Angi innstillinger for Microsoft Defender for endepunkt på Linux
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Viktig
Dette emnet inneholder instruksjoner for hvordan du angir innstillinger for Defender for Endpoint på Linux i bedriftsmiljøer. Hvis du er interessert i å konfigurere produktet på en enhet fra kommandolinjen, kan du se Ressurser.
I bedriftsmiljøer kan Defender for Endpoint på Linux administreres gjennom en konfigurasjonsprofil. Denne profilen distribueres fra det administreringsverktøyet du ønsker. Innstillinger som administreres av virksomheten, har forrang over de som er angitt lokalt på enheten. Brukere i virksomheten kan med andre ord ikke endre preferanser som er angitt gjennom denne konfigurasjonsprofilen. Hvis utelatelser ble lagt til via den administrerte konfigurasjonsprofilen, kan de bare fjernes via den administrerte konfigurasjonsprofilen. Kommandolinjen fungerer for utelatelser som ble lagt til lokalt.
Denne artikkelen beskriver strukturen i denne profilen (inkludert en anbefalt profil som du kan bruke til å komme i gang) og instruksjoner om hvordan du distribuerer profilen.
Struktur for konfigurasjonsprofil
Konfigurasjonsprofilen er en .json fil som består av oppføringer som identifiseres av en nøkkel (som angir navnet på preferansen), etterfulgt av en verdi, som avhenger av hva preferansen foretrekker. Verdier kan være enkle, for eksempel en numerisk verdi eller kompleks, for eksempel en nestet liste over innstillinger.
Vanligvis bruker du et konfigurasjonsbehandlingsverktøy til å sende en fil med navnet mdatp_managed.json på plasseringen /etc/opt/microsoft/mdatp/managed/.
Det øverste nivået i konfigurasjonsprofilen inkluderer produktomfattende innstillinger og oppføringer for underområder av produktet, som forklares mer detaljert i de neste delene.
Innstillinger for antivirusmotor
Antivirusengine-delen av konfigurasjonsprofilen brukes til å administrere innstillingene for antiviruskomponenten for produktet.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | antivirusengin |
| Datatype | Ordliste (nestet innstilling) |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Håndhevelsesnivå for antivirusmotor
Angir håndhevelsesinnstillingen for antivirusmotoren. Det finnes tre verdier for å angi håndhevelsesnivå:
- Sanntid (
real_time): Sanntidsbeskyttelse (skanne filer etter hvert som de endres) er aktivert. - Behovsbetingede (
on_demand): Filer skannes bare ved behov. I dette:- Sanntidsbeskyttelse er deaktivert.
- Passiv (
passive): Kjører antivirusmotoren i passiv modus. I dette:- Sanntidsbeskyttelse er deaktivert: Trusler utbedres ikke av Microsoft Defender Antivirus.
- Skanning ved behov er aktivert: Bruk likevel skannefunksjonene på endepunktet.
- Automatisk utbedring av trusler er deaktivert: Ingen filer flyttes, og sikkerhetsadministratoren forventes å utføre nødvendige tiltak.
- Sikkerhetsanalyseoppdateringer er aktivert: Varsler vil være tilgjengelige for sikkerhetsadministratorer-tenanten.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | håndhevelsesnivå |
| Datatype | Streng |
| Mulige verdier | real_time on_demand passiv (standard) |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.10.72 eller nyere. Standard er endret fra real_time til passiv for endepunktversjon 101.23062.0001 eller nyere. |
Aktiver/deaktiver overvåking av virkemåte
Bestemmer om virkemåteovervåking og blokkeringsfunksjonalitet er aktivert på enheten eller ikke.
Obs!
Denne funksjonen gjelder bare når Real-Time Protection-funksjonen er aktivert.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | behaviorMonitoring |
| Datatype | Streng |
| Mulige verdier | deaktivert (standard) Aktivert |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.45.00 eller nyere. |
Kjør en skanning etter at definisjoner er oppdatert
Angir om du vil starte en prosessskanning etter at nye sikkerhetsanalyseoppdateringer er lastet ned på enheten. Aktivering av denne innstillingen utløser en antivirusskanning på prosessene som kjører på enheten.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | scanAfterDefinitionUpdate |
| Datatype | Boolsk |
| Mulige verdier | sann (standard) Falske |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.45.00 eller nyere. |
Skanne arkiver (bare på forespørsel antivirusskanninger)
Angir om du vil skanne arkiver under behovsbetingede antivirusskanninger.
Obs!
Arkivfiler skannes aldri under beskyttelse i sanntid. Når filene i et arkiv pakkes ut, skannes de. Alternativet scanArchives kan brukes til å fremtvinge skanning av arkiver bare under behovsbetingede skanninger.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | scanArchives |
| Datatype | Boolsk |
| Mulige verdier | sann (standard) Falske |
| Kommentarer | Tilgjengelig i Microsoft Defender for endepunkt versjon 101.45.00 eller nyere. |
Graden av parallellitet for behovsbetingede skanninger
Angir graden av parallellitet for behovsbetingede skanninger. Dette tilsvarer antall tråder som brukes til å utføre skanningen og påvirker CPU-bruken, og varigheten av den behovsbetingede skanningen.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | maximumOnDemandScanThreads |
| Datatype | Heltall |
| Mulige verdier | 2 (standard). Tillatte verdier er heltall mellom 1 og 64. |
| Kommentarer | Tilgjengelig i Microsoft Defender for endepunkt versjon 101.45.00 eller nyere. |
Policy for utelukkelsesfletting
Angir flettepolicyen for utelatelser. Det kan være en kombinasjon av administratordefinerte og brukerdefinerte utelatelser (merge) eller bare administratordefinerte utelatelser (admin_only). Denne innstillingen kan brukes til å begrense lokale brukere fra å definere sine egne utelatelser.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | exclusionsMergePolicy |
| Datatype | Streng |
| Mulige verdier | fletting (standard) admin_only |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 100.83.73 eller nyere. |
Skann utelatelser
Enheter som er utelatt fra skanningen. Unntak kan angis med fullstendige baner, filtyper eller filnavn. (Unntak angis som en matrise med elementer, administrator kan angi så mange elementer som nødvendig, i hvilken som helst rekkefølge.)
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | Utelukkelser |
| Datatype | Ordliste (nestet innstilling) |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Type utelukkelse
Angir innholdstypen som er utelatt fra skanningen.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | $type |
| Datatype | Streng |
| Mulige verdier | excludedPath excludedFileExtension excludedFileName |
Bane til utelatt innhold
Brukes til å utelate innhold fra skanningen etter fullstendig filbane.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | Banen |
| Datatype | Streng |
| Mulige verdier | gyldige baner |
| Kommentarer | Gjelder bare hvis $type er ekskludertPath |
Banetype (fil/katalog)
Angir om baneegenskapen refererer til en fil eller katalog.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | isDirectory |
| Datatype | Boolsk |
| Mulige verdier | usann (standard) Sant |
| Kommentarer | Gjelder bare hvis $type er ekskludertPath |
Filtype utelatt fra skanningen
Brukes til å utelate innhold fra skanningen etter filtype.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | Forlengelsen |
| Datatype | Streng |
| Mulige verdier | gyldige filtyper |
| Kommentarer | Gjelder bare hvis $type er utelattFileExtension |
Prosessen er utelatt fra skanningen*
Angir en prosess der all filaktivitet utelates fra skanning. Prosessen kan angis enten med navnet (for eksempel cat) eller den fullstendige banen (for eksempel /bin/cat).
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | navn |
| Datatype | Streng |
| Mulige verdier | hvilken som helst streng |
| Kommentarer | Gjelder bare hvis $type er utelattFilnavn |
Demper ikke Exec-monteringer
Angir virkemåten til RTP på monteringspunkt merket som noexec. Det finnes to verdier for innstilling:
- Opphev demping (
unmute): Standardverdien, alle monteringspunkter skannes som en del av RTP. - Dempet (
mute): Monteringspunkter merket som noexec skannes ikke som en del av RTP, disse monteringspunktene kan opprettes for:- Databasefiler på databaseservere for å beholde databasefiler.
- Filserveren kan beholde datafiler med noexec-alternativ.
- Sikkerhetskopiering kan beholde datafiler med noexec-alternativ.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | nonExecMountPolicy |
| Datatype | Streng |
| Mulige verdier | opphev demping (standard) Mute |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.85.27 eller nyere. |
Uovervåk filsystemer
Konfigurer filsystemer som skal uovervåkes/utelates fra Sanntidsbeskyttelse (RTP). De konfigurerte filsystemene valideres mot Microsoft Defender liste over tillatte filsystemer. Bare etter vellykket validering, vil filsystemet få lov til å være uovervåket. Disse konfigurerte uovervåkede filsystemene skannes fortsatt av hurtigskanninger, fullstendige skanninger og egendefinerte skanninger.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | uovervåkedeFilesystems |
| Datatype | Matrise med strenger |
| Kommentarer | Konfigurert filsystem blir bare uovervåket hvis det finnes i Microsofts liste over tillatte uovervåkede filsystemer. |
NFS og Fuse er som standard uovervåket fra RTP-, Quick- og Full-skanninger. De kan imidlertid fortsatt skannes av en egendefinert skanning. Hvis du for eksempel vil fjerne NFS fra listen over uovervåkede filsystemer, oppdaterer du den administrerte konfigurasjonsfilen som vist nedenfor. Dette legger automatisk til NFS i listen over overvåkede filsystemer for RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Hvis du vil fjerne både NFS og Fuse fra uovervåket liste over filsystemer, gjør du følgende:
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Obs!
Nedenfor finner du standardlisten over overvåkede filsystemer for RTP –
[btrfs, ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, reiserfs, tmpfs, vfat, xfs]
Hvis et overvåket filsystem må legges til i listen over uovervåkede filsystemer, må det evalueres og aktiveres av Microsoft via skykonfigurasjon. Etter hvilke kunder som kan oppdatere managed_mdatp.json til å uovervåke dette filsystemet.
Konfigurer funksjonen for hash-kode for fil
Aktiverer eller deaktiverer funksjonen for hash-kode for fil. Når denne funksjonen er aktivert, beregner Defender for Endpoint hash-koder for filer den skanner. Vær oppmerksom på at aktivering av denne funksjonen kan påvirke enhetsytelsen. Hvis du vil ha mer informasjon, kan du se: Opprett indikatorer for filer.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | enableFileHashComputation |
| Datatype | Boolsk |
| Mulige verdier | usann (standard) Sant |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.85.27 eller nyere. |
Tillatte trusler
Liste over trusler (identifisert med navnet) som ikke er blokkert av produktet, og som i stedet har tillatelse til å kjøre.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | allowedThreats |
| Datatype | Matrise med strenger |
Ikke tillatte trusselhandlinger
Begrenser handlingene som den lokale brukeren av en enhet kan utføre når trusler oppdages. Handlingene som er inkludert i denne listen, vises ikke i brukergrensesnittet.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | disallowedThreatActions |
| Datatype | Matrise med strenger |
| Mulige verdier | tillat (begrenser brukere fra å tillate trusler) gjenoppretting (begrenser brukere fra å gjenopprette trusler fra karantene) |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 100.83.73 eller nyere. |
Innstillinger for trusseltype
ThreatTypeSettings-preferansen i antivirusmotoren brukes til å kontrollere hvordan visse trusseltyper håndteres av produktet.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | threatTypeSettings |
| Datatype | Ordliste (nestet innstilling) |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Trusseltype
Type trussel som virkemåten er konfigurert for.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | Nøkkel |
| Datatype | Streng |
| Mulige verdier | potentially_unwanted_application archive_bomb |
Handling som skal utføres
Handling som skal utføres når du kommer over en trussel av typen som er angitt i forrige del. Kan være:
- Overvåking: Enheten er ikke beskyttet mot denne typen trussel, men en oppføring om trusselen logges.
- Blokk: Enheten er beskyttet mot denne typen trussel, og du blir varslet i sikkerhetskonsollen.
- Av: Enheten er ikke beskyttet mot denne typen trussel, og ingenting logges.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | Verdi |
| Datatype | Streng |
| Mulige verdier | overvåking (standard) blokk Av |
Policy for sammenslåing av trusseltypeinnstillinger
Angir flettepolicyen for innstillinger for trusseltype. Dette kan være en kombinasjon av administratordefinerte og brukerdefinerte innstillinger (merge) eller bare administratordefinerte innstillinger (admin_only). Denne innstillingen kan brukes til å begrense lokale brukere fra å definere sine egne innstillinger for ulike trusseltyper.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | threatTypeSettingsMergePolicy |
| Datatype | Streng |
| Mulige verdier | fletting (standard) admin_only |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 100.83.73 eller nyere. |
Oppbevaring av antivirusskanningslogg (i dager)
Angi antall dager resultatene beholdes i skanneloggen på enheten. Gamle skanneresultater fjernes fra loggen. Gamle filer i karantene som også fjernes fra disken.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | scanResultsRetentionDays |
| Datatype | Streng |
| Mulige verdier | 90 (standard). Tillatte verdier er fra 1 dag til 180 dager. |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.04.76 eller nyere. |
Maksimalt antall elementer i loggen for antivirusskanning
Angi maksimalt antall oppføringer som skal beholdes i skanneloggen. Oppføringer omfatter alle behovsbetingede skanninger utført tidligere og alle antivirusregistreringer.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | scanHistoryMaximumItems |
| Datatype | Streng |
| Mulige verdier | 10000 (standard). Tillatte verdier er fra 5000 elementer til 15 000 elementer. |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.04.76 eller nyere. |
Avanserte skannealternativer
Følgende innstillinger kan konfigureres for å aktivere bestemte avanserte skannefunksjoner.
Obs!
Aktivering av disse funksjonene kan påvirke enhetsytelsen. Derfor anbefales det å beholde standardinnstillingene.
Konfigurer skanning av hendelser for filmodifiserende tillatelser
Når denne funksjonen er aktivert, skanner Defender for Endpoint filer når tillatelsene er endret for å angi utføringsbitene.
Obs!
Denne funksjonen gjelder bare når enableFilePermissionEvents funksjonen er aktivert. Hvis du vil ha mer informasjon, kan du se avsnittet Avanserte valgfrie funksjoner nedenfor for mer informasjon.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | scanFileModifyPermissions |
| Datatype | Boolsk |
| Mulige verdier | usann (standard) Sant |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.23062.0010 eller nyere. |
Konfigurere skanning av eierskapshendelser for filmodifiserende
Når denne funksjonen er aktivert, skanner Defender for Endpoint filer som eierskapet er endret for.
Obs!
Denne funksjonen gjelder bare når enableFileOwnershipEvents funksjonen er aktivert. Hvis du vil ha mer informasjon, kan du se avsnittet Avanserte valgfrie funksjoner nedenfor for mer informasjon.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | scanFileModifyOwnership |
| Datatype | Boolsk |
| Mulige verdier | usann (standard) Sant |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.23062.0010 eller nyere. |
Konfigurer skanning av rå sockethendelser
Når denne funksjonen er aktivert, skanner Defender for Endpoint nettverkskontakthendelser, for eksempel opprettelse av rå stikkontakter/pakkekontakter eller å angi socket-alternativet.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
Obs!
Denne funksjonen gjelder bare når enableRawSocketEvent funksjonen er aktivert. Hvis du vil ha mer informasjon, kan du se avsnittet Avanserte valgfrie funksjoner nedenfor for mer informasjon.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | scanNetworkSocketEvent |
| Datatype | Boolsk |
| Mulige verdier | usann (standard) Sant |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.23062.0010 eller nyere. |
Skyleverte beskyttelsesinnstillinger
CloudService-oppføringen i konfigurasjonsprofilen brukes til å konfigurere den skydrevne beskyttelsesfunksjonen for produktet.
Obs!
Skybasert beskyttelse gjelder for eventuelle innstillinger for håndhevelsesnivå (real_time, on_demand, passiv).
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | cloudService |
| Datatype | Ordliste (nestet innstilling) |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Aktiver/deaktiver skybasert levert beskyttelse
Bestemmer om skybasert beskyttelse er aktivert på enheten eller ikke. Hvis du vil forbedre sikkerheten til tjenestene, anbefaler vi at du holder denne funksjonen aktivert.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | Aktivert |
| Datatype | Boolsk |
| Mulige verdier | sann (standard) Falske |
Diagnosedatasamlingsnivå
Diagnosedata brukes til å holde Defender for endepunkt sikkert og oppdatert, oppdage, diagnostisere og løse problemer og også gjøre produktforbedringer. Denne innstillingen bestemmer diagnosenivået som sendes av produktet til Microsoft.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | diagnosticLevel |
| Datatype | Streng |
| Mulige verdier | Valgfritt obligatorisk (standard) |
Konfigurer skyblokknivå
Denne innstillingen bestemmer hvor aggressiv Defender for Endpoint er når det gjelder blokkering og skanning av mistenkelige filer. Hvis denne innstillingen er aktivert, er Defender for Endpoint mer aggressiv når du identifiserer mistenkelige filer som skal blokkeres og skannes. Ellers er det mindre aggressivt og blokkerer og skanner derfor med mindre frekvens.
Det finnes fem verdier for å angi skyblokknivå:
- Normal (
normal): Standard blokkeringsnivå. - Moderat (
moderate): Leverer dom bare for oppdagelser med høy konfidens. - Høy (
high): Blokkerer ukjente filer aggressivt mens du optimaliserer for ytelse (større sjanse for å blokkere ikke-skadelige filer). - High Plus (
high_plus): Blokkerer ukjente filer aggressivt og bruker ekstra beskyttelsestiltak (kan påvirke klientens enhetsytelse). - Nulltoleranse (
zero_tolerance): Blokkerer alle ukjente programmer.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | cloudBlockLevel |
| Datatype | Streng |
| Mulige verdier | normal (standard) Moderat Høy high_plus zero_tolerance |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.56.62 eller nyere. |
Aktiver/deaktiver automatiske eksempelinnsendinger
Bestemmer om mistenkelige eksempler (som sannsynligvis inneholder trusler) sendes til Microsoft. Det finnes tre nivåer for å kontrollere innsending av eksempler:
- Ingen: ingen mistenkelige eksempler sendes til Microsoft.
- Trygt: Bare mistenkelige eksempler som ikke inneholder personlig identifiserbar informasjon (PII), sendes automatisk. Dette er standardverdien for denne innstillingen.
- Alle: alle mistenkelige eksempler sendes til Microsoft.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | automaticSampleSubmissionConsent |
| Datatype | Streng |
| Mulige verdier | Ingen sikker (standard) Alle |
Aktiver/deaktiver automatiske sikkerhetsopplysninger
Bestemmer om sikkerhetsanalyseoppdateringer installeres automatisk:
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | automaticDefinitionUpdateEnabled |
| Datatype | Boolsk |
| Mulige verdier | sann (standard) Falske |
Avanserte valgfrie funksjoner
Følgende innstillinger kan konfigureres for å aktivere bestemte avanserte funksjoner.
Obs!
Aktivering av disse funksjonene kan påvirke enhetsytelsen. Det anbefales å beholde standardinnstillingene.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | Funksjoner |
| Datatype | Ordliste (nestet innstilling) |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Modulinnlastingsfunksjon
Bestemmer om modulinnlastingshendelser (filåpningshendelser på delte biblioteker) overvåkes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | moduleLoad |
| Datatype | Streng |
| Mulige verdier | deaktivert (standard) Aktivert |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.68.80 eller nyere. |
Tilleggssensorkonfigurasjoner
Følgende innstillinger kan brukes til å konfigurere visse avanserte tilleggssensorfunksjoner.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | supplementarySensorConfigurations |
| Datatype | Ordliste (nestet innstilling) |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Konfigurer overvåking av hendelser for filmodifiserende tillatelser
Bestemmer om hendelser for filmodifiserende tillatelser (chmod) overvåkes.
Obs!
Når denne funksjonen er aktivert, overvåker Defender for Endpoint endringer i utføringsbitene av filer, men skanner ikke disse hendelsene. Hvis du vil ha mer informasjon, kan du se avsnittet Avanserte skannefunksjoner for mer informasjon.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | enableFilePermissionEvents |
| Datatype | Streng |
| Mulige verdier | deaktivert (standard) Aktivert |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.23062.0010 eller nyere. |
Konfigurer overvåking av eierskapshendelser for filmodifiserende
Bestemmer om eierskapshendelser (chown) overvåkes.
Obs!
Når denne funksjonen er aktivert, vil Defender for Endpoint overvåke endringer i eierskapet til filer, men ikke skanne disse hendelsene. Hvis du vil ha mer informasjon, kan du se avsnittet Avanserte skannefunksjoner for mer informasjon.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | enableFileOwnershipEvents |
| Datatype | Streng |
| Mulige verdier | deaktivert (standard) Aktivert |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.23062.0010 eller nyere. |
Konfigurer overvåking av rå sockethendelser
Bestemmer om nettverkskontakthendelser som involverer oppretting av rå stikkontakter/pakkekontakter, eller om du angir socket-alternativet, overvåkes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
Obs!
Når denne funksjonen er aktivert, vil Defender for Endpoint overvåke disse nettverkskontakthendelsene, men ikke skanne disse hendelsene. Hvis du vil ha mer informasjon, kan du se delen Avanserte skannefunksjoner ovenfor for mer informasjon.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | enableRawSocketEvent |
| Datatype | Streng |
| Mulige verdier | deaktivert (standard) Aktivert |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.23062.0010 eller nyere. |
Konfigurer overvåking av oppstartslasterhendelser
Bestemmer om oppstartslasterhendelser overvåkes og skannes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | enableBootLoaderCalls |
| Datatype | Streng |
| Mulige verdier | deaktivert (standard) Aktivert |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.68.80 eller nyere. |
Konfigurer overvåking av sporingshendelser
Bestemmer om sporingshendelser overvåkes og skannes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | enableProcessCalls |
| Datatype | Streng |
| Mulige verdier | deaktivert (standard) Aktivert |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.68.80 eller nyere. |
Konfigurer overvåking av pseudof-hendelser
Bestemmer om pseudof-hendelser overvåkes og skannes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | enablePseudofsCalls |
| Datatype | Streng |
| Mulige verdier | deaktivert (standard) Aktivert |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.68.80 eller nyere. |
Konfigurer overvåking av modulinnlastingshendelser ved hjelp av eBPF
Bestemmer om modulinnlastingshendelser overvåkes ved hjelp av eBPF og skannes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | enableEbpfModuleLoadEvents |
| Datatype | Streng |
| Mulige verdier | deaktivert (standard) Aktivert |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.68.80 eller nyere. |
Rapporter AV mistenkelige hendelser til EDR
Bestemmer om mistenkelige hendelser fra Antivirus rapporteres til EDR.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | sendLowfiEvents |
| Datatype | Streng |
| Mulige verdier | deaktivert (standard) Aktivert |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.23062.0010 eller nyere. |
Konfigurasjoner for nettverksbeskyttelse
Følgende innstillinger kan brukes til å konfigurere avanserte inspeksjonsfunksjoner for nettverksbeskyttelse for å kontrollere hvilken trafikk som undersøkes av Nettverksbeskyttelse.
Obs!
For at disse skal være effektive, må nettverksbeskyttelse være slått på. Hvis du vil ha mer informasjon, kan du se Slå på nettverksbeskyttelse for Linux.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | networkProtection |
| Datatype | Ordliste (nestet innstilling) |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Konfigurer ICMP-inspeksjon
Bestemmer om ICMP-hendelser overvåkes og skannes.
Obs!
Denne funksjonen gjelder bare når virkemåteovervåking er aktivert.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | disableIcmpInspection |
| Datatype | Boolsk |
| Mulige verdier | sann (standard) Falske |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.23062.0010 eller nyere. |
Anbefalt konfigurasjonsprofil
For å komme i gang anbefaler vi følgende konfigurasjonsprofil for virksomheten å dra nytte av alle beskyttelsesfunksjoner som Defender for Endpoint tilbyr.
Følgende konfigurasjonsprofil vil:
- Aktiver sanntidsbeskyttelse (RTP)
- Angi hvordan følgende trusseltyper håndteres:
- Potensielt uønskede programmer (PUA) blokkeres
- Arkivbomber (fil med høy komprimeringshastighet) overvåkes til produktloggene
- Aktiver automatiske sikkerhetsanalyseoppdateringer
- Aktiver skybasert beskyttelse
- Aktiver automatisk innsending av eksempel på
safenivå
Eksempelprofil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Eksempel på fullstendig konfigurasjonsprofil
Følgende konfigurasjonsprofil inneholder oppføringer for alle innstillingene som er beskrevet i dette dokumentet, og kan brukes til mer avanserte scenarioer der du vil ha mer kontroll over produktet.
Obs!
Det er ikke mulig å kontrollere all Microsoft Defender for endepunkt kommunikasjon med bare en proxy-innstilling i denne JSON-en.
Fullstendig profil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Legge til kode eller gruppe-ID i konfigurasjonsprofilen
Når du kjører mdatp health kommandoen for første gang, vil verdien for koden og gruppe-ID-en være tom. Følg fremgangsmåten nedenfor for å legge til mdatp_managed.json merke- eller gruppe-ID i filen:
- Åpne konfigurasjonsprofilen fra banen
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json. - Gå ned til bunnen av filen, der
cloudServiceblokken er plassert. - Legg til den nødvendige koden eller gruppe-ID-en som følgende eksempel på slutten av den avsluttende klammeparentesen
cloudServicefor .
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
Obs!
Legg til kommaet etter den avsluttende klammeparentesen på slutten av cloudService blokken. Kontroller også at det er to avsluttende klammeparenteser etter at du har lagt til kode- eller gruppe-ID-blokk (se eksemplet ovenfor). For øyeblikket er GROUPdet eneste støttede nøkkelnavnet for koder .
Validering av konfigurasjonsprofil
Konfigurasjonsprofilen må være en gyldig JSON-formatert fil. Det finnes mange verktøy som kan brukes til å bekrefte dette. Hvis du for eksempel har python installert på enheten:
python -m json.tool mdatp_managed.json
Hvis JSON er riktig utformet, sender kommandoen ovenfor den tilbake til terminalen og returnerer en avslutningskode for 0. Ellers vises en feil som beskriver problemet, og kommandoen returnerer en avslutningskode for 1.
Kontrollerer at mdatp_managed.json-filen fungerer som forventet
Hvis du vil bekrefte at /etc/opt/microsoft/mdatp/managed/mdatp_managed.json fungerer som den skal, skal du se «[administrert]» ved siden av disse innstillingene:
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
Obs!
Det kreves ingen omstart av mdatp daemon for at endringer i de fleste konfigurasjoner i mdatp_managed.json skal tre i kraft. Unntak: Følgende konfigurasjoner krever en daemon-omstart for å tre i kraft:
- skydiagnose
- log-rotation-parametere
Distribusjon av konfigurasjonsprofil
Når du har bygget konfigurasjonsprofilen for virksomheten, kan du distribuere den gjennom administrasjonsverktøyet som virksomheten bruker. Defender for Endpoint på Linux leser den administrerte konfigurasjonen fra filen /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for