type of threat and nothing is logged.
ChiaveKey valorevalue
Data typeData type StringaString
Valori possibiliPossible values audit (impostazione predefinita)audit (default)
bloccoblock
offoff

Criteri di unione delle impostazioni del tipo di minacciaThreat type settings merge policy

Specifica il criterio di unione per le impostazioni del tipo di minaccia.Specifies the merge policy for threat type settings. Può essere una combinazione di impostazioni definite dall'amministratore e definite dall'utente ( ) o solo impostazioni definite merge dall'amministratore ( admin_only ).This can be a combination of administrator-defined and user-defined settings (merge) or only administrator-defined settings (admin_only). Questa impostazione può essere usata per impedire agli utenti locali di definire le proprie impostazioni per diversi tipi di minacce.This setting can be used to restrict local users from defining their own settings for different threat types.

ChiaveKey threatTypeSettingsMergePolicythreatTypeSettingsMergePolicy
Data typeData type StringaString
Valori possibiliPossible values merge (impostazione predefinita)merge (default)
admin_onlyadmin_only
CommentsComments Disponibile in Defender per Endpoint versione 100.83.73 o successiva.Available in Defender for Endpoint version 100.83.73 or higher.

Conservazione cronologia analisi antivirus (in giorni)Antivirus scan history retention (in days)

Specifica il numero di giorni in cui i risultati vengono conservati nella cronologia dell'analisi nel dispositivo.Specify the number of days that results are retained in the scan history on the device. I risultati dell'analisi precedente vengono rimossi dalla cronologia.Old scan results are removed from the history. Vecchi file in quarantena che vengono rimossi anche dal disco.Old quarantined files that are also removed from the disk.

ChiaveKey scanResultsRetentionDaysscanResultsRetentionDays
Data typeData type StringaString
Valori possibiliPossible values 90 (impostazione predefinita).90 (default). I valori consentiti sono da 1 giorno a 180 giorni.Allowed values are from 1 day to 180 days.
CommentsComments Disponibile in Defender per Endpoint versione 101.04.76 o successiva.Available in Defender for Endpoint version 101.04.76 or higher.

Numero massimo di elementi nella cronologia dell'analisi antivirusMaximum number of items in the antivirus scan history

Specificare il numero massimo di voci da mantenere nella cronologia di analisi.Specify the maximum number of entries to keep in the scan history. Le voci includono tutte le analisi su richiesta eseguite in passato e tutti i rilevamenti antivirus.Entries include all on-demand scans performed in the past and all antivirus detections.

ChiaveKey scanHistoryMaximumItemsscanHistoryMaximumItems
Data typeData type StringaString
Valori possibiliPossible values 10000 (impostazione predefinita).10000 (default). I valori consentiti sono da 5.000 elementi a 15.000 elementi.Allowed values are from 5000 items to 15000 items.
CommentsComments Disponibile in Defender per Endpoint versione 101.04.76 o successiva.Available in Defender for Endpoint version 101.04.76 or higher.

Preferenze di protezione per il cloudCloud-delivered protection preferences

La voce cloudService nel profilo di configurazione viene utilizzata per configurare la funzionalità di protezione basata sul cloud del prodotto.The cloudService entry in the configuration profile is used to configure the cloud-driven protection feature of the product.

ChiaveKey cloudServicecloudService
Data typeData type Dizionario (preferenza annidata)Dictionary (nested preference)
CommentsComments Per una descrizione del contenuto del dizionario, vedi le sezioni seguenti.See the following sections for a description of the dictionary contents.

Abilitare/disabilitare la protezione recapitata nel cloudEnable / disable cloud delivered protection

Determina se la protezione consegnata dal cloud è abilitata o meno nel dispositivo.Determines whether cloud-delivered protection is enabled on the device or not. Per migliorare la sicurezza dei servizi, è consigliabile mantenere attivata questa funzionalità.To improve the security of your services, we recommend keeping this feature turned on.

ChiaveKey abilitatienabled
Data typeData type BooleanoBoolean
Valori possibiliPossible values true (impostazione predefinita)true (default)
falsefalse

Livello raccolta diagnosticaDiagnostic collection level

I dati di diagnostica vengono usati per mantenere Defender per Endpoint sicuro e aggiornato, rilevare, diagnosticare e risolvere i problemi e apportare miglioramenti al prodotto.Diagnostic data is used to keep Defender for Endpoint secure and up-to-date, detect, diagnose and fix problems, and also make product improvements. Questa impostazione determina il livello di diagnostica inviato dal prodotto a Microsoft.This setting determines the level of diagnostics sent by the product to Microsoft.

ChiaveKey diagnosticLeveldiagnosticLevel
Data typeData type StringaString
Valori possibiliPossible values facoltativo (impostazione predefinita)optional (default)
Obbligatoriorequired

Abilitare/disabilitare gli invii di esempio automaticiEnable / disable automatic sample submissions

Determina se i campioni sospetti (che potrebbero contenere minacce) vengono inviati a Microsoft.Determines whether suspicious samples (that are likely to contain threats) are sent to Microsoft. Esistono tre livelli per controllare l'invio di campioni:There are three levels for controlling sample submission:

  • Nessuno: nessun campione sospetto viene inviato a Microsoft.None: no suspicious samples are submitted to Microsoft.
  • Sicuro: solo i campioni sospetti che non contengono informazioni personali vengono inviati automaticamente.Safe: only suspicious samples that do not contain personally identifiable information (PII) are submitted automatically. Questo è il valore predefinito per questa impostazione.This is the default value for this setting.
  • All: tutti i campioni sospetti vengono inviati a Microsoft.All: all suspicious samples are submitted to Microsoft.
ChiaveKey automaticSampleSubmissionConsentautomaticSampleSubmissionConsent
Data typeData type StringaString
Valori possibiliPossible values nessunonone
safe (impostazione predefinita)safe (default)
allall

Abilitare/disabilitare gli aggiornamenti automatici delle funzionalità di intelligence per la sicurezzaEnable / disable automatic security intelligence updates

Determina se gli aggiornamenti delle funzionalità di intelligence per la sicurezza vengono installati automaticamente:Determines whether security intelligence updates are installed automatically:

ChiaveKey automaticDefinitionUpdateEnabledautomaticDefinitionUpdateEnabled
Data typeData type BooleanoBoolean
Valori possibiliPossible values true (impostazione predefinita)true (default)
falsefalse

Per iniziare, ti consigliamo di usare il profilo di configurazione seguente per la tua azienda per sfruttare tutte le funzionalità di protezione fornite da Defender for Endpoint.To get started, we recommend the following configuration profile for your enterprise to take advantage of all protection features that Defender for Endpoint provides.

Il profilo di configurazione seguente:The following configuration profile will:

  • Abilitare la protezione in tempo reale (RTP)Enable real-time protection (RTP)
  • Specificare la modalità di gestione dei seguenti tipi di minacce:Specify how the following threat types are handled:
    • Le applicazioni potenzialmente indesiderate sono bloccatePotentially unwanted applications (PUA) are blocked
    • Le bombe di archiviazione (file con una velocità di compressione elevata) vengono verificate nei log del prodottoArchive bombs (file with a high compression rate) are audited to the product logs
  • Abilitare gli aggiornamenti automatici delle funzionalità di intelligence per la sicurezzaEnable automatic security intelligence updates
  • Abilitare la protezione fornita dal cloudEnable cloud-delivered protection
  • Abilitare l'invio automatico di esempi a safe livelloEnable automatic sample submission at safe level

Profilo di esempioSample profile

{
   "antivirusEngine":{
      "enableRealTimeProtection":true,
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy":"http://proxy.server:port/"
   }
}

Esempio di profilo di configurazione completoFull configuration profile example

Il profilo di configurazione seguente contiene voci per tutte le impostazioni descritte in questo documento e può essere utilizzato per scenari più avanzati in cui si desidera un maggiore controllo sul prodotto.The following configuration profile contains entries for all settings described in this document and can be used for more advanced scenarios where you want more control over the product.

Profilo completoFull profile

{
   "antivirusEngine":{
      "enableRealTimeProtection":true,
      "passiveMode":false,
      "exclusionsMergePolicy":"merge",
      "exclusions":[
         {
            "$type":"excludedPath",
            "isDirectory":false,
            "path":"/var/log/system.log"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/run"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/home/*/git"
         },
         {
            "$type":"excludedFileExtension",
            "extension":".pdf"
         },
         {
            "$type":"excludedFileName",
            "name":"cat"
         }
      ],
      "allowedThreats":[
         "EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "http://proxy.server:port/"
   }
}

Convalida del profilo di configurazioneConfiguration profile validation

Il profilo di configurazione deve essere un file in formato JSON valido.The configuration profile must be a valid JSON-formatted file. Per verificarlo, è possibile utilizzare diversi strumenti.There are a number of tools that can be used to verify this. Ad esempio, se hai python installato nel dispositivo:For example, if you have python installed on your device:

python -m json.tool mdatp_managed.json

Se json è ben formato, il comando precedente lo restituisce al terminale e restituisce un codice di uscita di 0 .If the JSON is well-formed, the above command outputs it back to the Terminal and returns an exit code of 0. In caso contrario, viene visualizzato un errore che descrive il problema e il comando restituisce un codice di uscita di 1 .Otherwise, an error that describes the issue is displayed and the command returns an exit code of 1.

Verifica del funzionamento mdatp_managed.jsfile nel modo previstoVerifying that the mdatp_managed.json file is working as expected

Per verificare che /etc/opt/microsoft/mdatp/managed/mdatp_managed.jsfunzioni correttamente, dovrebbe essere visualizzato "[gestito]" accanto a queste impostazioni:To verify that your /etc/opt/microsoft/mdatp/managed/mdatp_managed.json is working properly, you should see "[managed]" next to these settings:

  • cloud_enabledcloud_enabled
  • cloud_automatic_sample_submission_consentcloud_automatic_sample_submission_consent
  • passice_mode_enabledpassice_mode_enabled
  • real_time_protection_enabledreal_time_protection_enabled
  • automatic_definition_update_enabledautomatic_definition_update_enabled

Nota

Per lmdatp_managed.jsè attivo, non è necessario riavviare il wdavdaemon.For the mdatp_managed.json to take effect, no restart of the wdavdaemon is required.

Distribuzione dei profili di configurazioneConfiguration profile deployment

Dopo aver creato il profilo di configurazione per l'organizzazione, è possibile distribuirlo tramite lo strumento di gestione utilizzato dall'organizzazione.Once you've built the configuration profile for your enterprise, you can deploy it through the management tool that your enterprise is using. Defender per Endpoint su Linux legge la configurazione gestita dal file /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.Defender for Endpoint on Linux reads the managed configuration from the /etc/opt/microsoft/mdatp/managed/mdatp_managed.json file.