Ange inställningar för Microsoft Defender för Slutpunkt i Linux
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Viktigt
Det här avsnittet innehåller instruktioner för hur du anger inställningar för Defender för Slutpunkt på Linux i företagsmiljöer. Om du är intresserad av att konfigurera produkten på en enhet från kommandoraden kan du gå till Resurser.
I företagsmiljöer kan Defender för Slutpunkt i Linux hanteras via en konfigurationsprofil. Den här profilen distribueras från valfri hanteringsverktyg. Inställningar som hanteras av företaget har företräde framför inställningar som anges lokalt på enheten. Med andra ord kan inte användarna i företaget ändra inställningar som anges i den här konfigurationsprofilen.
I den här artikeln beskrivs profilens struktur (inklusive en rekommenderad profil som du kan använda för att komma igång) och instruktioner om hur du distribuerar profilen.
Konfigurationsprofilstruktur
Konfigurationsprofilen är en .json-fil som består av poster som identifieras med en nyckel (som betecknar namnet på inställningen), följt av ett värde, vilket beror på vilken typ av inställning det är. Värdena kan vara enkla, till exempel numeriska värden eller komplexa, till exempel en kapslad lista med inställningar.
Vanligtvis använder du ett konfigurationshanteringsverktyg för att skicka en fil med namnet mdatp_managed.json på platsen /etc/opt/microsoft/mdatp/managed/.
Den översta nivån i konfigurationsprofilen omfattar produktomfattande inställningar och poster för underavsnitt av produkten, som förklaras mer detaljerat i nästa avsnitt.
Inställningar för antivirusmotor
Avsnittet antivirusEngine i konfigurationsprofilen används för att hantera inställningarna för antiviruskomponenten i produkten.
| Beskrivning | Värde |
|---|---|
| Nyckel | antivirusEngine |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av innehållet i ordlistan. |
Tillämpningsnivå för antivirusmotor
Anger tvingande inställning för antivirusmotorn. Det finns tre värden för inställning av tillämpningsnivå:
- Realtid (
real_time): Realtidsskydd (genomsökning av filer när de används) är aktiverat. - På begäran (
on_demand): Filer skannas bara på begäran. I det här:- Realtidsskydd är inaktiverat.
- Passiv (
passive): Kör antivirusmotorn i passiv form. I det här:- Realtidsskydd är inaktiverat.
- Skanning på begäran är aktiverat.
- Automatisk åtgärd för hot är inaktiverat.
- Säkerhetsintelligensuppdateringar aktiveras.
| Beskrivning | Värde |
|---|---|
| Nyckel | enforcementLevel |
| Datatyp | Sträng |
| Möjliga värden | real_time (standard) on_demand passiv |
| Kommentarer | Tillgängligt i Defender för slutpunkt version 101.10.72 eller senare. |
Aktivera/inaktivera beteendeuppföljning
Avgör om funktionen för övervakning och blockering av beteende är aktiverad på enheten eller inte. För att säkerhetsskyddet ska bli effektivare rekommenderar vi att du behåller den här funktionen aktiverad.
| Beskrivning | Värde |
|---|---|
| Nyckel | behaviorMonitoring |
| Datatyp | Sträng |
| Möjliga värden | inaktiverad aktiverad (standard) |
| Kommentarer | Tillgängligt i Defender för slutpunkt version 101.45.00 eller senare. |
Köra en genomsökning efter att definitioner har uppdaterats
Anger om en processsökning ska startas efter att nya säkerhetsintelligensuppdateringar har laddats ned på enheten. Om du aktiverar den här inställningen utlöses en antivirussökning av processen som körs på enheten.
| Beskrivning | Värde |
|---|---|
| Nyckel | scanAfterDefinitionUpdate |
| Datatyp | Boolesk |
| Möjliga värden | true (standard) false |
| Kommentarer | Tillgängligt i Defender för slutpunkt version 101.45.00 eller senare. |
Skanna arkiv (endast söka igenom antivirus på begäran)
Anger om du vill söka igenom arkiven vid antivirussökningar på begäran.
| Beskrivning | Värde |
|---|---|
| Nyckel | scanArchives |
| Datatyp | Boolesk |
| Möjliga värden | true (standard) false |
| Kommentarer | Tillgängligt i Microsoft Defender för slutpunkt version 101.45.00 eller senare. |
Grad av parallellitet för skanningar på begäran
Anger graden av parallellitet för genomsökningar på begäran. Det här motsvarar antalet trådar som används för att utföra genomsökningen och påverkar CPU-användningen, samt varaktigheten för genomsökningen på begäran.
| Beskrivning | Värde |
|---|---|
| Nyckel | maximumOnDemandScanThreads |
| Datatyp | Heltal |
| Möjliga värden | 2 (standard). Tillåtna värden är heltal mellan 1 och 64. |
| Kommentarer | Tillgängligt i Microsoft Defender för slutpunkt version 101.45.00 eller senare. |
Princip för undantagskoppling
Anger kopplingsprincipen för undantag. Det kan vara en kombination av administratörsdefinierade och användardefinierade undantag (merge) eller endast administratörsdefinierade undantag (admin_only). Den här inställningen kan användas för att begränsa lokala användare från att definiera sina egna undantag.
| Beskrivning | Värde |
|---|---|
| Nyckel | exclusionsMergePolicy |
| Datatyp | Sträng |
| Möjliga värden | koppla (standard) admin_only |
| Kommentarer | Tillgängligt i Defender för slutpunkt version 100.83.73 eller senare. |
Undantag för skanning
Enheter som har uteslutits från genomsökningen. Undantag kan anges med fullständiga sökvägar, filnamnstillägg eller filnamn. (Undantag anges som en matris med objekt, administratören kan ange så många element som behövs, i valfri ordning.)
| Beskrivning | Värde |
|---|---|
| Nyckel | undantag |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av innehållet i ordlistan. |
Typ av undantag
Anger vilken typ av innehåll som undantas från genomsökningen.
| Beskrivning | Värde |
|---|---|
| Nyckel | $type |
| Datatyp | Sträng |
| Möjliga värden | excludedPath excludedFileExtension excludedFileName |
Sökväg till utelämnat innehåll
Används för att utesluta innehåll från genomsökningen genom den fullständiga sökvägen.
| Beskrivning | Värde |
|---|---|
| Nyckel | sökväg |
| Datatyp | Sträng |
| Möjliga värden | giltiga sökvägar |
| Kommentarer | Gäller endast om $type är undantagenPath |
Sökvägstyp (fil/katalog)
Anger om sökvägsegenskapen refererar till en fil eller katalog.
| Beskrivning | Värde |
|---|---|
| Nyckel | isDirectory |
| Datatyp | Boolesk |
| Möjliga värden | false (standard) true |
| Kommentarer | Gäller endast om $type är undantagenPath |
Filnamnstillägget är undantaget från genomsökningen
Används för att utesluta innehåll från genomsökningen efter filnamnstillägget.
| Beskrivning | Värde |
|---|---|
| Nyckel | tillägg |
| Datatyp | Sträng |
| Möjliga värden | giltiga filnamnstillägg |
| Kommentarer | Gäller endast om $type är undantagenFileExtension |
Process som är undantagen från genomsökningen*
Anger en process där all filaktivitet är undantagen från genomsökning. Processen kan antingen anges med sitt namn (till exempel cat) eller med en fullständig sökväg (t.ex. /bin/cat).
| Beskrivning | Värde |
|---|---|
| Nyckel | Namn |
| Datatyp | Sträng |
| Möjliga värden | valfri sträng |
| Kommentarer | Gäller endast om $type är undantagenFilnamn |
Tillåtna hot
Lista över hot (identifieras med namnet) som inte blockeras av produkten och i stället får köras.
| Beskrivning | Värde |
|---|---|
| Nyckel | allowedThreats |
| Datatyp | Matris med strängar |
Otillåtna hotåtgärder
Begränsar de åtgärder som den lokala användaren på en enhet kan vidta när hot upptäcks. De åtgärder som ingår i den här listan visas inte i användargränssnittet.
| Beskrivning | Värde |
|---|---|
| Nyckel | disallowedThreatActions |
| Datatyp | Matris med strängar |
| Möjliga värden | tillåt (begränsar användare från att tillåta hot) återställning (hindrar användare från att återställa hot från karantän) |
| Kommentarer | Tillgängligt i Defender för slutpunkt version 100.83.73 eller senare. |
Inställningar för hottyp
Inställningen för threatTypeSettings i antivirusmotorn används för att styra hur vissa hottyper hanteras av produkten.
| Beskrivning | Värde |
|---|---|
| Nyckel | threatTypeSettings |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av innehållet i ordlistan. |
Hottyp
Typ av hot som beteendet är konfigurerat för.
| Beskrivning | Värde |
|---|---|
| Nyckel | tangent |
| Datatyp | Sträng |
| Möjliga värden | potentially_unwanted_application archive_bomb |
Åtgärd att vidta
Åtgärd att vidta när de kommer över en typ av hot som anges i föregående avsnitt. Kan vara:
- Granskning: Enheten är inte skyddad mot den här typen av hot, men en post om hot loggas.
- Blockering: Enheten är skyddad mot den här typen av hot och du meddelas i säkerhetskonsolen.
- Av: Enheten är inte skyddad mot den här typen av hot och inget loggas.
| Beskrivning | Värde |
|---|---|
| Nyckel | värde |
| Datatyp | Sträng |
| Möjliga värden | granskning (standard) blockera av |
Policy för sammanfogning av hottyper
Anger kopplingsprincipen för inställningar av hottyper. Det kan vara en kombination av administratörsdefinierade och användardefinierade inställningar (merge) eller bara administratörsdefinierade inställningar (admin_only). Den här inställningen kan användas för att hindra lokala användare från att definiera sina egna inställningar för olika hottyper.
| Beskrivning | Värde |
|---|---|
| Nyckel | threatTypeSettingsMergePolicy |
| Datatyp | Sträng |
| Möjliga värden | koppla (standard) admin_only |
| Kommentarer | Tillgängligt i Defender för slutpunkt version 100.83.73 eller senare. |
Historik för antivirussökningshistorik kvar (i dagar)
Ange antalet dagar som resultaten ska behållas i genomsökningshistoriken på enheten. Gamla genomsökningsresultat tas bort från historiken. Gamla filer i karantän som också har tagits bort från disken.
| Beskrivning | Värde |
|---|---|
| Nyckel | scanResultsRetentionDays |
| Datatyp | Sträng |
| Möjliga värden | 90 (standard). Tillåtna värden är 1 dag till 180 dagar. |
| Kommentarer | Tillgängligt i Defender för slutpunkt version 101.04.76 eller senare. |
Maximalt antal objekt i historiken för antivirussökning
Ange det maximala antalet poster som ska behållas i genomsökningshistoriken. Posterna innehåller alla genomsökningar på begäran som utförts tidigare och alla antivirusprogramn.
| Beskrivning | Värde |
|---|---|
| Nyckel | scanHistoryMaximumItems |
| Datatyp | Sträng |
| Möjliga värden | 10000 (standard). Tillåtna värden är från 5 000 objekt till 1 5 000 objekt. |
| Kommentarer | Tillgängligt i Defender för slutpunkt version 101.04.76 eller senare. |
Inställningar för moln levererat skydd
CloudService-posten i konfigurationsprofilen används för att konfigurera produktens molndrivna skyddsfunktion.
| Beskrivning | Värde |
|---|---|
| Nyckel | cloudService |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av innehållet i ordlistan. |
Aktivera/inaktivera moln levererat skydd
Avgör om moln levererat skydd är aktiverat på enheten eller inte. Vi rekommenderar att du behåller den här funktionen aktiverad för att förbättra säkerheten för dina tjänster.
| Beskrivning | Värde |
|---|---|
| Nyckel | aktiverat |
| Datatyp | Boolesk |
| Möjliga värden | true (standard) false |
Diagnostiksamlingsnivå
Diagnostikdata används för att hålla Defender för Endpoint säkert och uppdaterat, identifiera, diagnostisera och åtgärda problem samt göra produktförbättringar. Den här inställningen bestämmer nivån för diagnostik som skickas av produkten till Microsoft.
| Beskrivning | Värde |
|---|---|
| Nyckel | diagnosticLevel |
| Datatyp | Sträng |
| Möjliga värden | valfritt (standard) obligatoriskt |
Aktivera/inaktivera automatiska exempelinskick
Avgör om misstänkta exempel (som troligen innehåller hot) skickas till Microsoft. Det finns tre nivåer för kontroll av exempelinskick:
- Inget: inga misstänkta exempel skickas till Microsoft.
- Valv: endast misstänkta exempel som inte innehåller personligt identifierbar information skickas automatiskt. Det här är standardvärdet för den här inställningen.
- Alla: alla misstänkta exempel skickas till Microsoft.
| Beskrivning | Värde |
|---|---|
| Nyckel | automaticSampleSubmissionConsent |
| Datatyp | Sträng |
| Möjliga värden | none (ingen) kassaskåp (standard) alla |
Aktivera/inaktivera automatiska säkerhetsintelligensuppdateringar
Avgör om säkerhetsintelligensuppdateringar installeras automatiskt:
| Beskrivning | Värde |
|---|---|
| Nyckel | automaticDefinitionUpdateEnabled |
| Datatyp | Boolesk |
| Möjliga värden | true (standard) false |
Rekommenderad konfigurationsprofil
För att komma igång rekommenderar vi följande konfigurationsprofil för ditt företag för att kunna dra nytta av alla skyddsfunktioner som Defender för Endpoint tillhandahåller.
Följande konfigurationsprofil:
- Aktivera realtidsskydd (RTP)
- Ange hur följande hottyper ska hanteras:
- Potentiellt oönskade program (PUA) blockeras
- Arkivposterna (fil med hög komprimeringshastighet) granskas i produktloggarna
- Aktivera automatiska säkerhetsintelligensuppdateringar
- Aktivera molnbaserat skydd
- Aktivera automatisk exempelinskick på
safenivå - Aktivera beteendeuppföljning
Exempelprofil
{
"antivirusEngine":{
"behaviorMonitoring":"enabled",
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Exempel på fullständig konfigurationsprofil
Följande konfigurationsprofil innehåller poster för alla inställningar som beskrivs i det här dokumentet och kan användas för mer avancerade scenarier där du vill ha mer kontroll över produkten.
Fullständig profil
{
"antivirusEngine":{
"behaviorMonitoring":"enabled",
"enforcementLevel":"real_time",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git"
},
{
"$type":"excludedFileExtension",
"extension":".pdf"
},
{
"$type":"excludedFileName",
"name":"cat"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Lägga till ett tagg- eller grupp-ID i konfigurationsprofilen
När du kör mdatp health kommandot för första gången är värdet för taggen och grupp-ID tomt. Följ stegen nedan om du vill lägga till ett mdatp_managed.json tagg- eller grupp-ID i filen:
- Öppna konfigurationsprofilen från sökvägen
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json. - Gå ned till slutet av filen, där
cloudServiceblocket finns. - Lägg till det tagg- eller grupp-ID som krävs som följande exempel i slutet av den avslutande klammerparentesen för
cloudService.
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
Anteckning
Glöm inte att lägga till kommatecken efter den avslutande klammerparentesen i slutet av cloudService blocket. Kontrollera också att det finns två avslutande klammerparenteser för klammerparenteser när du har lagt till Tagg- eller grupp-ID-block (se exemplet ovan). För närvarande är det enda nyckelnamn som stöds för taggar GROUP.
Validering av konfigurationsprofil
Konfigurationsprofilen måste vara en giltig JSON-formaterad fil. Det finns ett antal verktyg som kan användas för att verifiera detta. Om du till exempel har installerat python på enheten:
python -m json.tool mdatp_managed.json
Om JSON-koden är rätt utformad matar kommandot ovan ut den tillbaka till terminalen och returnerar en utgångskod för 0. Annars visas ett fel som beskriver problemet och kommandot returnerar en utgångskod för 1.
Verifiera att filen mdatp_managed.json fungerar som förväntat
Kontrollera att din /etc/opt/microsoft/mdatp/managed/mdatp_managed.json fungerar korrekt genom att se "[managed]" bredvid de här inställningarna:
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
Anteckning
För att mdatp_managed.json ska börja gälla krävs mdatp ingen omstart av deamon.
Konfigurationsprofildistribution
När du har skapat konfigurationsprofilen för ditt företag kan du distribuera den via det hanteringsverktyg som företaget använder. Defender för slutpunkt i Linux läser den hanterade konfigurationen från filen /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .