Configurare le impostazioni di sicurezza in Microsoft Defender per endpoint in Linux

Configurare le impostazioni di sicurezza

Microsoft Defender per endpoint in Linux include antivirus, protezione antimalware, rilevamento degli endpoint e funzionalità di risposta. Questo articolo riepiloga le impostazioni di sicurezza importanti da configurare e include collegamenti ad altre risorse.

Opzioni per la configurazione delle impostazioni di sicurezza

Per configurare le impostazioni di sicurezza in Defender per endpoint in Linux, sono disponibili due opzioni principali:

• Usare il portale di Microsoft Defender (Gestione delle impostazioni di Defender per Endpoint Security)

  o

• Usare un profilo di configurazione

È possibile usare la riga di comando per configurare impostazioni specifiche, raccogliere diagnostica, eseguire analisi e altro ancora. Per altre informazioni, vedere Risorse Linux: Configurare usando la riga di comando.

Gestione delle impostazioni di sicurezza di Defender per endpoint

È possibile configurare Defender per endpoint in Linux nel portale di Microsoft Defender all'indirizzo (https://security.microsoft.com) usando Defender per gestione delle impostazioni di sicurezza degli endpoint. Per altre informazioni, tra cui come creare, modificare e verificare i criteri di sicurezza, vedere Usare Microsoft Defender per endpoint Gestione impostazioni di sicurezza per gestire Microsoft Defender Antivirus.

Profilo di configurazione

È possibile configurare le impostazioni in Defender per endpoint in Linux tramite un profilo di configurazione che usa un .json file. Dopo aver configurato il profilo, è possibile distribuirlo usando lo strumento di gestione preferito. Le preferenze gestite dall'organizzazione hanno la precedenza sulle preferenze impostate localmente nel dispositivo.

In altre parole, gli utenti dell'organizzazione non sono in grado di modificare le preferenze impostate tramite questo profilo di configurazione. Se le esclusioni sono state aggiunte tramite il profilo di configurazione gestita, possono essere rimosse solo tramite il profilo di configurazione gestito. La riga di comando funziona per le esclusioni aggiunte localmente.

Questo articolo descrive la struttura di questo profilo (incluso un profilo consigliato che è possibile usare per iniziare) e le istruzioni su come distribuire il profilo.

Struttura del profilo di configurazione

Il profilo di configurazione è un .json file costituito da voci identificate da una chiave (che indica il nome della preferenza), seguito da un valore, che dipende dalla natura della preferenza. I valori possono essere semplici (ad esempio, un valore numerico) o complessi (ad esempio, un elenco annidato di preferenze).

In genere, si usa uno strumento di gestione della configurazione per eseguire il push di un file denominato mdatp_managed.json nel percorso /etc/opt/microsoft/mdatp/managed/.

Il livello superiore del profilo di configurazione include le preferenze e le voci a livello di prodotto per le sottoaree del prodotto, che vengono illustrate in modo più dettagliato nelle sezioni successive.

Profilo di configurazione consigliato

Questa sezione include due esempi di profili di configurazione:

• Profilo di esempio per iniziare a usare le impostazioni consigliate.
• Esempio di profilo di configurazione completo per le organizzazioni che vogliono un controllo più granulare sulle impostazioni di sicurezza.

Per iniziare, è consigliabile usare il primo profilo di esempio per l'organizzazione. Per un controllo più granulare, è invece possibile usare l'esempio completo del profilo di configurazione .

Profilo di esempio

Il profilo di configurazione seguente consente di sfruttare le importanti funzionalità di protezione in Defender per endpoint in Linux. Il profilo include la configurazione seguente:

• Abilitare la protezione in tempo reale (RTP).
• Specificare la modalità di gestione dei tipi di minaccia seguenti:
  • Le applicazioni potenzialmente indesiderate (PUA) sono bloccate.
  • Archivio bombe (file con una velocità di compressione elevata) vengono controllate nei log del prodotto.
• Abilitare gli aggiornamenti automatici delle funzionalità di intelligence per la sicurezza.
• Abilitare la protezione fornita dal cloud.
• Abilitare l'invio automatico di campioni a livello safe .

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Esempio di profilo di configurazione completo

Il profilo di configurazione seguente contiene voci per tutte le impostazioni descritte in questo articolo e può essere usato per scenari più avanzati in cui si desidera un maggiore controllo.

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":false,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefinitionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"diabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

Impostazioni antivirus, antimalware ed EDR in Defender per endpoint in Linux

Sia che si usi un profilo di configurazione (file .json) o il portale di Microsoft Defender (Gestione impostazioni di sicurezza), è possibile configurare le impostazioni antivirus, antimalware ed EDR in Defender per endpoint in Linux. Le sezioni seguenti descrivono dove e come configurare le impostazioni.

Preferenze del motore antivirus

La sezione antivirusEngine del profilo di configurazione gestisce le preferenze del componente antivirus del prodotto.

Per una descrizione del contenuto del dizionario e delle proprietà dei criteri, vedere le sottosezioni seguenti.

Livello di imposizione per Microsoft Defender Antivirus

Specifica la preferenza di imposizione del motore antivirus. Sono disponibili tre valori per l'impostazione del livello di imposizione:

• In tempo reale (real_time): è abilitata la protezione in tempo reale (analisi dei file man mano che vengono modificati).

• Su richiesta (on_demand): i file vengono analizzati solo su richiesta:

  • La protezione in tempo reale è disattivata.
  • Gli aggiornamenti delle definizioni si verificano solo all'avvio di un'analisi, anche se automaticDefinitionUpdateEnabled è impostata su true in modalità su richiesta.

• Passivo (passive): esegue il motore antivirus in modalità passiva:

  • La protezione in tempo reale è disattivata. Microsoft Defender Antivirus non corregge le minacce.
  • L'analisi su richiesta è attivata. Le funzionalità di analisi sono ancora disponibili nel dispositivo.
  • La correzione automatica delle minacce è disattivata. Non vengono spostati file e si prevede che l'amministratore della sicurezza eserciti le azioni necessarie.
  • Gli aggiornamenti dell'intelligence per la sicurezza sono attivati. Gli avvisi sono disponibili nell'organizzazione dell'amministratore della sicurezza.
  • Gli aggiornamenti delle definizioni si verificano solo all'avvio di un'analisi, anche se automaticDefinitionUpdateEnabled è impostato su true.
  • Il rilevamento e la risposta degli endpoint (EDR) sono attivati. L'output del mdatp health comando nel dispositivo viene visualizzato engine not loaded per la engine_load_version proprietà . Il motore è correlato all'antivirus, non a EDR.

Abilitare o disabilitare il monitoraggio del comportamento (se RTP è abilitato)

Specifica se la funzionalità di monitoraggio e blocco del comportamento è abilitata o disabilitata nel dispositivo.

Eseguire un'analisi dopo l'aggiornamento delle definizioni

Specifica se avviare un'analisi del processo dopo il download di nuovi aggiornamenti di Security Intelligence nel dispositivo. L'abilitazione di questa impostazione attiva un'analisi antivirus nei processi in esecuzione del dispositivo.

Analizzare gli archivi (solo analisi antivirus su richiesta)

Specifica se analizzare gli archivi durante le analisi antivirus su richiesta.

Grado di parallelismo per le analisi su richiesta

Specifica il grado di parallelismo per le analisi su richiesta. Questa impostazione corrisponde al numero di thread del processore usati dall'analisi. Questa impostazione influisce sull'utilizzo della CPU e sulla durata delle analisi su richiesta.

Criteri di unione di esclusione

Specifica se utilizzare esclusioni definite dall'utente nel dispositivo. I valori validi sono:

• admin_only: usare solo esclusioni definite dall'amministratore configurate dai criteri di Defender per endpoint. Usare questo valore per impedire agli utenti di definire le proprie esclusioni.
• merge: usare una combinazione di esclusioni definite dall'amministratore e definite dall'utente.

Esclusioni di analisi

Entità escluse dalle analisi. Le esclusioni vengono specificate come matrice di elementi. Gli amministratori possono specificare tutti gli elementi necessari, in qualsiasi ordine. È possibile specificare esclusioni usando percorsi completi, estensioni o nomi di file.

Per una descrizione del contenuto del dizionario, vedere le sottosezioni seguenti.

Tipo di esclusione

Specifica il tipo di contenuto escluso dalle analisi.

Percorso del contenuto escluso

Escludere il contenuto dall'analisi in base al percorso completo del file.

Tipo di percorso (file/directory)

Specifica se la proprietà path fa riferimento a un file o a una directory.

Estensione file esclusa dall'analisi

Escludere il contenuto dall'analisi in base all'estensione di file.

Processo escluso dall'analisi

Specifica un processo per il quale tutte le attività di file vengono escluse dall'analisi. È possibile specificare il processo in base al nome (ad esempio, cat) o al percorso completo (ad esempio, /bin/cat).

Muting nonexec mounts (Muting nonexec mounts)

Specifica il comportamento di RTP nei punti di montaggio contrassegnati come noexec. I valori validi sono:

• Non modificato (unmute): tutti i punti di montaggio vengono analizzati come parte di RTP. Questo valore è il valore predefinito.
• Disattivato (mute): i punti di montaggio contrassegnati come noexec non vengono analizzati come parte di RTP.
  • I server di database possono mantenere il file di database.
  • I file server possono mantenere i punti di montaggio dei file di dati.
  • Il backup può mantenere i punti di montaggio dei file di dati.

Annullare il monitoraggio dei file system

Specifica i file system che non vengono monitorati da (sono esclusi da) RTP. I file system specificati vengono ancora analizzati da analisi rapide, complete e personalizzate in Microsoft Defender Antivirus.

Quando si aggiunge o si rimuove un file system dall'elenco non monitorato, Microsoft convalida l'idoneità del file system per il monitoraggio tramite RTP (rimosso dall'elenco) o nessun monitoraggio da parte di RTP (aggiunto all'elenco).

• Per impostazione predefinita, i file system seguenti vengono monitorati da RTP:

  • btrfs
  • ecryptfs
  • ext2
  • ext3
  • ext4
  • fuseblk
  • jfs
  • overlay
  • ramfs
  • reiserfs
  • tmpfs
  • vfat
  • xfs

• Per impostazione predefinita, i file system seguenti non vengono monitorati da RTP:

  • cifs^*
  • fuse
  • nfs
  • nfs4^*
  • smb^*

  Anche questi file system non vengono monitorati da analisi rapide e complete, ma sono analizzabili tramite analisi personalizzate.

  ^* Attualmente, il monitoraggio RTP di questo file system è in anteprima.

Ad esempio, per rimuovere nfs e nfs4 dall'elenco di file system non monitorati (che significa nfs e nfs4 vengono monitorati da RTP dopo la convalida), aggiornare il file di configurazione gestito con la voce seguente:

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["cifs","fuse","smb"]
  }
}

Per rimuovere tutte le voci dall'elenco dei file system non monitorati, usare la voce seguente:

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

Configurare la funzionalità di calcolo dell'hash dei file

Abilita o disabilita il calcolo dell'hash dei file per i file analizzati da Defender per endpoint. L'abilitazione di questa funzionalità potrebbe influire sulle prestazioni del dispositivo. Per altre informazioni, vedere Creare indicatori per i file.

Minacce consentite

Specifica i nomi delle minacce non bloccate da Defender per endpoint. Queste minacce sono invece consentite per l'esecuzione.

Azioni di minaccia non consentite

Limita le azioni consentite dall'utente del dispositivo quando vengono rilevate minacce. Le azioni incluse in questo elenco non vengono visualizzate nell'interfaccia utente.

Impostazioni del tipo di minaccia

Controllare la modalità di gestione di determinati tipi di minaccia.

Per una descrizione del contenuto del dizionario, vedere le sottosezioni seguenti.

Tipo di minaccia

Specifica il tipo di minaccia.

Procedura da seguire

Specifica l'azione quando vengono rilevati i tipi di minacce specificati in precedenza. I valori validi sono:

• Controllo: il dispositivo non è protetto da questo tipo di minaccia, ma viene registrata una voce relativa alla minaccia. Questo valore è Default.
• Blocca: il dispositivo è protetto da questo tipo di minaccia e viene inviata una notifica nel portale di Microsoft Defender.
• Disattivato: il dispositivo non è protetto da questo tipo di minaccia e non viene registrato nulla.

Criteri di unione delle impostazioni del tipo di minaccia

Specifica se usare le impostazioni del tipo di minaccia definite dall'utente nel dispositivo. I valori validi sono:

• admin_only: usare solo le impostazioni del tipo di minaccia definite dall'amministratore. Usare questo valore per impedire agli utenti di definire le proprie impostazioni del tipo di minaccia.
• merge: usare una combinazione di impostazioni del tipo di minaccia definite dall'amministratore e definite dall'utente.

Conservazione della cronologia dell'analisi antivirus (in giorni)

Specificare il numero di giorni in cui i risultati vengono conservati nella cronologia di analisi nel dispositivo. I risultati dell'analisi precedenti vengono rimossi dalla cronologia. Anche i file in quarantena precedenti vengono rimossi dal disco.

Numero massimo di elementi nella cronologia di analisi antivirus

Specificare il numero massimo di voci da mantenere nella cronologia di analisi. Le voci includono tutte le analisi su richiesta e tutti i rilevamenti antivirus.

Preferenze di impostazione dell'esclusione

La exclusionSettings sezione del profilo di configurazione configura diverse esclusioni per Microsoft Defender per endpoint per Linux.

Vedere le sezioni seguenti per una descrizione del contenuto del dizionario.|

Criteri di unione

Criteri di unione di esclusione

Specifica se utilizzare esclusioni definite dall'utente nel dispositivo. I valori validi sono:

• admin_only: usare solo esclusioni definite dall'amministratore configurate dai criteri di Defender per endpoint. Usare questo valore per impedire agli utenti di definire le proprie esclusioni.
• merge: usare una combinazione di esclusioni definite dall'amministratore e definite dall'utente.

Questa impostazione si applica alle esclusioni di tutti gli ambiti.

Esclusioni

Entità escluse dalle analisi. Le esclusioni vengono specificate come matrice di elementi. Gli amministratori possono specificare tutti gli elementi necessari, in qualsiasi ordine. È possibile specificare esclusioni usando percorsi completi, estensioni o nomi di file. Per ogni esclusione, è possibile specificare un ambito. L'ambito predefinito è globale.

Per una descrizione del contenuto del dizionario, vedere le sottosezioni seguenti.

Tipo di esclusione

Specifica il tipo di contenuto escluso dalle analisi.

Ambito di esclusione (facoltativo)

Specifica l'ambito di esclusione del contenuto escluso. I valori validi sono:

• epp
• global

Se non si specifica un ambito di esclusione nella configurazione gestita, viene usato il valore global .

Percorso del contenuto escluso

Escludere il contenuto dalle analisi in base al percorso completo del file.

Tipo di percorso (file/directory)

Specifica se la proprietà path fa riferimento a un file o a una directory.

Estensione file esclusa dall'analisi

Escludere il contenuto dalle analisi in base all'estensione di file.

Processo escluso dall'analisi

Escludere tutte le attività di file da un processo dalle analisi. I valori validi sono:

• Nome processo. Ad esempio, cat.
• Percorso completo. Ad esempio, /bin/cat.

Opzioni di analisi avanzate

È possibile configurare le impostazioni seguenti per abilitare alcune funzionalità di analisi avanzate.

Configurare l'analisi degli eventi delle autorizzazioni di modifica dei file

Specifica se Defender per endpoint analizza i file quando vengono modificate le autorizzazioni per impostare i bit eseguiti.

Configurare l'analisi degli eventi di proprietà di modifica file

Specifica se Defender per endpoint analizza i file con proprietà modificata.

Configurare l'analisi degli eventi socket non elaborati

Specifica se Defender per endpoint analizza gli eventi del socket di rete. Ad esempio:

• Creazione di socket non elaborati/socket di pacchetti.
• Impostazione delle opzioni del socket.

Preferenze di protezione fornite dal cloud

La voce cloudService nel profilo di configurazione configura la funzionalità di protezione basata sul cloud.

Per una descrizione del contenuto del dizionario e delle impostazioni dei criteri, vedere le sottosezioni seguenti.

Abilitare o disabilitare la protezione fornita dal cloud

Specificare se la protezione fornita dal cloud è abilitata nel dispositivo. Per migliorare la sicurezza, è consigliabile mantenere attiva questa funzionalità.

Livello raccolta diagnostica

Specificare il livello di informazioni di diagnostica inviate a Microsoft. Per altre informazioni, vedere Privacy per Microsoft Defender per endpoint in Linux.

I dati di diagnostica vengono usati per mantenere Defender per endpoint sicuro e aggiornato, rilevare, diagnosticare e risolvere i problemi e apportare miglioramenti al prodotto.

Configurare il livello di blocco cloud

Specificare l'aggressività di Defender per endpoint nel blocco e nell'analisi di file sospetti. I valori validi sono:

• Normale (normal): il valore è il valore predefinito.
• Moderato (moderate): pronuncia i verdetti solo per rilevamenti con attendibilità elevata.
• Alto (high): blocca in modo aggressivo i file sconosciuti durante l'ottimizzazione per le prestazioni. Questo valore ha maggiori probabilità di bloccare i file non condivisi.
• High Plus (high_plus): blocca in modo aggressivo i file sconosciuti e applica misure di protezione aggiuntive. Questo valore potrebbe influire sulle prestazioni del dispositivo client.
• Tolleranza zero (zero_tolerance): blocca tutti i programmi sconosciuti.

Se questa impostazione è attivata, Defender per endpoint è più aggressivo quando si identificano i file sospetti da bloccare e analizzare. In caso contrario, è meno aggressivo e quindi blocca e analizza con meno frequenza.

Abilitare o disabilitare gli invii di esempi automatici

Specifica se gli esempi sospetti (che probabilmente contengono minacce) vengono inviati a Microsoft. I valori validi sono:

• Nessuno: nessun esempio sospetto viene inviato a Microsoft.
• Sicuro: vengono inviati automaticamente solo esempi sospetti che non contengono informazioni personali. Questo valore è il valore predefinito.
• Tutti: tutti gli esempi sospetti vengono inviati a Microsoft.

Abilitare o disabilitare gli aggiornamenti automatici dell'intelligence di sicurezza

Specifica se gli aggiornamenti di Security Intelligence vengono installati automaticamente.

A seconda del livello di imposizione, gli aggiornamenti automatici di Security Intelligence vengono installati in modo diverso. In modalità RTP, gli aggiornamenti vengono installati periodicamente. In modalità passiva o su richiesta, gli aggiornamenti vengono installati prima di ogni analisi.

Funzionalità facoltative avanzate

Usare le impostazioni seguenti per abilitare alcune funzionalità facoltative avanzate.

Per una descrizione del contenuto del dizionario, vedere le sottosezioni seguenti.

Funzionalità di caricamento del modulo

Specifica se gli eventi di caricamento del modulo (eventi di apertura di file nelle librerie condivise) vengono monitorati.

Correzione della funzionalità File infetto

Specifica se i processi infetti che aprono o caricano file infetti vengono corretti in modalità RTP.

Configurazioni supplementari del sensore

Usare le impostazioni seguenti per configurare alcune funzionalità avanzate del sensore supplementare.

Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti.

Configurare il monitoraggio degli eventi di autorizzazioni di modifica dei file

Specifica se gli eventi delle autorizzazioni di modifica file (chmod) vengono monitorati.

Configurare il monitoraggio degli eventi di proprietà di modifica file

Specifica se gli eventi di proprietà di modifica file (chown) vengono monitorati.

Configurare il monitoraggio degli eventi socket non elaborati

Specifica se gli eventi del socket di rete che prevedono la creazione di socket non elaborati/socket di pacchetti o l'impostazione dell'opzione socket vengono monitorati.

Configurare il monitoraggio degli eventi del caricatore di avvio

Specifica se gli eventi del caricatore di avvio vengono monitorati e analizzati.

Configurare il monitoraggio degli eventi ptrace

Specifica se gli eventi ptrace vengono monitorati e analizzati.

Configurare il monitoraggio degli eventi pseudofs

Specifica se gli eventi pseudofs vengono monitorati e analizzati.

Configurare il monitoraggio degli eventi di caricamento dei moduli usando eBPF

Specifica se gli eventi di caricamento del modulo vengono monitorati da eBPF e analizzati.

Configurare il monitoraggio degli eventi aperti da file system specifici usando eBPF

Specifica se gli eventi aperti da procfs vengono monitorati da eBPF.

Configurare l'arricchimento dell'origine degli eventi tramite eBPF

Specifica se gli eventi vengono arricchiti con metadati all'origine in eBPF.

Abilitare la cache del motore antivirus

Specifica se i metadati degli eventi analizzati dal motore antivirus vengono memorizzati nella cache.

Segnalare eventi antivirus sospetti a EDR

Specifica se gli eventi sospetti di Antivirus vengono segnalati a EDR.

Configurazioni di protezione di rete

Usare le impostazioni seguenti per configurare le funzionalità avanzate di ispezione di Protezione rete che controllano il traffico controllato da Protezione rete.

Per una descrizione del contenuto del dizionario, vedere le sottosezioni seguenti.

Livello di imposizione

Configurare l'ispezione ICMP

Specifica se gli eventi ICMP vengono monitorati e analizzati.

Aggiungere tag o ID gruppo al profilo di configurazione

Quando si esegue il comando per la mdatp health prima volta, i valori di tag e ID gruppo sono vuoti. Per aggiungere un tag o un ID gruppo al mdatp_managed.json file, seguire questa procedura:

1. Aprire il profilo di configurazione dal percorso /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

2. cloudService Nel blocco nella parte inferiore del file aggiungere il tag o l'ID gruppo richiesto alla fine della parentesi graffa di chiusura per il cloudService blocco, come illustrato nell'esempio seguente.

   },
   "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
   },
   "edr": {
   "groupIds":"GroupIdExample",
   "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
   }
   

   Nota

   • Aggiungere una virgola dopo la parentesi graffa di chiusura alla fine del cloudService blocco.
   • Verificare che siano presenti due parentesi graffe di chiusura dopo aver aggiunto tags o groupIds blocchi, come illustrato nell'esempio.
   • Attualmente, l'unico nome di chiave supportato per i tag è GROUP.

Convalida del profilo di configurazione

Il profilo di configurazione deve essere un file in formato JSON valido. Sono disponibili molti strumenti per verificare il profilo di configurazione. Ad esempio, eseguire il comando seguente se è stato python installato nel dispositivo:

python -m json.tool mdatp_managed.json

Se il file è formattato correttamente, il comando restituisce il codice 0di uscita . In caso contrario, vengono visualizzati errori e il comando restituisce il codice 1di uscita .

Verifica del funzionamento del file mdatp_managed.json come previsto

Per verificare che l'utente /etc/opt/microsoft/mdatp/managed/mdatp_managed.json funzioni correttamente, dovrebbe essere visualizzato [managed] accanto a queste impostazioni:

• cloud_enabled
• cloud_automatic_sample_submission_consent
• passive_mode_enabled
• real_time_protection_enabled
• automatic_definition_update_enabled

Distribuzione del profilo di configurazione

Dopo aver creato il profilo di configurazione per l'organizzazione, è possibile distribuirlo usando gli strumenti di gestione correnti. Defender per endpoint in Linux legge la configurazione gestita da /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.