Linux 上のエンドポイント用 Microsoft Defender の基本設定を設定するSet preferences for Microsoft Defender for Endpoint on Linux

適用対象:Applies to:

Defender for Endpoint を体験してみませんか?Want to experience Defender for Endpoint? 無料試用版にサインアップしてください。Sign up for a free trial.

重要

このトピックでは、エンタープライズ環境で Defender for Endpoint on Linux の基本設定を設定する方法について説明します。This topic contains instructions for how to set preferences for Defender for Endpoint on Linux in enterprise environments. コマンド ラインからデバイスで製品を構成する場合は、「Resources」を参照 してくださいIf you are interested in configuring the product on a device from the command-line, see Resources.

エンタープライズ環境では、Defender for Endpoint on Linux を構成プロファイルで管理できます。In enterprise environments, Defender for Endpoint on Linux can be managed through a configuration profile. このプロファイルは、選択した管理ツールから展開されます。This profile is deployed from the management tool of your choice. 企業が管理する基本設定は、デバイス上でローカルに設定された基本設定よりも優先されます。Preferences managed by the enterprise take precedence over the ones set locally on the device. つまり、企業のユーザーは、この構成プロファイルを介して設定された基本設定を変更できないのです。In other words, users in your enterprise are not able to change preferences that are set through this configuration profile.

この記事では、このプロファイルの構造 (開始に使用できる推奨プロファイルを含む) と、プロファイルを展開する方法について説明します。This article describes the structure of this profile (including a recommended profile that you can use to get started) and instructions on how to deploy the profile.

構成プロファイル構造Configuration profile structure

構成プロファイルは 、キーで識別されるエントリ (基本設定の名前を示す) で構成される .json ファイルで、その後に、基本設定の性質に依存する値が続きます。The configuration profile is a .json file that consists of entries identified by a key (which denotes the name of the preference), followed by a value, which depends on the nature of the preference. 数値などの単純な値や、入れ子になった基本設定のリストなどの複雑な値を指定できます。Values can be simple, such as a numerical value, or complex, such as a nested list of preferences.

通常、構成管理ツールを使用して、名前を持つファイルを場所 mdatp_managed.json にプッシュします /etc/opt/microsoft/mdatp/managed/Typically, you would use a configuration management tool to push a file with the name mdatp_managed.json at the location /etc/opt/microsoft/mdatp/managed/.

構成プロファイルのトップ レベルには、製品全体の基本設定と、製品のサブエリアのエントリが含まれています。これは、次のセクションで詳しく説明します。The top level of the configuration profile includes product-wide preferences and entries for subareas of the product, which are explained in more detail in the next sections.

ウイルス対策エンジンの基本設定Antivirus engine preferences

構成 プロファイルの antivirusEngine セクションを使用して、製品のウイルス対策コンポーネントの基本設定を管理します。The antivirusEngine section of the configuration profile is used to manage the preferences of the antivirus component of the product.

KeyKey antivirusEngineantivirusEngine
データ型Data type 辞書 (入れ子になった基本設定)Dictionary (nested preference)
コメントComments 辞書の内容の説明については、以下のセクションを参照してください。See the following sections for a description of the dictionary contents.

リアルタイム保護を有効/無効にするEnable / disable real-time protection

リアルタイム保護 (アクセス時のファイルのスキャン) を有効にするかどうかを指定します。Determines whether real-time protection (scan files as they are accessed) is enabled or not.

KeyKey enableRealTimeProtectionenableRealTimeProtection
データ型Data type BooleanBoolean
可能な値Possible values true (既定)true (default)
falsefalse

パッシブ モードを有効/無効にするEnable / disable passive mode

ウイルス対策エンジンがパッシブ モードで実行されるかどうかを決定します。Determines whether the antivirus engine runs in passive mode or not. パッシブ モードの場合:In passive mode:

  • リアルタイム保護はオフです。Real-time protection is turned off.
  • オンデマンド スキャンが有効です。On-demand scanning is turned on.
  • 脅威の自動修復が無効になります。Automatic threat remediation is turned off.
  • セキュリティ インテリジェンスの更新プログラムが有効になっている。Security intelligence updates are turned on.
  • [状態] メニュー アイコンは非表示です。Status menu icon is hidden.
KeyKey passiveModepassiveMode
データ型Data type BooleanBoolean
指定可能な値Possible values false (既定)false (default)
truetrue
コメントComments Defender for Endpoint version 100.67.60 以上で使用できます。Available in Defender for Endpoint version 100.67.60 or higher.

除外マージ ポリシーExclusion merge policy

除外のマージ ポリシーを指定します。Specifies the merge policy for exclusions. 管理者定義の除外とユーザー定義の除外 ( ) の組み合わせ、または管理者定義の除外 ( ) のみを merge 組み合わせて指定できます admin_onlyIt can be a combination of administrator-defined and user-defined exclusions (merge) or only administrator-defined exclusions (admin_only). この設定は、ローカル ユーザーが独自の除外を定義するのを制限するために使用できます。This setting can be used to restrict local users from defining their own exclusions.

KeyKey exclusionsMergePolicyexclusionsMergePolicy
データ型Data type StringString
指定可能な値Possible values merge (既定)merge (default)
admin_onlyadmin_only
コメントComments Defender for Endpoint version 100.83.73 以上で使用できます。Available in Defender for Endpoint version 100.83.73 or higher.

スキャンの除外Scan exclusions

スキャンから除外されたエンティティ。Entities that have been excluded from the scan. 除外は、完全パス、拡張子、またはファイル名で指定できます。Exclusions can be specified by full paths, extensions, or file names.

KeyKey 除外exclusions
データ型Data type 辞書 (入れ子になった基本設定)Dictionary (nested preference)
コメントComments 辞書の内容の説明については、以下のセクションを参照してください。See the following sections for a description of the dictionary contents.

除外の種類Type of exclusion

スキャンから除外されるコンテンツの種類を指定します。Specifies the type of content excluded from the scan.

KeyKey $type$type
データ型Data type StringString
指定可能な値Possible values excludedPathexcludedPath
excludedFileExtensionexcludedFileExtension
excludedFileNameexcludedFileName

除外されたコンテンツへのパスPath to excluded content

完全なファイル パスでスキャンからコンテンツを除外するために使用します。Used to exclude content from the scan by full file path.

KeyKey pathpath
データ型Data type StringString
指定可能な値Possible values 有効なパスvalid paths
コメントComments 適用 できるのは、$type**が excludedPath である場合のみです。Applicable only if $type is excludedPath

パスの種類 (ファイル/ディレクトリ)Path type (file / directory)

path プロパティがファイルまたはディレクトリを参照しているかどうかを示します。Indicates if the path property refers to a file or directory.

KeyKey isDirectoryisDirectory
データ型Data type BooleanBoolean
指定可能な値Possible values false (既定)false (default)
truetrue
コメントComments 適用 できるのは、$type**が excludedPath である場合のみです。Applicable only if $type is excludedPath

スキャンから除外されたファイル拡張子File extension excluded from the scan

ファイル拡張子でスキャンからコンテンツを除外するために使用します。Used to exclude content from the scan by file extension.

KeyKey 拡張機能extension
データ型Data type StringString
指定可能な値Possible values 有効なファイル拡張子valid file extensions
コメントComments 適用 できるのは 、$type FileExtension が 除外されている場合のみです。Applicable only if $type is excludedFileExtension

スキャンから除外されるプロセスProcess excluded from the scan

すべてのファイル アクティビティがスキャンから除外されるプロセスを指定します。Specifies a process for which all file activity is excluded from scanning. プロセスは、名前 (たとえば) または完全パス cat (たとえば) で指定できます /bin/catThe process can be specified either by its name (for example, cat) or full path (for example, /bin/cat).

KeyKey namename
データ型Data type StringString
指定可能な値Possible values 任意の文字列any string
コメントComments ファイルが excludedFileName $type**場合にのみ適用されます。Applicable only if $type is excludedFileName

許可される脅威Allowed threats

製品によってブロックされ、代わりに実行が許可されている脅威の一覧 (名前で識別されます)。List of threats (identified by their name) that are not blocked by the product and are instead allowed to run.

KeyKey allowedThreatsallowedThreats
データ型Data type 文字列の配列Array of strings

禁止された脅威アクションDisallowed threat actions

脅威が検出された場合にデバイスのローカル ユーザーが実行できるアクションを制限します。Restricts the actions that the local user of a device can take when threats are detected. この一覧に含まれるアクションは、ユーザー インターフェイスには表示されません。The actions included in this list are not displayed in the user interface.

KeyKey disallowedThreatActionsdisallowedThreatActions
データ型Data type 文字列の配列Array of strings
可能な値Possible values allow (ユーザーによる脅威の許可を制限する)allow (restricts users from allowing threats)
復元 (検疫からの脅威の復元をユーザーに制限する)restore (restricts users from restoring threats from the quarantine)
コメントComments Defender for Endpoint version 100.83.73 以上で使用できます。Available in Defender for Endpoint version 100.83.73 or higher.

脅威の種類の設定Threat type settings

ウイルス 対策エンジンの threatTypeSettings 基本設定は、製品による特定の脅威の種類の処理方法を制御するために使用されます。The threatTypeSettings preference in the antivirus engine is used to control how certain threat types are handled by the product.

KeyKey threatTypeSettingsthreatTypeSettings
データ型Data type 辞書 (入れ子になった基本設定)Dictionary (nested preference)
コメントComments 辞書の内容の説明については、以下のセクションを参照してください。See the following sections for a description of the dictionary contents.

脅威の種類Threat type

動作が構成されている脅威の種類。Type of threat for which the behavior is configured.

KeyKey キーkey
データ型Data type StringString
指定可能な値Possible values potentially_unwanted_applicationpotentially_unwanted_application
archive_bombarchive_bomb

実行する操作Action to take

前のセクションで指定した種類の脅威に出く際に実行するアクション。Action to take when coming across a threat of the type specified in the preceding section. 次の指定が可能です。Can be:

  • 監査: デバイスは、この種類の脅威から保護されませんが、脅威に関するエントリがログに記録されます。Audit: The device is not protected against this type of threat, but an entry about the threat is logged.
  • ブロック: デバイスは、この種類の脅威から保護され、セキュリティ コンソールで通知されます。Block: The device is protected against this type of threat and you are notified in the security console.
  • オフ: デバイスは、この種類の脅威から保護され、何もログに記録されません。Off: The device is not protected against this type of threat and nothing is logged.
KeyKey value
データ型Data type StringString
指定可能な値Possible values 監査 (既定)audit (default)
blockblock
offoff

脅威の種類の設定の差し込みポリシーThreat type settings merge policy

脅威の種類の設定のマージ ポリシーを指定します。Specifies the merge policy for threat type settings. これは、管理者定義設定とユーザー定義設定 ( ) の組み合わせか、管理者定義の設定 ( ) のみを merge 組み合わせて使用できます admin_onlyThis can be a combination of administrator-defined and user-defined settings (merge) or only administrator-defined settings (admin_only). この設定を使用すると、ローカル ユーザーがさまざまな脅威の種類に対して独自の設定を定義するのを制限できます。This setting can be used to restrict local users from defining their own settings for different threat types.

KeyKey threatTypeSettingsMergePolicythreatTypeSettingsMergePolicy
データ型Data type StringString
指定可能な値Possible values merge (既定)merge (default)
admin_onlyadmin_only
コメントComments Defender for Endpoint version 100.83.73 以上で使用できます。Available in Defender for Endpoint version 100.83.73 or higher.

ウイルス対策スキャン履歴の保持 (日数)Antivirus scan history retention (in days)

デバイスのスキャン履歴に結果が保持される日数を指定します。Specify the number of days that results are retained in the scan history on the device. 古いスキャン結果は履歴から削除されます。Old scan results are removed from the history. ディスクから削除された古い検疫済みファイル。Old quarantined files that are also removed from the disk.

KeyKey scanResultsRetentionDaysscanResultsRetentionDays
データ型Data type StringString
指定可能な値Possible values 90 (既定)。90 (default). 使用できる値は、1 日から 180 日です。Allowed values are from 1 day to 180 days.
コメントComments Defender for Endpoint version 101.04.76 以上で使用できます。Available in Defender for Endpoint version 101.04.76 or higher.

ウイルス対策スキャン履歴内のアイテムの最大数Maximum number of items in the antivirus scan history

スキャン履歴に保持するエントリの最大数を指定します。Specify the maximum number of entries to keep in the scan history. エントリには、過去に実行されたオンデマンド スキャンとすべてのウイルス対策検出が含まれます。Entries include all on-demand scans performed in the past and all antivirus detections.

KeyKey scanHistoryMaximumItemsscanHistoryMaximumItems
データ型Data type StringString
指定可能な値Possible values 10000 (既定値)。10000 (default). 許可される値は、5000 アイテムから 15,000 アイテムまでです。Allowed values are from 5000 items to 15000 items.
コメントComments Defender for Endpoint version 101.04.76 以上で使用できます。Available in Defender for Endpoint version 101.04.76 or higher.

クラウドによる保護の基本設定Cloud-delivered protection preferences

構成 プロファイルの cloudService エントリを使用して、製品のクラウド駆動型保護機能を構成します。The cloudService entry in the configuration profile is used to configure the cloud-driven protection feature of the product.

KeyKey cloudServicecloudService
データ型Data type 辞書 (入れ子になった基本設定)Dictionary (nested preference)
コメントComments 辞書の内容の説明については、以下のセクションを参照してください。See the following sections for a description of the dictionary contents.

クラウド配信保護を有効/無効にするEnable / disable cloud delivered protection

デバイスでクラウド配信の保護を有効にするかどうかを指定します。Determines whether cloud-delivered protection is enabled on the device or not. サービスのセキュリティを向上させるために、この機能を有効にすることをお勧めします。To improve the security of your services, we recommend keeping this feature turned on.

KeyKey enabledenabled
データ型Data type BooleanBoolean
可能な値Possible values true (既定)true (default)
falsefalse

診断コレクション レベルDiagnostic collection level

診断データは、Defender for Endpoint を安全かつ最新の状態に保ち、問題を検出、診断、修正し、製品の改善を行う場合に使用されます。Diagnostic data is used to keep Defender for Endpoint secure and up-to-date, detect, diagnose and fix problems, and also make product improvements. この設定は、製品から Microsoft に送信される診断のレベルを決定します。This setting determines the level of diagnostics sent by the product to Microsoft.

KeyKey diagnosticLeveldiagnosticLevel
データ型Data type StringString
指定可能な値Possible values 省略可能 (既定)optional (default)
必須required

自動サンプル申請を有効または無効にするEnable / disable automatic sample submissions

疑わしいサンプル (脅威を含む可能性が高い) を Microsoft に送信するかどうかを決定します。Determines whether suspicious samples (that are likely to contain threats) are sent to Microsoft. サンプル申請を制御するには、次の 3 つのレベルがあります。There are three levels for controlling sample submission:

  • なし: 疑わしいサンプルは Microsoft に送信されません。None: no suspicious samples are submitted to Microsoft.
  • 安全: 個人を特定できる情報 (PII) を含む疑わしいサンプルだけが自動的に送信されます。Safe: only suspicious samples that do not contain personally identifiable information (PII) are submitted automatically. これは、この設定の既定値です。This is the default value for this setting.
  • すべて: すべての疑わしいサンプルが Microsoft に送信されます。All: all suspicious samples are submitted to Microsoft.
KeyKey automaticSampleSubmissionConsentautomaticSampleSubmissionConsent
データ型Data type StringString
指定可能な値Possible values nonenone
safe (既定)safe (default)
すべてのall

セキュリティ インテリジェンスの自動更新を有効または無効にするEnable / disable automatic security intelligence updates

セキュリティ インテリジェンスの更新プログラムが自動的にインストールされるかどうかを決定します。Determines whether security intelligence updates are installed automatically:

KeyKey automaticDefinitionUpdateEnabledautomaticDefinitionUpdateEnabled
データ型Data type BooleanBoolean
可能な値Possible values true (既定)true (default)
falsefalse

開始するには、Defender for Endpoint が提供するすべての保護機能を利用するために、企業の次の構成プロファイルをお勧めします。To get started, we recommend the following configuration profile for your enterprise to take advantage of all protection features that Defender for Endpoint provides.

次の構成プロファイルは次のようになります。The following configuration profile will:

  • リアルタイム保護を有効にする (RTP)Enable real-time protection (RTP)
  • 次の脅威の種類の処理方法を指定します。Specify how the following threat types are handled:
    • 望ましくない可能性のあるアプリケーション (PUA) が ブロックされるPotentially unwanted applications (PUA) are blocked
    • アーカイブボム (圧縮率が高いファイル) は、製品ログに対して監査されますArchive bombs (file with a high compression rate) are audited to the product logs
  • セキュリティ インテリジェンスの自動更新を有効にするEnable automatic security intelligence updates
  • クラウドによる保護を有効にするEnable cloud-delivered protection
  • レベルで自動サンプル提出を safe 有効にするEnable automatic sample submission at safe level

サンプル プロファイルSample profile

{
   "antivirusEngine":{
      "enableRealTimeProtection":true,
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy":"http://proxy.server:port/"
   }
}

完全な構成プロファイルの例Full configuration profile example

次の構成プロファイルには、このドキュメントで説明されているすべての設定のエントリが含まれています。製品を詳細に制御する高度なシナリオに使用できます。The following configuration profile contains entries for all settings described in this document and can be used for more advanced scenarios where you want more control over the product.

フル プロファイルFull profile

{
   "antivirusEngine":{
      "enableRealTimeProtection":true,
      "passiveMode":false,
      "exclusionsMergePolicy":"merge",
      "exclusions":[
         {
            "$type":"excludedPath",
            "isDirectory":false,
            "path":"/var/log/system.log"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/home"
         },
         {
            "$type":"excludedFileExtension",
            "extension":"pdf"
         },
         {
            "$type":"excludedFileName",
            "name":"cat"
         }
      ],
      "allowedThreats":[
         "EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "http://proxy.server:port/"
   }
}

構成プロファイルの検証Configuration profile validation

構成プロファイルは、有効な JSON 形式のファイルである必要があります。The configuration profile must be a valid JSON-formatted file. これを確認するために使用できるツールは多数ある。There are a number of tools that can be used to verify this. たとえば、デバイスにインストール python されている場合は、次の情報を使用します。For example, if you have python installed on your device:

python -m json.tool mdatp_managed.json

JSON が整形式の場合、上記のコマンドはターミナルに出力し、終了コードを返します 0If the JSON is well-formed, the above command outputs it back to the Terminal and returns an exit code of 0. それ以外の場合は、問題を説明するエラーが表示され、コマンドは終了コードを返します 1Otherwise, an error that describes the issue is displayed and the command returns an exit code of 1.

ファイル上のmdatp_managed.jsが正常に動作しているのを確認するVerifying that the mdatp_managed.json file is working as expected

/etc/opt/microsoft/mdatp/managed/mdatp_managed.jsが正しく動作することを確認するには、次の設定の横に "[managed]" と表示されます。To verify that your /etc/opt/microsoft/mdatp/managed/mdatp_managed.json is working properly, you should see "[managed]" next to these settings:

  • cloud_enabledcloud_enabled
  • cloud_automatic_sample_submission_consentcloud_automatic_sample_submission_consent
  • passice_mode_enabledpassice_mode_enabled
  • real_time_protection_enabledreal_time_protection_enabled
  • automatic_definition_update_enabledautomatic_definition_update_enabled

注意

有効にmdatp_managed.js、wdavdaemon の再起動は必要ありません。For the mdatp_managed.json to take effect, no restart of the wdavdaemon is required.

構成プロファイルの展開Configuration profile deployment

企業の構成プロファイルを構築したら、企業が使用している管理ツールを使用して展開できます。Once you've built the configuration profile for your enterprise, you can deploy it through the management tool that your enterprise is using. Defender for Endpoint on Linux は 、/etc/opt/microsoft/mdatp/managed/mdatp_managed.jsファイルから管理構成を読み取 ります。Defender for Endpoint on Linux reads the managed configuration from the /etc/opt/microsoft/mdatp/managed/mdatp_managed.json file.