Definir preferências para Microsoft Defender para Endpoint no Linux

Aplica-se a:

Quer experimentar o Defender para Endpoint? Inscreva-se numa versão de avaliação gratuita.

Importante

Este tópico contém instruções sobre como definir as preferências do Defender para Ponto Final no Linux em ambientes empresariais. Se estiver interessado em configurar o produto num dispositivo a partir da linha de comandos, consulte Recursos.

Em ambientes empresariais, o Defender para Ponto Final no Linux pode ser gerido através de um perfil de configuração. Este perfil foi implementado a partir da ferramenta de gestão que escolher. As preferências geridas pela empresa têm precedência sobre as que são definidas localmente no dispositivo. Por outras palavras, os utilizadores na sua empresa não podem alterar as preferências definidas através deste perfil de configuração.

Este artigo descreve a estrutura deste perfil (incluindo um perfil recomendado que pode utilizar para começar) e instruções sobre como implementar o perfil.

Estrutura de perfil de configuração

O perfil de configuração é um ficheiro .json que consiste em entradas identificadas por uma chave (que indica o nome da preferência), seguido de um valor, que depende da natureza da preferência. Os valores podem ser simples, como um valor numérico ou complexos, como uma lista aninhada de preferências.

Normalmente, utilizava uma ferramenta de gestão de configuração para premir um ficheiro com o nome mdatp_managed.json na localização /etc/opt/microsoft/mdatp/managed/.

O nível superior do perfil de configuração inclui as preferências e entradas de todo o produto para subáreas do produto, que são explicadas mais detalhadamente nas secções seguinte.

Preferências do motor antivírus

A secção antivírusEngine do perfil de configuração é utilizada para gerir as preferências do componente antivírus do produto.



Descrição Valor
Chave antivírusEngine
Tipo de dados Dicionário (preferência aninhada)
Comentários Consulte as secções seguintes para ver uma descrição dos conteúdos do dicionário.

Nível de imposição para motor antivírus

Especifica a preferência de imposição do motor antivírus. Existem três valores para definir o nível de imposição:

  • Em tempo real (): areal_time proteção em tempo real (analisar ficheiros à medida que são acededos) está ativada.
  • A pedido (): os ficheiroson_demand são analisados apenas a pedido. Neste:
    • A proteção em tempo real está desligada.
  • Passive (passive): Executa o motor antivírus em modo passivo. Neste:
    • A proteção em tempo real está desligada.
    • A análise a pedido está adada.
    • A remediação automática de ameaças está desligada.
    • As atualizações das informações de segurança estão ativadas.


Descrição Valor
Chave enforcementLevel
Tipo de dados Cadeia
Valores possíveis real_time (predefinição)

on_demand

passivo

Comentários Disponível no Defender para a versão Endpoint 101.10.72 ou superior.

Ativar/desativar a monitorização do comportamento

Determina se a capacidade de monitorização e bloqueio do comportamento está ou não ativada no dispositivo. Para melhorar a eficácia da proteção de segurança, recomendamos que mantenha esta funcionalidade ativada.



Descrição Valor
Chave behaviorMonitoring
Tipo de dados Cadeia
Valores possíveis desativada (predefinição)

ativado (predefinição)

Comentários Disponível no Defender para a versão Endpoint 101.45.00 ou superior.

Executar uma análise depois de atualizar as definições

Especifica se deve iniciar uma análise de processo após a transferência de novas atualizações das informações de segurança no dispositivo. Ativar esta definição irá ativar uma análise antivírus nos processos em execução do dispositivo.



Descrição Valor
Chave scanAfterDefinitionUpdate
Tipo de dados Booleano
Valores possíveis true (predefinição)

falso

Comentários Disponível no Defender para a versão Endpoint 101.45.00 ou superior.

Analisar arquivos (apenas análises de antivírus a pedido)

Especifica se deve analisar arquivos durante a análise de antivírus a pedido.



Descrição Valor
Chave scanArchives
Tipo de dados Booleano
Valores possíveis true (predefinição)

falso

Comentários Disponível na Microsoft Defender para Endpoint 101.45.00 ou superior.

Grau de paralelismo para análises a pedido

Especifica o grau de paralelismo para análises a pedido. Isto corresponde ao número de tópicos utilizados para efetuar a análise e afeta a utilização da CPU, bem como a duração da análise a pedido.



Descrição Valor
Chave maximumOnDemandScanThreads
Tipo de dados Inteiro
Valores possíveis 2 (predefinição). Os valores permitidos são valores inteiros entre 1 e 64.
Comentários Disponível na Microsoft Defender para Endpoint 101.45.00 ou superior.

Política de exclusão de união

Especifica a política de união para exclusões. Pode ser uma combinação de exclusões definidas pelo administrador e por administrador (merge) ou apenas exclusões definidas pelo administrador (admin_only). Esta definição pode ser utilizada para restringir a definição das suas próprias exclusões por parte dos utilizadores locais.



Descrição Valor
Chave exclusionsMergePolicy
Tipo de dados Cadeia
Valores possíveis ações de imprescisão (predefinição)

admin_only

Comentários Disponível no Defender para a versão Endpoint 100.83.73 ou superior.

Exclusões de análise

Entidades que foram excluídas da análise. As exclusões podem ser especificadas por caminhos, extensões ou nomes de ficheiro completos. (As exclusões são especificadas como uma matriz de itens, o administrador pode especificar o número de elementos que for necessário, em qualquer ordem.)



Descrição Valor
Chave exclusões
Tipo de dados Dicionário (preferência aninhada)
Comentários Consulte as secções seguintes para ver uma descrição dos conteúdos do dicionário.
Tipo de exclusão

Especifica o tipo de conteúdo excluído da análise.



Descrição Valor
Chave $type
Tipo de dados Cadeia
Valores possíveis excludedPath

excludedFileExtension

excludedFileName

Caminho para conteúdo excluído

Utilizado para excluir conteúdos da análise por caminho de ficheiro completo.



Descrição Valor
Chave caminho
Tipo de dados Cadeia
Valores possíveis caminhos válidos
Comentários Aplicável apenas se $type de excluídoPath
Tipo de caminho (ficheiro/diretório)

Indica se a propriedade caminho se refere a um ficheiro ou diretório.



Descrição Valor
Chave isDirectory
Tipo de dados Booleano
Valores possíveis falso (predefinição)

true

Comentários Aplicável apenas se $type de excluídoPath
Extensão de ficheiro excluída da análise

Utilizado para excluir conteúdos da extensão de ficheiro de análise por.



Descrição Valor
Chave extensão
Tipo de dados Cadeia
Valores possíveis extensões de ficheiro válidas
Comentários Aplicável apenas se $type excluídoFileExtension
Processo excluído da análise*

Especifica um processo para o qual toda a atividade de ficheiros está excluída da análise. O processo pode ser especificado pelo nome (por exemplo, cat) ou pelo caminho completo (por exemplo, /bin/cat).



Descrição Valor
Chave nome
Tipo de dados Cadeia
Valores possíveis qualquer cadeia
Comentários Aplicável apenas se $type excluídoFileName

Ameaças permitidas

Lista de ameaças (identificadas pelo respetivo nome) que não são bloqueadas pelo produto e que, em vez disso, podem ser executadas.



Descrição Valor
Chave permitidoReats
Tipo de dados Matriz de cadeias

Ações de ameaça não legais

Restringe as ações que o utilizador local de um dispositivo pode tomar quando são detetadas ameaças. As ações incluídas nesta lista não são apresentadas na interface de utilizador.



Descrição Valor
Chave disallowedThreatActions
Tipo de dados Matriz de cadeias
Valores possíveis permitir (restringe a permitição de ameaças por parte dos utilizadores)

restaurar (restringe os utilizadores de restaurar ameaças a partir da quarentena)

Comentários Disponível no Defender para a versão Endpoint 100.83.73 ou superior.

Definições do tipo Ameaça

A preferência ThreatTypeSettings no motor antivírus é utilizada para controlar a forma como determinados tipos de ameaça são tratados pelo produto.



Descrição Valor
Chave ThreatTypeSettings
Tipo de dados Dicionário (preferência aninhada)
Comentários Consulte as secções seguintes para ver uma descrição dos conteúdos do dicionário.
Tipo de ameaça

Tipo de ameaça para o qual o comportamento está configurado.



Descrição Valor
Chave tecla
Tipo de dados Cadeia
Valores possíveis potentially_unwanted_application

archive_bomb

Ação a tomar

Ação a tomar quando se detetar uma ameaça do tipo especificado na secção anterior. Pode ser:

  • Auditoria: O dispositivo não está protegido contra este tipo de ameaça, mas é registo uma entrada sobre a ameaça.
  • Bloqueio: o dispositivo está protegido contra este tipo de ameaça e é notificado na consola de segurança.
  • Desnecessário: o dispositivo não está protegido contra este tipo de ameaça e nada é loteado.


Descrição Valor
Chave valor
Tipo de dados Cadeia
Valores possíveis auditoria (predefinição)

bloquear

des desligada

Política de união de definições de tipo de ameaça

Especifica a política de união para definições de tipo de ameaça. Pode ser uma combinação de definições definidas pelo administrador e definições definidas pelo utilizador (merge) ou apenas definições definidas pelo administrador (admin_only). Esta definição pode ser utilizada para restringir os utilizadores locais de definirem as suas próprias definições para diferentes tipos de ameaças.



Descrição Valor
Chave threatTypeSettingsMergePolicy
Tipo de dados Cadeia
Valores possíveis ações de imprescisão (predefinição)

admin_only

Comentários Disponível no Defender para a versão Endpoint 100.83.73 ou superior.

Retenção do histórico de análise de antivírus (em dias)

Especifique o número de dias que os resultados são guardados no histórico de análise no dispositivo. Os resultados de análise antigos são removidos do histórico. Ficheiros antigos em quarentena que também são removidos do disco.



Descrição Valor
Chave scanResultsRetentionDays
Tipo de dados Cadeia
Valores possíveis 90 (predefinição). Os valores permitidos são de 1 dia a 180 dias.
Comentários Disponível no Defender para a versão Endpoint 101.04.76 ou superior.

Número máximo de itens no histórico de análise de antivírus

Especifique o número máximo de entradas a manter no histórico de análise. As entradas incluem todas as análises a pedido efetuadas no passado e todas as deteções de antivírus.



Descrição Valor
Chave scanHistoryMaximumItems
Tipo de dados Cadeia
Valores possíveis 10000 (predefinição). Os valores permitidos são de 5000 itens a 15 000 itens.
Comentários Disponível no Defender para a versão Endpoint 101.04.76 ou superior.

Preferências de proteção entregues na nuvem

A entrada cloudService no perfil de configuração é utilizada para configurar a funcionalidade de proteção orientada pela nuvem do produto.



Descrição Valor
Chave cloudService
Tipo de dados Dicionário (preferência aninhada)
Comentários Consulte as secções seguintes para ver uma descrição dos conteúdos do dicionário.

Ativar/desativar a proteção na nuvem

Determina se a proteção fornecida na nuvem está ou não ativada no dispositivo. Para melhorar a segurança dos seus serviços, recomendamos que mantenha esta funcionalidade ativada.



Descrição Valor
Chave ativado
Tipo de dados Booleano
Valores possíveis true (predefinição)

falso

Nível da coleção de diagnóstico

Os dados de diagnóstico são utilizados para manter o Defender para Pontos Finais seguro e a par dos problemas, bem como detetar, diagnosticar e corrigir problemas, bem como melhorar o produto. Esta definição determina o nível de diagnóstico enviado pelo produto à Microsoft.



Descrição Valor
Chave diagnosticLevel
Tipo de dados Cadeia
Valores possíveis opcional (predefinição)

obrigatório

Ativar/desativar submissões de exemplo automáticas

Determina se as amostras suspeitas (que podem conter ameaças) são enviadas para a Microsoft. Existem três níveis para controlar a submissão de amostra:

  • Nenhum: não são submetidos exemplos suspeitos à Microsoft.
  • Cofre: apenas amostras suspeitas que não contenham informação identificativa (PII) são submetidas automaticamente. Este é o valor predefinido para esta definição.
  • Tudo: todos os exemplos suspeitos são submetidos à Microsoft.


Descrição Valor
Chave automaticSampleSubmissionConsent
Tipo de dados Cadeia
Valores possíveis nenhum

cofre (predefinição)

tudo

Ativar/desativar atualizações automáticas de informações de segurança

Determina se as atualizações das informações de segurança são instaladas automaticamente:



Descrição Valor
Chave automaticDefinitionUpdateEnabled
Tipo de dados Booleano
Valores possíveis true (predefinição)

falso

Para começar, recomendamos o seguinte perfil de configuração para a sua empresa para tirar partido de todas as funcionalidades de proteção que o Defender para Pontos Finais fornece.

O perfil de configuração seguinte irá:

  • Ativar a proteção em tempo real (RTP)
  • Especifique como os seguintes tipos de ameaças são tratados:
    • As aplicações potencialmente indesejadas (PUA) estão bloqueadas
    • As bombas de arquivo (ficheiro com uma taxa de compressão elevada) são auditadas para os registos de produtos
  • Ativar atualizações automáticas de informações de segurança
  • Ativar a proteção fornecida pela nuvem
  • Ativar a submissão de amostra automática ao safe nível
  • Ativar a monitorização do comportamento

Perfil de exemplo

{
   "antivirusEngine":{
      "behaviorMonitoring":"enabled",
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Exemplo completo de perfil de configuração

O perfil de configuração seguinte contém entradas para todas as definições descritas neste documento e pode ser utilizado para cenários mais avançados em que pretende ter mais controlo sobre o produto.

Perfil completo

{
   "antivirusEngine":{
      "behaviorMonitoring":"enabled",
      "enforcementLevel":"real_time",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "exclusions":[
         {
            "$type":"excludedPath",
            "isDirectory":false,
            "path":"/var/log/system.log"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/run"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/home/*/git"
         },
         {
            "$type":"excludedFileExtension",
            "extension":".pdf"
         },
         {
            "$type":"excludedFileName",
            "name":"cat"
         }
      ],
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Adicionar uma etiqueta ou ID de grupo ao perfil de configuração

Quando executar o comando mdatp health pela primeira vez, o valor da etiqueta e do ID de grupo estará em branco. Para adicionar uma etiqueta ou ID de grupo ao mdatp_managed.json ficheiro, siga os passos abaixo:

  1. Abra o perfil de configuração a partir do caminho /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
  2. Vá para baixo até à parte inferior do ficheiro, onde o cloudService bloco está localizado.
  3. Adicione a etiqueta ou ID de grupo necessários como exemplo no final da chaveta de fecho do cloudService.
  },
  "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
},
"edr": {
  "groupIds":"GroupIdExample",
  "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
}

Nota

Não se esqueça de adicionar a rgula após o parênte reto de fecho no final do cloudService bloco. Além disso, certifique-se de que existem dois parênteses curvas de fecho após adicionar o bloco ID de Etiqueta ou Grupo (consulte o exemplo acima). Neste momento, o único nome de chave suportado para etiquetas é GROUP.

Validação de perfil de configuração

O perfil de configuração tem de ser um ficheiro com o formato JSON válido. Existem várias ferramentas que podem ser utilizadas para verificar esta situação. Por exemplo, se tiver python instalado no seu dispositivo:

python -m json.tool mdatp_managed.json

Se o JSON estiver bem formado, o comando acima regressa ao Terminal e devolve um código de saída de 0. Caso contrário, é apresentado um erro que descreve o problema e o comando devolve um código de saída de 1.

Verificar se o ficheiro mdatp_managed.json está a funcionar conforme esperado

Para verificar se o seu /etc/opt/microsoft/mdatp/managed/mdatp_managed.json está a funcionar corretamente, deverá ver "[gerido]" junto a estas definições:

  • cloud_enabled
  • cloud_automatic_sample_submission_consent
  • passive_mode_enabled
  • real_time_protection_enabled
  • automatic_definition_update_enabled

Nota

Para que mdatp_managed.json entre em vigor, não é necessário reiniciar mdatp o desamon.

Configuração da implementação de perfis

Depois de construir o perfil de configuração para a sua empresa, pode implementá-lo através da ferramenta de gestão que a sua empresa está a utilizar. O Defender para Ponto Final no Linux lê a configuração gerida a partir do ficheiro /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .