Konfigurer sikkerhedsindstillinger i Microsoft Defender for Endpoint på Linux

Konfigurer dine sikkerhedsindstillinger

Microsoft Defender for Endpoint på Linux omfatter antivirus-, antimalwarebeskyttelse, slutpunktsregistrering og svarfunktioner. I denne artikel opsummeres vigtige sikkerhedsindstillinger, der skal konfigureres, og som indeholder links til andre ressourcer.

Indstillinger for konfiguration af sikkerhedsindstillinger

Hvis du vil konfigurere dine sikkerhedsindstillinger i Defender for Endpoint på Linux, har du to primære muligheder:

• Brug Microsoft Defender-portalen (Defender for Endpoint Security Settings Management)

  Eller

• Brug en konfigurationsprofil

Du kan bruge kommandolinjen til at konfigurere bestemte indstillinger, indsamle diagnosticering, køre scanninger og meget mere. Du kan få flere oplysninger under Linux-ressourcer: Konfigurer ved hjælp af kommandolinjen.

Administration af sikkerhedsindstillinger for Defender for Endpoint

Du kan konfigurere Defender for Endpoint på Linux på Microsoft Defender-portalen på (https://security.microsoft.com) ved hjælp af Defender for Endpoint Security Settings Management. Du kan finde flere oplysninger, herunder hvordan du opretter, redigerer og bekræfter sikkerhedspolitikker, under Brug Microsoft Defender for Endpoint Administration af sikkerhedsindstillinger til at administrere Microsoft Defender Antivirus.

Konfigurationsprofil

Du kan konfigurere indstillinger i Defender for Endpoint på Linux via en konfigurationsprofil, der bruger en .json fil. Når du har konfigureret din profil, kan du udrulle den ved hjælp af dit foretrukne administrationsværktøj. Indstillinger, der administreres af virksomheden, har forrang frem for indstillinger, der er angivet lokalt på enheden.

Med andre ord kan brugere i din virksomhed ikke ændre indstillinger, der er angivet via denne konfigurationsprofil. Hvis der blev tilføjet udeladelser via den administrerede konfigurationsprofil, kan de kun fjernes via den administrerede konfigurationsprofil. Kommandolinjen fungerer for undtagelser, der tilføjes lokalt.

I denne artikel beskrives strukturen af denne profil (herunder en anbefalet profil, du kan bruge til at komme i gang) og instruktioner til, hvordan du installerer profilen.

Struktur for konfigurationsprofil

Konfigurationsprofilen er en .json fil, der består af poster, der identificeres af en nøgle (som angiver navnet på præferencen) efterfulgt af en værdi, som afhænger af typen af præference. Værdier kan være enkle (f.eks. en numerisk værdi) eller komplekse (f.eks. en indlejret liste over indstillinger).

Du bruger typisk et værktøj til administration af konfiguration til at pushoverføre en fil, der er navngivet mdatp_managed.json til placeringen /etc/opt/microsoft/mdatp/managed/.

Det øverste niveau i konfigurationsprofilen omfatter indstillinger for hele produktet og poster for underområder af produktet, som forklares mere detaljeret i de næste afsnit.

Anbefalet konfigurationsprofil

Dette afsnit indeholder to eksempler på konfigurationsprofiler:

• Eksempelprofil , der hjælper dig med at komme i gang med de anbefalede indstillinger.
• Eksempel på komplet konfigurationsprofil til organisationer, der ønsker mere detaljeret kontrol over sikkerhedsindstillinger.

For at komme i gang anbefaler vi, at du bruger den første eksempelprofil for din organisation. Hvis du vil have mere detaljeret kontrol, kan du i stedet bruge eksemplet med den fulde konfigurationsprofil .

Eksempelprofil

Følgende konfigurationsprofil hjælper dig med at drage fordel af vigtige beskyttelsesfunktioner i Defender for Endpoint på Linux. Profilen indeholder følgende konfiguration:

• Aktivér beskyttelse i realtid (RTP).
• Angiv, hvordan følgende trusselstyper skal håndteres:
  • Potentielt uønskede programmer (PUA) er blokeret.
  • Arkiv bomber (fil med en høj komprimeringshastighed) overvåges i produktloggene.
• Aktivér automatiske opdateringer af sikkerhedsintelligens.
• Aktivér skybaseret beskyttelse.
• Aktivér automatisk afsendelse af eksempel på safe niveau.

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Eksempel på profil med fuld konfiguration

Følgende konfigurationsprofil indeholder poster for alle indstillinger, der er beskrevet i denne artikel, og kan bruges til mere avancerede scenarier, hvor du vil have mere kontrol.

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":false,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefinitionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"diabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

Antivirus-, antimalware- og EDR-indstillinger i Defender for Endpoint på Linux

Uanset om du bruger en konfigurationsprofil (.json fil) eller Microsoft Defender-portalen (Administration af sikkerhedsindstillinger), kan du konfigurere indstillingerne for antivirus, antimalware og EDR i Defender for Endpoint på Linux. I følgende afsnit beskrives det, hvor og hvordan du konfigurerer dine indstillinger.

Indstillinger for antivirusprogram

Afsnittet antivirusEngine i konfigurationsprofilen administrerer indstillingerne for produktets antiviruskomponent.

Se følgende underafsnit for at få en beskrivelse af ordbogens indhold og politikegenskaber.

Håndhævelsesniveau for Microsoft Defender Antivirus

Angiver, hvordan antivirusprogrammet gennemtvinges. Der er tre værdier til angivelse af håndhævelsesniveau:

• Realtid (real_time): Beskyttelse i realtid (scan filer, når de ændres) er aktiveret.

• On-demand (on_demand): Filer scannes kun efter behov:

  • Beskyttelse i realtid er slået fra.
  • Definitionsopdateringer forekommer kun, når en scanning starter, også selvom automaticDefinitionUpdateEnabled den er indstillet til true i on-demand-tilstand.

• Passiv (passive): Kører antivirusprogrammet i passiv tilstand:

  • Beskyttelse i realtid er slået fra. Microsoft Defender Antivirus afhjælper ikke trusler.
  • Scanning efter behov er slået til. Scanningsfunktionerne er stadig tilgængelige på enheden.
  • Automatisk trusselsafhjælpning er slået fra. Der flyttes ingen filer, og sikkerhedsadministratoren forventes at udføre de nødvendige handlinger.
  • Sikkerhedsintelligensopdateringer er slået til. Beskeder er tilgængelige i sikkerhedsadministratorens organisation.
  • Definitionsopdateringer forekommer kun, når en scanning starter, også selvom automaticDefinitionUpdateEnabled er angivet til true.
  • EDR (Endpoint Detection and Response) er slået til. Outputtet af kommandoen mdatp health på enheden vises engine not loaded for egenskaben engine_load_version . Motoren er relateret til antivirus, ikke EDR.

Aktivér eller deaktiver overvågning af funktionsmåde (hvis RTP er aktiveret)

Angiver, om funktionalitet til overvågning og blokering er aktiveret eller deaktiveret på enheden.

Kør en scanning, når definitioner er opdateret

Angiver, om en processcanning skal startes, når nye sikkerhedsintelligensopdateringer er downloadet på enheden. Aktivering af denne indstilling udløser en antivirusscanning på de kørende processer på enheden.

Scan arkiver (kun antivirusscanninger efter behov)

Angiver, om arkiver skal scannes under antivirusscanninger efter behov.

Graden af parallelitet for scanninger efter behov

Angiver graden af parallelitet for scanninger efter behov. Denne indstilling svarer til antallet af processortråde, der bruges af scanningen. Denne indstilling påvirker CPU-forbruget og varigheden af scanninger efter behov.

Politik for fletning af udeladelse

Angiver, om der skal bruges brugerdefinerede udeladelser på enheden. Gyldige værdier er:

• admin_only: Brug kun administratordefinerede udeladelser, der er konfigureret af Defender for Endpoint-politikken. Brug denne værdi til at forhindre brugere i at definere deres egne udeladelser.
• merge: Brug en kombination af administratordefinerede og brugerdefinerede udeladelser.

Scan udeladelser

Objekter, der er udelukket fra scanninger. Du angiver udeladelser som en matrix af elementer. Administratorer kan angive lige så mange elementer, som det er nødvendigt, i vilkårlig rækkefølge. Du kan angive udeladelser ved hjælp af komplette stier, filtypenavne eller filnavne.

Se følgende underafsnit for at få en beskrivelse af indholdet i ordbogen.

Type af udeladelse

Angiver den type indhold, der er udelukket fra scanninger.

Sti til udeladt indhold

Udelad indhold fra scanningen med den fulde filsti.

Stitype (fil/mappe)

Angiver, om stiegenskaben refererer til en fil eller en mappe.

Filtypenavnet blev udelukket fra scanningen

Udelad indhold fra scanningen med filtypenavnet.

Processen er udelukket fra scanningen

Angiver en proces, hvor alle filaktiviteter udelades fra scanning. Du kan angive processen efter navn (f.eks. cat) eller fuld sti (f.eks. /bin/cat).

Slår tilslutninger, der ikke er udført, fra

Angiver funktionsmåden for RTP på tilslutningspunkter, der er markeret som noexec. Gyldige værdier er:

• Lyd ikke slået til (unmute): Alle tilslutningspunkter scannes som en del af RTP. Denne værdi er standard.
• Slået fra (mute): Tilslutningspunkter, der er markeret som noexec ikke scannes som en del af RTP.
  • Databaseservere kan bevare databasefilen.
  • Filservere kan bevare tilslutningspunkter for datafiler.
  • Sikkerhedskopiering kan bevare tilslutningspunkter for datafiler.

Fjern overvågning af filsystemer

Angiver de filsystemer, der ikke overvåges af (er udelukket fra) RTP. De angivne filsystemer scannes stadig af Hurtig, Fuld og brugerdefinerede scanninger i Microsoft Defender Antivirus.

Når du tilføjer eller fjerner et filsystem fra den ikke-overvågede liste, validerer Microsoft berettigelsen af filsystemet til overvågning af RTP (fjernet fra listen) eller ingen overvågning fra RTP (føjet til listen).

• Følgende filsystemer overvåges som standard af RTP:

  • btrfs
  • ecryptfs
  • ext2
  • ext3
  • ext4
  • fuseblk
  • jfs
  • overlay
  • ramfs
  • reiserfs
  • tmpfs
  • vfat
  • xfs

• Følgende filsystemer overvåges som standard ikke af RTP:

  • cifs^*
  • fuse
  • nfs
  • nfs4^*
  • smb^*

  Disse filsystemer overvåges heller ikke af hurtig- og fuld scanninger, men kan scannes af brugerdefinerede scanninger.

  ^* I øjeblikket er RTP-overvågning af dette filsystem i prøveversion.

Hvis du f.eks. vil fjerne nfs og nfs4 fra listen over ikke-overvågede filsystemer (hvilket betyder nfs , at og nfs4 overvåges af RTP efter validering), skal du opdatere den administrerede konfigurationsfil med følgende post:

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["cifs","fuse","smb"]
  }
}

Hvis du vil fjerne alle poster fra listen over ikke-overvågede filsystemer, skal du bruge følgende post:

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

Konfigurer funktionen til beregning af filhash

Aktiverer eller deaktiverer beregning af filhash for filer, der er scannet af Defender for Endpoint. Aktivering af denne funktion kan påvirke enhedens ydeevne. Du kan få flere oplysninger under Opret indikatorer til filer.

Tilladte trusler

Angiver navnene på trusler, der ikke er blokeret af Defender for Endpoint. I stedet har disse trusler tilladelse til at køre.

Ikke-tilladte trusselshandlinger

Begrænser de tilladte handlinger for enhedsbrugeren, når der registreres trusler. De handlinger, der er inkluderet på denne liste, vises ikke i brugergrænsefladen.

Indstillinger for trusselstype

Kontrollér, hvordan visse trusselstyper håndteres.

Se følgende underafsnit for at få en beskrivelse af indholdet i ordbogen.

Trusselstype

Angiver trusselstypen.

Handling, der skal udføres

Angiver handlingen, når de tidligere angivne typer trusler registreres. Gyldige værdier er:

• Overvågning: Enheden er ikke beskyttet mod denne type trussel, men der logføres en post om truslen. Denne værdi er standard.
• Blok: Enheden er beskyttet mod denne type trussel, og du får besked på Microsoft Defender-portalen.
• Fra: Enheden er ikke beskyttet mod denne type trussel, og der logføres intet.

Politik for fletning af indstillinger for trusselstype

Angiver, om der skal bruges brugerdefinerede indstillinger for trusselstyper på enheden. Gyldige værdier er:

• admin_only: Brug kun administratordefinerede indstillinger for trusselstyper. Brug denne værdi til at forhindre brugere i at definere deres egne indstillinger for trusselstyper.
• merge: Brug en kombination af administratordefinerede og brugerdefinerede indstillinger for trusselstyper.

Opbevaring af antivirusscanningshistorik (i dage)

Angiv det antal dage, resultaterne bevares i scanningshistorikken på enheden. Gamle scanningsresultater fjernes fra oversigten. Gamle filer, der er sat i karantæne, fjernes også fra disken.

Maksimalt antal elementer i historikken for antivirusscanning

Angiv det maksimale antal poster, der skal bevares i scanningsoversigten. Poster omfatter alle on-demand-scanninger og alle antivirusregistreringer.

Indstillinger for udeladelse

Afsnittet exclusionSettings i konfigurationsprofilen konfigurerer forskellige undtagelser for Microsoft Defender for Endpoint til Linux.

Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen.|

Flet politik

Politik for fletning af udeladelse

Angiver, om der skal bruges brugerdefinerede udeladelser på enheden. Gyldige værdier er:

• admin_only: Brug kun administratordefinerede udeladelser, der er konfigureret af Defender for Endpoint-politikken. Brug denne værdi til at forhindre brugere i at definere deres egne udeladelser.
• merge: Brug en kombination af administratordefinerede og brugerdefinerede udeladelser.

Denne indstilling gælder for udeladelser fra alle områder.

Udeladelser

Objekter, der er udelukket fra scanninger. Du angiver udeladelser som en matrix af elementer. Administratorer kan angive lige så mange elementer, som det er nødvendigt, i vilkårlig rækkefølge. Du kan angive udeladelser ved hjælp af komplette stier, filtypenavne eller filnavne. For hver udeladelse kan du angive et område. Standardområdet er globalt.

Se følgende underafsnit for at få en beskrivelse af indholdet i ordbogen.

Type af udeladelse

Angiver den type indhold, der er udelukket fra scanninger.

Omfang af udeladelse (valgfrit)

Angiver udeladelsesområdet for udeladt indhold. Gyldige værdier er:

• epp
• global

Hvis du ikke angiver et udeladelsesområde i den administrerede konfiguration, bruges værdien global .

Sti til udeladt indhold

Udelad indhold fra scanninger med den fulde filsti.

Stitype (fil/mappe)

Angiver, om stiegenskaben refererer til en fil eller en mappe.

Filtypenavnet blev udelukket fra scanningen

Udelad indhold fra scanninger efter filtypenavn.

Processen er udelukket fra scanningen

Udelad alle filaktiviteter fra en proces fra scanninger. Gyldige værdier er:

• Procesnavn. Det kunne f.eks. være cat.
• Fuldstændig sti. Det kunne f.eks. være /bin/cat.

Avancerede scanningsindstillinger

Du kan konfigurere følgende indstillinger for at aktivere visse avancerede scanningsfunktioner.

Konfigurer scanning af hændelser for filænding af tilladelser

Angiver, om Defender for Endpoint scanner filer, når deres tilladelser ændres for at angive de udførte bits.

Konfigurer scanning af ejerskabshændelser for filænding

Angiver, om Defender for Endpoint scanner filer med ændret ejerskab.

Konfigurer scanning af rå sokkelhændelser

Angiver, om Defender for Endpoint scanner hændelser for netværkssokkel. Det kan f.eks. være:

• Opretter rå sockets/pakke sockets.
• Indstilling af muffeindstillinger.

Indstillinger for skybaseret beskyttelse

Posten cloudService i konfigurationsprofilen konfigurerer den clouddrevne beskyttelsesfunktion.

Se følgende underafsnit for at få en beskrivelse af ordbogens indhold og politikindstillinger.

Aktivér eller deaktiver cloudbaseret beskyttelse

Angiv, om skybaseret beskyttelse er aktiveret på enheden. For at forbedre sikkerheden anbefaler vi, at du holder denne funktion aktiveret.

Niveau for indsamling af diagnosticering

Angiv det niveau af diagnosticeringsoplysninger, der sendes til Microsoft. Du kan få flere oplysninger under Beskyttelse af personlige oplysninger for Microsoft Defender for Endpoint på Linux.

Diagnosticeringsdata bruges til at holde Defender for Endpoint sikker og opdateret, registrere, diagnosticere og løse problemer og også foretage produktforbedringer.

Konfigurer niveau for skyblokering

Angiv aggressiviteten for Defender for Endpoint i forbindelse med blokering og scanning af mistænkelige filer. Gyldige værdier er:

• Normal (normal): Værdien er standard.
• Moderat (moderate): Levér kun domme for registreringer med høj tillid.
• Høj (high): Bloker ukendte filer aggressivt, mens du optimerer ydeevnen. Denne værdi har større chance for at blokere filer, der ikke er synkroniserede.
• High Plus (high_plus): Bloker ukendte filer aggressivt, og anvend ekstra beskyttelsesforanstaltninger. Denne værdi kan påvirke klientens enheds ydeevne.
• Nultolerance (zero_tolerance): Bloker alle ukendte programmer.

Hvis denne indstilling er slået til, er Defender for Endpoint mere aggressiv, når du identificerer mistænkelige filer, der skal blokeres og scannes. Ellers er det mindre aggressivt og derfor blokerer og scanner med mindre hyppighed.

Aktivér eller deaktiver automatiske eksempelindsendelser

Angiver, om mistænkelige eksempler (der sandsynligvis indeholder trusler) sendes til Microsoft. Gyldige værdier er:

• Ingen: Der sendes ingen mistænkelige eksempler til Microsoft.
• Sikkert: Der sendes kun mistænkelige eksempler, der ikke indeholder personlige oplysninger, automatisk. Denne værdi er standard.
• Alle: Alle mistænkelige eksempler sendes til Microsoft.

Aktivér eller deaktiver automatiske sikkerhedsintelligensopdateringer

Angiver, om sikkerhedsintelligensopdateringer installeres automatisk.

Afhængigt af håndhævelsesniveauet installeres de automatiske sikkerhedsintelligensopdateringer forskelligt. I RTP-tilstand installeres opdateringer jævnligt. I tilstanden Passiv eller On-Demand installeres opdateringer før hver scanning.

Avancerede valgfrie funktioner

Brug følgende indstillinger til at aktivere visse avancerede valgfrie funktioner.

Se følgende underafsnit for at få en beskrivelse af indholdet i ordbogen.

Funktion til modulindlæsning

Angiver, om modulindlæsningshændelser (filåbningshændelser på delte biblioteker) overvåges.

Afhjælpning af funktionen Inficeret fil

Angiver, om inficerede processer, der åbner eller indlæser inficerede filer, afhjælpes i RTP-tilstand.

Supplerende sensorkonfigurationer

Brug følgende indstillinger til at konfigurere visse avancerede supplerende sensorfunktioner.

Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen.

Konfigurer overvågning af hændelser for filænding af tilladelser

Angiver, om hændelser for filænding af tilladelser (chmod) overvåges.

Konfigurer overvågning af ejerskabshændelser for filænding

Angiver, om hændelser for ændring af ejerskab (chown) overvåges.

Konfigurer overvågning af rå sokkelhændelser

Angiver, om netværkssokkelhændelser, der involverer oprettelse af rå sockets/pakke sockets eller indstilling af socket-indstillinger, overvåges.

Konfigurer overvågning af startindlæsningshændelser

Angiver, om startindlæsningshændelser overvåges og scannes.

Konfigurer overvågning af ptrace-hændelser

Angiver, om ptrace-hændelser overvåges og scannes.

Konfigurer overvågning af pseudofs-hændelser

Angiver, om pseudofs-hændelser overvåges og scannes.

Konfigurer overvågning af modulindlæsningshændelser ved hjælp af eBPF

Angiver, om hændelser for modulindlæsning overvåges af eBPF og scannes.

Konfigurer overvågning af åbne hændelser fra bestemte filsystemer ved hjælp af eBPF

Angiver, om åbne hændelser fra procfs overvåges af eBPF.

Konfigurer kildeberigelse af hændelser ved hjælp af eBPF

Angiver, om hændelser beriges med metadata på kilden i eBPF.

Aktivér antivirusprogramcache

Angiver, om metadata for hændelser, der er scannet af antivirusprogrammet, cachelagres.

Rapportér mistænkelige antivirushændelser til EDR

Angiver, om mistænkelige hændelser fra Antivirus rapporteres til EDR.

Konfigurationer af netværksbeskyttelse

Brug følgende indstillinger til at konfigurere avancerede funktioner til netværksbeskyttelsesinspektion, der styrer trafik, der kontrolleres af Network Protection.

Se følgende underafsnit for at få en beskrivelse af indholdet i ordbogen.

Håndhævelsesniveau

Konfigurer ICMP-inspektion

Angiver, om ICMP-hændelser overvåges og scannes.

Føj mærke- eller gruppe-id'et til konfigurationsprofilen

Når du kører mdatp health kommandoen første gang, er værdierne for kode- og gruppe-id'et tomme. Hvis du vil føje et mærke- eller gruppe-id til mdatp_managed.json filen, skal du følge disse trin:

1. Åbn konfigurationsprofilen fra stien /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

2. cloudService I blokken nederst i filen skal du tilføje det påkrævede mærke eller gruppe-id i slutningen af den krøllede højreparentes for cloudService blokken som vist i følgende eksempel.

   },
   "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
   },
   "edr": {
   "groupIds":"GroupIdExample",
   "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
   }
   

   Bemærk!

   • Tilføj et komma efter den krøllede højreparentes i slutningen af cloudService blokken.
   • Kontrollér, at der er to højreparenteser, når du har tilføjet tags eller groupIds blokke som vist i eksemplet.
   • I øjeblikket er GROUPdet eneste understøttede nøglenavn for mærker .

Validering af konfigurationsprofil

Konfigurationsprofilen skal være en gyldig JSON-formateret fil. Der findes mange værktøjer, som du kan bruge til at bekræfte konfigurationsprofilen. Kør f.eks. følgende kommando, hvis du har python installeret på din enhed:

python -m json.tool mdatp_managed.json

Hvis filen er formateret korrekt, returnerer kommandoen afslutningskoden 0. Ellers vises fejl, og kommandoen returnerer afslutningskoden 1.

Kontrollerer, at den mdatp_managed.json fil fungerer som forventet

Hvis du vil kontrollere, at din /etc/opt/microsoft/mdatp/managed/mdatp_managed.json fungerer korrekt, skal du se [managed] ud for disse indstillinger:

• cloud_enabled
• cloud_automatic_sample_submission_consent
• passive_mode_enabled
• real_time_protection_enabled
• automatic_definition_update_enabled

Udrulning af konfigurationsprofil

Når du har oprettet konfigurationsprofilen for din organisation, kan du udrulle den ved hjælp af dine aktuelle administrationsværktøjer. Defender for Endpoint på Linux læser den administrerede konfiguration fra /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.