Definir preferências para o Microsoft Defender para Ponto de Extremidade no LinuxSet preferences for Microsoft Defender for Endpoint on Linux

Aplica-se a:Applies to:

Deseja experimentar o Defender para Ponto de Extremidade?Want to experience Defender for Endpoint? Inscreva-se para uma avaliação gratuita.Sign up for a free trial.

Importante

Este tópico contém instruções sobre como definir preferências para o Defender para o Ponto de Extremidade no Linux em ambientes corporativos.This topic contains instructions for how to set preferences for Defender for Endpoint on Linux in enterprise environments. Se você estiver interessado em configurar o produto em um dispositivo da linha de comando, consulte Resources.If you are interested in configuring the product on a device from the command-line, see Resources.

Em ambientes corporativos, o Defender for Endpoint no Linux pode ser gerenciado por meio de um perfil de configuração.In enterprise environments, Defender for Endpoint on Linux can be managed through a configuration profile. Esse perfil é implantado a partir da ferramenta de gerenciamento de sua escolha.This profile is deployed from the management tool of your choice. As preferências gerenciadas pela empresa têm precedência sobre as definidas localmente no dispositivo.Preferences managed by the enterprise take precedence over the ones set locally on the device. Em outras palavras, os usuários em sua empresa não são capazes de alterar as preferências definidas por meio desse perfil de configuração.In other words, users in your enterprise are not able to change preferences that are set through this configuration profile.

Este artigo descreve a estrutura desse perfil (incluindo um perfil recomendado que você pode usar para começar) e instruções sobre como implantar o perfil.This article describes the structure of this profile (including a recommended profile that you can use to get started) and instructions on how to deploy the profile.

Estrutura de perfil de configuraçãoConfiguration profile structure

O perfil de configuração é um arquivo .json que consiste em entradas identificadas por uma chave (que indica o nome da preferência), seguida por um valor, que depende da natureza da preferência.The configuration profile is a .json file that consists of entries identified by a key (which denotes the name of the preference), followed by a value, which depends on the nature of the preference. Os valores podem ser simples, como um valor numérico ou complexo, como uma lista aninhada de preferências.Values can be simple, such as a numerical value, or complex, such as a nested list of preferences.

Normalmente, você usaria uma ferramenta de gerenciamento de configuração para pressionar um arquivo com o nome mdatp_managed.json no local /etc/opt/microsoft/mdatp/managed/ .Typically, you would use a configuration management tool to push a file with the name mdatp_managed.json at the location /etc/opt/microsoft/mdatp/managed/.

O nível superior do perfil de configuração inclui preferências e entradas para subáreas do produto, que são explicadas com mais detalhes nas próximas seções.The top level of the configuration profile includes product-wide preferences and entries for subareas of the product, which are explained in more detail in the next sections.

Preferências do mecanismo antivírusAntivirus engine preferences

A seção antivírusEngine do perfil de configuração é usada para gerenciar as preferências do componente antivírus do produto.The antivirusEngine section of the configuration profile is used to manage the preferences of the antivirus component of the product.

ChaveKey antivirusEngineantivirusEngine
Tipo de dadosData type Dicionário (preferência aninhada)Dictionary (nested preference)
CommentsComments Consulte as seções a seguir para ver uma descrição do conteúdo do dicionário.See the following sections for a description of the dictionary contents.

Habilitar/desabilitar a proteção em tempo realEnable / disable real-time protection

Determina se a proteção em tempo real (arquivos de verificação conforme eles são acessados) está habilitada ou não.Determines whether real-time protection (scan files as they are accessed) is enabled or not.

ChaveKey enableRealTimeProtectionenableRealTimeProtection
Tipo de dadosData type BoolianoBoolean
Valores possíveisPossible values true (padrão)true (default)
falsofalse

Habilitar/desabilitar o modo passivoEnable / disable passive mode

Determina se o mecanismo antivírus é executado no modo passivo ou não.Determines whether the antivirus engine runs in passive mode or not. No modo passivo:In passive mode:

  • A proteção em tempo real está desligada.Real-time protection is turned off.
  • A verificação sob demanda está 100% 100%.On-demand scanning is turned on.
  • A correção automática de ameaças está desligada.Automatic threat remediation is turned off.
  • As atualizações de inteligência de segurança estão ativas.Security intelligence updates are turned on.
  • O ícone do menu Status está oculto.Status menu icon is hidden.
ChaveKey passiveModepassiveMode
Tipo de dadosData type BoolianoBoolean
Valores possíveisPossible values falso (padrão)false (default)
verdadeirotrue
CommentsComments Disponível no Defender para Ponto de Extremidade versão 100.67.60 ou superior.Available in Defender for Endpoint version 100.67.60 or higher.

Política de mesclagem de exclusãoExclusion merge policy

Especifica a política de mesclagem para exclusões.Specifies the merge policy for exclusions. Pode ser uma combinação de exclusões definidas pelo administrador e definidas pelo usuário ( ) ou apenas exclusões definidas pelo administrador merge ( admin_only ).It can be a combination of administrator-defined and user-defined exclusions (merge) or only administrator-defined exclusions (admin_only). Essa configuração pode ser usada para restringir os usuários locais de definir suas próprias exclusões.This setting can be used to restrict local users from defining their own exclusions.

ChaveKey exclusionsMergePolicyexclusionsMergePolicy
Tipo de dadosData type Cadeia de caracteresString
Valores possíveisPossible values merge (padrão)merge (default)
admin_onlyadmin_only
CommentsComments Disponível no Defender para Ponto de Extremidade versão 100.83.73 ou superior.Available in Defender for Endpoint version 100.83.73 or higher.

Exclusões de verificaçãoScan exclusions

Entidades que foram excluídas da verificação.Entities that have been excluded from the scan. As exclusões podem ser especificadas por caminhos completos, extensões ou nomes de arquivo.Exclusions can be specified by full paths, extensions, or file names. (As exclusões são especificadas como uma matriz de itens, o administrador pode especificar quantos elementos for necessário, em qualquer ordem.)(Exclusions are specified as an array of items, administrator can specify as many elements as necessary, in any order.)

ChaveKey exclusõesexclusions
Tipo de dadosData type Dicionário (preferência aninhada)Dictionary (nested preference)
CommentsComments Consulte as seções a seguir para ver uma descrição do conteúdo do dicionário.See the following sections for a description of the dictionary contents.

Tipo de exclusãoType of exclusion

Especifica o tipo de conteúdo excluído da verificação.Specifies the type of content excluded from the scan.

ChaveKey $type$type
Tipo de dadosData type Cadeia de caracteresString
Valores possíveisPossible values excludedPathexcludedPath
excludedFileExtensionexcludedFileExtension
excludedFileNameexcludedFileName

Caminho para conteúdo excluídoPath to excluded content

Usado para excluir conteúdo da verificação por caminho de arquivo completo.Used to exclude content from the scan by full file path.

ChaveKey caminhopath
Tipo de dadosData type Cadeia de caracteresString
Valores possíveisPossible values caminhos válidosvalid paths
CommentsComments Aplicável somente se $type for excludedPathApplicable only if $type is excludedPath

Tipo de caminho (arquivo/diretório)Path type (file / directory)

Indica se a propriedade path se refere a um arquivo ou diretório.Indicates if the path property refers to a file or directory.

ChaveKey isDirectoryisDirectory
Tipo de dadosData type BoolianoBoolean
Valores possíveisPossible values falso (padrão)false (default)
verdadeirotrue
CommentsComments Aplicável somente se $type for excludedPathApplicable only if $type is excludedPath

Extensão de arquivo excluída da verificaçãoFile extension excluded from the scan

Usado para excluir conteúdo da verificação por extensão de arquivo.Used to exclude content from the scan by file extension.

ChaveKey extensionextension
Tipo de dadosData type Cadeia de caracteresString
Valores possíveisPossible values extensões de arquivo válidasvalid file extensions
CommentsComments Aplicável somente se $type for excludedFileExtensionApplicable only if $type is excludedFileExtension

Processo excluído da verificaçãoProcess excluded from the scan

Especifica um processo para o qual todas as atividades de arquivo são excluídas da verificação.Specifies a process for which all file activity is excluded from scanning. O processo pode ser especificado pelo nome (por exemplo) cat ou caminho completo (por exemplo, /bin/cat ).The process can be specified either by its name (for example, cat) or full path (for example, /bin/cat).

ChaveKey nomename
Tipo de dadosData type Cadeia de caracteresString
Valores possíveisPossible values qualquer cadeia de caracteresany string
CommentsComments Aplicável somente se $type for excludedFileNameApplicable only if $type is excludedFileName

Ameaças permitidasAllowed threats

Lista de ameaças (identificadas pelo nome) que não são bloqueadas pelo produto e têm permissão para executar.List of threats (identified by their name) that are not blocked by the product and are instead allowed to run.

ChaveKey allowedThreatsallowedThreats
Tipo de dadosData type Matriz de cadeias de caracteresArray of strings

Ações de ameaça não permitidosDisallowed threat actions

Restringe as ações que o usuário local de um dispositivo pode tomar quando as ameaças são detectadas.Restricts the actions that the local user of a device can take when threats are detected. As ações incluídas nesta lista não são exibidas na interface do usuário.The actions included in this list are not displayed in the user interface.

ChaveKey disallowedThreatActionsdisallowedThreatActions
Tipo de dadosData type Matriz de cadeias de caracteresArray of strings
Valores possíveisPossible values allow (restringe os usuários a permitir ameaças)allow (restricts users from allowing threats)
restore (restringe os usuários de restaurar ameaças da quarentena)restore (restricts users from restoring threats from the quarantine)
CommentsComments Disponível no Defender para Ponto de Extremidade versão 100.83.73 ou superior.Available in Defender for Endpoint version 100.83.73 or higher.

Configurações de tipo de ameaçaThreat type settings

A preferência threatTypeSettings no mecanismo antivírus é usada para controlar como determinados tipos de ameaça são manipulados pelo produto.The threatTypeSettings preference in the antivirus engine is used to control how certain threat types are handled by the product.

ChaveKey threatTypeSettingsthreatTypeSettings
Tipo de dadosData type Dicionário (preferência aninhada)Dictionary (nested preference)
CommentsComments Consulte as seções a seguir para ver uma descrição do conteúdo do dicionário.See the following sections for a description of the dictionary contents.

Tipo de ameaçaThreat type

Tipo de ameaça para a qual o comportamento está configurado.Type of threat for which the behavior is configured.

ChaveKey chavekey
Tipo de dadosData type Cadeia de caracteresString
Valores possíveisPossible values potentially_unwanted_applicationpotentially_unwanted_application
archive_bombarchive_bomb

O que fazerAction to take

Ação a ser tomada ao se deparar com uma ameaça do tipo especificado na seção anterior.Action to take when coming across a threat of the type specified in the preceding section. Pode ser:Can be:

  • Auditoria: o dispositivo não está protegido contra esse tipo de ameaça, mas uma entrada sobre a ameaça é registrada.Audit: The device is not protected against this type of threat, but an entry about the threat is logged.
  • Bloquear: o dispositivo é protegido contra esse tipo de ameaça e você é notificado no console de segurança.Block: The device is protected against this type of threat and you are notified in the security console.
  • Off: O dispositivo não está protegido contra esse tipo de ameaça e nada é registrado.Off: The device is not protected against this type of threat and nothing is logged.
ChaveKey valorvalue
Tipo de dadosData type Cadeia de caracteresString
Valores possíveisPossible values audit (padrão)audit (default)
blockblock
offoff

Política de mesclagem de configurações de tipo de ameaçaThreat type settings merge policy

Especifica a política de mesclagem para configurações de tipo de ameaça.Specifies the merge policy for threat type settings. Isso pode ser uma combinação de configurações definidas pelo administrador e definidas pelo usuário ( ) ou apenas merge configurações definidas pelo administrador ( admin_only ).This can be a combination of administrator-defined and user-defined settings (merge) or only administrator-defined settings (admin_only). Essa configuração pode ser usada para restringir os usuários locais de definir suas próprias configurações para tipos de ameaça diferentes.This setting can be used to restrict local users from defining their own settings for different threat types.

ChaveKey threatTypeSettingsMergePolicythreatTypeSettingsMergePolicy
Tipo de dadosData type Cadeia de caracteresString
Valores possíveisPossible values merge (padrão)merge (default)
admin_onlyadmin_only
CommentsComments Disponível no Defender para Ponto de Extremidade versão 100.83.73 ou superior.Available in Defender for Endpoint version 100.83.73 or higher.

Retenção de histórico de verificação de antivírus (em dias)Antivirus scan history retention (in days)

Especifique o número de dias que os resultados são mantidos no histórico de verificação no dispositivo.Specify the number of days that results are retained in the scan history on the device. Os resultados antigos da verificação são removidos do histórico.Old scan results are removed from the history. Arquivos em quarentena antigos que também são removidos do disco.Old quarantined files that are also removed from the disk.

ChaveKey scanResultsRetentionDaysscanResultsRetentionDays
Tipo de dadosData type Cadeia de caracteresString
Valores possíveisPossible values 90 (padrão).90 (default). Os valores permitidos são de 1 dia a 180 dias.Allowed values are from 1 day to 180 days.
CommentsComments Disponível no Defender para Ponto de Extremidade versão 101.04.76 ou superior.Available in Defender for Endpoint version 101.04.76 or higher.

Número máximo de itens no histórico de verificação de antivírusMaximum number of items in the antivirus scan history

Especifique o número máximo de entradas a manter no histórico de verificação.Specify the maximum number of entries to keep in the scan history. As entradas incluem todas as verificações sob demanda realizadas no passado e todas as detecções de antivírus.Entries include all on-demand scans performed in the past and all antivirus detections.

ChaveKey scanHistoryMaximumItemsscanHistoryMaximumItems
Tipo de dadosData type Cadeia de caracteresString
Valores possíveisPossible values 10000 (padrão).10000 (default). Os valores permitidos são de 5.000 itens a 15.000 itens.Allowed values are from 5000 items to 15000 items.
CommentsComments Disponível no Defender para Ponto de Extremidade versão 101.04.76 ou superior.Available in Defender for Endpoint version 101.04.76 or higher.

Preferências de proteção entregues na nuvemCloud-delivered protection preferences

A entrada do cloudService no perfil de configuração é usada para configurar o recurso de proteção orientada por nuvem do produto.The cloudService entry in the configuration profile is used to configure the cloud-driven protection feature of the product.

ChaveKey cloudServicecloudService
Tipo de dadosData type Dicionário (preferência aninhada)Dictionary (nested preference)
CommentsComments Consulte as seções a seguir para ver uma descrição do conteúdo do dicionário.See the following sections for a description of the dictionary contents.

Habilitar/desabilitar a proteção entregue na nuvemEnable / disable cloud delivered protection

Determina se a proteção entregue na nuvem está habilitada no dispositivo ou não.Determines whether cloud-delivered protection is enabled on the device or not. Para melhorar a segurança dos seus serviços, recomendamos manter esse recurso ligado.To improve the security of your services, we recommend keeping this feature turned on.

ChaveKey habilitadasenabled
Tipo de dadosData type BoolianoBoolean
Valores possíveisPossible values true (padrão)true (default)
falsofalse

Nível de coleta de diagnósticoDiagnostic collection level

Os dados de diagnóstico são usados para manter o Defender para o Ponto de Extremidade seguro e atualizado, detectar, diagnosticar e corrigir problemas e também fazer melhorias no produto.Diagnostic data is used to keep Defender for Endpoint secure and up-to-date, detect, diagnose and fix problems, and also make product improvements. Essa configuração determina o nível de diagnóstico enviado pelo produto para a Microsoft.This setting determines the level of diagnostics sent by the product to Microsoft.

ChaveKey diagnosticLeveldiagnosticLevel
Tipo de dadosData type Cadeia de caracteresString
Valores possíveisPossible values opcional (padrão)optional (default)
obrigatóriorequired

Habilitar/desabilitar envios automáticos de exemploEnable / disable automatic sample submissions

Determina se amostras suspeitas (que provavelmente contêm ameaças) são enviadas à Microsoft.Determines whether suspicious samples (that are likely to contain threats) are sent to Microsoft. Há três níveis para controlar o envio de exemplo:There are three levels for controlling sample submission:

  • Nenhum: nenhum exemplo suspeito é enviado à Microsoft.None: no suspicious samples are submitted to Microsoft.
  • Cofre: somente amostras suspeitas que não contenham informações de identificação pessoal (PII) são enviadas automaticamente.Safe: only suspicious samples that do not contain personally identifiable information (PII) are submitted automatically. Esse é o valor padrão para essa configuração.This is the default value for this setting.
  • All: todos os exemplos suspeitos são enviados à Microsoft.All: all suspicious samples are submitted to Microsoft.
ChaveKey automaticSampleSubmissionConsentautomaticSampleSubmissionConsent
Tipo de dadosData type Cadeia de caracteresString
Valores possíveisPossible values nenhumanone
safe (padrão)safe (default)
allall

Habilitar/desabilitar atualizações automáticas de inteligência de segurançaEnable / disable automatic security intelligence updates

Determina se as atualizações de inteligência de segurança são instaladas automaticamente:Determines whether security intelligence updates are installed automatically:

ChaveKey automaticDefinitionUpdateEnabledautomaticDefinitionUpdateEnabled
Tipo de dadosData type BoolianoBoolean
Valores possíveisPossible values true (padrão)true (default)
falsofalse

Para começar, recomendamos que o perfil de configuração a seguir para sua empresa tire proveito de todos os recursos de proteção que o Defender para Ponto de Extremidade fornece.To get started, we recommend the following configuration profile for your enterprise to take advantage of all protection features that Defender for Endpoint provides.

O seguinte perfil de configuração será:The following configuration profile will:

  • Habilitar a proteção em tempo real (RTP)Enable real-time protection (RTP)
  • Especifique como os seguintes tipos de ameaça são tratados:Specify how the following threat types are handled:
    • Aplicativos potencialmente indesejados (PUA) são bloqueadosPotentially unwanted applications (PUA) are blocked
    • As bombas de arquivo morto (arquivo com alta taxa de compactação) são auditadas para os logs do produtoArchive bombs (file with a high compression rate) are audited to the product logs
  • Habilitar atualizações automáticas de inteligência de segurançaEnable automatic security intelligence updates
  • Ativar proteção fornecida pela nuvemEnable cloud-delivered protection
  • Habilitar o envio automático de exemplo no safe nívelEnable automatic sample submission at safe level

Perfil de exemploSample profile

{
   "antivirusEngine":{
      "enableRealTimeProtection":true,
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy":"http://proxy.server:port/"
   }
}

Exemplo de perfil de configuração completaFull configuration profile example

O perfil de configuração a seguir contém entradas para todas as configurações descritas neste documento e pode ser usado para cenários mais avançados em que você deseja mais controle sobre o produto.The following configuration profile contains entries for all settings described in this document and can be used for more advanced scenarios where you want more control over the product.

Perfil completoFull profile

{
   "antivirusEngine":{
      "enableRealTimeProtection":true,
      "passiveMode":false,
      "exclusionsMergePolicy":"merge",
      "exclusions":[
         {
            "$type":"excludedPath",
            "isDirectory":false,
            "path":"/var/log/system.log"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/run"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/home/*/git"
         },
         {
            "$type":"excludedFileExtension",
            "extension":".pdf"
         },
         {
            "$type":"excludedFileName",
            "name":"cat"
         }
      ],
      "allowedThreats":[
         "EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "http://proxy.server:port/"
   }
}

Validação de perfil de configuraçãoConfiguration profile validation

O perfil de configuração deve ser um arquivo JSON formatado válido.The configuration profile must be a valid JSON-formatted file. Há várias ferramentas que podem ser usadas para verificar isso.There are a number of tools that can be used to verify this. Por exemplo, se você python tiver instalado em seu dispositivo:For example, if you have python installed on your device:

python -m json.tool mdatp_managed.json

Se o JSON for bem formado, o comando acima o retornará ao Terminal e retornará um código de saída de 0 .If the JSON is well-formed, the above command outputs it back to the Terminal and returns an exit code of 0. Caso contrário, um erro que descreve o problema é exibido e o comando retorna um código de saída de 1 .Otherwise, an error that describes the issue is displayed and the command returns an exit code of 1.

Verificar se o arquivo mdatp_managed.json está funcionando conforme o esperadoVerifying that the mdatp_managed.json file is working as expected

Para verificar se o /etc/opt/microsoft/mdatp/managed/mdatp_managed.json está funcionando corretamente, você deve ver "[gerenciado]" ao lado dessas configurações:To verify that your /etc/opt/microsoft/mdatp/managed/mdatp_managed.json is working properly, you should see "[managed]" next to these settings:

  • cloud_enabledcloud_enabled
  • cloud_automatic_sample_submission_consentcloud_automatic_sample_submission_consent
  • passice_mode_enabledpassice_mode_enabled
  • real_time_protection_enabledreal_time_protection_enabled
  • automatic_definition_update_enabledautomatic_definition_update_enabled

Observação

Para que mdatp_managed.jsa ação entre em vigor, nenhuma reinicialização do wdavdaemon é necessária.For the mdatp_managed.json to take effect, no restart of the wdavdaemon is required.

Implantação de perfil de configuraçãoConfiguration profile deployment

Depois de construir o perfil de configuração para sua empresa, você poderá implantá-lo por meio da ferramenta de gerenciamento que sua empresa está usando.Once you've built the configuration profile for your enterprise, you can deploy it through the management tool that your enterprise is using. O Defender para Ponto de Extremidade no Linux lê a configuração gerenciada do arquivo /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.Defender for Endpoint on Linux reads the managed configuration from the /etc/opt/microsoft/mdatp/managed/mdatp_managed.json file.