Ange inställningar för Microsoft Defender för Endpoint i Linux

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Viktigt

Det här avsnittet innehåller instruktioner för hur du anger inställningar för Defender för Endpoint på Linux i företagsmiljöer. Om du är intresserad av att konfigurera produkten på en enhet från kommandoraden kan du läsa Resurser.

I företagsmiljöer kan Defender för Endpoint på Linux hanteras via en konfigurationsprofil. Den här profilen distribueras från det hanteringsverktyg som du väljer. Inställningar som hanteras av företaget har företräde framför de som anges lokalt på enheten. Med andra ord kan användare i företaget inte ändra inställningar som anges via den här konfigurationsprofilen. Om undantag har lagts till via den hanterade konfigurationsprofilen kan de bara tas bort via den hanterade konfigurationsprofilen. Kommandoraden fungerar för undantag som har lagts till lokalt.

Den här artikeln beskriver strukturen för den här profilen (inklusive en rekommenderad profil som du kan använda för att komma igång) och instruktioner om hur du distribuerar profilen.

Konfigurationsprofilstruktur

Konfigurationsprofilen är en .json-fil som består av poster som identifieras med en nyckel (som anger namnet på inställningen), följt av ett värde som beror på inställningens natur. Värden kan vara enkla, till exempel ett numeriskt värde eller komplext, till exempel en kapslad lista med inställningar.

Vanligtvis använder du ett konfigurationshanteringsverktyg för att skicka en fil med namnet mdatp_managed.json på platsen /etc/opt/microsoft/mdatp/managed/.

Den översta nivån i konfigurationsprofilen innehåller produktomfattande inställningar och poster för underområden för produkten, som beskrivs mer detaljerat i nästa avsnitt.

Inställningar för antivirusmotorn

Avsnittet antivirusEngine i konfigurationsprofilen används för att hantera inställningarna för antiviruskomponenten i produkten.

Beskrivning Värde
Nyckel antivirusEngine
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet.

Tillämpningsnivå för antivirusmotor

Anger tvingande inställningar för antivirusmotorn. Det finns tre värden för att ange tvingande nivå:

  • Realtidsskydd (real_time): Realtidsskydd (genomsökningsfiler när de används) är aktiverat.
  • På begäran (on_demand): Filer genomsöks endast på begäran. I det här:
    • Realtidsskydd är inaktiverat.
  • Passiv (passive): Kör antivirusmotorn i passivt läge. I det här:
    • Realtidsskydd är inaktiverat.
    • Genomsökning på begäran är aktiverat.
    • Automatisk hotreparation är inaktiverat.
    • Uppdateringar av säkerhetsinformation är aktiverade.
Beskrivning Värde
Nyckel enforcementLevel
Datatyp Sträng
Möjliga värden real_time (standard)

on_demand

Passiv

Kommentarer Finns i Defender för Endpoint version 101.10.72 eller senare.

Aktivera/inaktivera beteendeövervakning

Avgör om funktionen för beteendeövervakning och blockering är aktiverad på enheten eller inte. För att förbättra säkerhetsskyddets effektivitet rekommenderar vi att den här funktionen är aktiverad.



Beskrivning Värde
Nyckel behaviorMonitoring
Datatyp Sträng
Möjliga värden inaktiverad (standard)

Aktiverat

Kommentarer Finns i Defender för Endpoint version 101.45.00 eller senare.

Konfigurera funktionen för beräkning av filhash

Aktiverar eller inaktiverar funktionen för beräkning av filhash. När den här funktionen är aktiverad beräknar Defender för Endpoint hashvärden för filer som den genomsöker. Observera att aktivering av den här funktionen kan påverka enhetens prestanda. Mer information finns i: Skapa indikatorer för filer.

Beskrivning Värde
Nyckel enableFileHashComputation
Datatyp Sträng
Möjliga värden inaktiverad (standard)

Aktiverat

Kommentarer Finns i Defender för Endpoint version 101.73.77 eller senare.

Köra en genomsökning när definitionerna har uppdaterats

Anger om du vill starta en processgenomsökning när nya uppdateringar av säkerhetsinformation har laddats ned på enheten. Om du aktiverar den här inställningen utlöses en antivirusgenomsökning på enhetens processer som körs.

Beskrivning Värde
Nyckel scanAfterDefinitionUpdate
Datatyp Boolesk
Möjliga värden true (standard)

Falska

Kommentarer Finns i Defender för Endpoint version 101.45.00 eller senare.

Sök igenom arkiv (endast antivirusgenomsökningar på begäran)

Anger om du vill genomsöka arkiv under antivirusgenomsökningar på begäran.

Beskrivning Värde
Nyckel scanArchives
Datatyp Boolesk
Möjliga värden true (standard)

Falska

Kommentarer Finns i Microsoft Defender för Endpoint version 101.45.00 eller senare.

Grad av parallellitet för genomsökningar på begäran

Anger graden av parallellitet för genomsökningar på begäran. Detta motsvarar antalet trådar som används för att utföra genomsökningen och påverkar CPU-användningen, samt varaktigheten för genomsökningen på begäran.

Beskrivning Värde
Nyckel maximumOnDemandScanThreads
Datatyp Heltal
Möjliga värden 2 (standard). Tillåtna värden är heltal mellan 1 och 64.
Kommentarer Finns i Microsoft Defender för Endpoint version 101.45.00 eller senare.

Princip för undantagssammanslagning

Anger sammanslagningsprincipen för undantag. Det kan vara en kombination av administratörsdefinierade och användardefinierade undantag (merge) eller endast administratörsdefinierade undantag (admin_only). Den här inställningen kan användas för att hindra lokala användare från att definiera sina egna undantag.

Beskrivning Värde
Nyckel exclusionsMergePolicy
Datatyp Sträng
Möjliga värden merge (standard)

admin_only

Kommentarer Finns i Defender för Endpoint version 100.83.73 eller senare.

Genomsökningsundantag

Entiteter som har exkluderats från genomsökningen. Undantag kan anges av fullständiga sökvägar, tillägg eller filnamn. (Undantag anges som en matris med objekt, administratören kan ange så många element som behövs i valfri ordning.)

Beskrivning Värde
Nyckel Undantag
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet.
Typ av undantag

Anger vilken typ av innehåll som undantas från genomsökningen.

Beskrivning Värde
Nyckel $type
Datatyp Sträng
Möjliga värden excludedPath

excludedFileExtension

excludedFileName

Sökväg till exkluderat innehåll

Används för att exkludera innehåll från genomsökningen med en fullständig filsökväg.

Beskrivning Värde
Nyckel Sökvägen
Datatyp Sträng
Möjliga värden giltiga sökvägar
Kommentarer Gäller endast om $type är excludedPath
Sökvägstyp (fil/katalog)

Anger om sökvägsegenskapen refererar till en fil eller katalog.

Beskrivning Värde
Nyckel isDirectory
Datatyp Boolesk
Möjliga värden false (standard)

Sant

Kommentarer Gäller endast om $type är excludedPath
Filnamnstillägget undantas från genomsökningen

Används för att exkludera innehåll från genomsökningen efter filnamnstillägg.

Beskrivning Värde
Nyckel Förlängning
Datatyp Sträng
Möjliga värden giltiga filnamnstillägg
Kommentarer Gäller endast om $type är excludedFileExtension
Process som undantas från genomsökningen*

Anger en process för vilken all filaktivitet undantas från genomsökning. Processen kan anges antingen med dess namn (till exempel cat) eller en fullständig sökväg (till exempel /bin/cat).

Beskrivning Värde
Nyckel Namn
Datatyp Sträng
Möjliga värden valfri sträng
Kommentarer Gäller endast om $type är excludedFileName

Tillåtna hot

Lista över hot (identifieras med deras namn) som inte blockeras av produkten och som i stället tillåts att köras.

Beskrivning Värde
Nyckel allowedThreats
Datatyp Matris med strängar

Otillåtna hotåtgärder

Begränsar de åtgärder som den lokala användaren av en enhet kan vidta när hot identifieras. Åtgärderna som ingår i den här listan visas inte i användargränssnittet.

Beskrivning Värde
Nyckel disallowedThreatActions
Datatyp Matris med strängar
Möjliga värden tillåt (hindrar användare från att tillåta hot)

återställa (hindrar användare från att återställa hot från karantänen)

Kommentarer Finns i Defender för Endpoint version 100.83.73 eller senare.

Inställningar för hottyp

Inställningen threatTypeSettings i antivirusmotorn används för att styra hur vissa hottyper hanteras av produkten.

Beskrivning Värde
Nyckel threatTypeSettings
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet.
Hottyp

Typ av hot som beteendet är konfigurerat för.

Beskrivning Värde
Nyckel Nyckel
Datatyp Sträng
Möjliga värden potentially_unwanted_application

archive_bomb

Åtgärd att vidta

Åtgärder som ska vidtas när du stöter på ett hot av den typ som anges i föregående avsnitt. Kan vara:

  • Granskning: Enheten är inte skyddad mot den här typen av hot, men en post om hotet loggas.
  • Blockera: Enheten skyddas mot den här typen av hot och du meddelas i säkerhetskonsolen.
  • Av: Enheten är inte skyddad mot den här typen av hot och ingenting loggas.
Beskrivning Värde
Nyckel värde
Datatyp Sträng
Möjliga värden granskning (standard)

blockera

Av

Princip för sammanslagning av hottypsinställningar

Anger sammanslagningsprincipen för inställningar för hottyp. Detta kan vara en kombination av administratörsdefinierade och användardefinierade inställningar (merge) eller endast administratörsdefinierade inställningar (admin_only). Den här inställningen kan användas för att hindra lokala användare från att definiera sina egna inställningar för olika hottyper.

Beskrivning Värde
Nyckel threatTypeSettingsMergePolicy
Datatyp Sträng
Möjliga värden merge (standard)

admin_only

Kommentarer Finns i Defender för Endpoint version 100.83.73 eller senare.

Kvarhållning av antivirusgenomsökningshistorik (i dagar)

Ange hur många dagar resultatet ska behållas i genomsökningshistoriken på enheten. Gamla genomsökningsresultat tas bort från historiken. Gamla filer i karantän som också tas bort från disken.

Beskrivning Värde
Nyckel scanResultsRetentionDays
Datatyp Sträng
Möjliga värden 90 (standard). Tillåtna värden är från 1 dag till 180 dagar.
Kommentarer Finns i Defender för Endpoint version 101.04.76 eller senare.

Maximalt antal objekt i antivirusgenomsökningshistoriken

Ange det maximala antalet poster som ska behållas i genomsökningshistoriken. Bland posterna finns alla genomsökningar på begäran som utförts tidigare och alla antivirusidentifieringar.

Beskrivning Värde
Nyckel scanHistoryMaximumItems
Datatyp Sträng
Möjliga värden 10000 (standard). Tillåtna värden är från 5 000 objekt till 1 5 000 objekt.
Kommentarer Finns i Defender för Endpoint version 101.04.76 eller senare.

Molnlevererad skyddsinställningar

Posten cloudService i konfigurationsprofilen används för att konfigurera produktens molndrivna skyddsfunktion.

Beskrivning Värde
Nyckel cloudService
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet.

Aktivera/inaktivera molnbaserat skydd

Avgör om molnlevererat skydd är aktiverat på enheten eller inte. För att förbättra säkerheten för dina tjänster rekommenderar vi att du behåller den här funktionen aktiverad.

Beskrivning Värde
Nyckel Aktiverat
Datatyp Boolesk
Möjliga värden true (standard)

Falska

Diagnostiksamlingsnivå

Diagnostikdata används för att hålla Defender för Endpoint säkert och uppdaterat, identifiera, diagnostisera och åtgärda problem och även göra produktförbättringar. Den här inställningen bestämmer diagnostiknivån som skickas av produkten till Microsoft.

Beskrivning Värde
Nyckel diagnosticLevel
Datatyp Sträng
Möjliga värden Valfri

obligatoriskt (standard)

Konfigurera molnblockeringsnivå

Den här inställningen avgör hur aggressiv Defender för Endpoint kommer att vara när det gäller att blockera och skanna misstänkta filer. Om den här inställningen är aktiverad blir Defender för Endpoint mer aggressivt när du identifierar misstänkta filer som ska blockeras och genomsökas. Annars blir det mindre aggressivt och blockerar därför och skannar med mindre frekvens. Det finns fem värden för att ange molnblocknivå:

  • Normal (normal): Standardblockeringsnivån.
  • Måttlig (moderate): Ger endast bedömning för identifiering av hög konfidens.
  • Hög (high): Blockerar aggressivt okända filer samtidigt som prestandaoptimering optimeras (större risk att blockera icke-skadliga filer).
  • High Plus (high_plus): Blockerar okända filer aggressivt och tillämpar ytterligare skyddsåtgärder (kan påverka klientens enhetsprestanda).
  • Nolltolerans (zero_tolerance): Blockerar alla okända program.
Beskrivning Värde
Nyckel cloudBlockLevel
Datatyp Sträng
Möjliga värden normal (standard)

Måttlig

Hög

high_plus

zero_tolerance

Kommentarer Finns i Defender för Endpoint version 101.56.62 eller senare.

Aktivera/inaktivera automatiska exempelöverföringar

Avgör om misstänkta exempel (som sannolikt kommer att innehålla hot) skickas till Microsoft. Det finns tre nivåer för att kontrollera exempelöverföring:

  • Ingen: inga misstänkta exempel skickas till Microsoft.
  • Säker: endast misstänkta exempel som inte innehåller personligt identifierbar information (PII) skickas automatiskt. Det här är standardvärdet för den här inställningen.
  • Alla: alla misstänkta exempel skickas till Microsoft.
Beskrivning Värde
Nyckel automaticSampleSubmissionConsent
Datatyp Sträng
Möjliga värden none (ingen)

säker (standard)

Alla

Aktivera/inaktivera automatiska uppdateringar av säkerhetsinformation

Avgör om uppdateringar av säkerhetsinformation installeras automatiskt:

Beskrivning Värde
Nyckel automaticDefinitionUpdateEnabled
Datatyp Boolesk
Möjliga värden true (standard)

Falska

För att komma igång rekommenderar vi följande konfigurationsprofil för ditt företag för att dra nytta av alla skyddsfunktioner som Defender för Endpoint tillhandahåller.

Följande konfigurationsprofil kommer att:

  • Aktivera realtidsskydd (RTP)
  • Ange hur följande hottyper ska hanteras:
    • Potentiellt oönskade program (PUA) blockeras
    • Arkivbomber (fil med hög komprimeringshastighet) granskas i produktloggarna
  • Aktivera automatiska uppdateringar av säkerhetsinformation
  • Aktivera molnbaserat skydd
  • Aktivera automatisk sändning av exempel på safe nivå
  • Aktivera beteendeövervakning

Exempelprofil

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Exempel på fullständig konfigurationsprofil

Följande konfigurationsprofil innehåller poster för alla inställningar som beskrivs i det här dokumentet och kan användas för mer avancerade scenarier där du vill ha mer kontroll över produkten.

Fullständig profil

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "exclusions":[
         {
            "$type":"excludedPath",
            "isDirectory":false,
            "path":"/var/log/system.log"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/run"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/home/*/git"
         },
         {
            "$type":"excludedFileExtension",
            "extension":".pdf"
         },
         {
            "$type":"excludedFileName",
            "name":"cat"
         }
      ],
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Lägga till tagg eller grupp-ID i konfigurationsprofilen

När du kör mdatp health kommandot för första gången är värdet för taggen och grupp-ID:t tomt. Följ stegen nedan om du vill lägga till tagg- eller grupp-ID i mdatp_managed.json filen:

  1. Öppna konfigurationsprofilen från sökvägen /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
  2. Gå ned till slutet av filen, där cloudService blocket finns.
  3. Lägg till den obligatoriska taggen eller grupp-ID:t som följande exempel i slutet av den avslutande klammerparentesen cloudServiceför .
  },
  "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
},
"edr": {
  "groupIds":"GroupIdExample",
  "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
}

Anteckning

Glöm inte att lägga till kommatecknet efter den avslutande klammerparentesen i slutet av cloudService blocket. Kontrollera också att det finns två avslutande klammerparenteser när du har lagt till tagg- eller grupp-ID-block (se exemplet ovan). För närvarande är GROUPdet enda nyckelnamn som stöds för taggar .

Validering av konfigurationsprofil

Konfigurationsprofilen måste vara en giltig JSON-formaterad fil. Det finns ett antal verktyg som kan användas för att verifiera detta. Om du till exempel har python installerat på enheten:

python -m json.tool mdatp_managed.json

Om JSON är välformulerad matar ovanstående kommando tillbaka den till terminalen och returnerar slutkoden 0. Annars visas ett fel som beskriver problemet och kommandot returnerar slutkoden 1.

Kontrollera att filen mdatp_managed.json fungerar som förväntat

Om du vill kontrollera att din /etc/opt/microsoft/mdatp/managed/mdatp_managed.json fungerar korrekt bör du se "[hanterad]" bredvid de här inställningarna:

  • cloud_enabled
  • cloud_automatic_sample_submission_consent
  • passive_mode_enabled
  • real_time_protection_enabled
  • automatic_definition_update_enabled

Anteckning

För att mdatp_managed.json ska börja gälla krävs ingen omstart av deamonen mdatp .

Distribution av konfigurationsprofil

När du har skapat konfigurationsprofilen för ditt företag kan du distribuera den via det hanteringsverktyg som företaget använder. Defender för Endpoint på Linux läser den hanterade konfigurationen från filen /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .