Linux 上で Microsoft Defender for Endpoint 用の基本設定を設定する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
重要
この記事では、エンタープライズ環境で Defender for Endpoint on Linux の基本設定を設定する方法について説明します。 コマンド ラインからデバイスで製品を構成する場合は、「 リソース」を参照してください。
エンタープライズ環境では、Defender for Endpoint on Linux は構成プロファイルを使用して管理できます。 このプロファイルは、任意の管理ツールからデプロイされます。 企業によって管理される基本設定は、デバイス上でローカルに設定されたものよりも優先されます。 つまり、エンタープライズ内のユーザーは、この構成プロファイルを使用して設定された基本設定を変更できません。 マネージド構成プロファイルを通じて除外が追加された場合、除外はマネージド構成プロファイルを介してのみ削除できます。 コマンド ラインは、ローカルに追加された除外に対して機能します。
この記事では、このプロファイルの構造 (開始に使用できる推奨プロファイルを含む) と、プロファイルを展開する方法の手順について説明します。
構成プロファイルの構造
構成プロファイルは、キーによって識別されるエントリ (基本設定の名前を示す) で構成される .json ファイルで、その後に値が続きます。これは、基本設定の性質に応じて異なります。 数値などの単純な値や、入れ子になった基本設定のリストなどの複雑な値を指定できます。
通常、構成管理ツールを使用して、/etc/opt/microsoft/mdatp/managed/場所にmdatp_managed.jsonという名前のファイルをプッシュします。
構成プロファイルの最上位には、製品全体の基本設定と、製品のサブエリアのエントリが含まれています。これについては、次のセクションで詳しく説明します。
ウイルス対策エンジンの基本設定
構成プロファイルの antivirusEngine セクションは、製品のウイルス対策コンポーネントの基本設定を管理するために使用されます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | antivirusEngine | ウイルス対策エンジン |
| データ型 | ディクショナリ (入れ子になった基本設定) | 折りたたまれたセクション |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 | ポリシー プロパティの説明については、次のセクションを参照してください。 |
ウイルス対策エンジンの適用レベル
ウイルス対策エンジンの適用設定を指定します。 適用レベルの設定には、次の 3 つの値があります。
- リアルタイム (
real_time): リアルタイム保護 (変更されたファイルのスキャン) が有効になっています。 - オンデマンド (
on_demand): ファイルはオンデマンドでのみスキャンされます。 この例では、次の操作を行います。- リアルタイム保護がオフになっています。
- パッシブ (
passive): ウイルス対策エンジンをパッシブ モードで実行します。 この例では、次の操作を行います。- リアルタイム保護がオフになっている: 脅威は Microsoft Defender ウイルス対策によって修復されません。
- オンデマンド スキャンが有効になっている: エンドポイントでスキャン機能を引き続き使用します。
- 脅威の自動修復がオフになっている: ファイルは移動されません。セキュリティ管理者は必要なアクションを実行する必要があります。
- セキュリティ インテリジェンスの更新プログラムが有効になっている: セキュリティ管理者テナントでアラートを使用できるようになります。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | enforcementLevel | 適用レベル |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 | real_timeon_demandpassive (既定値) |
未構成 リアルタイム OnDemand パッシブ (既定値) |
注:
Defender for Endpoint バージョン 101.10.72 以降で使用できます。 既定は、Defender for Endpoint バージョン 101.23062.0001 以降で real_time から passive に変更されます。
要件に従って スケジュールされたスキャン も使用することをお勧めします。
動作監視の有効化/無効化
デバイスで動作の監視とブロック機能が有効かどうかを判断します。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | behaviorMonitoring | 動作の監視を有効にする |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 |
disabled (既定値) |
未構成 無効 (既定値) 有効 |
注:
Defender for Endpoint バージョン 101.45.00 以降で使用できます。
この機能は、リアルタイム保護が有効になっている場合にのみ適用されます。
定義の更新後にスキャンを実行する
新しいセキュリティ インテリジェンス更新プログラムがデバイスにダウンロードされた後にプロセス スキャンを開始するかどうかを指定します。 この設定を有効にすると、デバイスの実行中のプロセスでウイルス対策スキャンがトリガーされます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | scanAfterDefinitionUpdate | 定義の更新後にスキャンを有効にする |
| データ型 | ブール型 | ドロップ ダウン |
| 指定可能な値 |
true (既定値) |
未構成 無効 有効 (既定値) |
注:
Defender for Endpoint バージョン 101.45.00 以降で使用できます。
この機能は、適用レベルが real-time に設定されている場合にのみ機能します。
スキャン アーカイブ (オンデマンドウイルス対策スキャンのみ)
オンデマンドウイルス対策スキャン中にアーカイブをスキャンするかどうかを指定します。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | scanArchives | アーカイブのスキャンを有効にする |
| データ型 | ブール型 | ドロップ ダウン |
| 指定可能な値 |
true (既定値)
|
未構成 無効 有効 (既定値) |
注:
Microsoft Defender for Endpoint バージョン 101.45.00 以降で使用できます。
アーカイブ ファイルは、リアルタイム保護中にスキャンされることはありません。 アーカイブ内のファイルが抽出されると、スキャンされます。
scanArchives オプションを使用すると、オンデマンド スキャン中にのみアーカイブを強制的にスキャンできます。
オンデマンド スキャンの並列処理の程度
オンデマンド スキャンの並列処理の程度を指定します。 これは、スキャンの実行に使用されるスレッドの数に対応し、CPU 使用率とオンデマンド スキャンの期間に影響します。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | maximumOnDemandScanThreads | オンデマンド スキャン スレッドの最大数 |
| データ型 | 整数 | トグル スイッチ & 整数 |
| 指定可能な値 | 2 (既定値)。 使用できる値は、1 ~ 64 の整数です。 | 未構成 (既定のトグルオフ既定値は 2) 構成済み (トグルオン) と 1 から 64 の整数。 |
注:
Microsoft Defender for Endpoint バージョン 101.45.00 以降で使用できます。
除外マージ ポリシー
除外のマージ ポリシーを指定します。 管理者定義の除外とユーザー定義の除外 (merge) の組み合わせ、または管理者定義の除外 (admin_only) のみを指定できます。 管理者定義 (admin_only) は、Defender for Endpoint ポリシーによって構成される除外です。 この設定を使用すると、ローカル ユーザーが独自の除外を定義できないように制限できます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | exclusionsMergePolicy | 除外のマージ |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 |
merge (既定値)
|
未構成 merge (既定値) admin_only |
注:
Defender for Endpoint バージョン 100.83.73 以降で使用できます。
exclusionSettings で除外を構成することもできます
除外をスキャンする
スキャンから除外されたエンティティ。 除外は、完全なパス、拡張子、またはファイル名で指定できます。 (除外は項目の配列として指定され、管理者は必要な数の要素を任意の順序で指定できます)。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | 除外 | 除外をスキャンする |
| データ型 | ディクショナリ (入れ子になった基本設定) | 動的プロパティリスト |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
除外の種類
スキャンから除外されるコンテンツの種類を指定します。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | $type | 型 |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 | excludedPath
|
Path ファイル拡張子 プロセス名 |
除外されたコンテンツへのパス
完全なファイル パスでスキャンからコンテンツを除外するために使用されます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | path | Path |
| データ型 | String | String |
| 指定可能な値 | 有効なパス | 有効なパス |
| コメント | $typeが excludedPath の場合にのみ適用されます | インスタンスの編集ポップアップでアクセス |
パスの種類 (ファイル/ディレクトリ)
path プロパティがファイルまたはディレクトリを参照しているかどうかを示します。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | isDirectory | Is directory |
| データ型 | ブール型 | ドロップ ダウン |
| 指定可能な値 |
false (既定値)
|
有効 無効 |
| コメント | $typeが excludedPath の場合にのみ適用されます | インスタンスの編集ポップアップでアクセス |
スキャンから除外されたファイル拡張子
ファイル拡張子によるスキャンからコンテンツを除外するために使用されます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | 延長 | ファイル拡張子 |
| データ型 | String | String |
| 指定可能な値 | 有効なファイル拡張子 | 有効なファイル拡張子 |
| コメント | $typeが excludedFileExtension の場合にのみ適用されます | [インスタンスの構成] ポップアップでアクセス |
スキャンから除外されたプロセス*
すべてのファイル アクティビティをスキャンから除外するプロセスを指定します。 プロセスは、名前 ( cat など) または完全パス ( /bin/cat など) で指定できます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | name | ファイル名 |
| データ型 | String | String |
| 指定可能な値 | 任意の文字列 | 任意の文字列 |
| コメント | $typeが excludedFileName の場合にのみ適用されます | [インスタンスの構成] ポップアップでアクセス |
非 exec マウントのミュート
noexec としてマークされたマウント ポイントでの RTP の動作を指定します。 設定には、次の 2 つの値があります。
- ミュートなし (
unmute): 既定値では、すべてのマウント ポイントが RTP の一部としてスキャンされます。 - ミュート (
mute): noexec としてマークされたマウント ポイントは RTP の一部としてスキャンされず、次のマウント ポイントを作成できます。- データベース ベース ファイルを保持するためのデータベース サーバー上のデータベース ファイル。
- ファイル サーバーは、noexec オプションを使用してデータ ファイルのマウントポイントを保持できます。
- バックアップでは、noexec オプションを使用してデータ ファイルのマウントポイントを保持できます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | nonExecMountPolicy | 非実行マウント ミュート |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 |
unmute (既定値)
|
未構成 unmute (既定値) 唖 |
注:
Defender for Endpoint バージョン 101.85.27 以降で使用できます。
ファイルシステムの監視を解除する
リアルタイム保護 (RTP) から監視/除外されないようにファイルシステムを構成します。 構成されたファイルシステムは、許可されているファイルシステムの Microsoft Defender の一覧に対して検証されます。 ファイルシステムは、検証が成功した後にのみ監視できます。 これらの構成済みの監視されていないファイルシステムは、Microsoft Defender ウイルス対策のクイック スキャン、フル スキャン、およびカスタム スキャンによってスキャンされます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | unmonitoredFilesystems | 監視されていないファイルシステム |
| データ型 | 文字列の配列 | 動的文字列リスト |
注:
構成されたファイルシステムは、許可されている監視されていないファイルシステムの Microsoft の一覧に存在する場合にのみ監視されません。
既定では、NFS と Fuse は RTP、クイック、フル スキャンから監視されません。 ただし、カスタム スキャンでもスキャンできます。 たとえば、監視されていないファイルシステムの一覧から NFS を削除するには、次に示すようにマネージド構成ファイルを更新します。 これにより、RTP の監視対象ファイルシステムの一覧に NFS が自動的に追加されます。
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
監視されていないファイルシステムの一覧から NFS と Fuse の両方を削除するには、次の手順を実行します。
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
注:
RTP の監視対象ファイルシステムの既定の一覧は、 btrfs、 ecryptfs、 ext2、 ext3、 ext4、 fuseblk、 jfs、 overlay、 ramfs、 reiserfs、 tmpfs、 vfat、 xfsです。
監視されていないファイルシステムの一覧に監視対象のファイルシステムを追加する必要がある場合は、クラウド構成を使用して Microsoft によって評価および有効にする必要があります。どのお客様がmanaged_mdatp.jsonを更新して、そのファイルシステムの監視を解除できるかに従います。
ファイル ハッシュ計算機能を構成する
ファイル ハッシュ計算機能を有効または無効にします。 この機能を有効にすると、Defender for Endpoint はスキャンするファイルのハッシュを計算します。 この機能を有効にすると、デバイスのパフォーマンスに影響する可能性があることに注意してください。 詳細については、「 ファイルのインジケーターを作成する」を参照してください。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | enableFileHashComputation | ファイル ハッシュ計算を有効にする |
| データ型 | ブール型 | ドロップ ダウン |
| 指定可能な値 |
false (既定値)
|
未構成 無効 (既定値) 有効 |
注:
Defender for Endpoint バージョン 101.85.27 以降で使用できます。
許可される脅威
製品によってブロックされず、代わりに実行が許可されている (名前で識別される) 脅威の一覧。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | allowedThreats | 許可される脅威 |
| データ型 | 文字列の配列 | 動的文字列リスト |
許可されていない脅威アクション
脅威が検出されたときにデバイスのローカル ユーザーが実行できるアクションを制限します。 この一覧に含まれるアクションは、ユーザー インターフェイスには表示されません。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | disallowedThreatActions | 許可されていない脅威アクション |
| データ型 | 文字列の配列 | 動的文字列リスト |
| 指定可能な値 |
allow (ユーザーが脅威を許可できないように制限します)
|
allow (ユーザーが脅威を許可できないように制限します) restore (ユーザーが検疫から脅威を復元できないように制限します) |
注:
Defender for Endpoint バージョン 100.83.73 以降で使用できます。
脅威の種類の設定
ウイルス対策エンジンの threatTypeSettings 基本設定は、特定の脅威の種類が製品によって処理される方法を制御するために使用されます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | threatTypeSettings | 脅威の種類の設定 |
| データ型 | ディクショナリ (入れ子になった基本設定) | 動的プロパティリスト |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 | 動的プロパティの説明については、次のセクションを参照してください。 |
脅威の種類
動作が構成されている脅威の種類。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | キー | 脅威の種類 |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 | potentially_unwanted_application
|
potentially_unwanted_application archive_bomb |
実行する操作
前のセクションで指定した型の脅威に遭遇したときに実行するアクション。 次のことができます。
- 監査: デバイスはこの種類の脅威から保護されていませんが、脅威に関するエントリがログに記録されます。 (既定)
- ブロック: デバイスはこの種類の脅威から保護され、セキュリティ コンソールで通知されます。
- オフ: デバイスはこの種類の脅威から保護されておらず、何もログに記録されません。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | 値 | 実行する操作 |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 |
audit (既定値)
|
監査 ブロック オフ |
脅威の種類の設定のマージ ポリシー
脅威の種類の設定のマージ ポリシーを指定します。 管理者定義の設定とユーザー定義の設定 (merge) の組み合わせ、または管理者定義の設定 (admin_only) のみを指定できます。 管理者定義 (admin_only) は、Defender for Endpoint ポリシーによって構成される脅威の種類の設定です。 この設定を使用すると、ローカル ユーザーがさまざまな脅威の種類に対して独自の設定を定義できないように制限できます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | threatTypeSettingsMergePolicy | 脅威の種類の設定のマージ |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 | merge (既定値) admin_only |
未構成 merge (既定値) admin_only |
注:
Defender for Endpoint バージョン 100.83.73 以降で使用できます。
ウイルス対策スキャン履歴の保持期間 (日数)
デバイスのスキャン履歴に結果が保持される日数を指定します。 古いスキャン結果は履歴から削除されます。 古い検疫済みファイル。ディスクからも削除されます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | scanResultsRetentionDays | スキャン結果の保持 |
| データ型 | String | 切り替えスイッチと整数 |
| 可能な値 | 90 (既定値)。 使用できる値は、1 日から 180 日です。 | 未構成 (オフ - 90 日間の既定値) 構成済み (トグルオン) と許可される値 1 ~ 180 日。 |
注:
Defender for Endpoint バージョン 101.04.76 以降で使用できます。
ウイルス対策スキャン履歴のアイテムの最大数
スキャン履歴に保持するエントリの最大数を指定します。 エントリには、過去に実行されたすべてのオンデマンド スキャンと、すべてのウイルス対策検出が含まれます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | scanHistoryMaximumItems | スキャン履歴のサイズ |
| データ型 | String | トグルと整数 |
| 指定可能な値 | 10000 (既定値)。 使用できる値は、5,000 項目から 1,5000 項目までです。 | 未構成 (トグルオフ - 10000 既定値) 5000 から 15,000 個の項目に構成 (トグルオン) および許可される値。 |
注:
Defender for Endpoint バージョン 101.04.76 以降で使用できます。
除外設定の基本設定
Exlusion 設定の基本設定は現在プレビュー段階です。
注:
Insider Slow Ring まで Defender for Endpoint バージョン 101.23092.0012 以降で使用できます。
構成プロファイルの exclusionSettings セクションは、Microsoft Defender for Endpoint for Linux のさまざまな除外を構成するために使用されます。
| 説明 | JSON 値 |
|---|---|
| Key | exclusionSettings |
| データ型 | ディクショナリ (入れ子になった基本設定) |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
注:
マネージド JSON の (antivirusEngine) で既に構成されているウイルス対策の除外は、引き続きそのまま機能し、影響はありません。 ウイルス対策 の除外を 含むすべての新しい除外は、この完全に新しいセクション (exclusionSettings) に追加できます。 このセクションは、(antivirusEngine) タグの外部にあり、今後すべての種類の除外を構成するためだけに専用になっています。 ウイルス対策の除外を構成するために (antivirusEngine) を引き続き使用することもできます。
マージ ポリシー
除外のマージ ポリシーを指定します。 管理者定義の除外とユーザー定義の除外 (merge) を組み合わせることができるか、管理者が定義した除外 (admin_only) のみを指定します。 この設定を使用すると、ローカル ユーザーが独自の除外を定義できないように制限できます。 すべてのスコープの除外に適用されます。
| 説明 | JSON 値 |
|---|---|
| Key | mergePolicy |
| データ型 | String |
| 指定可能な値 | merge (既定値) admin_only |
| コメント | Defender for Endpoint バージョン 2023 年 9 月以降で使用できます。 |
除外
除外する必要があるエンティティは、完全なパス、拡張子、またはファイル名で指定できます。 各除外エンティティ (つまり、完全パス、拡張子、またはファイル名) には、指定できるオプションのスコープがあります。 指定しない場合、このセクションのスコープの既定値は グローバルです。 (除外は項目の配列として指定され、管理者は必要な数の要素を任意の順序で指定できます)。
| 説明 | JSON 値 |
|---|---|
| Key | 除外 |
| データ型 | ディクショナリ (入れ子になった基本設定) |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
除外の種類
スキャンから除外されるコンテンツの種類を指定します。
| 説明 | JSON 値 |
|---|---|
| Key | $type |
| データ型 | String |
| 指定可能な値 | excludedPath excludedFileExtension excludedFileName |
除外のスコープ (省略可能)
除外されるコンテンツの除外スコープのセットを指定します。 現在サポートされているスコープは、 epp と global。
exclusionSettings in managed configuration で除外に何も指定されていない場合、globalはスコープと見なされます。
注:
マネージド JSON の (antivirusEngine) で以前に構成されたウイルス対策除外は引き続き機能し、そのスコープはウイルス対策の除外として追加されたので (epp) と見なされます。
| 説明 | JSON 値 |
|---|---|
| Key | scopes |
| データ型 | 文字列のセット |
| 可能な値 | epp グローバル |
注:
(mdatp_managed.json) または CLI によって以前に適用された除外は影響を受けません。 これらの除外のスコープは、(antivirusEngine) の下に追加されたので (epp) になります。
除外されたコンテンツへのパス
完全なファイル パスでスキャンからコンテンツを除外するために使用されます。
| 説明 | JSON 値 |
|---|---|
| Key | path |
| データ型 | String |
| 指定可能な値 | 有効なパス |
| コメント |
$typeが excludedPath の場合にのみ適用されます。 除外にスコープとしてグローバルがある場合、ワイルドカードはサポートされません。 |
パスの種類 (ファイル/ディレクトリ)
path プロパティがファイルまたはディレクトリを参照しているかどうかを示します。
注:
グローバル スコープでファイルの除外を追加する場合は、ファイル パスが既に存在している必要があります。
| 説明 | JSON 値 |
|---|---|
| Key | isDirectory |
| データ型 | ブール型 |
| 指定可能な値 | false (既定) true |
| コメント |
$typeが excludedPath の場合にのみ適用されます。 除外にスコープとしてグローバルがある場合、ワイルドカードはサポートされません。 |
スキャンから除外されたファイル拡張子
ファイル拡張子によるスキャンからコンテンツを除外するために使用されます。
| 説明 | JSON 値 |
|---|---|
| Key | 延長 |
| データ型 | String |
| 指定可能な値 | 有効なファイル拡張子 |
| コメント |
$typeが excludedFileExtension の場合にのみ適用されます。 除外にスコープとしてグローバルがある場合はサポートされません。 |
スキャンから除外されたプロセス*
すべてのファイル アクティビティをスキャンから除外するプロセスを指定します。 プロセスは、名前 ( cat など) または完全パス ( /bin/cat など) で指定できます。
| 説明 | JSON 値 |
|---|---|
| Key | name |
| データ型 | String |
| 指定可能な値 | 任意の文字列 |
| コメント |
$typeが excludedFileName の場合にのみ適用されます。 除外にスコープとしてグローバルがある場合、ワイルドカードとプロセス名はサポートされていません。完全なパスを指定する必要があります。 |
高度なスキャン オプション
特定の高度なスキャン機能を有効にするために、次の設定を構成できます。
注:
これらの機能を有効にすると、デバイスのパフォーマンスに影響する可能性があります。 そのため、既定値をそのまま使用することをお勧めします。
ファイル変更アクセス許可イベントのスキャンを構成する
この機能を有効にすると、Defender for Endpoint は、実行ビットを設定するためにアクセス許可が変更されたときにファイルをスキャンします。
注:
この機能は、 enableFilePermissionEvents 機能が有効になっている場合にのみ適用されます。 詳細については、以下の 「高度なオプション機能 」セクションを参照してください。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | scanFileModifyPermissions | 使用不可 |
| データ型 | ブール型 | 該当なし |
| 指定可能な値 | false (既定) true |
該当なし |
注:
Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。
ファイル変更所有権イベントのスキャンを構成する
この機能を有効にすると、Defender for Endpoint は所有権が変更されたファイルをスキャンします。
注:
この機能は、 enableFileOwnershipEvents 機能が有効になっている場合にのみ適用されます。 詳細については、以下の 「高度なオプション機能 」セクションを参照してください。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | scanFileModifyOwnership | 使用不可 |
| データ型 | ブール型 | 該当なし |
| 指定可能な値 | false (既定) true |
該当なし |
注:
Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。
生ソケット イベントのスキャンを構成する
この機能を有効にすると、Defender for Endpoint は、生のソケット/パケット ソケットの作成やソケット オプションの設定などのネットワーク ソケット イベントをスキャンします。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
この機能は、 enableRawSocketEvent 機能が有効になっている場合にのみ適用されます。 詳細については、以下の 「高度なオプション機能 」セクションを参照してください。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | scanNetworkSocketEvent | 使用不可 |
| データ型 | ブール型 | 該当なし |
| 指定可能な値 | false (既定) true |
該当なし |
注:
Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。
クラウド配信の保護の基本設定
構成プロファイルの cloudService エントリを使用して、製品のクラウド駆動型保護機能を構成します。
注:
クラウド配信の保護は、適用レベルの設定 (real_time、on_demand、パッシブ) に適用できます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | cloudService | クラウドで提供される保護の基本設定 |
| データ型 | ディクショナリ (入れ子になった基本設定) | 折りたたまれたセクション |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 | ポリシーの設定の説明については、次のセクションを参照してください。 |
クラウド配信保護を有効または無効にする
クラウド配信の保護がデバイスで有効かどうかを判断します。 サービスのセキュリティを強化するために、この機能をオンにしておくことをお勧めします。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | enabled | クラウド提供の保護を有効にする |
| データ型 | ブール型 | ドロップ ダウン |
| 指定可能な値 |
true (既定値)
|
未構成 無効 有効 (既定値) |
診断収集のレベル
診断データは、Defender for Endpoint を安全かつ最新の状態に保ち、問題を検出、診断、修正し、製品を改善するために使用されます。 この設定は、製品から Microsoft に送信される診断のレベルを決定します。 詳細については、「 Linux 上の Microsoft Defender for Endpoint のプライバシー」を参照してください。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | diagnosticLevel | 診断データ収集レベル |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 | optional
|
未構成 省略可能 (既定値) 必須出席者 |
クラウド ブロック レベルを構成する
この設定は、疑わしいファイルをブロックおよびスキャンする際の Defender for Endpoint の攻撃性を決定します。 この設定がオンの場合、Defender for Endpoint は、ブロックおよびスキャンする疑わしいファイルを特定するときに、より積極的になります。それ以外の場合は、攻撃的ではなく、より頻度の低いブロックとスキャンが行われます。
クラウド ブロック レベルの設定には、次の 5 つの値があります。
- 標準 (
normal): 既定のブロック レベル。 - 中程度 (
moderate): 高信頼度の検出に対してのみ判定を行います。 - 高 (
high): パフォーマンスを最適化しながら、不明なファイルを積極的にブロックします (有害でないファイルをブロックする可能性が高くなります)。 - High Plus (
high_plus): 不明なファイルを積極的にブロックし、追加の保護対策を適用します (クライアント デバイスのパフォーマンスに影響する可能性があります)。 - ゼロ 許容値 (
zero_tolerance): 不明なプログラムをすべてブロックします。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | cloudBlockLevel | クラウド ブロック レベルを構成する |
| データ型 | String | ドロップ ダウン |
| 可能な値 |
normal (既定値)
|
未構成 標準 (既定) 中 高 High_Plus Zero_Tolerance |
注:
Defender for Endpoint バージョン 101.56.62 以降で使用できます。
サンプルの自動送信を有効または無効にする
疑わしいサンプル (脅威が含まれている可能性が高い) を Microsoft に送信するかどうかを決定します。 サンプルの送信を制御するには、次の 3 つのレベルがあります。
- なし: 疑わしいサンプルは Microsoft に送信されません。
- 安全: 個人を特定できる情報 (PII) が含まれていない疑わしいサンプルのみが自動的に送信されます。 これは、この設定の既定値です。
- すべて: すべての疑わしいサンプルが Microsoft に送信されます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | automaticSampleSubmissionConsent | 自動サンプル送信を有効にする |
| データ型 | String | ドロップ ダウン |
| 可能な値 | none
|
未構成 なし セーフ (既定値) すべて |
セキュリティ インテリジェンスの自動更新を有効または無効にする
セキュリティ インテリジェンスの更新プログラムが自動的にインストールされるかどうかを判断します。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | automaticDefinitionUpdateEnabled | セキュリティ インテリジェンスの自動更新 |
| データ型 | ブール型 | ドロップ ダウン |
| 指定可能な値 |
true (既定値)
|
未構成 無効 有効 (既定値) |
高度なオプション機能
次の設定を構成して、特定の高度な機能を有効にすることができます。
注:
これらの機能を有効にすると、デバイスのパフォーマンスに影響する可能性があります。 既定値をそのまま使用することをお勧めします。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | 顔立ち | 使用不可 |
| データ型 | ディクショナリ (入れ子になった基本設定) | 該当なし |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
モジュールの読み込み機能
モジュール読み込みイベント (共有ライブラリ上のファイル開いているイベント) を監視するかどうかを決定します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | moduleLoad | 使用不可 |
| データ型 | String | 該当なし |
| 指定可能な値 | disabled (既定値) enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.68.80 以降で使用できます。 |
補助センサー構成
次の設定を使用して、特定の高度な補助センサー機能を構成できます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | supplementarySensorConfigurations | 使用不可 |
| データ型 | ディクショナリ (入れ子になった基本設定) | 該当なし |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 |
ファイル変更アクセス許可イベントの監視を構成する
ファイル変更アクセス許可イベント (chmod) を監視するかどうかを決定します。
注:
この機能を有効にすると、Defender for Endpoint はファイルの実行ビットに対する変更を監視しますが、これらのイベントはスキャンしません。 詳細については、「 高度なスキャン機能 」セクションを参照してください。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | enableFilePermissionEvents | 使用不可 |
| データ型 | String | 該当なし |
| 指定可能な値 | disabled (既定値) enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
ファイル変更所有権イベントの監視を構成する
ファイル変更所有権イベント (chown) を監視するかどうかを決定します。
注:
この機能を有効にすると、Defender for Endpoint はファイルの所有権に対する変更を監視しますが、これらのイベントはスキャンしません。 詳細については、「 高度なスキャン機能 」セクションを参照してください。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | enableFileOwnershipEvents | 使用不可 |
| データ型 | String | 該当なし |
| 指定可能な値 | disabled (既定値) enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
生ソケット イベントの監視を構成する
生ソケット/パケット ソケットの作成またはソケット オプションの設定に関連するネットワーク ソケット イベントを監視するかどうかを決定します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。 この機能を有効にすると、Defender for Endpoint はこれらのネットワーク ソケット イベントを監視しますが、これらのイベントはスキャンしません。 詳細については、上記の 「高度なスキャン機能 」セクションを参照してください。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | enableRawSocketEvent | 使用不可 |
| データ型 | String | 該当なし |
| 指定可能な値 | disabled (既定値) enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
ブート ローダー イベントの監視を構成する
ブート ローダー イベントを監視およびスキャンするかどうかを決定します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | enableBootLoaderCalls | 使用不可 |
| データ型 | String | 該当なし |
| 指定可能な値 | disabled (既定値) enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.68.80 以降で使用できます。 |
ptrace イベントの監視を構成する
ptrace イベントを監視およびスキャンするかどうかを決定します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | enableProcessCalls | 使用不可 |
| データ型 | String | 該当なし |
| 可能な値 | disabled (既定値) enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.68.80 以降で使用できます。 |
擬似イベントの監視を構成する
疑似イベントが監視およびスキャンされるかどうかを判断します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | enablePseudofsCalls | 使用不可 |
| データ型 | String | 該当なし |
| 指定可能な値 | disabled (既定値) enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.68.80 以降で使用できます。 |
eBPF を使用してモジュール・ロード・イベントのモニターを構成する
モジュールの読み込みイベントが eBPF を使用して監視され、スキャンされるかどうかを判断します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | enableEbpfModuleLoadEvents | 使用不可 |
| データ型 | String | 該当なし |
| 可能な値 | disabled (既定値) enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.68.80 以降で使用できます。 |
AV 疑わしいイベントを EDR に報告する
ウイルス対策からの疑わしいイベントが EDR に報告されるかどうかを判断します。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | sendLowfiEvents | 使用不可 |
| データ型 | String | 該当なし |
| 指定可能な値 | disabled (既定値) enabled |
該当なし |
| コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
ネットワーク保護の構成
次の設定を使用して、ネットワーク保護によって検査されるトラフィックを制御する高度なネットワーク保護検査機能を構成できます。
注:
これらを有効にするには、Network Protection を有効にする必要があります。 詳細については、「 Linux のネットワーク保護を有効にする」を参照してください。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | networkProtection | ネットワーク保護 |
| データ型 | ディクショナリ (入れ子になった基本設定) | 折りたたまれたセクション |
| コメント | ディクショナリの内容の説明については、次のセクションを参照してください。 | ポリシー設定の説明については、次のセクションを参照してください。 |
適用レベル
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | enforcementLevel | 適用レベル |
| データ型 | String | ドロップ ダウン |
| 指定可能な値 |
disabled (既定値)audit block |
未構成 disabled (既定値) 監査 ブロック |
ICMP 検査を構成する
ICMP イベントを監視およびスキャンするかどうかを決定します。
注:
この機能は、動作監視が有効になっている場合にのみ適用されます。
| 説明 | JSON 値 | Defender Portal の値 |
|---|---|---|
| Key | disableIcmpInspection | 使用不可 |
| データ型 | ブール型 | 該当なし |
| 指定可能な値 |
true (既定値)
|
該当なし |
| コメント | Defender for Endpoint バージョン 101.23062.0010 以降で使用できます。 |
推奨される構成プロファイル
作業を開始するには、Defender for Endpoint が提供するすべての保護機能を利用するために、企業向けに次の構成プロファイルを使用することをお勧めします。
次の構成プロファイル:
- リアルタイム保護 (RTP) を有効にする
- 次の脅威の種類の処理方法を指定します。
- 望ましくない可能性のあるアプリケーション (PUA) がブロックされる
- アーカイブ 爆弾 (圧縮率の高いファイル) は、製品ログに対して監査されます
- セキュリティ インテリジェンスの自動更新を有効にする
- クラウドで提供される保護を有効にする
-
safeレベルで自動サンプル送信を有効にする
サンプル プロファイル
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
完全な構成プロファイルの例
次の構成プロファイルには、このドキュメントで説明されているすべての設定のエントリが含まれており、製品をより詳細に制御する高度なシナリオで使用できます。
注:
この JSON のプロキシ設定のみで、すべての Microsoft Defender for Endpoint 通信を制御することはできません。
フル プロファイル
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
構成プロファイルにタグまたはグループ ID を追加する
mdatp health コマンドを初めて実行すると、タグとグループ ID の値は空白になります。
mdatp_managed.json ファイルにタグまたはグループ ID を追加するには、次の手順に従います。
パス
/etc/opt/microsoft/mdatp/managed/mdatp_managed.jsonから構成プロファイルを開きます。cloudServiceブロックがあるファイルの下部に移動します。次の例のように、
cloudServiceの閉じ中かっこの末尾に必要なタグまたはグループ ID を追加します。}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }
注:
cloudService ブロックの末尾にある中かっこの後にコンマを追加します。 また、Tag ブロックまたはグループ ID ブロックを追加した後に、2 つの閉じる中かっこがあることを確認します (上記の例を参照してください)。 現時点では、タグでサポートされているキー名は GROUPのみです。
構成プロファイルの検証
構成プロファイルは、有効な JSON 形式のファイルである必要があります。 これを確認するために使用できるツールは多数あります。 たとえば、デバイスに python がインストールされている場合は、次のようになります。
python -m json.tool mdatp_managed.json
JSON が整形式の場合、上記のコマンドによってターミナルに出力され、 0の終了コードが返されます。 それ以外の場合は、問題を説明するエラーが表示され、コマンドは 1 の終了コードを返します。
mdatp_managed.json ファイルが期待どおりに動作していることを確認する
/etc/opt/microsoft/mdatp/managed/mdatp_managed.jsonが正常に動作していることを確認するには、次の設定の横に "[managed]" と表示されます。
cloud_enabledcloud_automatic_sample_submission_consentpassive_mode_enabledreal_time_protection_enabledautomatic_definition_update_enabled
注:
mdatp_managed.jsonのほとんどの構成を変更して有効にするために、mdatp デーモンを再起動する必要はありません。
例外: 次の構成では、デーモンの再起動を有効にする必要があります。
cloud-diagnosticlog-rotation-parameters
構成プロファイルの展開
エンタープライズの構成プロファイルを構築したら、企業が使用している管理ツールを使用して展開できます。 Defender for Endpoint on Linux は、 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json ファイルからマネージド構成を読み取ります。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。