Ustaw preferencje dla ochrony punktu końcowego w usłudze Microsoft Defender w systemie Linux

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Ważne

Ten temat zawiera instrukcje dotyczące ustawiania preferencji dla usługi Defender dla punktu końcowego w systemie Linux w środowiskach przedsiębiorstwa. Jeśli chcesz skonfigurować produkt na urządzeniu z poziomu wiersza polecenia, zobacz Zasoby.

W środowiskach przedsiębiorstwa usługą Defender for Endpoint w systemie Linux można zarządzać za pośrednictwem profilu konfiguracji. Ten profil jest wdrażany z wybranego narzędzia do zarządzania. Preferencje zarządzane przez przedsiębiorstwo mają pierwszeństwo przed preferencjami ustawionymi lokalnie na urządzeniu. Innymi słowy, użytkownicy w przedsiębiorstwie nie mogą zmieniać preferencji ustawionych za pomocą tego profilu konfiguracji. Jeśli wykluczenia zostały dodane za pośrednictwem profilu konfiguracji zarządzanej, można je usunąć tylko za pośrednictwem profilu konfiguracji zarządzanej. Wiersz polecenia działa w przypadku wykluczeń, które zostały dodane lokalnie.

W tym artykule opisano strukturę tego profilu (w tym zalecany profil, którego można użyć do rozpoczęcia pracy) oraz instrukcje dotyczące sposobu wdrażania profilu.

Struktura profilu konfiguracji

Profil konfiguracji to plik json, który składa się z wpisów zidentyfikowanych przez klucz (co oznacza nazwę preferencji), po którym następuje wartość, która zależy od charakteru preferencji. Wartości mogą być proste, takie jak wartość liczbowa lub złożone, takie jak zagnieżdżona lista preferencji.

Zazwyczaj należy użyć narzędzia do zarządzania konfiguracją, aby wypchnąć plik o nazwie mdatp_managed.json w lokalizacji /etc/opt/microsoft/mdatp/managed/.

Najwyższy poziom profilu konfiguracji zawiera preferencje dla całego produktu i wpisy dla obszarów podrzędnych produktu, co opisano bardziej szczegółowo w następnych sekcjach.

Preferencje aparatu antywirusowego

Sekcja antivirusEngine profilu konfiguracji służy do zarządzania preferencjami składnika antywirusowego produktu.

Opis Value
Klucz antivirusEngine
Typ danych Słownik (preferencja zagnieżdżona)
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach.

Poziom wymuszania dla aparatu antywirusowego

Określa preferencje wymuszania aparatu antywirusowego. Istnieją trzy wartości dotyczące ustawiania poziomu wymuszania:

  • W czasie rzeczywistym (real_time): włączono ochronę w czasie rzeczywistym (skanuj pliki w miarę uzyskiwania dostępu).
  • Na żądanie (on_demand): pliki są skanowane tylko na żądanie. W tym:
    • Ochrona w czasie rzeczywistym jest wyłączona.
  • Pasywne (passive): uruchamia aparat antywirusowy w trybie pasywnym. W tym:
    • Ochrona w czasie rzeczywistym jest wyłączona.
    • Skanowanie na żądanie jest włączone.
    • Automatyczne korygowanie zagrożeń jest wyłączone.
    • Aktualizacje analizy zabezpieczeń są włączone.
Opis Value
Klucz enforcementLevel
Typ danych Ciąg
Dopuszczalne wartości real_time (wartość domyślna)

on_demand

Pasywne

Komentarze Dostępne w usłudze Defender for Endpoint w wersji 101.10.72 lub nowszej.

Włączanie/wyłączanie monitorowania zachowania

Określa, czy funkcja monitorowania i blokowania zachowania jest włączona na urządzeniu, czy nie. Aby zwiększyć skuteczność ochrony przed zabezpieczeniami, zalecamy włączenie tej funkcji.



Opis Value
Klucz behaviorMonitoring
Typ danych Ciąg
Dopuszczalne wartości wyłączone (ustawienie domyślne)

Włączone

Komentarze Dostępne w usłudze Defender for Endpoint w wersji 101.45.00 lub nowszej.

Uruchamianie skanowania po zaktualizowaniu definicji

Określa, czy należy rozpocząć skanowanie procesu po pobraniu nowych aktualizacji analizy zabezpieczeń na urządzeniu. Włączenie tego ustawienia spowoduje wyzwolenie skanowania antywirusowego w uruchomionych procesach urządzenia.

Opis Value
Klucz scanAfterDefinitionUpdate
Typ danych Wartość logiczna
Dopuszczalne wartości true (wartość domyślna)

False

Komentarze Dostępne w usłudze Defender for Endpoint w wersji 101.45.00 lub nowszej.

Skanuj archiwa (tylko skanowanie antywirusowe na żądanie)

Określa, czy skanować archiwa podczas skanowania antywirusowego na żądanie.

Opis Value
Klucz scanArchives
Typ danych Wartość logiczna
Dopuszczalne wartości true (wartość domyślna)

False

Komentarze Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji 101.45.00 lub nowszej.

Stopień równoległości skanowania na żądanie

Określa stopień równoległości skanowania na żądanie. Odpowiada to liczbie wątków używanych do skanowania i wpływa na użycie procesora CPU, a także czas trwania skanowania na żądanie.

Opis Value
Klucz maximumOnDemandScanThreads
Typ danych Liczba całkowita
Dopuszczalne wartości 2 (wartość domyślna). Dozwolone wartości to liczby całkowite z zakresu od 1 do 64.
Komentarze Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji 101.45.00 lub nowszej.

Zasady scalania wykluczeń

Określa zasady scalania dla wykluczeń. Może to być kombinacja wykluczeń zdefiniowanych przez administratora i zdefiniowanych przez użytkownika (merge) lub tylko wykluczeń zdefiniowanych przez administratora (admin_only). To ustawienie może służyć do ograniczania użytkownikom lokalnym definiowania własnych wykluczeń.

Opis Value
Klucz exclusionsMergePolicy
Typ danych Ciąg
Dopuszczalne wartości scalanie (domyślne)

admin_only

Komentarze Dostępne w usłudze Defender for Endpoint w wersji 100.83.73 lub nowszej.

Wykluczeń skanowania

Jednostki, które zostały wykluczone ze skanowania. Wykluczenia można określić za pomocą pełnych ścieżek, rozszerzeń lub nazw plików. (Wykluczenia są określane jako tablica elementów, administrator może określić dowolną liczbę elementów w dowolnej kolejności).

Opis Value
Klucz Wykluczenia
Typ danych Słownik (preferencja zagnieżdżona)
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach.
Typ wykluczenia

Określa typ zawartości wykluczonej ze skanowania.

Opis Value
Klucz $type
Typ danych Ciąg
Dopuszczalne wartości excludedPath

excludedFileExtension

excludedFileName

Ścieżka do wykluczonej zawartości

Służy do wykluczania zawartości ze skanowania za pomocą pełnej ścieżki pliku.

Opis Value
Klucz Ścieżka
Typ danych Ciąg
Dopuszczalne wartości prawidłowe ścieżki
Komentarze Dotyczy tylko wtedy, gdy $type jest excludedPath
Typ ścieżki (plik/katalog)

Wskazuje, czy właściwość path odwołuje się do pliku lub katalogu.

Opis Value
Klucz isDirectory
Typ danych Wartość logiczna
Dopuszczalne wartości false (wartość domyślna)

True

Komentarze Dotyczy tylko wtedy, gdy $type jest excludedPath
Rozszerzenie pliku wykluczone ze skanowania

Służy do wykluczania zawartości ze skanowania według rozszerzenia pliku.

Opis Value
Klucz Rozszerzenie
Typ danych Ciąg
Dopuszczalne wartości prawidłowe rozszerzenia plików
Komentarze Dotyczy tylko wtedy, gdy $type jest wykluczoneFileExtension
Proces wykluczony ze skanowania*

Określa proces, dla którego wszystkie działania plików są wykluczone ze skanowania. Proces można określić za pomocą jego nazwy (na przykład cat) lub pełnej ścieżki (na przykład /bin/cat).

Opis Value
Klucz Nazwa
Typ danych Ciąg
Dopuszczalne wartości dowolny ciąg
Komentarze Dotyczy tylko wtedy, gdy $type jest wykluczoneFileName

Dozwolone zagrożenia

Lista zagrożeń (identyfikowanych według ich nazwy), które nie są blokowane przez produkt i zamiast tego mogą być uruchamiane.

Opis Value
Klucz allowedThreats
Typ danych Tablica ciągów

Niedozwolone akcje zagrożeń

Ogranicza akcje, które może wykonać lokalny użytkownik urządzenia po wykryciu zagrożeń. Akcje zawarte na tej liście nie są wyświetlane w interfejsie użytkownika.

Opis Value
Klucz disallowedThreatActions
Typ danych Tablica ciągów
Dopuszczalne wartości zezwalaj (ogranicza użytkownikom możliwość zezwalania na zagrożenia)

przywracanie (ogranicza użytkownikom możliwość przywracania zagrożeń z kwarantanny)

Komentarze Dostępne w usłudze Defender for Endpoint w wersji 100.83.73 lub nowszej.

Ustawienia typu zagrożenia

Preferencja threatTypeSettings w aparacie antywirusowym służy do kontrolowania sposobu obsługi określonych typów zagrożeń przez produkt.

Opis Value
Klucz threatTypeSettings
Typ danych Słownik (preferencja zagnieżdżona)
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach.
Typ zagrożenia

Typ zagrożenia, dla którego skonfigurowano zachowanie.

Opis Value
Klucz Klucz
Typ danych Ciąg
Dopuszczalne wartości potentially_unwanted_application

archive_bomb

Akcja do wykonania

Akcja do wykonania w przypadku wystąpienia zagrożenia typu określonego w poprzedniej sekcji. Może to być:

  • Inspekcja: urządzenie nie jest chronione przed tego typu zagrożeniem, ale rejestrowany jest wpis dotyczący zagrożenia.
  • Blokuj: urządzenie jest chronione przed tego typu zagrożeniem i otrzymujesz powiadomienie w konsoli zabezpieczeń.
  • Wyłączone: urządzenie nie jest chronione przed tego typu zagrożeniem i nic nie jest rejestrowane.
Opis Value
Klucz Wartość
Typ danych Ciąg
Dopuszczalne wartości audit (wartość domyślna)

Bloku

wyłączone

Zasady scalania ustawień typu zagrożenia

Określa zasady scalania dla ustawień typu zagrożenia. Może to być kombinacja ustawień zdefiniowanych przez administratora i zdefiniowanych przez użytkownika (merge) lub tylko ustawień zdefiniowanych przez administratora (admin_only). To ustawienie może służyć do ograniczania użytkownikom lokalnym możliwości definiowania własnych ustawień dla różnych typów zagrożeń.

Opis Value
Klucz threatTypeSettingsMergePolicy
Typ danych Ciąg
Dopuszczalne wartości scalanie (domyślne)

admin_only

Komentarze Dostępne w usłudze Defender for Endpoint w wersji 100.83.73 lub nowszej.

Przechowywanie historii skanowania antywirusowego (w dniach)

Określ liczbę dni przechowywania wyników w historii skanowania na urządzeniu. Stare wyniki skanowania są usuwane z historii. Stare pliki poddane kwarantannie, które również są usuwane z dysku.

Opis Value
Klucz scanResultsRetentionDays
Typ danych Ciąg
Dopuszczalne wartości 90 (wartość domyślna). Dozwolone wartości to od 1 dnia do 180 dni.
Komentarze Dostępne w usłudze Defender for Endpoint w wersji 101.04.76 lub nowszej.

Maksymalna liczba elementów w historii skanowania antywirusowego

Określ maksymalną liczbę wpisów do zachowania w historii skanowania. Wpisy obejmują wszystkie skany na żądanie wykonywane w przeszłości i wszystkie wykrycia antywirusowe.

Opis Value
Klucz scanHistoryMaximumItems
Typ danych Ciąg
Dopuszczalne wartości 10000 (wartość domyślna). Dozwolone wartości to od 5000 do 15000 elementów.
Komentarze Dostępne w usłudze Defender for Endpoint w wersji 101.04.76 lub nowszej.

Preferencje ochrony dostarczanej w chmurze

Wpis cloudService w profilu konfiguracji służy do konfigurowania funkcji ochrony opartej na chmurze produktu.

Opis Value
Klucz cloudService
Typ danych Słownik (preferencja zagnieżdżona)
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach.

Włączanie/wyłączanie ochrony dostarczanej w chmurze

Określa, czy ochrona dostarczana w chmurze jest włączona na urządzeniu, czy nie. Aby zwiększyć bezpieczeństwo usług, zalecamy włączenie tej funkcji.

Opis Value
Klucz Włączone
Typ danych Wartość logiczna
Dopuszczalne wartości true (wartość domyślna)

False

Poziom kolekcji diagnostycznej

Dane diagnostyczne służą do zapewnienia bezpieczeństwa i aktualności usługi Defender for Endpoint, wykrywania, diagnozowania i rozwiązywania problemów, a także wprowadzania ulepszeń produktu. To ustawienie określa poziom diagnostyki wysyłanej przez produkt do firmy Microsoft.

Opis Value
Klucz diagnosticLevel
Typ danych Ciąg
Dopuszczalne wartości Opcjonalne

required (wartość domyślna)

Włączanie/wyłączanie automatycznych przesyłania przykładów

Określa, czy podejrzane próbki (które mogą zawierać zagrożenia) są wysyłane do firmy Microsoft. Istnieją trzy poziomy kontroli przesyłania przykładów:

  • Brak: firma Microsoft nie przesyła żadnych podejrzanych przykładów.
  • Sejf: automatycznie przesyłane są tylko podejrzane przykłady, które nie zawierają danych osobowych. Jest to wartość domyślna dla tego ustawienia.
  • Wszystkie: wszystkie podejrzane przykłady są przesyłane do firmy Microsoft.
Opis Value
Klucz automaticSampleSubmissionConsent
Typ danych Ciąg
Dopuszczalne wartości brak

safe (wartość domyślna)

Wszystkie

Włączanie/wyłączanie automatycznych aktualizacji analizy zabezpieczeń

Określa, czy aktualizacje analizy zabezpieczeń są instalowane automatycznie:

Opis Value
Klucz automaticDefinitionUpdateEnabled
Typ danych Wartość logiczna
Dopuszczalne wartości true (wartość domyślna)

False

Aby rozpocząć pracę, zalecamy korzystanie ze wszystkich funkcji ochrony udostępnianych przez usługę Defender for Endpoint w następującym profilu konfiguracji dla przedsiębiorstwa.

Następujący profil konfiguracji:

  • Włączanie ochrony w czasie rzeczywistym (RTP)
  • Określ sposób obsługi następujących typów zagrożeń:
    • Potencjalnie niechciane aplikacje (PUA) są blokowane
    • Bomby archiwalne (plik o wysokiej szybkości kompresji) są poddawane inspekcji w dziennikach produktów
  • Włączanie automatycznych aktualizacji analizy zabezpieczeń
  • Włączanie ochrony dostarczanej w chmurze
  • Włączanie automatycznego przesyłania przykładów na safe poziomie
  • Włączanie monitorowania zachowania

Przykładowy profil

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Przykład pełnego profilu konfiguracji

Poniższy profil konfiguracji zawiera wpisy dla wszystkich ustawień opisanych w tym dokumencie i może służyć do bardziej zaawansowanych scenariuszy, w których chcesz mieć większą kontrolę nad produktem.

Pełny profil

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "exclusions":[
         {
            "$type":"excludedPath",
            "isDirectory":false,
            "path":"/var/log/system.log"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/run"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/home/*/git"
         },
         {
            "$type":"excludedFileExtension",
            "extension":".pdf"
         },
         {
            "$type":"excludedFileName",
            "name":"cat"
         }
      ],
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Dodawanie tagu lub identyfikatora grupy do profilu konfiguracji

Po pierwszym uruchomieniu mdatp health polecenia wartość tagu i identyfikatora grupy będzie pusta. Aby dodać tag lub identyfikator grupy do mdatp_managed.json pliku, wykonaj poniższe kroki:

  1. Otwórz profil konfiguracji ze ścieżki /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
  2. Przejdź do dolnej części pliku, gdzie cloudService znajduje się blok.
  3. Dodaj wymagany tag lub identyfikator grupy jako poniższy przykład na końcu zamykającego nawiasu klamrowego cloudServicedla elementu .
  },
  "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
},
"edr": {
  "groupIds":"GroupIdExample",
  "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
}

Uwaga

Nie zapomnij dodać przecinka po zamykającym nawiasie klamrowym na końcu cloudService bloku. Upewnij się również, że istnieją dwa zamykające nawiasy klamrowe po dodaniu bloku Tag lub Identyfikator grupy (zobacz powyższy przykład). Obecnie jedyną obsługiwaną nazwą klucza tagów jest GROUP.

Sprawdzanie poprawności profilu konfiguracji

Profil konfiguracji musi być prawidłowym plikiem w formacie JSON. Istnieje wiele narzędzi, których można użyć do zweryfikowania tego. Jeśli na przykład python zainstalowano na urządzeniu:

python -m json.tool mdatp_managed.json

Jeśli kod JSON jest dobrze sformułowany, powyższe polecenie wyprowadza go z powrotem do terminalu i zwraca kod zakończenia .0 W przeciwnym razie zostanie wyświetlony błąd opisujący problem, a polecenie zwróci kod zakończenia .1

Sprawdzanie, czy plik mdatp_managed.json działa zgodnie z oczekiwaniami

Aby sprawdzić, czy plik /etc/opt/microsoft/mdatp/managed/mdatp_managed.json działa prawidłowo, obok następujących ustawień powinien zostać wyświetlony komunikat "[managed]":

  • cloud_enabled
  • cloud_automatic_sample_submission_consent
  • passive_mode_enabled
  • real_time_protection_enabled
  • automatic_definition_update_enabled

Uwaga

Aby plik mdatp_managed.json został uruchomiony, nie jest wymagane ponowne uruchomienie deamonu mdatp .

Wdrażanie profilu konfiguracji

Po utworzeniu profilu konfiguracji dla przedsiębiorstwa można go wdrożyć za pośrednictwem narzędzia do zarządzania używanego przez przedsiębiorstwo. Usługa Defender dla punktu końcowego w systemie Linux odczytuje konfigurację zarządzana z pliku /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .