Définir les préférences pour Microsoft Defender pour point de terminaison sur Linux
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Importante
Cet article contient des instructions pour définir des préférences pour Defender pour point de terminaison sur Linux dans les environnements d’entreprise. Si vous souhaitez configurer le produit sur un appareil à partir de la ligne de commande, consultez Ressources.
Dans les environnements d’entreprise, Defender pour point de terminaison sur Linux peut être géré via un profil de configuration. Ce profil est déployé à partir de l’outil de gestion de votre choix. Les préférences gérées par l’entreprise sont prioritaires sur celles définies localement sur l’appareil. En d’autres termes, les utilisateurs de votre entreprise ne peuvent pas modifier les préférences définies via ce profil de configuration. Si des exclusions ont été ajoutées via le profil de configuration managé, elles ne peuvent être supprimées que via le profil de configuration managé. La ligne de commande fonctionne pour les exclusions qui ont été ajoutées localement.
Cet article décrit la structure de ce profil (y compris un profil recommandé que vous pouvez utiliser pour commencer) et des instructions sur la façon de déployer le profil.
Structure du profil de configuration
Le profil de configuration est un .json
fichier qui se compose d’entrées identifiées par une clé (qui indique le nom de la préférence), suivie d’une valeur, qui dépend de la nature de la préférence. Les valeurs peuvent être simples, telles qu’une valeur numérique, ou complexes, comme une liste imbriquée de préférences.
En règle générale, vous devez utiliser un outil de gestion de la configuration pour envoyer (push) un fichier portant le nom mdatp_managed.json
à l’emplacement /etc/opt/microsoft/mdatp/managed/
.
Le niveau supérieur du profil de configuration inclut les préférences et les entrées à l’échelle du produit pour les sous-zones du produit, qui sont expliquées plus en détail dans les sections suivantes.
Préférences du moteur antivirus
La section antivirusEngine du profil de configuration est utilisée pour gérer les préférences du composant antivirus du produit.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | antivirusEngine | Moteur antivirus |
Type de données | Dictionnaire (préférence imbriquée) | Section réduite |
Commentaires | Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire. | Consultez les sections suivantes pour obtenir une description des propriétés de stratégie. |
Niveau d’application pour le moteur antivirus
Spécifie la préférence d’application du moteur antivirus. Il existe trois valeurs pour définir le niveau d’application :
- En temps réel (
real_time
) : la protection en temps réel (analyser les fichiers à mesure qu’ils sont modifiés) est activée. - À la demande (
on_demand
) : les fichiers sont analysés uniquement à la demande. Dans ce cas :- La protection en temps réel est désactivée.
- Passif (
passive
) : exécute le moteur antivirus en mode passif. Dans ce cas :- La protection en temps réel est désactivée : les menaces ne sont pas corrigées par l’Antivirus Microsoft Defender.
- L’analyse à la demande est activée : utilisez toujours les fonctionnalités d’analyse sur le point de terminaison.
- La correction automatique des menaces est désactivée : aucun fichier ne sera déplacé et l’administrateur de la sécurité est censé prendre les mesures nécessaires.
- Les mises à jour du renseignement de sécurité sont activées : les alertes seront disponibles sur le locataire administrateurs de sécurité.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | enforcementLevel | Niveau d’application |
Type de données | Chaîne | Liste déroulante |
Valeurs possibles | real_time on_demand passive (par défaut) |
Non configuré Temps réel OnDemand Passif (par défaut) |
Remarque
Disponible dans Defender pour point de terminaison version 101.10.72
ou ultérieure. La valeur par défaut passe de real_time
à passive
dans defender pour point de terminaison version 101.23062.0001
ou ultérieure.
Il est également recommandé d’utiliser des analyses planifiées en fonction des besoins.
Activer/désactiver la surveillance du comportement
Détermine si la fonctionnalité de surveillance et de blocage du comportement est activée sur l’appareil ou non.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | behaviorMonitoring | Activer la surveillance du comportement |
Type de données | Chaîne | Liste déroulante |
Valeurs possibles |
disabled (par défaut) |
Non configuré Désactivé (par défaut) Activé |
Remarque
Disponible dans Defender pour point de terminaison version 101.45.00
ou ultérieure.
Cette fonctionnalité s’applique uniquement lorsque la protection en temps réel est activée.
Exécuter une analyse après la mise à jour des définitions
Spécifie s’il faut démarrer une analyse de processus après le téléchargement de nouvelles mises à jour du renseignement de sécurité sur l’appareil. L’activation de ce paramètre déclenche une analyse antivirus sur les processus en cours d’exécution de l’appareil.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | scanAfterDefinitionUpdate | Activer l’analyse après la mise à jour de définition |
Type de données | Valeur booléenne | Liste déroulante |
Valeurs possibles |
true (par défaut) |
Non configuré Désactivé Activé (par défaut) |
Remarque
Disponible dans Defender pour point de terminaison version 101.45.00
ou ultérieure.
Cette fonctionnalité fonctionne uniquement lorsque le niveau d’application est défini sur real-time
.
Archives d’analyse (analyses antivirus à la demande uniquement)
Spécifie s’il faut analyser les archives pendant les analyses antivirus à la demande.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | scanArchives | Activer l’analyse des archives |
Type de données | Valeur booléenne | Liste déroulante |
Valeurs possibles |
true (par défaut)
|
Non configuré Désactivé Activé (par défaut) |
Remarque
Disponible dans Microsoft Defender pour point de terminaison version ou ultérieure 101.45.00
.
Les fichiers d’archive ne sont jamais analysés pendant la protection en temps réel. Lorsque les fichiers d’une archive sont extraits, ils sont analysés. L’option scanArchives peut être utilisée pour forcer l’analyse des archives uniquement pendant l’analyse à la demande.
Degré de parallélisme pour les analyses à la demande
Spécifie le degré de parallélisme pour les analyses à la demande. Cela correspond au nombre de threads utilisés pour effectuer l’analyse et a un impact sur l’utilisation du processeur, ainsi que sur la durée de l’analyse à la demande.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | maximumOnDemandScanThreads | nombre maximal de threads d’analyse à la demande |
Type de données | Entier | Basculer le commutateur & entier |
Valeurs possibles | 2 (valeur par défaut). Les valeurs autorisées sont des entiers compris entre 1 et 64. | Non configuré (la valeur par défaut est 2) Configuré (bascule) et entier compris entre 1 et 64. |
Remarque
Disponible dans Microsoft Defender pour point de terminaison version ou ultérieure 101.45.00
.
Stratégie de fusion d’exclusion
Spécifie la stratégie de fusion pour les exclusions. Il peut s’agir d’une combinaison d’exclusions définies par l’administrateur et définies par l’utilisateur (merge
) ou uniquement d’exclusions définies par l’administrateur (admin_only
). Les exclusions définies par l’administrateur (admin_only) sont configurées par la stratégie Defender pour point de terminaison. Ce paramètre peut être utilisé pour empêcher les utilisateurs locaux de définir leurs propres exclusions.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | exclusionsMergePolicy | Fusion des exclusions |
Type de données | Chaîne | Liste déroulante |
Valeurs possibles |
merge (par défaut)
|
Non configuré merge (par défaut) admin_only |
Remarque
Disponible dans Defender pour point de terminaison version 100.83.73
ou ultérieure.
Peut également configurer des exclusions sous exclusionSettings
Exclusions d’analyse
Entités qui ont été exclues de l’analyse. Les exclusions peuvent être spécifiées par des chemins d’accès complets, des extensions ou des noms de fichiers. (Les exclusions sont spécifiées sous la forme d’un tableau d’éléments, l’administrateur peut spécifier autant d’éléments que nécessaire, dans n’importe quel ordre.)
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | Exclusions | Exclusions d’analyse |
Type de données | Dictionnaire (préférence imbriquée) | Liste des propriétés dynamiques |
Commentaires | Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire. |
Type d’exclusion
Spécifie le type de contenu exclu de l’analyse.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | $type | Type |
Type de données | Chaîne | Élément déroulant |
Valeurs possibles | excludedPath
|
Chemin d’accès Extension de fichier Nom du processus |
Chemin d’accès au contenu exclu
Permet d’exclure le contenu de l’analyse par chemin d’accès de fichier complet.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | chemin | Chemin d’accès |
Type de données | Chaîne | Chaîne |
Valeurs possibles | chemins d’accès valides | chemins d’accès valides |
Commentaires | Applicable uniquement si $type est excluPath | Accès dans la fenêtre contextuelle Modifier l’instance |
Type de chemin d’accès (fichier/répertoire)
Indique si la propriété path fait référence à un fichier ou un répertoire.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | isDirectory | Répertoire Is |
Type de données | Valeur booléenne | Liste déroulante |
Valeurs possibles |
false (par défaut)
|
Activé Désactivé |
Commentaires | Applicable uniquement si $type est excluPath | Accès dans la fenêtre contextuelle Modifier l’instance |
Extension de fichier exclue de l’analyse
Permet d’exclure le contenu de l’analyse par extension de fichier.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | extension | Extension de fichier |
Type de données | Chaîne | Chaîne |
Valeurs possibles | extensions de fichier valides | extensions de fichier valides |
Commentaires | Applicable uniquement si $type est excluFileExtension | Accessible dans la fenêtre contextuelle Configurer l’instance |
Processus exclu de l’analyse*
Spécifie un processus pour lequel toute l’activité de fichier est exclue de l’analyse. Le processus peut être spécifié par son nom (par exemple, cat
) ou par son chemin d’accès complet (par exemple, /bin/cat
).
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | nom | Nom de fichier |
Type de données | Chaîne | Chaîne |
Valeurs possibles | n’importe quelle chaîne | n’importe quelle chaîne |
Commentaires | Applicable uniquement si $type est excluFileName | Accessible dans la fenêtre contextuelle Configurer l’instance |
Désactivation des montages non exec
Spécifie le comportement de RTP sur le point de montage marqué comme noexec. Il existe deux valeurs pour la définition :
- Non activé (
unmute
) : valeur par défaut, tous les points de montage sont analysés dans le cadre de RTP. - Désactivé (
mute
) : les points de montage marqués comme noexec ne sont pas analysés dans le cadre de RTP. Ces points de montage peuvent être créés pour :- Fichiers de base de données sur les serveurs de base de données pour la conservation des fichiers de base de données.
- Le serveur de fichiers peut conserver les points de montage des fichiers de données avec l’option noexec.
- La sauvegarde peut conserver les points de montage des fichiers de données avec l’option noexec.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | nonExecMountPolicy | muet de montage non exécuté |
Type de données | Chaîne | Liste déroulante |
Valeurs possibles |
unmute (par défaut)
|
Non configuré activer (par défaut) Muet |
Remarque
Disponible dans Defender pour point de terminaison version 101.85.27
ou ultérieure.
Annuler la surveillance des systèmes de fichiers
Configurez les systèmes de fichiers pour qu’ils ne soient pas supervisés/exclus de la protection en temps réel (RTP). Les systèmes de fichiers configurés sont validés par rapport à la liste des systèmes de fichiers autorisés de Microsoft Defender. Les systèmes de fichiers ne peuvent être surveillés qu’après une validation réussie. Ces systèmes de fichiers non supervisés configurés sont toujours analysés par des analyses rapides, complètes et personnalisées dans l’Antivirus Microsoft Defender.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | unmonitoredFilesystems | Systèmes de fichiers non supervisés |
Type de données | Tableau de chaînes | Liste de chaînes dynamiques |
Remarque
Le système de fichiers configuré n’est pas surveillé uniquement s’il figure dans la liste des systèmes de fichiers non supervisés autorisés de Microsoft.
Par défaut, NFS et Fuse ne sont pas surveillés à partir des analyses RTP, Rapides et Complètes. Toutefois, ils peuvent toujours être analysés par une analyse personnalisée. Par exemple, pour supprimer NFS de la liste des systèmes de fichiers non supervisés, mettez à jour le fichier de configuration managé comme indiqué ci-dessous. Cela ajoute automatiquement NFS à la liste des systèmes de fichiers surveillés pour RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Pour supprimer NFS et Fuse de la liste non supervisée des systèmes de fichiers, procédez comme suit
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Remarque
Voici la liste par défaut des systèmes de fichiers surveillés pour RTP : btrfs
, , ext2
ecryptfs
, ext3
ext4
fuseblk
, jfs
, , . overlay
ramfs
reiserfs
tmpfs
vfat
xfs
Si un système de fichiers surveillé doit être ajouté à la liste des systèmes de fichiers non supervisés, il doit être évalué et activé par Microsoft via la configuration cloud. Après quoi les clients peuvent mettre à jour managed_mdatp.json pour annuler la surveillance de ce système de fichiers.
Configurer la fonctionnalité de calcul de hachage de fichier
Active ou désactive la fonctionnalité de calcul de hachage de fichier. Lorsque cette fonctionnalité est activée, Defender pour point de terminaison calcule le hachage des fichiers qu’il analyse. Notez que l’activation de cette fonctionnalité peut avoir un impact sur les performances de l’appareil. Pour plus d’informations, reportez-vous à : Créer des indicateurs pour les fichiers.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | enableFileHashComputation | Activer le calcul de hachage de fichier |
Type de données | Valeur booléenne | Liste déroulante |
Valeurs possibles |
false (par défaut)
|
Non configuré Désactivé (par défaut) Activé |
Remarque
Disponible dans Defender pour point de terminaison version 101.85.27
ou ultérieure.
Menaces autorisées
Liste des menaces (identifiées par leur nom) qui ne sont pas bloquées par le produit et sont autorisées à s’exécuter.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | allowedThreats | Menaces autorisées |
Type de données | Tableau de chaînes | Liste de chaînes dynamiques |
Actions de menace non autorisées
Limite les actions que l’utilisateur local d’un appareil peut effectuer lorsque des menaces sont détectées. Les actions incluses dans cette liste ne sont pas affichées dans l’interface utilisateur.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | disallowedThreatActions | Actions de menace non autorisées |
Type de données | Tableau de chaînes | Liste de chaînes dynamiques |
Valeurs possibles |
allow (empêche les utilisateurs d’autoriser les menaces)
|
autoriser (empêche les utilisateurs d’autoriser les menaces) restore (empêche les utilisateurs de restaurer les menaces à partir de la quarantaine) |
Remarque
Disponible dans Defender pour point de terminaison version 100.83.73
ou ultérieure.
Paramètres des types de menaces
La préférence threatTypeSettings dans le moteur antivirus est utilisée pour contrôler la façon dont certains types de menaces sont gérés par le produit.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | threatTypeSettings | Paramètres des types de menaces |
Type de données | Dictionnaire (préférence imbriquée) | Liste des propriétés dynamiques |
Commentaires | Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire. | Consultez les sections suivantes pour obtenir une description des propriétés dynamiques. |
Type de menace
Type de menace pour lequel le comportement est configuré.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | clé | Type de menace |
Type de données | Chaîne | Liste déroulante |
Valeurs possibles | potentially_unwanted_application
|
potentially_unwanted_application archive_bomb |
Mesures à prendre
Action à entreprendre en cas de détection d’une menace du type spécifié dans la section précédente. Peut être :
- Audit : l’appareil n’est pas protégé contre ce type de menace, mais une entrée concernant la menace est journalisée. (Valeur par défaut)
- Bloquer : l’appareil est protégé contre ce type de menace et vous êtes averti dans la console de sécurité.
- Désactivé : l’appareil n’est pas protégé contre ce type de menace et rien n’est journalisé.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | valeur | Mesures à prendre |
Type de données | Chaîne | Liste déroulante |
Valeurs possibles |
audit (par défaut)
|
audit bloquer inactif |
Stratégie de fusion des paramètres de type de menace
Spécifie la stratégie de fusion pour les paramètres de type de menace. Il peut s’agir d’une combinaison de paramètres définis par l’administrateur et définis par l’utilisateur (merge
) ou uniquement de paramètres définis par l’administrateur (admin_only
). Les paramètres définis par l’administrateur (admin_only) sont des paramètres de type de menace configurés par la stratégie Defender pour point de terminaison. Ce paramètre peut être utilisé pour empêcher les utilisateurs locaux de définir leurs propres paramètres pour différents types de menaces.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | threatTypeSettingsMergePolicy | Fusion des paramètres des types de menaces |
Type de données | Chaîne | Liste déroulante |
Valeurs possibles | merge (par défaut) admin_only |
Non configuré merge (par défaut) admin_only |
Remarque
Disponible dans Defender pour point de terminaison version 100.83.73
ou ultérieure.
Rétention de l’historique d’analyse antivirus (en jours)
Spécifiez le nombre de jours pendant lesquels les résultats sont conservés dans l’historique d’analyse sur l’appareil. Les anciens résultats de l’analyse sont supprimés de l’historique. Anciens fichiers mis en quarantaine qui sont également supprimés du disque.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | scanResultsRetentionDays | Rétention des résultats de l’analyse |
Type de données | Chaîne | Basculer le commutateur et l’entier |
Valeurs possibles | 90 (valeur par défaut). Les valeurs autorisées sont comprises entre 1 jour et 180 jours. | Non configuré (bouton bascule - valeur par défaut de 90 jours) Configuré (bascule activé) et valeur autorisée de 1 à 180 jours. |
Remarque
Disponible dans Defender pour point de terminaison version 101.04.76
ou ultérieure.
Nombre maximal d’éléments dans l’historique d’analyse antivirus
Spécifiez le nombre maximal d’entrées à conserver dans l’historique d’analyse. Les entrées incluent toutes les analyses à la demande effectuées dans le passé et toutes les détections antivirus.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | scanHistoryMaximumItems | Taille de l’historique d’analyse |
Type de données | Chaîne | Bascule et entier |
Valeurs possibles | 10000 (valeur par défaut). Les valeurs autorisées sont comprises entre 5 000 éléments et 1 5 000 éléments. | Non configuré (désactivation de 10 000 par défaut) Configuré (bascule activé) et valeur autorisée de 5 000 à 15 000 éléments. |
Remarque
Disponible dans Defender pour point de terminaison version 101.04.76
ou ultérieure.
Préférences de paramètre d’exclusion
Les préférences de paramètre d’exlusion sont actuellement en préversion.
Remarque
Disponible dans Defender pour point de terminaison version ou ultérieure 101.23092.0012
jusqu’à Insider Slow Ring.
La section exclusionSettings du profil de configuration est utilisée pour configurer différentes exclusions pour Microsoft Defender pour point de terminaison pour Linux.
Description | Valeur JSON |
---|---|
Clé | exclusionSettings |
Type de données | Dictionnaire (préférence imbriquée) |
Commentaires | Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire. |
Remarque
Les exclusions antivirus déjà configurées sous (antivirusEngine
) dans json managé continueront de fonctionner en l’état, sans impact. Toutes les nouvelles exclusions , y compris les exclusions antivirus, peuvent être ajoutées sous cette toute nouvelle section (exclusionSettings
). Cette section se trouve en dehors de la balise (antivirusEngine
), car elle est dédiée uniquement à la configuration de tous les types d’exclusions qui viendront à l’avenir. Vous pouvez également continuer à utiliser (antivirusEngine
) pour configurer les exclusions antivirus.
Stratégie de fusion
Spécifie la stratégie de fusion pour les exclusions. Il spécifie s’il peut s’agir d’une combinaison d’exclusions définies par l’administrateur et définies par l’utilisateur (merge
) ou uniquement d’exclusions définies par l’administrateur (admin_only
). Ce paramètre peut être utilisé pour empêcher les utilisateurs locaux de définir leurs propres exclusions. Elle s’applique aux exclusions de toutes les étendues.
Description | Valeur JSON |
---|---|
Clé | mergePolicy |
Type de données | Chaîne |
Valeurs possibles | merge (par défaut) admin_only |
Commentaires | Disponible dans Defender pour point de terminaison version septembre 2023 ou ultérieure. |
Exclusions
Les entités qui doivent être exclues peuvent être spécifiées par des chemins d’accès complets, des extensions ou des noms de fichiers. Chaque entité d’exclusion, c’est-à-dire le chemin d’accès complet, l’extension ou le nom de fichier, a une étendue facultative qui peut être spécifiée. Si elle n’est pas spécifiée, la valeur par défaut de l’étendue dans cette section est globale. (Les exclusions sont spécifiées sous la forme d’un tableau d’éléments, l’administrateur peut spécifier autant d’éléments que nécessaire, dans n’importe quel ordre.)
Description | Valeur JSON |
---|---|
Clé | Exclusions |
Type de données | Dictionnaire (préférence imbriquée) |
Commentaires | Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire. |
Type d’exclusion
Spécifie le type de contenu exclu de l’analyse.
Description | Valeur JSON |
---|---|
Clé | $type |
Type de données | Chaîne |
Valeurs possibles | excludedPath excludedFileExtension excludedFileName |
Étendues d’exclusion (facultatif)
Spécifie l’ensemble d’étendues d’exlusion du contenu exclu. Les étendues actuellement prises en charge sont epp
et global
.
Si rien n’est spécifié dans pour une exclusion sous exclusionParamètres dans la configuration managée, global
est considéré comme une étendue.
Remarque
Les exclusions antivirus précédemment configurées sous (antivirusEngine
) dans json managé continueront de fonctionner et leur étendue est considérée comme (epp
), car elles ont été ajoutées en tant qu’exclusions antivirus.
Description | Valeur JSON |
---|---|
Clé | scopes |
Type de données | Ensemble de chaînes |
Valeurs possibles | Ppe global |
Remarque
Les exclusions précédemment appliquées à l’aide de (mdatp_managed.json
) ou par l’interface CLI restent inchangées. L’étendue de ces exclusions sera (epp
), car elles ont été ajoutées sous (antivirusEngine
).
Chemin d’accès au contenu exclu
Permet d’exclure le contenu de l’analyse par chemin d’accès de fichier complet.
Description | Valeur JSON |
---|---|
Clé | chemin |
Type de données | Chaîne |
Valeurs possibles | chemins d’accès valides |
Commentaires | Applicable uniquement si $type est excludedPath. Le caractère générique n’est pas pris en charge si l’exclusion a une étendue globale. |
Type de chemin d’accès (fichier/répertoire)
Indique si la propriété path fait référence à un fichier ou un répertoire.
Remarque
Le chemin d’accès au fichier doit déjà exister si vous ajoutez une exclusion de fichier avec une étendue globale.
Description | Valeur JSON |
---|---|
Clé | isDirectory |
Type de données | Valeur booléenne |
Valeurs possibles | false (par défaut) true |
Commentaires | Applicable uniquement si $type est excludedPath. Le caractère générique n’est pas pris en charge si l’exclusion a une étendue globale. |
Extension de fichier exclue de l’analyse
Permet d’exclure le contenu de l’analyse par extension de fichier.
Description | Valeur JSON |
---|---|
Clé | extension |
Type de données | Chaîne |
Valeurs possibles | extensions de fichier valides |
Commentaires | Applicable uniquement si $type est excluFileExtension. Non pris en charge si l’exclusion a une étendue globale. |
Processus exclu de l’analyse*
Spécifie un processus pour lequel toute l’activité de fichier est exclue de l’analyse. Le processus peut être spécifié par son nom (par exemple, cat
) ou par son chemin d’accès complet (par exemple, /bin/cat
).
Description | Valeur JSON |
---|---|
Clé | nom |
Type de données | Chaîne |
Valeurs possibles | n’importe quelle chaîne |
Commentaires | Applicable uniquement si $type est excluFileName. Le caractère générique et le nom du processus ne sont pas pris en charge si l’exclusion a une étendue globale, vous devez fournir un chemin d’accès complet. |
Options d’analyse avancées
Les paramètres suivants peuvent être configurés pour activer certaines fonctionnalités d’analyse avancées.
Remarque
L’activation de ces fonctionnalités peut avoir un impact sur les performances de l’appareil. Par conséquent, il est recommandé de conserver les valeurs par défaut.
Configurer l’analyse des événements d’autorisations de modification de fichier
Lorsque cette fonctionnalité est activée, Defender pour point de terminaison analyse les fichiers lorsque leurs autorisations ont été modifiées pour définir le ou les bits d’exécution.
Remarque
Cette fonctionnalité s’applique uniquement lorsque la enableFilePermissionEvents
fonctionnalité est activée. Pour plus d’informations, consultez la section Fonctionnalités facultatives avancées ci-dessous pour plus d’informations.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | scanFileModifyPermissions | Non disponible |
Type de données | Valeur booléenne | s/o |
Valeurs possibles | false (par défaut) true |
s/o |
Remarque
Disponible dans Defender pour point de terminaison version 101.23062.0010
ou ultérieure.
Configurer l’analyse des événements de modification de propriété de fichier
Lorsque cette fonctionnalité est activée, Defender pour point de terminaison analyse les fichiers dont la propriété a changé.
Remarque
Cette fonctionnalité s’applique uniquement lorsque la enableFileOwnershipEvents
fonctionnalité est activée. Pour plus d’informations, consultez la section Fonctionnalités facultatives avancées ci-dessous pour plus d’informations.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | scanFileModifyOwnership | Non disponible |
Type de données | Valeur booléenne | s/o |
Valeurs possibles | false (par défaut) true |
s/o |
Remarque
Disponible dans Defender pour point de terminaison version 101.23062.0010
ou ultérieure.
Configurer l’analyse des événements de socket bruts
Lorsque cette fonctionnalité est activée, Defender pour point de terminaison analyse les événements de socket réseau tels que la création de sockets bruts/sockets de paquets ou la définition de l’option socket.
Remarque
Cette fonctionnalité s’applique uniquement lorsque l’analyse du comportement est activée.
Cette fonctionnalité s’applique uniquement lorsque la enableRawSocketEvent
fonctionnalité est activée. Pour plus d’informations, consultez la section Fonctionnalités facultatives avancées ci-dessous pour plus d’informations.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | scanNetworkSocketEvent | Non disponible |
Type de données | Valeur booléenne | s/o |
Valeurs possibles | false (par défaut) true |
s/o |
Remarque
Disponible dans Defender pour point de terminaison version 101.23062.0010
ou ultérieure.
Préférences de protection fournies par le cloud
L’entrée cloudService dans le profil de configuration est utilisée pour configurer la fonctionnalité de protection pilotée par le cloud du produit.
Remarque
La protection fournie par le cloud s’applique à tous les paramètres au niveau de l’application (real_time, on_demand, passif).
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | cloudService | Préférences de protection fournies par le cloud |
Type de données | Dictionnaire (préférence imbriquée) | Section réduite |
Commentaires | Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire. | Consultez les sections suivantes pour obtenir une description des paramètres de la stratégie. |
Activer/désactiver la protection fournie par le cloud
Détermine si la protection fournie par le cloud est activée sur l’appareil ou non. Pour améliorer la sécurité de vos services, nous vous recommandons de garder cette fonctionnalité activée.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | activé | Activer la protection fournie par le cloud |
Type de données | Valeur booléenne | Liste déroulante |
Valeurs possibles |
true (par défaut)
|
Non configuré Désactivé Activé (par défaut) |
Niveau de collecte de diagnostics
Les données de diagnostic sont utilisées pour assurer la sécurité et la mise à jour de Defender pour point de terminaison, détecter, diagnostiquer et résoudre les problèmes, et apporter des améliorations au produit. Ce paramètre détermine le niveau des diagnostics envoyés par le produit à Microsoft. Pour plus d’informations, consultez Confidentialité pour Microsoft Defender pour point de terminaison sur Linux.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | diagnosticLevel | Niveau de collecte des données de diagnostic |
Type de données | Chaîne | Liste déroulante |
Valeurs possibles | optional
|
Non configuré facultatif (par défaut) obligatoire |
Configurer le niveau de bloc cloud
Ce paramètre détermine l’agressivité de Defender pour point de terminaison dans le blocage et l’analyse des fichiers suspects. Si ce paramètre est activé, Defender pour point de terminaison est plus agressif lors de l’identification des fichiers suspects à bloquer et analyser . sinon, il est moins agressif et donc bloque et analyse avec moins de fréquence.
Il existe cinq valeurs pour définir le niveau de bloc cloud :
- Normal (
normal
) : niveau de blocage par défaut. - Modéré (
moderate
) : fournit un verdict uniquement pour les détections à haut niveau de confiance. - Élevé (
high
) : bloque de manière agressive les fichiers inconnus tout en optimisant les performances (plus de chances de bloquer les fichiers non dangereux). - Plus élevé (
high_plus
) : bloque de manière agressive les fichiers inconnus et applique des mesures de protection supplémentaires (susceptibles d’avoir un impact sur les performances des appareils clients). - Tolérance zéro (
zero_tolerance
) : bloque tous les programmes inconnus.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | cloudBlockLevel | Configurer le niveau de bloc cloud |
Type de données | Chaîne | Liste déroulante |
Valeurs possibles |
normal (par défaut)
|
Non configuré Normal (valeur par défaut) Modéré Élevé High_Plus Zero_Tolerance |
Remarque
Disponible dans Defender pour point de terminaison version 101.56.62
ou ultérieure.
Activer/désactiver les envois automatiques d’exemples
Détermine si des échantillons suspects (susceptibles de contenir des menaces) sont envoyés à Microsoft. Il existe trois niveaux pour contrôler l’envoi d’exemples :
- Aucun : aucun échantillon suspect n’est envoyé à Microsoft.
- Sécurisé : seuls les échantillons suspects qui ne contiennent pas d’informations d’identification personnelle (PII) sont envoyés automatiquement. Il s’agit de la valeur par défaut de ce paramètre.
- Tout : tous les échantillons suspects sont envoyés à Microsoft.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | automaticSampleSubmissionConsent | Activer les envois automatiques d’exemples |
Type de données | Chaîne | Liste déroulante |
Valeurs possibles | none
|
Non configuré Aucune Sécurisé (par défaut) tous |
Activer/désactiver les mises à jour automatiques du renseignement de sécurité
Détermine si les mises à jour du renseignement de sécurité sont installées automatiquement :
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | automaticDefinitionUpdateEnabled | Mises à jour automatiques de la veille de sécurité |
Type de données | Valeur booléenne | Liste déroulante |
Valeurs possibles |
true (par défaut)
|
Non configuré Désactivé Activé (par défaut) |
Fonctionnalités facultatives avancées
Les paramètres suivants peuvent être configurés pour activer certaines fonctionnalités avancées.
Remarque
L’activation de ces fonctionnalités peut avoir un impact sur les performances de l’appareil. Il est recommandé de conserver les valeurs par défaut.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | fonctionnalités | Non disponible |
Type de données | Dictionnaire (préférence imbriquée) | n/a |
Commentaires | Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire. |
Fonctionnalité de chargement de module
Détermine si les événements de chargement de module (événements d’ouverture de fichier sur les bibliothèques partagées) sont surveillés.
Remarque
Cette fonctionnalité s’applique uniquement lorsque l’analyse du comportement est activée.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | moduleLoad | Non disponible |
Type de données | Chaîne | n/a |
Valeurs possibles | disabled (par défaut) activé |
n/a |
Commentaires | Disponible dans Defender pour point de terminaison version 101.68.80 ou ultérieure. |
Configurations de capteur supplémentaires
Les paramètres suivants peuvent être utilisés pour configurer certaines fonctionnalités de capteur supplémentaires avancées.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | supplementSensorConfigurations | Non disponible |
Type de données | Dictionnaire (préférence imbriquée) | n/a |
Commentaires | Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire. |
Configurer la surveillance des événements de modification des autorisations de fichier
Détermine si les événements d’autorisations de modification de fichier (chmod
) sont surveillés.
Remarque
Lorsque cette fonctionnalité est activée, Defender pour point de terminaison surveille les modifications apportées aux bits d’exécution des fichiers, mais n’analyse pas ces événements. Pour plus d’informations, consultez la section Fonctionnalités d’analyse avancées pour plus d’informations.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | enableFilePermissionEvents | Non disponible |
Type de données | Chaîne | n/a |
Valeurs possibles | disabled (par défaut) activé |
n/a |
Commentaires | Disponible dans Defender pour point de terminaison version 101.23062.0010 ou ultérieure. |
Configurer la surveillance des événements de modification de propriété de fichier
Détermine si les événements de modification de propriété de fichier (chown) sont surveillés.
Remarque
Lorsque cette fonctionnalité est activée, Defender pour point de terminaison surveille les modifications apportées à la propriété des fichiers, mais n’analyse pas ces événements. Pour plus d’informations, consultez la section Fonctionnalités d’analyse avancées pour plus d’informations.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | enableFileOwnershipEvents | Non disponible |
Type de données | Chaîne | n/a |
Valeurs possibles | disabled (par défaut) activé |
n/a |
Commentaires | Disponible dans Defender pour point de terminaison version 101.23062.0010 ou ultérieure. |
Configurer la surveillance des événements de socket bruts
Détermine si les événements de socket réseau impliquant la création de sockets bruts/sockets de paquets ou la définition d’une option de socket sont surveillés.
Remarque
Cette fonctionnalité s’applique uniquement lorsque l’analyse du comportement est activée. Lorsque cette fonctionnalité est activée, Defender pour point de terminaison surveille ces événements de socket réseau, mais n’analyse pas ces événements. Pour plus d’informations, consultez la section Fonctionnalités d’analyse avancées ci-dessus pour plus d’informations.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | enableRawSocketEvent | Non disponible |
Type de données | Chaîne | n/a |
Valeurs possibles | disabled (par défaut) activé |
n/a |
Commentaires | Disponible dans Defender pour point de terminaison version 101.23062.0010 ou ultérieure. |
Configurer la surveillance des événements du chargeur de démarrage
Détermine si les événements du chargeur de démarrage sont surveillés et analysés.
Remarque
Cette fonctionnalité s’applique uniquement lorsque l’analyse du comportement est activée.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | enableBootLoaderCalls | Non disponible |
Type de données | Chaîne | n/a |
Valeurs possibles | disabled (par défaut) activé |
n/a |
Commentaires | Disponible dans Defender pour point de terminaison version 101.68.80 ou ultérieure. |
Configurer la surveillance des événements ptrace
Détermine si les événements ptrace sont surveillés et analysés.
Remarque
Cette fonctionnalité s’applique uniquement lorsque l’analyse du comportement est activée.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | enableProcessCalls | Non disponible |
Type de données | Chaîne | n/a |
Valeurs possibles | disabled (par défaut) activé |
n/a |
Commentaires | Disponible dans Defender pour point de terminaison version 101.68.80 ou ultérieure. |
Configurer la surveillance des événements pseudofs
Détermine si les événements pseudofs sont surveillés et analysés.
Remarque
Cette fonctionnalité s’applique uniquement lorsque l’analyse du comportement est activée.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | enablePseudofsCalls | Non disponible |
Type de données | Chaîne | n/a |
Valeurs possibles | disabled (par défaut) activé |
n/a |
Commentaires | Disponible dans Defender pour point de terminaison version 101.68.80 ou ultérieure. |
Configurer la surveillance des événements de chargement de module à l’aide d’eBPF
Détermine si les événements de chargement de module sont surveillés à l’aide d’eBPF et analysés.
Remarque
Cette fonctionnalité s’applique uniquement lorsque l’analyse du comportement est activée.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | enableEbpfModuleLoadEvents | Non disponible |
Type de données | Chaîne | n/a |
Valeurs possibles | disabled (par défaut) activé |
n/a |
Commentaires | Disponible dans Defender pour point de terminaison version 101.68.80 ou ultérieure. |
Signaler des événements suspects AV à EDR
Détermine si les événements suspects de l’antivirus sont signalés à EDR.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | sendLowfiEvents | Non disponible |
Type de données | Chaîne | n/a |
Valeurs possibles | disabled (par défaut) activé |
n/a |
Commentaires | Disponible dans Defender pour point de terminaison version 101.23062.0010 ou ultérieure. |
Configurations de protection réseau
Les paramètres suivants peuvent être utilisés pour configurer des fonctionnalités avancées d’inspection de la protection réseau afin de contrôler le trafic inspecté par la protection réseau.
Remarque
Pour qu’elles soient efficaces, la protection réseau doit être activée. Pour plus d’informations, consultez Activer la protection réseau pour Linux.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | networkProtection | Protection réseau |
Type de données | Dictionnaire (préférence imbriquée) | Section réduite |
Commentaires | Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire. | Consultez les sections suivantes pour obtenir une description des paramètres de stratégie. |
Niveau d’application
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | enforcementLevel | Niveau d’application |
Type de données | Chaîne | Liste déroulante |
Valeurs possibles |
disabled (par défaut)audit block |
Non configuré disabled (par défaut) audit bloquer |
Configurer l’inspection ICMP
Détermine si les événements ICMP sont surveillés et analysés.
Remarque
Cette fonctionnalité s’applique uniquement lorsque l’analyse du comportement est activée.
Description | Valeur JSON | Valeur du portail Defender |
---|---|---|
Clé | disableIcmpInspection | Non disponible |
Type de données | Valeur booléenne | n/a |
Valeurs possibles |
true (par défaut)
|
n/a |
Commentaires | Disponible dans Defender pour point de terminaison version 101.23062.0010 ou ultérieure. |
Profil de configuration recommandé
Pour commencer, nous vous recommandons d’utiliser le profil de configuration suivant pour votre entreprise afin de tirer parti de toutes les fonctionnalités de protection fournies par Defender pour point de terminaison.
Le profil de configuration suivant :
- Active la protection en temps réel (RTP)
- Spécifie la façon dont les types de menaces suivants sont gérés :
- Les applications potentiellement indésirables (PUA) sont bloquées
- Les bombes d’archivage (fichier avec un taux de compression élevé) sont auditées dans les journaux du produit
- Active les mises à jour automatiques du renseignement de sécurité
- Active la protection fournie par le cloud
- Active l’envoi automatique d’exemples au
safe
niveau
Exemple de profil
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Exemple de profil de configuration complet
Le profil de configuration suivant contient des entrées pour tous les paramètres décrits dans ce document et peut être utilisé pour des scénarios plus avancés où vous souhaitez davantage de contrôle sur le produit.
Remarque
Il n’est pas possible de contrôler toutes les communications de Microsoft Defender pour point de terminaison avec uniquement un paramètre proxy dans ce JSON.
Profil complet
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Ajouter une étiquette ou un ID de groupe au profil de configuration
Lorsque vous exécutez la mdatp health
commande pour la première fois, la valeur de la balise et de l’ID de groupe est vide. Pour ajouter une balise ou un ID de groupe au mdatp_managed.json
fichier, procédez comme suit :
Ouvrez le profil de configuration à partir du chemin d’accès
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json
.Descendez en bas du fichier, où se trouve le
cloudService
bloc.Ajoutez la balise ou l’ID de groupe requis comme exemple suivant à la fin du crochet fermant pour le
cloudService
.}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }
Remarque
Ajoutez la virgule après le crochet fermant à la fin du cloudService
bloc. Assurez-vous également qu’il existe deux accolades fermants après l’ajout d’une balise ou d’un bloc d’ID de groupe (consultez l’exemple ci-dessus). Pour le moment, le seul nom de clé pris en charge pour les balises est GROUP
.
Validation du profil de configuration
Le profil de configuration doit être un fichier au format JSON valide. De nombreux outils peuvent être utilisés pour vérifier cela. Par exemple, si vous avez python
installé sur votre appareil :
python -m json.tool mdatp_managed.json
Si le json est correctement formé, la commande ci-dessus le renvoie au terminal et retourne un code de sortie de 0
. Sinon, une erreur décrivant le problème s’affiche et la commande retourne un code de sortie de 1
.
Vérification que le fichier mdatp_managed.json fonctionne comme prévu
Pour vérifier que votre /etc/opt/microsoft/mdatp/managed/mdatp_managed.json fonctionne correctement, vous devez voir « [géré] » en regard de ces paramètres :
cloud_enabled
cloud_automatic_sample_submission_consent
passive_mode_enabled
real_time_protection_enabled
automatic_definition_update_enabled
Remarque
Aucun redémarrage du démon mdatp n’est nécessaire pour que les modifications apportées à la plupart des configurations dans mdatp_managed.json
prennent effet.
Exception: Les configurations suivantes nécessitent un redémarrage du démon pour prendre effet :
cloud-diagnostic
log-rotation-parameters
Déploiement du profil de configuration
Une fois que vous avez créé le profil de configuration pour votre entreprise, vous pouvez le déployer via l’outil de gestion que votre entreprise utilise. Defender pour point de terminaison sur Linux lit la configuration managée à partir du /etc/opt/microsoft/mdatp/managed/mdatp_managed.json
fichier.
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.