Voorkeuren instellen voor Microsoft Defender voor Eindpunt in Linux
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Belangrijk
Dit onderwerp bevat instructies voor het instellen van voorkeuren voor Defender voor Eindpunt in Linux in bedrijfsomgevingen. Als u geïnteresseerd bent in het configureren van het product op een apparaat vanaf de opdrachtregel, raadpleegt u Resources.
In bedrijfsomgevingen kan Defender voor Eindpunt op Linux worden beheerd via een configuratieprofiel. Dit profiel wordt geïmplementeerd vanuit het beheerprogramma van uw keuze. Voorkeuren die door de onderneming worden beheerd, hebben voorrang op de voorkeuren die lokaal op het apparaat zijn ingesteld. Met andere woorden, gebruikers in uw onderneming kunnen geen voorkeuren wijzigen die via dit configuratieprofiel zijn ingesteld. Als uitsluitingen zijn toegevoegd via het beheerde configuratieprofiel, kunnen ze alleen worden verwijderd via het beheerde configuratieprofiel. De opdrachtregel werkt voor uitsluitingen die lokaal zijn toegevoegd.
In dit artikel wordt de structuur van dit profiel beschreven (inclusief een aanbevolen profiel dat u kunt gebruiken om aan de slag te gaan) en instructies voor het implementeren van het profiel.
Configuratieprofielstructuur
Het configuratieprofiel is een .json-bestand dat bestaat uit vermeldingen die worden geïdentificeerd door een sleutel (die de naam van de voorkeur aangeeft), gevolgd door een waarde, die afhankelijk is van de aard van de voorkeur. Waarden kunnen eenvoudig zijn, zoals een numerieke waarde, of complex, zoals een geneste lijst met voorkeuren.
Normaal gesproken gebruikt u een hulpprogramma voor configuratiebeheer om een bestand met de naam mdatp_managed.json
op de locatie /etc/opt/microsoft/mdatp/managed/
te pushen.
Het hoogste niveau van het configuratieprofiel bevat productbrede voorkeuren en vermeldingen voor subgebieden van het product, die in meer detail worden uitgelegd in de volgende secties.
Voorkeuren voor antivirusprogramma's
De sectie antivirusEngine van het configuratieprofiel wordt gebruikt om de voorkeuren van het antivirusonderdeel van het product te beheren.
Beschrijving | Waarde |
---|---|
Sleutel | antivirusEngine |
Gegevenstype | Woordenlijst (geneste voorkeur) |
Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Afdwingingsniveau voor antivirusengine
Hiermee geeft u de afdwingingsvoorkeur van antivirus-engine op. Er zijn drie waarden voor het instellen van afdwingingsniveau:
- Realtime (
real_time
): Realtime-beveiliging (bestanden scannen wanneer ze worden gewijzigd) is ingeschakeld. - Op aanvraag (
on_demand
): bestanden worden alleen op aanvraag gescand. In dit:- Realtime-beveiliging is uitgeschakeld.
- Passief (
passive
): hiermee wordt de antivirus-engine uitgevoerd in de passieve modus. In dit:- Realtime-beveiliging is uitgeschakeld: bedreigingen worden niet hersteld door Microsoft Defender Antivirus.
- Scannen op aanvraag is ingeschakeld: gebruik nog steeds de scanmogelijkheden op het eindpunt.
- Automatisch herstel van bedreigingen is uitgeschakeld: er worden geen bestanden verplaatst en de beveiligingsbeheerder wordt geacht de vereiste actie te ondernemen.
- Updates voor beveiligingsinformatie zijn ingeschakeld: waarschuwingen zijn beschikbaar voor de tenant van beveiligingsbeheerders.
Beschrijving | Waarde |
---|---|
Sleutel | enforcementLevel |
Gegevenstype | Tekenreeks |
Mogelijke waarden | real_time on_demand passief (standaard) |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.10.72 of hoger. De standaardinstelling wordt gewijzigd van real_time in passief voor eindpuntversie 101.23062.0001 of hoger. |
Gedragscontrole in-/uitschakelen
Bepaalt of gedragscontrole en blokkeringsfunctie is ingeschakeld op het apparaat of niet.
Opmerking
Deze functie is alleen van toepassing wanneer Real-Time-beveiligingsfunctie is ingeschakeld.
Beschrijving | Waarde |
---|---|
Sleutel | behaviorMonitoring |
Gegevenstype | Tekenreeks |
Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.45.00 of hoger. |
Een scan uitvoeren nadat definities zijn bijgewerkt
Hiermee geeft u op of een processcan moet worden gestart nadat nieuwe updates voor beveiligingsupdates op het apparaat zijn gedownload. Als u deze instelling inschakelt, wordt een antivirusscan geactiveerd op de actieve processen van het apparaat.
Beschrijving | Waarde |
---|---|
Sleutel | scanAfterDefinitionUpdate |
Gegevenstype | Booleaanse waarde |
Mogelijke waarden | true (standaard) Valse |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.45.00 of hoger. |
Archieven scannen (alleen antivirusscans op aanvraag)
Hiermee geeft u op of archieven moeten worden gescand tijdens antivirusscans op aanvraag.
Opmerking
Archiefbestanden worden nooit gescand tijdens realtime-beveiliging. Wanneer de bestanden in een archief worden uitgepakt, worden ze gescand. De optie scanArchives kan worden gebruikt om de scan van archieven alleen tijdens een scan op aanvraag af te dwingen.
Beschrijving | Waarde |
---|---|
Sleutel | scanArchives |
Gegevenstype | Booleaanse waarde |
Mogelijke waarden | true (standaard) Valse |
Opmerkingen | Beschikbaar in Microsoft Defender voor Eindpunt versie 101.45.00 of hoger. |
Mate van parallelle uitvoering van scans op aanvraag
Hiermee geeft u de mate van parallellisme voor scans op aanvraag op. Dit komt overeen met het aantal threads dat wordt gebruikt om de scan uit te voeren en heeft invloed op het CPU-gebruik en de duur van de scan op aanvraag.
Beschrijving | Waarde |
---|---|
Sleutel | maximumOnDemandScanThreads |
Gegevenstype | Geheel getal |
Mogelijke waarden | 2 (standaard). Toegestane waarden zijn gehele getallen tussen 1 en 64. |
Opmerkingen | Beschikbaar in Microsoft Defender voor Eindpunt versie 101.45.00 of hoger. |
Beleid voor samenvoeging van uitsluitingen
Hiermee geeft u het samenvoegbeleid voor uitsluitingen op. Dit kan een combinatie zijn van door de beheerder gedefinieerde en door de gebruiker gedefinieerde uitsluitingen (merge
) of alleen door de beheerder gedefinieerde uitsluitingen (admin_only
). Deze instelling kan worden gebruikt om te voorkomen dat lokale gebruikers hun eigen uitsluitingen definiëren.
Beschrijving | Waarde |
---|---|
Sleutel | exclusionsMergePolicy |
Gegevenstype | Tekenreeks |
Mogelijke waarden | samenvoegen (standaard) admin_only |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 100.83.73 of hoger. |
Scanuitsluitingen
Entiteiten die zijn uitgesloten van de scan. Uitsluitingen kunnen worden opgegeven door volledige paden, extensies of bestandsnamen. (Uitsluitingen worden opgegeven als een matrix met items, de beheerder kan zoveel elementen opgeven als nodig is, in elke volgorde.)
Beschrijving | Waarde |
---|---|
Sleutel | Uitsluitingen |
Gegevenstype | Woordenlijst (geneste voorkeur) |
Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Type uitsluiting
Hiermee geeft u het type inhoud dat wordt uitgesloten van de scan.
Beschrijving | Waarde |
---|---|
Sleutel | $type |
Gegevenstype | Tekenreeks |
Mogelijke waarden | excludedPath excludedFileExtension excludedFileName |
Pad naar uitgesloten inhoud
Wordt gebruikt om inhoud van de scan uit te sluiten op het volledige bestandspad.
Beschrijving | Waarde |
---|---|
Sleutel | Pad |
Gegevenstype | Tekenreeks |
Mogelijke waarden | geldige paden |
Opmerkingen | Alleen van toepassing als $type is uitgeslotendPath |
Padtype (bestand/map)
Geeft aan of de padeigenschap verwijst naar een bestand of map.
Beschrijving | Waarde |
---|---|
Sleutel | isDirectory |
Gegevenstype | Booleaanse waarde |
Mogelijke waarden | false (standaard) Waar |
Opmerkingen | Alleen van toepassing als $type is uitgeslotendPath |
Bestandsextensie uitgesloten van de scan
Wordt gebruikt om inhoud uit te sluiten van de scan op bestandsextensie.
Beschrijving | Waarde |
---|---|
Sleutel | Extensie |
Gegevenstype | Tekenreeks |
Mogelijke waarden | geldige bestandsextensies |
Opmerkingen | Alleen van toepassing als $type is uitgeslotenFileExtension |
Proces dat is uitgesloten van de scan*
Hiermee geeft u een proces op waarvoor alle bestandsactiviteit wordt uitgesloten van scannen. Het proces kan worden opgegeven met de naam (bijvoorbeeld cat
) of het volledige pad (bijvoorbeeld /bin/cat
).
Beschrijving | Waarde |
---|---|
Sleutel | Naam |
Gegevenstype | Tekenreeks |
Mogelijke waarden | elke tekenreeks |
Opmerkingen | Alleen van toepassing als $typeis uitgeslotenFileName |
Niet-exec-koppelingen dempen
Hiermee geeft u het gedrag van RTP op het koppelpunt gemarkeerd als noexec. Er zijn twee waarden voor de instelling:
- Niet-gedempt (
unmute
): de standaardwaarde, alle koppelpunten worden gescand als onderdeel van RTP. - Gedempt (
mute
): koppelpunten gemarkeerd als noexec worden niet gescand als onderdeel van RTP. Dit koppelpunt kan worden gemaakt voor:- Databasebestanden op databaseservers voor het bewaren van gegevensbestanden.
- Bestandsserver kan koppelpunten voor gegevensbestanden behouden met de optie noexec.
- Back-up kan koppelpunten voor gegevensbestanden behouden met de optie noexec.
Beschrijving | Waarde |
---|---|
Sleutel | nonExecMountPolicy |
Gegevenstype | Tekenreeks |
Mogelijke waarden | Dempen opheffen (standaard) Mute |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.85.27 of hoger. |
De controle van bestandssystemen opheffen
Bestandssystemen configureren om niet te worden bewaakt/uitgesloten van Real Time Protection (RTP). De geconfigureerde bestandssystemen worden gevalideerd op basis van de lijst met toegestane bestandssystemen van Microsoft Defender. Alleen na geslaagde validatie mag het bestandssysteem niet worden bewaakt. Deze geconfigureerde niet-bewaakte bestandssystemen worden nog steeds gescand door snelle, volledige en aangepaste scans.
Beschrijving | Waarde |
---|---|
Sleutel | unmonitoredFilesystems |
Gegevenstype | Matrix van tekenreeksen |
Opmerkingen | Geconfigureerd bestandssysteem wordt alleen niet bewaakt als het aanwezig is in de lijst met toegestane niet-bewaakte bestandssystemen van Microsoft. |
Standaard worden NFS en Fuse niet gecontroleerd vanuit RTP-, Snelle en Volledige scans. Ze kunnen echter nog steeds worden gescand door een aangepaste scan. Als u bijvoorbeeld NFS wilt verwijderen uit de lijst met niet-bewaakte bestandssystemen, werkt u het beheerde configuratiebestand bij zoals hieronder wordt weergegeven. Hiermee wordt NFS automatisch toegevoegd aan de lijst met bewaakte bestandssystemen voor RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Als u zowel NFS als Fuse wilt verwijderen uit een lijst met niet-bewaakte bestandssystemen, gaat u als volgt te werk
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Opmerking
Hieronder vindt u de standaardlijst met bewaakte bestandssystemen voor RTP -
[btrfs, ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, reiserfs, tmpfs, vfat, xfs]
Als een bewaakt bestandssysteem moet worden toegevoegd aan de lijst met niet-bewaakte bestandssystemen, moet het worden geëvalueerd en ingeschakeld door Microsoft via cloudconfiguratie. Na welke klanten managed_mdatp.json kunnen bijwerken om dat bestandssysteem op te heffen.
Rekenfunctie voor bestands-hash configureren
Hiermee schakelt u de rekenfunctie voor bestands-hashs in of uit. Wanneer deze functie is ingeschakeld, rekent Defender voor Eindpunt hashes uit voor bestanden die worden gescand. Houd er rekening mee dat het inschakelen van deze functie van invloed kan zijn op de prestaties van het apparaat. Raadpleeg voor meer informatie: Indicatoren voor bestanden maken.
Beschrijving | Waarde |
---|---|
Sleutel | enableFileHashComputation |
Gegevenstype | Booleaanse waarde |
Mogelijke waarden | false (standaard) Waar |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.85.27 of hoger. |
Toegestane bedreigingen
Lijst met bedreigingen (aangeduid met hun naam) die niet door het product worden geblokkeerd en in plaats daarvan mogen worden uitgevoerd.
Beschrijving | Waarde |
---|---|
Sleutel | allowedThreats |
Gegevenstype | Matrix van tekenreeksen |
Niet-toegestane bedreigingsacties
Hiermee worden de acties beperkt die de lokale gebruiker van een apparaat kan uitvoeren wanneer bedreigingen worden gedetecteerd. De acties in deze lijst worden niet weergegeven in de gebruikersinterface.
Beschrijving | Waarde |
---|---|
Sleutel | disallowedThreatActions |
Gegevenstype | Matrix van tekenreeksen |
Mogelijke waarden | toestaan (hiermee wordt voorkomen dat gebruikers bedreigingen toestaan) herstellen (hiermee wordt voorkomen dat gebruikers bedreigingen uit de quarantaine kunnen herstellen) |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 100.83.73 of hoger. |
Instellingen voor bedreigingstype
De threatTypeSettings-voorkeur in de antivirus-engine wordt gebruikt om te bepalen hoe bepaalde bedreigingstypen door het product worden verwerkt.
Beschrijving | Waarde |
---|---|
Sleutel | threatTypeSettings |
Gegevenstype | Woordenlijst (geneste voorkeur) |
Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Bedreigingstype
Type bedreiging waarvoor het gedrag is geconfigureerd.
Beschrijving | Waarde |
---|---|
Sleutel | Sleutel |
Gegevenstype | Tekenreeks |
Mogelijke waarden | potentially_unwanted_application archive_bomb |
Te ondernemen actie
Actie die moet worden ondernomen bij het tegenkomen van een bedreiging van het type dat in de voorgaande sectie is opgegeven. Dit kan zijn:
- Controle: Het apparaat is niet beveiligd tegen dit type bedreiging, maar er wordt een vermelding over de bedreiging geregistreerd.
- Blokkeren: Het apparaat is beveiligd tegen dit type bedreiging en u krijgt een melding in de beveiligingsconsole.
- Uit: het apparaat is niet beveiligd tegen dit type bedreiging en er wordt niets geregistreerd.
Beschrijving | Waarde |
---|---|
Sleutel | waarde |
Gegevenstype | Tekenreeks |
Mogelijke waarden | audit (standaard) Blok Uit |
Beleid voor het samenvoegen van instellingen voor bedreigingstypen
Hiermee geeft u het samenvoegbeleid voor instellingen voor bedreigingstypen op. Dit kan een combinatie zijn van door de beheerder gedefinieerde en door de gebruiker gedefinieerde instellingen (merge
) of alleen door de beheerder gedefinieerde instellingen (admin_only
). Deze instelling kan worden gebruikt om te voorkomen dat lokale gebruikers hun eigen instellingen definiëren voor verschillende bedreigingstypen.
Beschrijving | Waarde |
---|---|
Sleutel | threatTypeSettingsMergePolicy |
Gegevenstype | Tekenreeks |
Mogelijke waarden | samenvoegen (standaard) admin_only |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 100.83.73 of hoger. |
Retentie van antivirusscangeschiedenis (in dagen)
Geef het aantal dagen op dat de resultaten worden bewaard in de scangeschiedenis op het apparaat. Oude scanresultaten worden uit de geschiedenis verwijderd. Oude in quarantaine geplaatste bestanden die ook van de schijf worden verwijderd.
Beschrijving | Waarde |
---|---|
Sleutel | scanResultsRetentionDays |
Gegevenstype | Tekenreeks |
Mogelijke waarden | 90 (standaard). Toegestane waarden liggen tussen 1 dag en 180 dagen. |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.04.76 of hoger. |
Maximum aantal items in de antivirusscangeschiedenis
Geef het maximum aantal vermeldingen op dat in de scangeschiedenis moet worden bewaard. Vermeldingen omvatten alle scans op aanvraag die in het verleden zijn uitgevoerd en alle antivirusdetecties.
Beschrijving | Waarde |
---|---|
Sleutel | scanHistoryMaximumItems |
Gegevenstype | Tekenreeks |
Mogelijke waarden | 10000 (standaard). Toegestane waarden variëren van 5000 items tot 15000 items. |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.04.76 of hoger. |
Geavanceerde scanopties
De volgende instellingen kunnen worden geconfigureerd om bepaalde geavanceerde scanfuncties in te schakelen.
Opmerking
Het inschakelen van deze functies kan van invloed zijn op de prestaties van het apparaat. Daarom wordt aanbevolen om de standaardwaarden te behouden.
Scannen van bestandsmachtigingen configureren
Wanneer deze functie is ingeschakeld, scant Defender voor Eindpunt bestanden wanneer hun machtigingen zijn gewijzigd om de uitvoeringsbit(en) in te stellen.
Opmerking
Deze functie is alleen van toepassing wanneer de enableFilePermissionEvents
functie is ingeschakeld. Zie de sectie Geavanceerde optionele functies hieronder voor meer informatie.
Beschrijving | Waarde |
---|---|
Sleutel | scanFileModifyPermissions |
Gegevenstype | Booleaanse waarde |
Mogelijke waarden | false (standaard) Waar |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.23062.0010 of hoger. |
Scannen van eigendomsevenementen voor het wijzigen van bestanden configureren
Wanneer deze functie is ingeschakeld, scant Defender voor Eindpunt bestanden waarvan het eigendom is gewijzigd.
Opmerking
Deze functie is alleen van toepassing wanneer de enableFileOwnershipEvents
functie is ingeschakeld. Zie de sectie Geavanceerde optionele functies hieronder voor meer informatie.
Beschrijving | Waarde |
---|---|
Sleutel | scanFileModifyOwnership |
Gegevenstype | Booleaanse waarde |
Mogelijke waarden | false (standaard) Waar |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.23062.0010 of hoger. |
Scannen van onbewerkte socket-gebeurtenissen configureren
Wanneer deze functie is ingeschakeld, scant Defender voor Eindpunt netwerksocket-gebeurtenissen, zoals het maken van onbewerkte sockets/pakketsockets of het instellen van de socketoptie.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
Opmerking
Deze functie is alleen van toepassing wanneer de enableRawSocketEvent
functie is ingeschakeld. Zie de sectie Geavanceerde optionele functies hieronder voor meer informatie.
Beschrijving | Waarde |
---|---|
Sleutel | scanNetworkSocketEvent |
Gegevenstype | Booleaanse waarde |
Mogelijke waarden | false (standaard) Waar |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.23062.0010 of hoger. |
Cloudbeveiligingsvoorkeuren
De vermelding cloudService in het configuratieprofiel wordt gebruikt om de cloudgestuurde beveiligingsfunctie van het product te configureren.
Opmerking
Cloudbeveiliging is van toepassing met alle instellingen voor afdwingingsniveaus (real_time, on_demand, passief).
Beschrijving | Waarde |
---|---|
Sleutel | cloudService |
Gegevenstype | Woordenlijst (geneste voorkeur) |
Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Cloudbeveiliging in- of uitschakelen
Bepaalt of cloudbeveiliging is ingeschakeld op het apparaat of niet. Om de beveiliging van uw services te verbeteren, raden we u aan deze functie ingeschakeld te houden.
Beschrijving | Waarde |
---|---|
Sleutel | Ingeschakeld |
Gegevenstype | Booleaanse waarde |
Mogelijke waarden | true (standaard) Valse |
Niveau van diagnostische verzameling
Diagnostische gegevens worden gebruikt om Defender voor Eindpunt veilig en up-to-date te houden, problemen te detecteren, te diagnosticeren en op te lossen, en ook om productverbeteringen aan te brengen. Deze instelling bepaalt het niveau van de diagnostische gegevens die door het product naar Microsoft worden verzonden.
Beschrijving | Waarde |
---|---|
Sleutel | diagnosticLevel |
Gegevenstype | Tekenreeks |
Mogelijke waarden | Optionele vereist (standaard) |
Cloudblokniveau configureren
Deze instelling bepaalt hoe agressief Defender voor Eindpunt verdachte bestanden blokkeert en scant. Als deze instelling is ingeschakeld, is Defender voor Eindpunt agressiever bij het identificeren van verdachte bestanden die moeten worden geblokkeerd en gescand. anders is het minder agressief en blokkeert en scant het met minder frequentie.
Er zijn vijf waarden voor het instellen van cloudblokniveau:
- Normaal (
normal
): het standaardblokkeringsniveau. - Gemiddeld (
moderate
): levert alleen een oordeel voor detecties met hoge betrouwbaarheid. - Hoog (
high
): Onbekende bestanden worden agressief geblokkeerd terwijl ze worden geoptimaliseerd voor prestaties (grotere kans op het blokkeren van niet-schadelijke bestanden). - Hoog pluspunt (
high_plus
): onbekende bestanden worden agressief geblokkeerd en aanvullende beveiligingsmaatregelen toegepast (mogelijk van invloed op de prestaties van clientapparaten). - Nultolerantie (
zero_tolerance
): blokkeert alle onbekende programma's.
Beschrijving | Waarde |
---|---|
Sleutel | cloudBlockLevel |
Gegevenstype | Tekenreeks |
Mogelijke waarden | normaal (standaard) Matige Hoge high_plus zero_tolerance |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.56.62 of hoger. |
Automatische voorbeeldinzendingen in- of uitschakelen
Bepaalt of verdachte voorbeelden (die waarschijnlijk bedreigingen bevatten) naar Microsoft worden verzonden. Er zijn drie niveaus voor het beheren van het indienen van voorbeelden:
- Geen: er worden geen verdachte voorbeelden naar Microsoft verzonden.
- Veilig: alleen verdachte steekproeven die geen persoonlijk identificeerbare informatie (PII) bevatten, worden automatisch verzonden. Dit is de standaardwaarde voor deze instelling.
- Alle: alle verdachte voorbeelden worden verzonden naar Microsoft.
Beschrijving | Waarde |
---|---|
Sleutel | automaticSampleSubmissionConsent |
Gegevenstype | Tekenreeks |
Mogelijke waarden | geen veilig (standaard) Alle |
Automatische updates voor beveiligingsinformatie in- of uitschakelen
Bepaalt of updates voor beveiligingsinformatie automatisch worden geïnstalleerd:
Beschrijving | Waarde |
---|---|
Sleutel | automaticDefinitionUpdateEnabled |
Gegevenstype | Booleaanse waarde |
Mogelijke waarden | true (standaard) Valse |
Geavanceerde optionele functies
De volgende instellingen kunnen worden geconfigureerd om bepaalde geavanceerde functies in te schakelen.
Opmerking
Het inschakelen van deze functies kan van invloed zijn op de prestaties van het apparaat. Het wordt aanbevolen om de standaardwaarden te behouden.
Beschrijving | Waarde |
---|---|
Sleutel | Functies |
Gegevenstype | Woordenlijst (geneste voorkeur) |
Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Functie module laden
Bepaalt of gebeurtenissen voor het laden van modules (bestandsopen-gebeurtenissen in gedeelde bibliotheken) worden bewaakt.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
Beschrijving | Waarde |
---|---|
Sleutel | moduleLoaden |
Gegevenstype | Tekenreeks |
Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.68.80 of hoger. |
Aanvullende sensorconfiguraties
De volgende instellingen kunnen worden gebruikt om bepaalde geavanceerde aanvullende sensorfuncties te configureren.
Beschrijving | Waarde |
---|---|
Sleutel | supplementarySensorConfigurations |
Gegevenstype | Woordenlijst (geneste voorkeur) |
Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Bewaking van bestandsmachtigingen configureren
Bepaalt of bestandsmachtigingen (chmod
) worden bewaakt.
Opmerking
Wanneer deze functie is ingeschakeld, controleert Defender voor Eindpunt wijzigingen in de uitvoeringsbits van bestanden, maar scant deze gebeurtenissen niet. Zie de sectie Geavanceerde scanfuncties voor meer informatie.
Beschrijving | Waarde |
---|---|
Sleutel | enableFilePermissionEvents |
Gegevenstype | Tekenreeks |
Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.23062.0010 of hoger. |
Bewaking van eigendomsevenementen voor het wijzigen van bestanden configureren
Bepaalt of gebeurtenissen van bestandseigendom (chown) worden bewaakt.
Opmerking
Wanneer deze functie is ingeschakeld, bewaakt Defender voor Eindpunt wijzigingen in het eigendom van bestanden, maar scant deze gebeurtenissen niet. Zie de sectie Geavanceerde scanfuncties voor meer informatie.
Beschrijving | Waarde |
---|---|
Sleutel | enableFileOwnershipEvents |
Gegevenstype | Tekenreeks |
Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.23062.0010 of hoger. |
Bewaking van onbewerkte socket-gebeurtenissen configureren
Bepaalt of netwerksocket-gebeurtenissen met betrekking tot het maken van onbewerkte sockets/pakketsockets of het instellen van de socketoptie worden bewaakt.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
Opmerking
Wanneer deze functie is ingeschakeld, bewaakt Defender voor Eindpunt deze netwerksocket-gebeurtenissen, maar scant deze gebeurtenissen niet. Zie de sectie Geavanceerde scanfuncties hierboven voor meer informatie.
Beschrijving | Waarde |
---|---|
Sleutel | enableRawSocketEvent |
Gegevenstype | Tekenreeks |
Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.23062.0010 of hoger. |
Bewaking van opstartlaadprogramma-gebeurtenissen configureren
Bepaalt of gebeurtenissen van het opstartlaadprogramma worden bewaakt en gescand.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
Beschrijving | Waarde |
---|---|
Sleutel | enableBootLoaderCalls |
Gegevenstype | Tekenreeks |
Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.68.80 of hoger. |
Bewaking van ptrace-gebeurtenissen configureren
Bepaalt of ptrace-gebeurtenissen worden bewaakt en gescand.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
Beschrijving | Waarde |
---|---|
Sleutel | enableProcessCalls |
Gegevenstype | Tekenreeks |
Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.68.80 of hoger. |
Bewaking van pseudofs-gebeurtenissen configureren
Bepaalt of pseudofs-gebeurtenissen worden bewaakt en gescand.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
Beschrijving | Waarde |
---|---|
Sleutel | enablePseudofsCalls |
Gegevenstype | Tekenreeks |
Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.68.80 of hoger. |
Bewaking van modulelaadbeurtenissen configureren met behulp van eBPF
Bepaalt of gebeurtenissen voor het laden van modules worden bewaakt met behulp van eBPF en worden gescand.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
Beschrijving | Waarde |
---|---|
Sleutel | enableEbpfModuleLoadEvents |
Gegevenstype | Tekenreeks |
Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.68.80 of hoger. |
Av-verdachte gebeurtenissen rapporteren aan EDR
Bepaalt of verdachte gebeurtenissen van Antivirus worden gerapporteerd aan EDR.
Beschrijving | Waarde |
---|---|
Sleutel | sendLowfiEvents |
Gegevenstype | Tekenreeks |
Mogelijke waarden | uitgeschakeld (standaard) Ingeschakeld |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.23062.0010 of hoger. |
Configuraties voor netwerkbeveiliging
De volgende instellingen kunnen worden gebruikt voor het configureren van geavanceerde netwerkbeveiligingsinspectiefuncties om te bepalen welk verkeer wordt geïnspecteerd door Netwerkbeveiliging.
Opmerking
Om deze effectief te maken, moet Netwerkbeveiliging zijn ingeschakeld. Zie Netwerkbeveiliging inschakelen voor Linux voor meer informatie.
Beschrijving | Waarde |
---|---|
Sleutel | networkProtection |
Gegevenstype | Woordenlijst (geneste voorkeur) |
Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
ICMP-inspectie configureren
Bepaalt of ICMP-gebeurtenissen worden bewaakt en gescand.
Opmerking
Deze functie is alleen van toepassing wanneer Gedragscontrole is ingeschakeld.
Beschrijving | Waarde |
---|---|
Sleutel | disableIcmpInspection |
Gegevenstype | Booleaanse waarde |
Mogelijke waarden | true (standaard) Valse |
Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.23062.0010 of hoger. |
Aanbevolen configuratieprofiel
Om aan de slag te gaan, raden we u aan het volgende configuratieprofiel voor uw bedrijf te gebruiken om te profiteren van alle beveiligingsfuncties die Defender voor Eindpunt biedt.
Het volgende configuratieprofiel zal:
- Realtime-beveiliging (RTP) inschakelen
- Geef op hoe de volgende bedreigingstypen worden verwerkt:
- Mogelijk ongewenste toepassingen (PUA) worden geblokkeerd
- Archiefbommen (bestand met een hoge compressiesnelheid) worden gecontroleerd in de productlogboeken
- Automatische updates voor beveiligingsinformatie inschakelen
- Cloudbeveiliging inschakelen
- Automatische voorbeeldinzending op
safe
niveau inschakelen
Voorbeeldprofiel
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Voorbeeld van volledig configuratieprofiel
Het volgende configuratieprofiel bevat vermeldingen voor alle instellingen die in dit document worden beschreven en kan worden gebruikt voor meer geavanceerde scenario's waarin u meer controle over het product wilt.
Opmerking
Het is niet mogelijk om alle Microsoft Defender voor Eindpunt communicatie te beheren met alleen een proxy-instelling in deze JSON.
Volledig profiel
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Tag of groeps-id toevoegen aan het configuratieprofiel
Wanneer u de opdracht voor het mdatp health
eerst uitvoert, zijn de waarde voor de tag en de groeps-id leeg. Volg de onderstaande stappen om een tag of groeps-id toe te voegen aan het mdatp_managed.json
bestand:
- Open het configuratieprofiel vanuit het pad
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json
. - Ga omlaag naar de onderkant van het bestand, waar het
cloudService
blok zich bevindt. - Voeg de vereiste tag of groeps-id toe zoals in het volgende voorbeeld aan het einde van de accolade sluiten voor de
cloudService
.
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
Opmerking
Voeg de komma toe na de accolade sluiten aan het einde van het cloudService
blok. Zorg er ook voor dat er twee accolades sluiten na het toevoegen van het tag- of groeps-id-blok (zie het bovenstaande voorbeeld). Op dit moment is GROUP
de enige ondersteunde sleutelnaam voor tags .
Validatie van configuratieprofiel
Het configuratieprofiel moet een geldig bestand met JSON-indeling zijn. Er zijn veel hulpprogramma's die kunnen worden gebruikt om dit te controleren. Als u bijvoorbeeld op uw apparaat hebt python
geïnstalleerd:
python -m json.tool mdatp_managed.json
Als de JSON goed is opgemaakt, voert de bovenstaande opdracht deze terug naar de Terminal en retourneert de afsluitcode van 0
. Anders wordt een fout weergegeven die het probleem beschrijft en retourneert de opdracht een afsluitcode van 1
.
Controleren of het mdatp_managed.json-bestand werkt zoals verwacht
Als u wilt controleren of uw /etc/opt/microsoft/mdatp/managed/mdatp_managed.json correct werkt, ziet u '[managed]' naast deze instellingen:
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
Opmerking
Er is geen herstart van mdatp-daemon vereist om wijzigingen in de meeste configuraties in mdatp_managed.json van kracht te laten worden. Uitzondering: Voor de volgende configuraties moet de daemon opnieuw worden opgestart om van kracht te worden:
- clouddiagnose
- log-rotation-parameters
Implementatie van configuratieprofiel
Zodra u het configuratieprofiel voor uw onderneming hebt gemaakt, kunt u het implementeren via het beheerprogramma dat uw onderneming gebruikt. Defender voor Eindpunt op Linux leest de beheerde configuratie uit het bestand /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub Issues geleidelijk uitfaseren als het feedbackmechanisme voor inhoud. Het wordt vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor