Nastavení předvoleb pro Microsoft Defender pro koncový bod v Linuxu

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Důležité

Tento článek obsahuje pokyny k nastavení předvoleb pro Defender for Endpoint v Linuxu v podnikových prostředích. Pokud máte zájem o konfiguraci produktu na zařízení z příkazového řádku, přečtěte si téma Zdroje informací.

V podnikových prostředích je možné defender for Endpoint v Linuxu spravovat prostřednictvím konfiguračního profilu. Tento profil se nasadí z nástroje pro správu podle vašeho výběru. Předvolby spravované podnikem mají přednost před předvolbou nastavenou místně na zařízení. Jinými slovy, uživatelé ve vašem podniku nemůžou změnit předvolby, které jsou nastavené prostřednictvím tohoto konfiguračního profilu. Pokud byla vyloučení přidána prostřednictvím spravovaného konfiguračního profilu, je možné je odebrat pouze prostřednictvím spravovaného konfiguračního profilu. Příkazový řádek funguje pro vyloučení, která byla přidána místně.

Tento článek popisuje strukturu tohoto profilu (včetně doporučeného profilu, který můžete použít k zahájení práce) a pokyny k nasazení profilu.

Struktura konfiguračního profilu

Konfigurační profil je .json soubor, který se skládá z položek identifikovaných klíčem (který označuje název předvolby) následovaný hodnotou, která závisí na povaze předvolby. Hodnoty můžou být jednoduché, například číselná hodnota, nebo složité, například vnořený seznam předvoleb.

Obvykle byste použili nástroj pro správu konfigurace k nasdílení souboru s názvem mdatp_managed.json v umístění /etc/opt/microsoft/mdatp/managed/.

Nejvyšší úroveň konfiguračního profilu zahrnuje předvolby pro celý produkt a položky pro podoblasti produktu, které jsou podrobněji vysvětleny v dalších částech.

Předvolby antivirového modulu

Část antivirusEngine konfiguračního profilu slouží ke správě předvoleb antivirové součásti produktu.

Popis Hodnota JSON Hodnota portálu Defender
Klíč antivirusEngine Antivirový modul
Datový typ Slovník (vnořená předvolba) Sbalený oddíl
Komentáře Popis obsahu slovníku najdete v následujících částech. Popis vlastností zásad najdete v následujících částech.

Úroveň vynucování pro antivirový modul

Určuje předvolbu vynucení antivirového modulu. Pro nastavení úrovně vynucení existují tři hodnoty:

  • Ochrana v reálném čase (real_time): Ochrana v reálném čase (kontrola souborů při jejich úpravách) je povolená.
  • Na vyžádání (on_demand): Soubory se kontrolují jenom na vyžádání. V tomto:
    • Ochrana v reálném čase je vypnutá.
    • K aktualizacím definic dochází pouze při spuštění kontroly, a to i v případě, že automaticDefinitionUpdateEnabled je v režimu na vyžádání nastavená možnost true .
  • Pasivní (passive): Spustí antivirový modul v pasivním režimu. V tomto případě platí všechny následující:
    • Ochrana v reálném čase je vypnutá: Microsoft Defender Antivirus nenapravuje hrozby.
    • Kontrola na vyžádání je zapnutá: Stále používejte možnosti kontroly v koncovém bodu.
    • Automatická náprava hrozeb je vypnutá: Nepřesunou se žádné soubory a očekává se, že správce zabezpečení provede požadovanou akci.
    • Aktualizace bezpečnostních informací jsou zapnuté: Výstrahy jsou k dispozici v tenantovi správce zabezpečení.
    • K aktualizacím definic dochází pouze při spuštění kontroly, a to i v případě, že automaticDefinitionUpdateEnabled je nastavena na hodnotu true v pasivním režimu.
Popis Hodnota JSON Hodnota portálu Defender
Klíč enforcementLevel Úroveň vynucení
Datový typ String Upadnout
Možné hodnoty real_time
on_demand
passive (výchozí)
Nenakonfigurováno
Realtime
OnDemand
Pasivní (výchozí)

Poznámka

K dispozici ve verzi 101.10.72 Defenderu for Endpoint nebo novější. Výchozí hodnota se změní z real_time na passive ve verzi 101.23062.0001 Defenderu for Endpoint nebo novější. Podle požadavků se také doporučuje používat naplánované kontroly .

Povolení nebo zakázání monitorování chování

Určuje, jestli je na zařízení povolené monitorování a blokování chování.

Popis Hodnota JSON Hodnota portálu Defender
Klíč behaviorMonitoring Povolení monitorování chování
Datový typ String Upadnout
Možné hodnoty disabled (výchozí)

enabled

Nenakonfigurováno
Zakázáno (výchozí)
Zpřístupněný

Poznámka

K dispozici ve verzi 101.45.00 Defenderu for Endpoint nebo novější. Tato funkce je použitelná jenom v případě, že je povolená ochrana v reálném čase.

Po aktualizaci definic spusťte kontrolu.

Určuje, jestli se má spustit kontrola procesu po stažení nových aktualizací bezpečnostních informací do zařízení. Povolením tohoto nastavení se aktivuje antivirová kontrola spuštěných procesů zařízení.

Popis Hodnota JSON Hodnota portálu Defender
Klíč scanAfterDefinitionUpdate Povolit kontrolu po aktualizaci definice
Datový typ Boolean Upadnout
Možné hodnoty true (výchozí)

false

Nenakonfigurováno
Zakázáno
Povoleno (výchozí)

Poznámka

K dispozici ve verzi 101.45.00 Defenderu for Endpoint nebo novější. Tato funkce funguje jenom v případě, že je úroveň vynucení nastavená na real-timehodnotu .

Prohledat archivy (jenom antivirové kontroly na vyžádání)

Určuje, zda se mají prohledávat archivy během antivirových kontrol na vyžádání.

Popis Hodnota JSON Hodnota portálu Defender
Klíč scanArchives Povolení kontroly archivů
Datový typ Boolean Upadnout
Možné hodnoty true (výchozí)

false

Nenakonfigurováno
Zakázáno
Povoleno (výchozí)

Poznámka

K dispozici ve verzi 101.45.00 Microsoft Defender for Endpoint nebo novější. Archivní soubory se nikdy neskenují během ochrany v reálném čase. Při extrahování souborů v archivu se prohledávají. Možnost scanArchives je možné použít k vynucení kontroly archivů pouze během kontroly na vyžádání.

Stupeň paralelismu pro kontroly na vyžádání

Určuje stupeň paralelismu pro kontroly na vyžádání. To odpovídá počtu vláken použitých k provedení kontroly a ovlivňuje využití procesoru a dobu trvání kontroly na vyžádání.

Popis Hodnota JSON Hodnota portálu Defender
Klíč maximumOnDemandScanThreads Maximální počet vláken kontroly na vyžádání
Datový typ Celé číslo Přepnout přepínač & Celé číslo
Možné hodnoty 2 (výchozí). Povolené hodnoty jsou celá čísla mezi 1 a 64. Nenakonfigurováno (výchozí přepínač vypněte výchozí hodnoty na hodnotu 2)
Nakonfigurováno (zapnout) a celé číslo mezi 1 a 64.

Poznámka

K dispozici ve verzi 101.45.00 Microsoft Defender for Endpoint nebo novější.

Zásady sloučení vyloučení

Určuje zásadu sloučení pro vyloučení. Může se jednat o kombinaci vyloučení definovaných správcem a uživatelem (merge) nebo pouze vyloučení definovaných správcem (admin_only). Správcem definovaná (admin_only) jsou vyloučení nakonfigurovaná zásadami Defenderu for Endpoint. Toto nastavení lze použít k omezení místních uživatelů v definování vlastních vyloučení.

Popis Hodnota JSON Hodnota portálu Defender
Klíč exclusionsMergePolicy Sloučení vyloučení
Datový typ String Upadnout
Možné hodnoty merge (výchozí)

admin_only

Nenakonfigurováno
sloučení (výchozí)
admin_only

Poznámka

K dispozici ve verzi 100.83.73 Defenderu for Endpoint nebo novější. Může také nakonfigurovat vyloučení v části exclusionSettings.

Vyloučení kontroly

Entity, které byly vyloučeny z kontroly. Vyloučení mohou být určena úplnými cestami, příponami nebo názvy souborů. (Vyloučení se zadávají jako pole položek, správce může určit tolik prvků, kolik je potřeba, v libovolném pořadí.)

Popis Hodnota JSON Hodnota portálu Defender
Klíč výluky Vyloučení kontroly
Datový typ Slovník (vnořená předvolba) Seznam dynamických vlastností
Komentáře Popis obsahu slovníku najdete v následujících částech.
Typ vyloučení

Určuje typ obsahu vyloučeného z kontroly.

Popis Hodnota JSON Hodnota portálu Defender
Klíč $type Typ
Datový typ String Upadnout
Možné hodnoty excludedPath

excludedFileExtension

excludedFileName

Cesta
Přípona souboru
Název procesu
Cesta k vyloučenýmu obsahu

Slouží k vyloučení obsahu z kontroly podle úplné cesty k souboru.

Popis Hodnota JSON Hodnota portálu Defender
Klíč cesta Cesta
Datový typ String String
Možné hodnoty platné cesty platné cesty
Komentáře Platí jenom v případě, že je $typevyloučenaPath. Přístup v místní nabídce Upravit instanci
Typ cesty (soubor nebo adresář)

Označuje, jestli vlastnost path odkazuje na soubor nebo adresář.

Popis Hodnota JSON Hodnota portálu Defender
Klíč isDirectory Je adresář
Datový typ Boolean Upadnout
Možné hodnoty false (výchozí)

true

Zpřístupněný
Zakázáno
Komentáře Platí jenom v případě, že je $typevyloučenaPath. Přístup v místní nabídce Upravit instanci
Přípona souboru vyloučená z kontroly

Slouží k vyloučení obsahu z kontroly podle přípony souboru.

Popis Hodnota JSON Hodnota portálu Defender
Klíč prodloužení Přípona souboru
Datový typ String String
Možné hodnoty platné přípony souborů platné přípony souborů
Komentáře Platí pouze v případě, že je $typevyloučenoFileExtension. Přístup v místní nabídce Konfigurace instance
Proces vyloučený z kontroly*

Určuje proces, pro který je z kontroly vyloučena veškerá aktivita souboru. Proces lze zadat buď názvem (například ) nebo catúplnou cestou (například /bin/cat).

Popis Hodnota JSON Hodnota portálu Defender
Klíč Jméno Název souboru
Datový typ String String
Možné hodnoty libovolný řetězec libovolný řetězec
Komentáře Platí pouze v případě, že je $typevyloučenoFileName. Přístup v místní nabídce Konfigurace instance

Ztlumení připojení bez exec

Určuje chování protokolu RTP u přípojného bodu označeného jako noexec. Existují dvě hodnoty pro nastavení:

  • Unmuted (unmute): Výchozí hodnota, všechny přípojné body se kontrolují jako součást protokolu RTP.
  • Ztlumené (mute): Přípojné body označené jako noexec se neskenují jako součást protokolu RTP. Tyto přípojné body je možné vytvořit pro:
    • Databázové soubory na databázových serverech pro uchovávání souborů databáze.
    • Souborový server může uchovávat přípojné body datových souborů s možností noexec.
    • Zálohování může uchovávat přípojné body datových souborů s možností noexec.
Popis Hodnota JSON Hodnota portálu Defender
Klíč nonExecMountPolicy ztlumení připojení bez spuštění
Datový typ String Upadnout
Možné hodnoty unmute (výchozí)

mute

Nenakonfigurováno
unmute (výchozí)
ztlumit

Poznámka

K dispozici ve verzi 101.85.27 Defenderu for Endpoint nebo novější.

Zrušení monitorování systémů souborů

Nakonfigurujte systémy souborů tak, aby byly nemonitorované nebo vyloučené z ochrany v reálném čase (RTP). Nakonfigurované systémy souborů se ověřují na seznamu povolených systémů souborů Microsoft Defender. Systémy souborů je možné monitorovat pouze po úspěšném ověření. Tyto nakonfigurované nemonitorované systémy souborů jsou stále kontrolovány rychlými, úplnými a vlastními kontrolami v Microsoft Defender Antivirus.

Popis Hodnota JSON Hodnota portálu Defender
Klíč unmonitoredFilesystems Nemonitorované systémy souborů
Datový typ Pole řetězců Seznam dynamických řetězců

Poznámka

Nakonfigurovaný systém souborů bude nemonitorovaný jenom v případě, že je v seznamu povolených nemonitorovaných systémů souborů microsoftu.

Ve výchozím nastavení se systém souborů NFS a Fuse nemonitorují z rychlých a úplných kontrol. Přesto je ale možné je zkontrolovat vlastní kontrolou. Pokud chcete například odebrat systém souborů NFS ze seznamu nemonitorovaných systémů souborů, aktualizujte spravovaný konfigurační soubor, jak je znázorněno níže. Tím se systém souborů NFS automaticky přidá do seznamu monitorovaných systémů souborů pro rtp.

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["Fuse"]
  }
}

Pokud chcete odebrat systém souborů NFS i Fuse z nemonitorovaného seznamu systémů souborů, postupujte následovně:

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

Poznámka

Tady je výchozí seznam monitorovaných systémů souborů pro RTP: btrfs, , , ext2ext3, ext4, fuseblk, , jfs, overlay, reiserfstmpfsramfsvfat. xfsecryptfs

Pokud je potřeba do seznamu nemonitorovaných systémů souborů přidat nějaký monitorovaný systém souborů, musí ho Microsoft vyhodnotit a povolit prostřednictvím cloudové konfigurace. Podle toho můžou zákazníci aktualizovat managed_mdatp.json a zrušit tak monitorování tohoto systému souborů.

Konfigurace funkce výpočtu hodnoty hash souboru

Povolí nebo zakáže funkci výpočtu hodnoty hash souboru. Když je tato funkce povolená, Defender for Endpoint vypočítá hodnoty hash souborů, které kontroluje. Mějte na paměti, že povolení této funkce může mít vliv na výkon zařízení. Další podrobnosti najdete v tématu Vytvoření indikátorů pro soubory.

Popis Hodnota JSON Hodnota portálu Defender
Klíč enableFileHashComputation Povolení výpočtu hodnoty hash souboru
Datový typ Boolean Upadnout
Možné hodnoty false (výchozí)

true

Nenakonfigurováno
Zakázáno (výchozí)
Zpřístupněný

Poznámka

K dispozici ve verzi 101.85.27 Defenderu for Endpoint nebo novější.

Povolené hrozby

Seznam hrozeb (identifikovaných jejich názvem), které produkt neblokuje a které se místo toho můžou spustit.

Popis Hodnota JSON Hodnota portálu Defender
Klíč allowedThreats Povolené hrozby
Datový typ Pole řetězců Seznam dynamických řetězců

Nepovolené akce hrozeb

Omezuje akce, které může místní uživatel zařízení provést, když jsou zjištěny hrozby. Akce zahrnuté v tomto seznamu se v uživatelském rozhraní nezobrazují.

Popis Hodnota JSON Hodnota portálu Defender
Klíč disallowedThreatActions Nepovolené akce hrozeb
Datový typ Pole řetězců Seznam dynamických řetězců
Možné hodnoty allow (omezuje uživatele v povolení hrozeb)

restore (omezuje uživatele v obnovení hrozeb z karantény)

povolit (omezuje uživatele v povolování hrozeb)

obnovení (omezuje uživatele v obnovování hrozeb z karantény)

Poznámka

K dispozici ve verzi 100.83.73 Defenderu for Endpoint nebo novější.

Nastavení typu hrozby

Předvolba threatTypeSettings v antivirovém modulu se používá k řízení toho, jak jsou určité typy hrozeb zpracovávány produktem.

Popis Hodnota JSON Hodnota portálu Defender
Klíč threatTypeSettings Nastavení typu hrozby
Datový typ Slovník (vnořená předvolba) Seznam dynamických vlastností
Komentáře Popis obsahu slovníku najdete v následujících částech. Popis dynamických vlastností najdete v následujících částech.
Typ hrozby

Typ hrozby, pro kterou je nakonfigurováno chování.

Popis Hodnota JSON Hodnota portálu Defender
Klíč klíč Typ hrozby
Datový typ String Upadnout
Možné hodnoty potentially_unwanted_application

archive_bomb

potentially_unwanted_application

archive_bomb

Akce, která se má provést

Akce, které je třeba provést, když narazíte na hrozbu typu zadaného v předchozí části. Může to být:

  • Audit: Zařízení není chráněné před tímto typem hrozby, ale zaprotokoluje se záznam o hrozbě. (Výchozí)
  • Blokovat: Zařízení je chráněné proti tomuto typu hrozby a v konzole zabezpečení budete upozorněni.
  • Vypnuto: Zařízení není chráněné proti tomuto typu hrozby a nic se nezaprotokoluje.
Popis Hodnota JSON Hodnota portálu Defender
Klíč hodnota Akce, která se má provést
Datový typ String Upadnout
Možné hodnoty audit (výchozí)

block

off

audit

blokovat

pryč

Zásady sloučení nastavení typu hrozby

Určuje zásadu sloučení pro nastavení typu hrozby. Může se jednat o kombinaci nastavení definovaných správcem a uživatelem (merge) nebo pouze nastavení definovaných správcem (admin_only). Správcem definované (admin_only) jsou nastavení typu hrozby nakonfigurované zásadami Defenderu pro koncový bod. Toto nastavení se dá použít k tomu, aby místní uživatelé mohli definovat vlastní nastavení pro různé typy hrozeb.

Popis Hodnota JSON Hodnota portálu Defender
Klíč threatTypeSettingsMergePolicy Sloučení nastavení typu hrozby
Datový typ String Upadnout
Možné hodnoty sloučení (výchozí)

admin_only

Nenakonfigurováno
sloučení (výchozí)
admin_only

Poznámka

K dispozici ve verzi 100.83.73 Defenderu for Endpoint nebo novější.

Uchovávání historie kontrol antivirové ochrany (ve dnech)

Zadejte počet dnů, po který se výsledky zachovají v historii kontrol na zařízení. Staré výsledky kontroly se z historie odeberou. Staré soubory v karanténě, které jsou také odebrány z disku.

Popis Hodnota JSON Hodnota portálu Defender
Klíč scanResultsRetentionDays Uchovávání výsledků kontroly
Datový typ String Přepnout přepínač a celé číslo
Možné hodnoty 90 (výchozí). Povolené hodnoty jsou od 1 do 180 dnů. Nenakonfigurováno (vypnutí – výchozí 90 dnů)
Nakonfigurováno (přepněte) a povolenou hodnotou 1 až 180 dnů.

Poznámka

K dispozici ve verzi 101.04.76 Defenderu for Endpoint nebo novější.

Maximální počet položek v historii antivirových kontrol

Zadejte maximální počet položek, které se mají zachovat v historii kontrol. Položky zahrnují všechny kontroly na vyžádání provedené v minulosti a všechny antivirové detekce.

Popis Hodnota JSON Hodnota portálu Defender
Klíč scanHistoryMaximumItems Velikost historie procházení
Datový typ String Přepínací tlačítko a celé číslo
Možné hodnoty 10000 (výchozí). Povolené hodnoty jsou od 5000 položek do 15 000 položek. Nenakonfigurováno (vypnout – výchozí hodnota 10000)
Nakonfigurované (zapnout) a povolená hodnota od 5000 do 15 000 položek.

Poznámka

K dispozici ve verzi 101.04.76 Defenderu for Endpoint nebo novější.

Předvolby nastavení vyloučení

Předvolby nastavení exlusionu jsou aktuálně ve verzi Preview.

Poznámka

Globální vyloučení jsou aktuálně ve verzi Public Preview a jsou dostupná v Defenderu for Endpoint počínaje verzí 101.23092.0012 nebo novějším v okruhu Insiders Slow a Production.

Část exclusionSettings konfiguračního profilu slouží ke konfiguraci různých vyloučení pro Microsoft Defender for Endpoint pro Linux.

Popis Hodnota JSON
Klíč exclusionSettings
Datový typ Slovník (vnořená předvolba)
Komentáře Popis obsahu slovníku najdete v následujících částech.

Poznámka

Už nakonfigurovaná vyloučení antivirového softwaru v rámci (antivirusEngine) ve spravovaném formátu JSON budou dál fungovat tak, jak je to bez dopadu. V této zcela nové části () můžete přidat všechna nová vyloučení včetně antivirových vyloučení.exclusionSettings Tento oddíl je mimo značku (antivirusEngine), protože je vyhrazený výhradně pro konfiguraci všech typů vyloučení, která přijdou v budoucnu. Můžete také dál používat (antivirusEngine) ke konfiguraci vyloučení antivirového softwaru.

Zásady sloučení

Určuje zásadu sloučení pro vyloučení. Určuje, jestli se může jednat o kombinaci vyloučení definovaných správcem a uživatelem (merge) nebo pouze vyloučení definovaných správcem (admin_only). Toto nastavení lze použít k omezení místních uživatelů v definování vlastních vyloučení. Platí pro vyloučení všech oborů.

Popis Hodnota JSON
Klíč mergePolicy
Datový typ String
Možné hodnoty sloučení (výchozí)

admin_only

Komentáře K dispozici v Defenderu for Endpoint verze září 2023 nebo novější.

Vyloučení

Entity, které je potřeba vyloučit, je možné určit úplnými cestami, příponami nebo názvy souborů. Každá entita vyloučení, tj. úplná cesta, přípona nebo název souboru, má volitelný obor, který lze zadat. Pokud není zadán, výchozí hodnota oboru v této části je globální. (Vyloučení se zadávají jako pole položek, správce může určit tolik prvků, kolik je potřeba, v libovolném pořadí.)

Popis Hodnota JSON
Klíč výluky
Datový typ Slovník (vnořená předvolba)
Komentáře Popis obsahu slovníku najdete v následujících částech.
Typ vyloučení

Určuje typ obsahu vyloučeného z kontroly.

Popis Hodnota JSON
Klíč $type
Datový typ String
Možné hodnoty excludedPath

excludedFileExtension

excludedFileName

Rozsahy vyloučení (volitelné)

Určuje sadu exlusion rozsahů vyloučeného obsahu. Aktuálně podporované obory jsou epp a global.

Pokud ve spravované konfiguraci není pro vyloučení v části exclusionSettings zadáno nic, pak global se považuje za obor.

Poznámka

Dříve nakonfigurovaná antivirová vyloučení v rámci (antivirusEngine) ve spravovaném formátu JSON budou dál fungovat a jejich rozsah se bude považovat za (epp), protože byla přidána jako antivirová vyloučení.

Popis Hodnota JSON
Klíč oblasti
Datový typ Sada řetězců
Možné hodnoty Epp

globální

Poznámka

Dříve použitá vyloučení pomocí (mdatp_managed.json) nebo rozhraní příkazového řádku zůstanou nedotčena. Rozsah těchto vyloučení bude (epp) vzhledem k tomu, že byly přidány do části (antivirusEngine).

Cesta k vyloučenýmu obsahu

Slouží k vyloučení obsahu z kontroly podle úplné cesty k souboru.

Popis Hodnota JSON
Klíč cesta
Datový typ String
Možné hodnoty platné cesty
Komentáře Platí pouze v případě , že je $typevyloučenaPath.
Zástupný znak není podporován, pokud má vyloučení globální rozsah.
Typ cesty (soubor nebo adresář)

Označuje, jestli vlastnost path odkazuje na soubor nebo adresář.

Poznámka

Cesta k souboru už musí existovat, pokud se přidává vyloučení souborů s globálním oborem.

Popis Hodnota JSON
Klíč isDirectory
Datový typ Boolean
Možné hodnoty false (výchozí)

pravdivý

Komentáře Platí pouze v případě , že je $typevyloučenaPath.
Zástupný znak není podporován, pokud má vyloučení globální rozsah.
Přípona souboru vyloučená z kontroly

Slouží k vyloučení obsahu z kontroly podle přípony souboru.

Popis Hodnota JSON
Klíč prodloužení
Datový typ String
Možné hodnoty platné přípony souborů
Komentáře Platí pouze v případě , že je $typevyloučenoFileExtension.
Nepodporuje se, pokud má vyloučení jako obor globální.
Proces vyloučený z kontroly*

Určuje proces, pro který je z kontroly vyloučena veškerá aktivita souboru. Proces lze zadat buď názvem (například ) nebo catúplnou cestou (například /bin/cat).

Popis Hodnota JSON
Klíč Jméno
Datový typ String
Možné hodnoty libovolný řetězec
Komentáře Platí pouze v případě , že je $typevyloučenoFileName.
Zástupný znak a název procesu se nepodporují, pokud má vyloučení jako obor globální, je potřeba zadat úplnou cestu.

Rozšířené možnosti kontroly

Následující nastavení je možné nakonfigurovat tak, aby povolovala určité pokročilé funkce kontroly.

Poznámka

Povolení těchto funkcí může mít vliv na výkon zařízení. Proto se doporučuje zachovat výchozí hodnoty.

Konfigurace kontroly událostí oprávnění k úpravě souborů

Když je tato funkce povolená, Defender for Endpoint prohledá soubory, když se jejich oprávnění změní, aby nastavil bity spouštění.

Poznámka

Tato funkce je použitelná jenom v případě, že je povolená enableFilePermissionEvents . Další informace najdete v části Rozšířené volitelné funkce níže, kde najdete podrobnosti.

Popis Hodnota JSON Hodnota portálu Defender
Klíč scanFileModifyPermissions Není k dispozici
Datový typ Boolean Není k dispozici
Možné hodnoty false (výchozí)

pravdivý

Není k dispozici

Poznámka

K dispozici ve verzi 101.23062.0010 Defenderu for Endpoint nebo novější.

Konfigurace kontroly událostí vlastnictví úprav souborů

Když je tato funkce povolená, Defender for Endpoint zkontroluje soubory, u kterých se změnilo vlastnictví.

Poznámka

Tato funkce je použitelná jenom v případě, že je povolená enableFileOwnershipEvents . Další informace najdete v části Rozšířené volitelné funkce níže, kde najdete podrobnosti.

Popis Hodnota JSON Hodnota portálu Defender
Klíč scanFileModifyOwnership Není k dispozici
Datový typ Boolean Není k dispozici
Možné hodnoty false (výchozí)

pravdivý

Není k dispozici

Poznámka

K dispozici ve verzi 101.23062.0010 Defenderu for Endpoint nebo novější.

Konfigurace kontroly událostí nezpracovaných soketů

Pokud je tato funkce povolená, Defender for Endpoint bude kontrolovat události síťových soketů, jako je vytvoření nezpracovaných soketů nebo soketů paketů nebo nastavení možnosti soketu.

Poznámka

Tato funkce je použitelná jenom v případě, že je povolené monitorování chování. Tato funkce je použitelná jenom v případě, že je povolená enableRawSocketEvent . Další informace najdete v části Rozšířené volitelné funkce níže, kde najdete podrobnosti.

Popis Hodnota JSON Hodnota portálu Defender
Klíč scanNetworkSocketEvent Není k dispozici
Datový typ Boolean Není k dispozici
Možné hodnoty false (výchozí)

pravdivý

Není k dispozici

Poznámka

K dispozici ve verzi 101.23062.0010 Defenderu for Endpoint nebo novější.

Předvolby ochrany poskytované v cloudu

Položka cloudService v konfiguračním profilu slouží ke konfiguraci funkce cloudové ochrany produktu.

Poznámka

Cloudová ochrana se dá použít u všech nastavení úrovně vynucení (real_time, on_demand, pasivní).

Popis Hodnota JSON Hodnota portálu Defender
Klíč cloudService Předvolby ochrany poskytované cloudem
Datový typ Slovník (vnořená předvolba) Sbalený oddíl
Komentáře Popis obsahu slovníku najdete v následujících částech. Popis nastavení zásad najdete v následujících částech.

Povolení nebo zakázání cloudové ochrany

Určuje, jestli je na zařízení povolená cloudová ochrana. Pokud chcete zlepšit zabezpečení vašich služeb, doporučujeme nechat tuto funkci zapnutou.

Popis Hodnota JSON Hodnota portálu Defender
Klíč zpřístupněný Povolení ochrany před cloudem
Datový typ Boolean Upadnout
Možné hodnoty true (výchozí)

false

Nenakonfigurováno
Zakázáno
Povoleno (výchozí)

Úroveň shromažďování diagnostických dat

Diagnostická data se používají k udržování defenderu for Endpoint v zabezpečeném a aktualizovaném stavu, ke zjišťování, diagnostice a řešení problémů a k vylepšování produktů. Toto nastavení určuje úroveň diagnostiky odesílané produktem do Microsoftu. Další podrobnosti najdete v tématu Ochrana osobních údajů pro Microsoft Defender for Endpoint v Linuxu.

Popis Hodnota JSON Hodnota portálu Defender
Klíč diagnosticLevel Úroveň shromažďování diagnostických dat
Datový typ String Upadnout
Možné hodnoty optional

required (výchozí)

Nenakonfigurováno
volitelné (výchozí)
požadovaný

Konfigurace úrovně cloudového bloku

Toto nastavení určuje, jak agresivní defender for Endpoint blokuje a kontroluje podezřelé soubory. Pokud je toto nastavení zapnuté, defender for Endpoint je při identifikaci podezřelých souborů k blokování a kontrole agresivnější. v opačném případě je méně agresivní, a proto blokuje a skenuje s menší frekvencí.

Pro nastavení úrovně cloudového bloku existuje pět hodnot:

  • Normal (normal): Výchozí úroveň blokování.
  • Střední (moderate): Poskytuje verdikt pouze pro detekce vysoké spolehlivosti.
  • Vysoká (high): Agresivně blokuje neznámé soubory při optimalizaci výkonu (větší pravděpodobnost blokování souborů, které nejsou škodlivé).
  • Vysoké plus (high_plus): Agresivně blokuje neznámé soubory a používá další ochranná opatření (může mít vliv na výkon klientského zařízení).
  • Nulová tolerance (zero_tolerance): Blokuje všechny neznámé programy.
Popis Hodnota JSON Hodnota portálu Defender
Klíč cloudBlockLevel Konfigurace úrovně cloudového bloku
Datový typ String Upadnout
Možné hodnoty normal (výchozí)

moderate

high

high_plus

zero_tolerance

Nenakonfigurováno
Normální (výchozí)
Moderovat
High (Vysoká)
High_Plus
Zero_Tolerance

Poznámka

K dispozici ve verzi 101.56.62 Defenderu for Endpoint nebo novější.

Povolení nebo zakázání automatického odesílání vzorků

Určuje, jestli se microsoftu odesílají podezřelé vzorky (které pravděpodobně budou obsahovat hrozby). Existují tři úrovně řízení odesílání vzorků:

  • Žádné: Microsoftu se neposílají žádné podezřelé vzorky.
  • Bezpečné: Automaticky se odesílají jenom podezřelé vzorky, které neobsahují identifikovatelné osobní údaje. Toto je výchozí hodnota pro toto nastavení.
  • Vše: Microsoftu se odesílají všechny podezřelé vzorky.
Popis Hodnota JSON Hodnota portálu Defender
Klíč automaticSampleSubmissionConsent Povolení automatického odesílání vzorků
Datový typ String Upadnout
Možné hodnoty none

safe (výchozí)

all

Nenakonfigurováno
Žádné
Bezpečné (výchozí)
Vše

Povolení nebo zakázání automatických aktualizací bezpečnostních informací

Určuje, jestli se aktualizace bezpečnostních funkcí instalují automaticky:

Popis Hodnota JSON Hodnota portálu Defender
Klíč automaticDefinitionUpdateEnabled Automatické aktualizace bezpečnostních informací
Datový typ Boolean Upadnout
Možné hodnoty true (výchozí)

false

Nenakonfigurováno
Zakázáno
Povoleno (výchozí)

V závislosti na úrovni vynucení se automatické aktualizace bezpečnostních informací instalují odlišně. V režimu RTP se aktualizace instalují pravidelně. V pasivním režimu nebo režimu na vyžádání se aktualizace instalují před každou kontrolou.

Rozšířené volitelné funkce

Následující nastavení je možné nakonfigurovat tak, aby povolovala určité pokročilé funkce.

Poznámka

Povolení těchto funkcí může mít vliv na výkon zařízení. Doporučujeme zachovat výchozí hodnoty.

Popis Hodnota JSON Hodnota portálu Defender
Klíč rysy Není dostupný
Datový typ Slovník (vnořená předvolba) Není k dispozici
Komentáře Popis obsahu slovníku najdete v následujících částech.

Funkce načítání modulů

Určuje, zda se monitorují události načtení modulu (události otevření souboru ve sdílených knihovnách).

Poznámka

Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.

Popis Hodnota JSON Hodnota portálu Defender
Klíč moduleLoad Není dostupný
Datový typ String Není k dispozici
Možné hodnoty zakázáno (výchozí)

zpřístupněný

Není k dispozici
Komentáře K dispozici ve verzi 101.68.80 Defenderu for Endpoint nebo novější.

Doplňkové konfigurace senzorů

Následující nastavení můžete použít ke konfiguraci určitých pokročilých doplňkových funkcí senzoru.

Popis Hodnota JSON Hodnota portálu Defender
Klíč supplementarySensorConfigurations Není dostupný
Datový typ Slovník (vnořená předvolba) Není k dispozici
Komentáře Popis obsahu slovníku najdete v následujících částech.
Konfigurace monitorování událostí oprávnění k úpravě souborů

Určuje, zda se monitorují události oprávnění k úpravě souborů (chmod).

Poznámka

Když je tato funkce povolená, Defender for Endpoint bude monitorovat změny spouštění bitů souborů, ale nebude kontrolovat tyto události. Další informace najdete v části Rozšířené funkce kontroly .

Popis Hodnota JSON Hodnota portálu Defender
Klíč enableFilePermissionEvents Není dostupný
Datový typ String Není k dispozici
Možné hodnoty zakázáno (výchozí)

zpřístupněný

Není k dispozici
Komentáře K dispozici ve verzi 101.23062.0010 Defenderu for Endpoint nebo novější.
Konfigurace monitorování událostí vlastnictví úprav souborů

Určuje, zda se monitorují události vlastnictví změny souboru (chown).

Poznámka

Když je tato funkce povolená, Defender for Endpoint bude monitorovat změny vlastnictví souborů, ale nebude kontrolovat tyto události. Další informace najdete v části Rozšířené funkce kontroly .

Popis Hodnota JSON Hodnota portálu Defender
Klíč enableFileOwnershipEvents Není dostupný
Datový typ String Není k dispozici
Možné hodnoty zakázáno (výchozí)

zpřístupněný

Není k dispozici
Komentáře K dispozici ve verzi 101.23062.0010 Defenderu for Endpoint nebo novější.
Konfigurace monitorování událostí nezpracovaných soketů

Určuje, zda jsou monitorovány události síťových soketů zahrnujících vytvoření nezpracovaných soketů/ soketů paketů nebo nastavení možnosti soketu.

Poznámka

Tato funkce je použitelná jenom v případě, že je povolené monitorování chování. Pokud je tato funkce povolená, Defender for Endpoint bude tyto události soketů monitorovat, ale nebude tyto události kontrolovat. Další informace najdete v části Funkce rozšířené kontroly výše, kde najdete další podrobnosti.

Popis Hodnota JSON Hodnota portálu Defender
Klíč enableRawSocketEvent Není dostupný
Datový typ String Není k dispozici
Možné hodnoty zakázáno (výchozí)

zpřístupněný

Není k dispozici
Komentáře K dispozici ve verzi 101.23062.0010 Defenderu for Endpoint nebo novější.
Konfigurace monitorování událostí zavaděče spouštění

Určuje, zda se monitorují a kontrolují události zavaděče spouštění.

Poznámka

Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.

Popis Hodnota JSON Hodnota portálu Defender
Klíč enableBootLoaderCalls Není dostupný
Datový typ String Není k dispozici
Možné hodnoty zakázáno (výchozí)

zpřístupněný

Není k dispozici
Komentáře K dispozici ve verzi 101.68.80 Defenderu for Endpoint nebo novější.
Konfigurace monitorování událostí ptrace

Určuje, zda jsou monitorovány a kontrolovány události ptrace.

Poznámka

Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.

Popis Hodnota JSON Hodnota portálu Defender
Klíč enableProcessCalls Není dostupný
Datový typ String Není k dispozici
Možné hodnoty zakázáno (výchozí)

zpřístupněný

Není k dispozici
Komentáře K dispozici ve verzi 101.68.80 Defenderu for Endpoint nebo novější.
Konfigurace monitorování událostí pseudofs

Určuje, zda jsou události pseudofs monitorovány a kontrolovány.

Poznámka

Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.

Popis Hodnota JSON Hodnota portálu Defender
Klíč enablePseudofsCalls Není dostupný
Datový typ String Není k dispozici
Možné hodnoty zakázáno (výchozí)

zpřístupněný

Není k dispozici
Komentáře K dispozici ve verzi 101.68.80 Defenderu for Endpoint nebo novější.
Konfigurace monitorování událostí načtení modulu pomocí eBPF

Určuje, jestli se události načtení modulu monitorují pomocí eBPF a kontrolují.

Poznámka

Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.

Popis Hodnota JSON Hodnota portálu Defender
Klíč enableEbpfModuleLoadEvents Není dostupný
Datový typ String Není k dispozici
Možné hodnoty zakázáno (výchozí)

zpřístupněný

Není k dispozici
Komentáře K dispozici ve verzi 101.68.80 Defenderu for Endpoint nebo novější.

Hlášení podezřelých událostí av do EDR

Určuje, jestli jsou podezřelé události z antivirové ochrany hlášeny do EDR.

Popis Hodnota JSON Hodnota portálu Defender
Klíč sendLowfiEvents Není dostupný
Datový typ String Není k dispozici
Možné hodnoty zakázáno (výchozí)

zpřístupněný

Není k dispozici
Komentáře K dispozici ve verzi 101.23062.0010 Defenderu for Endpoint nebo novější.

Konfigurace ochrany sítě

Následující nastavení můžete použít ke konfiguraci pokročilých kontrolních funkcí služby Network Protection, které řídí, jaký provoz bude služba Network Protection kontrolovat.

Poznámka

Aby byly efektivní, musí být zapnutá ochrana sítě. Další informace najdete v tématu Zapnutí ochrany sítě pro Linux.

Popis Hodnota JSON Hodnota portálu Defender
Klíč networkProtection Ochrana sítě
Datový typ Slovník (vnořená předvolba) Sbalený oddíl
Komentáře Popis obsahu slovníku najdete v následujících částech. Popis nastavení zásad najdete v následujících částech.

Úroveň vynucení

Popis Hodnota JSON Hodnota portálu Defender
Klíč enforcementLevel Úroveň vynucení
Datový typ String Upadnout
Možné hodnoty disabled (výchozí)
audit
block
Nenakonfigurováno
zakázáno (výchozí)
audit
blokovat

Konfigurace kontroly PROTOKOLU ICMP

Určuje, zda se události PROTOKOLU ICMP monitorují a kontrolují.

Poznámka

Tato funkce je použitelná jenom v případě, že je povolené monitorování chování.

Popis Hodnota JSON Hodnota portálu Defender
Klíč disableIcmpInspection Není dostupný
Datový typ Boolean Není k dispozici
Možné hodnoty true (výchozí)

false

Není k dispozici
Komentáře K dispozici ve verzi 101.23062.0010 Defenderu for Endpoint nebo novější.

Abyste mohli začít, doporučujeme pro váš podnik použít následující konfigurační profil, abyste mohli využívat všechny funkce ochrany, které defender for Endpoint poskytuje.

Následující konfigurační profil:

  • Umožňuje ochranu v reálném čase (RTP)
  • Určuje, jak se zpracovávají následující typy hrozeb:
    • Potenciálně nežádoucí aplikace (PUA) jsou blokované
    • Archivní bomby (soubor s vysokou mírou komprese) se auditují do protokolů produktu.
  • Umožňuje automatické aktualizace inteligentních informací o zabezpečení.
  • Umožňuje cloudovou ochranu.
  • Umožňuje automatické odesílání vzorků na safe úrovni.

Ukázkový profil

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Příklad úplného konfiguračního profilu

Následující konfigurační profil obsahuje položky pro všechna nastavení popsaná v tomto dokumentu a je možné ho použít pro pokročilejší scénáře, ve kterých potřebujete větší kontrolu nad produktem.

Poznámka

V tomto formátu JSON není možné řídit všechny Microsoft Defender for Endpoint komunikaci pouze nastavením proxy serveru.

Úplný profil

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":false,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefintionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"diabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

Přidání ID značky nebo skupiny do konfiguračního profilu

Při prvním spuštění mdatp health příkazu bude hodnota značky a ID skupiny prázdná. Pokud chcete do souboru přidat ID značky mdatp_managed.json nebo skupiny, postupujte následovně:

  1. Otevřete konfigurační profil z cesty /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

  2. Přejděte dolů do dolní části souboru, kde se cloudService nachází blok.

  3. Přidejte požadovanou značku nebo ID skupiny jako v následujícím příkladu na konec koncové složené závorky pro cloudService.

    },
    "cloudService": {
     "enabled": true,
     "diagnosticLevel": "optional",
     "automaticSampleSubmissionConsent": "safe",
     "automaticDefinitionUpdateEnabled": true,
     "proxy": "http://proxy.server:port/"
    },
    "edr": {
    "groupIds":"GroupIdExample",
    "tags": [
             {
             "key": "GROUP",
             "value": "Tag"
             }
           ]
       }
    }
    

Poznámka

Za pravou složenou závorku na konci bloku přidejte čárku cloudService . Ujistěte se také, že po přidání bloku ID značky nebo skupiny existují dvě složených závorek (viz výše uvedený příklad). V současné době je GROUPjediným podporovaným názvem klíče pro značky .

Ověření konfiguračního profilu

Konfigurační profil musí být platný soubor ve formátu JSON. Existuje mnoho nástrojů, které se dají použít k ověření. Pokud jste například na zařízení nainstalovali python :

python -m json.tool mdatp_managed.json

Pokud je JSON ve správném formátu, výše uvedený příkaz ho vypíše zpět do terminálu a vrátí ukončovací kód 0. V opačném případě se zobrazí chyba popisující problém a příkaz vrátí ukončovací kód .1

Ověření, že soubor mdatp_managed.json funguje podle očekávání

Pokud chcete ověřit, jestli váš /etc/opt/microsoft/mdatp/managed/mdatp_managed.json funguje správně, měli byste vedle těchto nastavení vidět "[managed]":

  • cloud_enabled
  • cloud_automatic_sample_submission_consent
  • passive_mode_enabled
  • real_time_protection_enabled
  • automatic_definition_update_enabled

Poznámka

Aby se změny většiny konfigurací projevily, mdatp_managed.json není potřeba restartovat proces démon mdatp. Výjimka: Následující konfigurace vyžadují restartování démona, aby se projevilo:

  • cloud-diagnostic
  • log-rotation-parameters

Nasazení konfiguračního profilu

Jakmile vytvoříte konfigurační profil pro váš podnik, můžete ho nasadit pomocí nástroje pro správu, který používá váš podnik. Defender for Endpoint v Linuxu načte spravovanou konfiguraci ze /etc/opt/microsoft/mdatp/managed/mdatp_managed.json souboru.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.