Partilhar via


Definir preferências para o Microsoft Defender para Endpoint no Linux

Aplica-se a:

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Importante

Este artigo contém instruções sobre como definir preferências para o Defender para Endpoint no Linux em ambientes empresariais. Se estiver interessado em configurar o produto num dispositivo a partir da linha de comandos, veja Recursos.

Em ambientes empresariais, o Defender para Endpoint no Linux pode ser gerido através de um perfil de configuração. Este perfil é implementado a partir da ferramenta de gestão à sua escolha. As preferências geridas pela empresa têm precedência sobre as definidas localmente no dispositivo. Por outras palavras, os utilizadores na sua empresa não conseguem alterar as preferências definidas através deste perfil de configuração. Se as exclusões tiverem sido adicionadas através do perfil de configuração gerida, só podem ser removidas através do perfil de configuração gerida. A linha de comandos funciona para exclusões que foram adicionadas localmente.

Este artigo descreve a estrutura deste perfil (incluindo um perfil recomendado que pode utilizar para começar) e instruções sobre como implementar o perfil.

Estrutura do perfil de configuração

O perfil de configuração é um .json ficheiro que consiste em entradas identificadas por uma chave (que denota o nome da preferência), seguido de um valor, que depende da natureza da preferência. Os valores podem ser simples, como um valor numérico ou complexo, como uma lista aninhada de preferências.

Normalmente, utilizaria uma ferramenta de gestão de configuração para emitir um ficheiro com o nome mdatp_managed.json na localização /etc/opt/microsoft/mdatp/managed/.

O nível superior do perfil de configuração inclui preferências e entradas ao nível do produto para subáreas do produto, que são explicadas mais detalhadamente nas secções seguintes.

Preferências do motor antivírus

A secção antivírusEngine do perfil de configuração é utilizada para gerir as preferências do componente antivírus do produto.

Descrição Valor JSON Valor do Portal do Defender
Chave antivírusEngine Motor antivírus
Tipo de dados Dicionário (preferência aninhada) Secção Fechada
Comentários Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. Veja as secções seguintes para obter uma descrição das propriedades da política.

Nível de imposição do motor antivírus

Especifica a preferência de imposição do motor antivírus. Existem três valores para definir o nível de imposição:

  • Em tempo real (real_time): a proteção em tempo real (analisar ficheiros à medida que são modificados) está ativada.
  • A pedido (on_demand): os ficheiros são analisados apenas a pedido. Neste:
    • A proteção em tempo real está desativada.
    • As atualizações de definições ocorrem apenas quando uma análise é iniciada, mesmo que automaticDefinitionUpdateEnabled esteja definida como no modo a true pedido.
  • Passivo (passive): executa o motor antivírus no modo passivo. Neste caso, aplicam-se todos os seguintes:
    • A proteção em tempo real está desativada: as ameaças não são remediadas pelo Antivírus Microsoft Defender.
    • A análise a pedido está ativada: utilize ainda as capacidades de análise no ponto final.
    • A remediação automática de ameaças está desativada: não são movidos ficheiros e espera-se que o administrador de segurança tome as medidas necessárias.
    • As atualizações de informações de segurança estão ativadas: os alertas estão disponíveis no inquilino do administrador de segurança.
    • As atualizações de definições ocorrem apenas quando uma análise é iniciada, mesmo que automaticDefinitionUpdateEnabled esteja definida como true no modo passivo.
Descrição Valor JSON Valor do Portal do Defender
Chave enforcementLevel Nível de Imposição
Tipo de dados Cadeia Menu pendente
Valores possíveis real_time
on_demand
passive (predefinição)
Não configurado
Tempo real
OnDemand
Passivo (Predefinição)

Nota

Disponível na versão 101.10.72 do Defender para Endpoint ou posterior. A predefinição é alterada de para passive na versão 101.23062.0001 do real_time Defender para Endpoint ou posterior. Recomenda-se também utilizar análises agendadas de acordo com o requisito.

Ativar/desativar a monitorização de comportamento

Determina se a capacidade de monitorização e bloqueio de comportamento está ou não ativada no dispositivo.

Descrição Valor JSON Valor do Portal do Defender
Chave behaviorMonitoring Ativar a monitorização de comportamento
Tipo de dados Cadeia Menu pendente
Valores possíveis disabled (predefinição)

enabled

Não configurado
Desativado (Predefinição)
Ativado

Nota

Disponível na versão 101.45.00 do Defender para Endpoint ou posterior. Esta funcionalidade só é aplicável quando a proteção em tempo real está ativada.

Executar uma análise após a atualização das definições

Especifica se pretende iniciar uma análise de processo após a transferência de novas atualizações de informações de segurança no dispositivo. Ativar esta definição aciona uma análise antivírus nos processos em execução do dispositivo.

Descrição Valor JSON Valor do Portal do Defender
Chave scanAfterDefinitionUpdate Ativar a Análise após a atualização da definição
Tipo de dados Booleano Menu pendente
Valores possíveis true (predefinição)

false

Não configurado
Desativado
Ativado (Predefinição)

Nota

Disponível na versão 101.45.00 do Defender para Endpoint ou posterior. Esta funcionalidade só funciona quando o nível de imposição está definido como real-time.

Analisar arquivos (apenas análises antivírus a pedido)

Especifica se pretende analisar arquivos durante análises antivírus a pedido.

Descrição Valor JSON Valor do Portal do Defender
Chave scanArchives Ativar a análise de arquivos
Tipo de dados Booleano Menu pendente
Valores possíveis true (predefinição)

false

Não configurado
Desativado
Ativado (Predefinição)

Nota

Disponível na versão 101.45.00 Microsoft Defender para Endpoint ou posterior. Os ficheiros de arquivo nunca são analisados durante a proteção em tempo real. Quando os ficheiros num arquivo são extraídos, são analisados. A opção scanArchives pode ser utilizada para forçar a análise de arquivos apenas durante a análise a pedido.

Grau de paralelismo para análises a pedido

Especifica o grau de paralelismo para análises a pedido. Isto corresponde ao número de threads utilizados para efetuar a análise e afeta a utilização da CPU e a duração da análise a pedido.

Descrição Valor JSON Valor do Portal do Defender
Chave maximumOnDemandScanThreads threads de análise máximo a pedido
Tipo de dados Número inteiro Alternar Alternar & Número Inteiro
Valores possíveis 2 (predefinição). Os valores permitidos são números inteiros entre 1 e 64. Não Configurado (a predefinição desativa a predefinição é 2)
Configurado (ativado) e número inteiro entre 1 e 64.

Nota

Disponível na versão 101.45.00 Microsoft Defender para Endpoint ou posterior.

Política de intercalação de exclusão

Especifica a política de intercalação para exclusões. Pode ser uma combinação de exclusões definidas pelo administrador e definidas pelo utilizador (merge) ou apenas exclusões definidas pelo administrador (admin_only). As exclusões definidas pelo administrador (admin_only) são exclusões configuradas pela política do Defender para Endpoint. Esta definição pode ser utilizada para impedir que os utilizadores locais definam as suas próprias exclusões.

Descrição Valor JSON Valor do Portal do Defender
Chave exclusionsMergePolicy Intercalação de exclusões
Tipo de dados Cadeia Menu pendente
Valores possíveis merge (predefinição)

admin_only

Não configurado
intercalação (Predefinição)
admin_only

Nota

Disponível na versão 100.83.73 do Defender para Endpoint ou posterior. Também pode configurar exclusões em exclusionSettings

Analisar exclusões

Entidades que foram excluídas da análise. As exclusões podem ser especificadas por caminhos completos, extensões ou nomes de ficheiros. (As exclusões são especificadas como uma matriz de itens, o administrador pode especificar o número de elementos necessários, por qualquer ordem.)

Descrição Valor JSON Valor do Portal do Defender
Chave exclusões Analisar exclusões
Tipo de dados Dicionário (preferência aninhada) Lista de Propriedades Dinâmicas
Comentários Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário.
Tipo de exclusão

Especifica o tipo de conteúdo excluído da análise.

Descrição Valor JSON Valor do Portal do Defender
Chave $type Tipo
Tipo de dados Cadeia Menu Pendente
Valores possíveis excludedPath

excludedFileExtension

excludedFileName

Caminho
Extensão de ficheiro
Nome do processo
Caminho para conteúdo excluído

Utilizado para excluir conteúdo da análise por caminho de ficheiro completo.

Descrição Valor JSON Valor do Portal do Defender
Chave caminho Caminho
Tipo de dados Cadeia Cadeia
Valores possíveis caminhos válidos caminhos válidos
Comentários Aplicável apenas se $type for excluídoPath Acedido no pop-up Editar instância
Tipo de caminho (ficheiro/diretório)

Indica se a propriedade path se refere a um ficheiro ou diretório.

Descrição Valor JSON Valor do Portal do Defender
Chave isDirectory É diretório
Tipo de dados Booleano Menu pendente
Valores possíveis false (predefinição)

true

Ativado
Desativado
Comentários Aplicável apenas se $type for excluídoPath Acedido no pop-up Editar instância
Extensão de ficheiro excluída da análise

Utilizado para excluir conteúdo da análise por extensão de ficheiro.

Descrição Valor JSON Valor do Portal do Defender
Chave extensão Extensão de ficheiro
Tipo de dados Cadeia Cadeia
Valores possíveis extensões de ficheiro válidas extensões de ficheiro válidas
Comentários Aplicável apenas se $type for excluídoFileExtension Acedido no pop-up Configurar instância
Processo excluído da análise*

Especifica um processo para o qual toda a atividade de ficheiro é excluída da análise. O processo pode ser especificado pelo respetivo nome (por exemplo, cat) ou caminho completo (por exemplo, /bin/cat).

Descrição Valor JSON Valor do Portal do Defender
Chave nome Nome de ficheiro
Tipo de dados Cadeia Cadeia
Valores possíveis qualquer cadeia qualquer cadeia
Comentários Aplicável apenas se $type for excluídoFileName Acedido no pop-up Configurar instância

Desativar o som de montagens não exec

Especifica o comportamento do RTP no ponto de montagem marcado como noexec. Existem dois valores para a definição:

  • Unmuted (unmute): o valor predefinido, todos os pontos de montagem são analisados como parte do RTP.
  • Desativado (mute): os pontos de montagem marcados como nãoexec não são analisados como parte do RTP. Estes pontos de montagem podem ser criados para:
    • Ficheiros de base de dados em Servidores de bases de dados para manter ficheiros de base de dados.
    • O servidor de ficheiros pode manter pontos de montagem de ficheiros de dados com a opção noexec.
    • A cópia de segurança pode manter pontos de montagem de ficheiros de dados com a opção noexec.
Descrição Valor JSON Valor do Portal do Defender
Chave nonExecMountPolicy sem execução de susativação de montagem
Tipo de dados Cadeia Menu pendente
Valores possíveis unmute (predefinição)

mute

Não configurado
ativar som (Predefinição)
desativar som

Nota

Disponível na versão 101.85.27 do Defender para Endpoint ou posterior.

Desmonitorizar sistemas de ficheiros

Configure sistemas de ficheiros para não serem monitorizados/excluídos da proteção em tempo real (RTP). Os sistemas de ficheiros configurados são validados na lista de sistemas de ficheiros permitidos do Microsoft Defender. Os sistemas de ficheiros só podem ser monitorizados após a validação com êxito. Estes sistemas de ficheiros não monitorizados configurados continuam a ser analisados por análises rápidas, completas e personalizadas no Antivírus Microsoft Defender.

Descrição Valor JSON Valor do Portal do Defender
Chave unmonitoredFilesystems Sistemas de Ficheiros Não Monitorizados
Tipo de dados Matriz de cadeias Lista de Cadeias Dinâmicas

Nota

O sistema de ficheiros configurado só será monitorizado se estiver presente na lista de sistemas de ficheiros não monitorizados permitidos da Microsoft.

Por predefinição, o NFS e a Fusão não são monitorizados das análises RTP, Rápida e Completa. No entanto, ainda podem ser analisados por uma análise personalizada. Por exemplo, para remover o NFS da lista de sistemas de ficheiros não monitorizados, atualize o ficheiro de configuração gerida, conforme mostrado abaixo. Esta ação irá adicionar automaticamente NFS à lista de sistemas de ficheiros monitorizados para RTP.

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["Fuse"]
  }
}

Para remover o NFS e a Fusão da lista não monitorizada de sistemas de ficheiros, faça o seguinte

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

Nota

Eis a lista predefinida de sistemas de ficheiros monitorizados para RTP: btrfs, , ext2ecryptfs, ext3, ext4, fuseblk, jfs, overlay, ramfs, , reiserfs, , tmpfs, , vfat, . xfs

Se for necessário adicionar algum sistema de ficheiros monitorizado à lista de sistemas de ficheiros não monitorizados, tem de ser avaliado e ativado pela Microsoft através da configuração da cloud. Seguindo o que os clientes podem atualizar managed_mdatp.json para desmonitorizar esse sistema de ficheiros.

Configurar a funcionalidade de computação hash de ficheiros

Ativa ou desativa a funcionalidade de computação hash de ficheiros. Quando esta funcionalidade está ativada, o Defender para Endpoint calcula os hashes dos ficheiros que analisa. Tenha em atenção que ativar esta funcionalidade pode afetar o desempenho do dispositivo. Para obter mais detalhes, veja: Criar indicadores para ficheiros.

Descrição Valor JSON Valor do Portal do Defender
Chave enableFileHashComputation Ativar a computação hash de ficheiros
Tipo de dados Booleano Menu pendente
Valores possíveis false (predefinição)

true

Não configurado
Desativado (predefinição)
Ativado

Nota

Disponível na versão 101.85.27 do Defender para Endpoint ou posterior.

Ameaças permitidas

Lista de ameaças (identificadas pelo respetivo nome) que não são bloqueadas pelo produto e que, em vez disso, têm permissão para serem executadas.

Descrição Valor JSON Valor do Portal do Defender
Chave allowedThreats Ameaças permitidas
Tipo de dados Matriz de cadeias Lista de Cadeias Dinâmicas

Ações de ameaça não permitidas

Restringe as ações que o utilizador local de um dispositivo pode efetuar quando são detetadas ameaças. As ações incluídas nesta lista não são apresentadas na interface de utilizador.

Descrição Valor JSON Valor do Portal do Defender
Chave disallowedThreatActions Ações de ameaça não permitidas
Tipo de dados Matriz de cadeias Lista de Cadeias Dinâmicas
Valores possíveis allow (impede os utilizadores de permitir ameaças)

restore (impede os utilizadores de restaurar ameaças da quarentena)

permitir (impede os utilizadores de permitir ameaças)

restaurar (impede os utilizadores de restaurar ameaças a partir da quarentena)

Nota

Disponível na versão 100.83.73 do Defender para Endpoint ou posterior.

Definições de tipo de ameaça

A preferência threatTypeSettings no motor antivírus é utilizada para controlar a forma como determinados tipos de ameaças são processados pelo produto.

Descrição Valor JSON Valor do Portal do Defender
Chave threatTypeSettings Definições de tipo de ameaça
Tipo de dados Dicionário (preferência aninhada) Lista de Propriedades Dinâmicas
Comentários Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. Veja as secções seguintes para obter uma descrição das propriedades dinâmicas.
Tipo de ameaça

Tipo de ameaça para a qual o comportamento está configurado.

Descrição Valor JSON Valor do Portal do Defender
Chave tecla Tipo de ameaça
Tipo de dados Cadeia Menu pendente
Valores possíveis potentially_unwanted_application

archive_bomb

potentially_unwanted_application

archive_bomb

Ação a tomar

Ação a tomar ao deparar-se com uma ameaça do tipo especificado na secção anterior. Pode ser:

  • Auditoria: o dispositivo não está protegido contra este tipo de ameaça, mas é registada uma entrada sobre a ameaça. (Predefinição)
  • Bloco: o dispositivo está protegido contra este tipo de ameaça e é notificado na consola de segurança.
  • Desativado: o dispositivo não está protegido contra este tipo de ameaça e nada é registado.
Descrição Valor JSON Valor do Portal do Defender
Chave valor Ação a tomar
Tipo de dados Cadeia Menu pendente
Valores possíveis audit (predefinição)

block

off

auditoria

bloquear

desativado

Política de intercalação de definições de tipo de ameaça

Especifica a política de intercalação para definições de tipo de ameaça. Pode ser uma combinação de definições definidas pelo administrador e definidas pelo utilizador (merge) ou apenas definições definidas pelo administrador (admin_only). As definições definidas pelo administrador (admin_only) são definições de tipo de ameaça que são configuradas pela política do Defender para Endpoint. Esta definição pode ser utilizada para impedir que os utilizadores locais definam as suas próprias definições para diferentes tipos de ameaças.

Descrição Valor JSON Valor do Portal do Defender
Chave threatTypeSettingsMergePolicy Intercalação de definições de tipo de ameaça
Tipo de dados Cadeia Menu pendente
Valores possíveis intercalação (predefinição)

admin_only

Não configurado
intercalação (Predefinição)
admin_only

Nota

Disponível na versão 100.83.73 do Defender para Endpoint ou posterior.

Retenção do histórico de análises de antivírus (em dias)

Especifique o número de dias que os resultados são retidos no histórico de análises no dispositivo. Os resultados da análise antigos são removidos do histórico. Ficheiros antigos em quarentena que também são removidos do disco.

Descrição Valor JSON Valor do Portal do Defender
Chave scanResultsRetentionDays Retenção de resultados da análise
Tipo de dados Cadeia Alternar comutador e Número Inteiro
Valores possíveis 90 (predefinição). Os valores permitidos são de 1 dia a 180 dias. Não configurado (desativar - predefinição de 90 dias)
Configurado (ativado) e valor permitido de 1 a 180 dias.

Nota

Disponível na versão 101.04.76 do Defender para Endpoint ou posterior.

Número máximo de itens no histórico de análise de antivírus

Especifique o número máximo de entradas a manter no histórico de análises. As entradas incluem todas as análises a pedido realizadas no passado e todas as deteções de antivírus.

Descrição Valor JSON Valor do Portal do Defender
Chave scanHistoryMaximumItems Tamanho do histórico de análises
Tipo de dados Cadeia Alternar e Número Inteiro
Valores possíveis 10000 (predefinição). Os valores permitidos são de 5000 itens a 15000 itens. Não configurado (desativar - 10000 predefinição)
Configurado (ativado) e valor permitido de 5000 a 15000 itens.

Nota

Disponível na versão 101.04.76 do Defender para Endpoint ou posterior.

Preferências de definição de exclusão

As preferências de definição de exlusão estão atualmente em pré-visualização.

Nota

As exclusões globais estão atualmente em pré-visualização pública e estão disponíveis no Defender para Endpoint a partir da versão 101.23092.0012 ou posterior nos anéis Insiders Slow e Production.

A exclusionSettings secção do perfil de configuração é utilizada para configurar várias exclusões para Microsoft Defender para Endpoint para Linux.

Descrição Valor JSON
Chave exclusionSettings
Tipo de dados Dicionário (preferência aninhada)
Comentários Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário.

Nota

As exclusões antivírus já configuradas em (antivirusEngine) no JSON gerido continuarão a funcionar tal como estão sem impacto. Todas as novas exclusões , incluindo exclusões antivírus, podem ser adicionadas nesta secção completamente nova (exclusionSettings). Esta secção está fora da etiqueta (antivirusEngine) como dedicada exclusivamente para configurar todos os tipos de exclusões que virão no futuro. Também pode continuar a utilizar (antivirusEngine) para configurar exclusões antivírus.

Política de intercalação

Especifica a política de intercalação para exclusões. Especifica se pode ser uma combinação de exclusões definidas pelo administrador e definidas pelo utilizador (merge) ou apenas exclusões definidas pelo administrador (admin_only). Esta definição pode ser utilizada para impedir que os utilizadores locais definam as suas próprias exclusões. Aplica-se a exclusões de todos os âmbitos.

Descrição Valor JSON
Chave mergePolicy
Tipo de dados Cadeia
Valores possíveis intercalação (predefinição)

admin_only

Comentários Disponível no Defender para Endpoint versão de setembro de 2023 ou superior.

Exclusões

As entidades que precisam de ser excluídas podem ser especificadas por caminhos completos, extensões ou nomes de ficheiros. Cada entidade de exclusão, ou seja, caminho completo, extensão ou nome de ficheiro tem um âmbito opcional que pode ser especificado. Se não for especificado, o valor predefinido do âmbito nesta secção é global. (As exclusões são especificadas como uma matriz de itens, o administrador pode especificar o número de elementos necessários, por qualquer ordem.)

Descrição Valor JSON
Chave exclusões
Tipo de dados Dicionário (preferência aninhada)
Comentários Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário.
Tipo de exclusão

Especifica o tipo de conteúdo excluído da análise.

Descrição Valor JSON
Chave $type
Tipo de dados Cadeia
Valores possíveis excludedPath

excludedFileExtension

excludedFileName

Âmbitos de exclusão (opcional)

Especifica o conjunto de âmbitos de exlusão de conteúdo excluído. Os âmbitos atualmente suportados são epp e global.

Se não for especificado nada no para uma exclusão em exclusionSettings na configuração gerida, global será considerado como âmbito.

Nota

As exclusões de antivírus configuradas anteriormente em (antivirusEngine) no JSON gerido continuarão a funcionar e o respetivo âmbito é considerado (epp) uma vez que foram adicionadas como exclusões antivírus.

Descrição Valor JSON
Chave âmbitos
Tipo de dados Conjunto de cadeias
Valores possíveis epp

global

Nota

As exclusões aplicadas anteriormente com (mdatp_managed.json) ou pela CLI permanecerão inalteradas. O âmbito dessas exclusões será (epp) uma vez que foram adicionadas em (antivirusEngine).

Caminho para conteúdo excluído

Utilizado para excluir conteúdo da análise por caminho de ficheiro completo.

Descrição Valor JSON
Chave caminho
Tipo de dados Cadeia
Valores possíveis caminhos válidos
Comentários Aplicável apenas se $type for excluídoPath.
Caráter universal não suportado se a exclusão tiver um âmbito global.
Tipo de caminho (ficheiro/diretório)

Indica se a propriedade path se refere a um ficheiro ou diretório.

Nota

O caminho do ficheiro já tem de existir se adicionar a exclusão de ficheiros com âmbito global.

Descrição Valor JSON
Chave isDirectory
Tipo de dados Booleano
Valores possíveis falso (predefinição)

verdadeiro

Comentários Aplicável apenas se $type for excluídoPath.
Caráter universal não suportado se a exclusão tiver um âmbito global.
Extensão de ficheiro excluída da análise

Utilizado para excluir conteúdo da análise por extensão de ficheiro.

Descrição Valor JSON
Chave extensão
Tipo de dados Cadeia
Valores possíveis extensões de ficheiro válidas
Comentários Aplicável apenas se $type for excluídoFileExtension.
Não suportado se a exclusão tiver um âmbito global.
Processo excluído da análise*

Especifica um processo para o qual toda a atividade de ficheiro é excluída da análise. O processo pode ser especificado pelo respetivo nome (por exemplo, cat) ou caminho completo (por exemplo, /bin/cat).

Descrição Valor JSON
Chave nome
Tipo de dados Cadeia
Valores possíveis qualquer cadeia
Comentários Aplicável apenas se $type for excluídoFileName.
O caráter universal e o nome do processo não são suportados se a exclusão tiver um âmbito global, tem de fornecer o caminho completo.

Opções avançadas de análise

As seguintes definições podem ser configuradas para ativar determinadas funcionalidades avançadas de análise.

Nota

Ativar estas funcionalidades pode afetar o desempenho do dispositivo. Como tal, é recomendado manter as predefinições.

Configurar a análise de eventos de permissões de modificação de ficheiros

Quando esta funcionalidade estiver ativada, o Defender para Endpoint analisará os ficheiros quando as respetivas permissões tiverem sido alteradas para definir os bits de execução.

Nota

Esta funcionalidade só é aplicável quando a enableFilePermissionEvents funcionalidade está ativada. Para obter mais informações, consulte a secção Funcionalidades opcionais avançadas abaixo para obter detalhes.

Descrição Valor JSON Valor do Portal do Defender
Chave scanFileModifyPermissions Não disponível
Tipo de dados Booleano n/a
Valores possíveis falso (predefinição)

verdadeiro

n/a

Nota

Disponível na versão 101.23062.0010 do Defender para Endpoint ou posterior.

Configurar a análise de eventos de propriedade de modificação de ficheiros

Quando esta funcionalidade estiver ativada, o Defender para Endpoint analisará os ficheiros para os quais a propriedade foi alterada.

Nota

Esta funcionalidade só é aplicável quando a enableFileOwnershipEvents funcionalidade está ativada. Para obter mais informações, consulte a secção Funcionalidades opcionais avançadas abaixo para obter detalhes.

Descrição Valor JSON Valor do Portal do Defender
Chave scanFileModifyOwnership Não disponível
Tipo de dados Booleano n/a
Valores possíveis falso (predefinição)

verdadeiro

n/a

Nota

Disponível na versão 101.23062.0010 do Defender para Endpoint ou posterior.

Configurar a análise de eventos de socket não processados

Quando esta funcionalidade estiver ativada, o Defender para Endpoint analisará eventos de socket de rede, como a criação de sockets/sockets de pacotes não processados ou a opção de configuração do socket.

Nota

Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada. Esta funcionalidade só é aplicável quando a enableRawSocketEvent funcionalidade está ativada. Para obter mais informações, consulte a secção Funcionalidades opcionais avançadas abaixo para obter detalhes.

Descrição Valor JSON Valor do Portal do Defender
Chave scanNetworkSocketEvent Não disponível
Tipo de dados Booleano n/a
Valores possíveis falso (predefinição)

verdadeiro

n/a

Nota

Disponível na versão 101.23062.0010 do Defender para Endpoint ou posterior.

Preferências de proteção fornecidas pela cloud

A entrada cloudService no perfil de configuração é utilizada para configurar a funcionalidade de proteção orientada para a cloud do produto.

Nota

A proteção fornecida pela cloud é aplicável a todas as definições de Nível de imposição (real_time, on_demand, passivo).

Descrição Valor JSON Valor do Portal do Defender
Chave cloudService Preferências de proteção fornecidas pela cloud
Tipo de dados Dicionário (preferência aninhada) Secção fechada
Comentários Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. Consulte as secções seguintes para obter uma descrição das definições da política.

Ativar/desativar a proteção fornecida pela cloud

Determina se a proteção fornecida pela cloud está ou não ativada no dispositivo. Para melhorar a segurança dos seus serviços, recomendamos que mantenha esta funcionalidade ativada.

Descrição Valor JSON Valor do Portal do Defender
Chave ativado Ativar a proteção fornecida pela cloud
Tipo de dados Booleano Menu pendente
Valores possíveis true (predefinição)

false

Não configurado
Desativado
Ativado (Predefinição)

Nível de recolha de diagnósticos

Os dados de diagnóstico são utilizados para manter o Defender para Endpoint seguro e atualizado, detetar, diagnosticar e corrigir problemas e também melhorar o produto. Esta definição determina o nível de diagnóstico enviado pelo produto à Microsoft. Para obter mais detalhes, consulte Privacidade para Microsoft Defender para Endpoint no Linux.

Descrição Valor JSON Valor do Portal do Defender
Chave diagnosticLevel Nível de recolha de dados de diagnóstico
Tipo de dados Cadeia Menu pendente
Valores possíveis optional

required (predefinição)

Não configurado
opcional (Predefinição)
Necessário

Configurar o nível de bloco da cloud

Esta definição determina a agressividade do Defender para Endpoint ao bloquear e analisar ficheiros suspeitos. Se esta definição estiver ativada, o Defender para Endpoint é mais agressivo ao identificar ficheiros suspeitos para bloquear e analisar; caso contrário, é menos agressivo e, portanto, bloqueia e analisa com menos frequência.

Existem cinco valores para definir o nível de bloco da cloud:

  • Normal (normal): o nível de bloqueio predefinido.
  • Moderado (moderate): dá um veredicto apenas para deteções de alta confiança.
  • Alto (high): bloqueia agressivamente ficheiros desconhecidos ao otimizar o desempenho (maior probabilidade de bloquear ficheiros não prejudiciais).
  • High Plus (high_plus): bloqueia agressivamente ficheiros desconhecidos e aplica medidas de proteção adicionais (podem afetar o desempenho do dispositivo cliente).
  • Tolerância Zero (zero_tolerance): bloqueia todos os programas desconhecidos.
Descrição Valor JSON Valor do Portal do Defender
Chave cloudBlockLevel Configurar o nível de bloco da cloud
Tipo de dados Cadeia Menu pendente
Valores possíveis normal (predefinição)

moderate

high

high_plus

zero_tolerance

Não configurado
Normal (predefinição)
Moderado
High
High_Plus
Zero_Tolerance

Nota

Disponível na versão 101.56.62 do Defender para Endpoint ou posterior.

Ativar/desativar submissões automáticas de exemplo

Determina se as amostras suspeitas (que são susceptíveis de conter ameaças) são enviadas para a Microsoft. Existem três níveis para controlar a submissão de amostras:

  • Nenhum: não são submetidos exemplos suspeitos à Microsoft.
  • Seguro: apenas os exemplos suspeitos que não contenham informações pessoais (PII) são submetidos automaticamente. Este é o valor predefinido para esta definição.
  • Todos: todos os exemplos suspeitos são submetidos à Microsoft.
Descrição Valor JSON Valor do Portal do Defender
Chave automaticSampleSubmissionConsent Ativar submissões automáticas de exemplo
Tipo de dados Cadeia Menu pendente
Valores possíveis none

safe (predefinição)

all

Não configurado
Nenhum
Seguro (Predefinição)
Todos

Ativar/desativar atualizações automáticas de informações de segurança

Determina se as atualizações de informações de segurança são instaladas automaticamente:

Descrição Valor JSON Valor do Portal do Defender
Chave automaticDefinitionUpdateEnabled Atualizações automáticas de informações de segurança
Tipo de dados Booleano Menu pendente
Valores possíveis true (predefinição)

false

Não configurado
Desativado
Ativado (Predefinição)

Consoante o nível de imposição, as atualizações automáticas de informações de segurança são instaladas de forma diferente. No modo RTP, as atualizações são instaladas periodicamente. No modo Passivo/A Pedido, as atualizações são instaladas antes de cada análise.

Funcionalidades opcionais avançadas

As seguintes definições podem ser configuradas para ativar determinadas funcionalidades avançadas.

Nota

Ativar estas funcionalidades pode afetar o desempenho do dispositivo. Recomenda-se que mantenha as predefinições.

Descrição Valor JSON Valor do Portal do Defender
Chave funcionalidades Não está disponível
Tipo de dados Dicionário (preferência aninhada) n/a
Comentários Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário.

Funcionalidade de carregamento do módulo

Determina se os eventos de carregamento do módulo (eventos de abertura de ficheiros em bibliotecas partilhadas) são monitorizados.

Nota

Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.

Descrição Valor JSON Valor do Portal do Defender
Chave moduleLoad Não está disponível
Tipo de dados Cadeia n/a
Valores possíveis desativado (predefinição)

ativado

n/a
Comentários Disponível na versão 101.68.80 do Defender para Endpoint ou posterior.

Configurações suplementares do sensor

As seguintes definições podem ser utilizadas para configurar determinadas funcionalidades avançadas do sensor suplementar.

Descrição Valor JSON Valor do Portal do Defender
Chave supplementarySensorConfigurations Não está disponível
Tipo de dados Dicionário (preferência aninhada) n/a
Comentários Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário.
Configurar a monitorização de eventos de permissões de modificação de ficheiros

Determina se os eventos de permissões de modificação de ficheiros (chmod) são monitorizados.

Nota

Quando esta funcionalidade está ativada, o Defender para Endpoint monitorizará as alterações aos bits de execução de ficheiros, mas não analisará estes eventos. Para obter mais informações, veja a secção Funcionalidades de análise avançadas para obter mais detalhes.

Descrição Valor JSON Valor do Portal do Defender
Chave enableFilePermissionEvents Não está disponível
Tipo de dados Cadeia n/a
Valores possíveis desativado (predefinição)

ativado

n/a
Comentários Disponível na versão 101.23062.0010 do Defender para Endpoint ou posterior.
Configurar a monitorização de eventos de propriedade de modificação de ficheiros

Determina se os eventos de propriedade de modificação de ficheiros (chown) são monitorizados.

Nota

Quando esta funcionalidade estiver ativada, o Defender para Endpoint monitorizará as alterações à propriedade dos ficheiros, mas não analisará estes eventos. Para obter mais informações, veja a secção Funcionalidades de análise avançadas para obter mais detalhes.

Descrição Valor JSON Valor do Portal do Defender
Chave enableFileOwnershipEvents Não está disponível
Tipo de dados Cadeia n/a
Valores possíveis desativado (predefinição)

ativado

n/a
Comentários Disponível na versão 101.23062.0010 do Defender para Endpoint ou posterior.
Configurar a monitorização de eventos de socket não processados

Determina se os eventos de socket de rede que envolvem a criação de sockets/sockets de pacotes não processados ou a opção de socket de definição são monitorizados.

Nota

Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada. Quando esta funcionalidade estiver ativada, o Defender para Endpoint monitorizará estes eventos de socket de rede, mas não analisará estes eventos. Para obter mais informações, veja a secção Funcionalidades de análise avançada acima para obter mais detalhes.

Descrição Valor JSON Valor do Portal do Defender
Chave enableRawSocketEvent Não está disponível
Tipo de dados Cadeia n/a
Valores possíveis desativado (predefinição)

ativado

n/a
Comentários Disponível na versão 101.23062.0010 do Defender para Endpoint ou posterior.
Configurar a monitorização de eventos do carregador de arranque

Determina se os eventos do carregador de arranque são monitorizados e analisados.

Nota

Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.

Descrição Valor JSON Valor do Portal do Defender
Chave enableBootLoaderCalls Não está disponível
Tipo de dados Cadeia n/a
Valores possíveis desativado (predefinição)

ativado

n/a
Comentários Disponível na versão 101.68.80 do Defender para Endpoint ou posterior.
Configurar a monitorização de eventos ptrace

Determina se os eventos ptrace são monitorizados e analisados.

Nota

Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.

Descrição Valor JSON Valor do Portal do Defender
Chave enableProcessCalls Não está disponível
Tipo de dados Cadeia n/a
Valores possíveis desativado (predefinição)

ativado

n/a
Comentários Disponível na versão 101.68.80 do Defender para Endpoint ou posterior.
Configurar a monitorização de eventos pseudofs

Determina se os eventos pseudofs são monitorizados e analisados.

Nota

Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.

Descrição Valor JSON Valor do Portal do Defender
Chave enablePseudofsCalls Não está disponível
Tipo de dados Cadeia n/a
Valores possíveis desativado (predefinição)

ativado

n/a
Comentários Disponível na versão 101.68.80 do Defender para Endpoint ou posterior.
Configurar a monitorização de eventos de carregamento de módulos com o eBPF

Determina se os eventos de carregamento do módulo são monitorizados com eBPF e analisados.

Nota

Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.

Descrição Valor JSON Valor do Portal do Defender
Chave enableEbpfModuleLoadEvents Não está disponível
Tipo de dados Cadeia n/a
Valores possíveis desativado (predefinição)

ativado

n/a
Comentários Disponível na versão 101.68.80 do Defender para Endpoint ou posterior.

Reportar Eventos Suspeitos av à EDR

Determina se os eventos suspeitos do Antivírus são comunicados à EDR.

Descrição Valor JSON Valor do Portal do Defender
Chave sendLowfiEvents Não está disponível
Tipo de dados Cadeia n/a
Valores possíveis desativado (predefinição)

ativado

n/a
Comentários Disponível na versão 101.23062.0010 do Defender para Endpoint ou posterior.

Configurações de proteção de rede

As seguintes definições podem ser utilizadas para configurar funcionalidades avançadas de inspeção de Proteção de Rede para controlar que tráfego é inspecionado pela Proteção de Rede.

Nota

Para que sejam eficazes, a Proteção de Rede tem de ser ativada. Para obter mais informações, veja Ativar a proteção de rede para Linux.

Descrição Valor JSON Valor do Portal do Defender
Chave networkProtection Proteção da rede
Tipo de dados Dicionário (preferência aninhada) Secção fechada
Comentários Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. Consulte as secções seguintes para obter uma descrição das definições de política.

Nível de Imposição

Descrição Valor JSON Valor do Portal do Defender
Chave enforcementLevel Nível de Imposição
Tipo de dados Cadeia Menu pendente
Valores possíveis disabled (predefinição)
audit
block
Não configurado
desativado (predefinição)
auditoria
bloquear

Configurar a inspeção ICMP

Determina se os eventos ICMP são monitorizados e analisados.

Nota

Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.

Descrição Valor JSON Valor do Portal do Defender
Chave disableIcmpInspection Não está disponível
Tipo de dados Booleano n/a
Valores possíveis true (predefinição)

false

n/a
Comentários Disponível na versão 101.23062.0010 do Defender para Endpoint ou posterior.

Para começar, recomendamos que o seguinte perfil de configuração para a sua empresa tire partido de todas as funcionalidades de proteção que o Defender para Endpoint fornece.

O seguinte perfil de configuração:

  • Ativa a proteção em tempo real (RTP)
  • Especifica a forma como os seguintes tipos de ameaças são processados:
    • As aplicações potencialmente indesejadas (PUA) estão bloqueadas
    • As bombas de arquivo (ficheiro com uma taxa de compressão elevada) são auditadas para os registos de produtos
  • Ativa atualizações automáticas de informações de segurança
  • Ativa a proteção fornecida pela cloud
  • Ativa a submissão automática de exemplo ao safe nível

Perfil de exemplo

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Exemplo de perfil de configuração completo

O seguinte perfil de configuração contém entradas para todas as definições descritas neste documento e pode ser utilizado para cenários mais avançados em que pretende ter mais controlo sobre o produto.

Nota

Não é possível controlar todas as Microsoft Defender para Endpoint comunicação apenas com uma definição de proxy neste JSON.

Perfil completo

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":false,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefintionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"diabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

Adicionar um ID de grupo ou etiqueta ao perfil de configuração

Quando executar o mdatp health comando pela primeira vez, o valor da etiqueta e do ID de grupo estará em branco. Para adicionar um ID de etiqueta ou grupo ao mdatp_managed.json ficheiro, siga os passos abaixo:

  1. Abra o perfil de configuração a partir do caminho /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

  2. Desça até à parte inferior do ficheiro, onde se encontra o cloudService bloco.

  3. Adicione a etiqueta necessária ou o ID de grupo como exemplo seguinte no final do parêntese curly de fecho do cloudService.

    },
    "cloudService": {
     "enabled": true,
     "diagnosticLevel": "optional",
     "automaticSampleSubmissionConsent": "safe",
     "automaticDefinitionUpdateEnabled": true,
     "proxy": "http://proxy.server:port/"
    },
    "edr": {
    "groupIds":"GroupIdExample",
    "tags": [
             {
             "key": "GROUP",
             "value": "Tag"
             }
           ]
       }
    }
    

    Nota

    Adicione a vírgula após o parêntese encaracolado de fecho no final do cloudService bloco. Além disso, certifique-se de que existem dois parênteses retos de fecho depois de adicionar o bloco ID da Etiqueta ou do Grupo (veja o exemplo acima). Neste momento, o único nome de chave suportado para etiquetas é GROUP.

Validação do perfil de configuração

O perfil de configuração tem de ser um ficheiro com formato JSON válido. Existem muitas ferramentas que podem ser utilizadas para verificar isto. Por exemplo, se tiver python instalado no seu dispositivo:

python -m json.tool mdatp_managed.json

Se o JSON estiver bem formado, o comando acima devolve-o ao Terminal e devolve um código de saída de 0. Caso contrário, é apresentado um erro que descreve o problema e o comando devolve um código de saída de 1.

Verificar se o ficheiro mdatp_managed.json está a funcionar conforme esperado

Para verificar se o seu /etc/opt/microsoft/mdatp/managed/mdatp_managed.json está a funcionar corretamente, deverá ver "[managed]" junto a estas definições:

  • cloud_enabled
  • cloud_automatic_sample_submission_consent
  • passive_mode_enabled
  • real_time_protection_enabled
  • automatic_definition_update_enabled

Nota

Não é necessário reiniciar o daemon mdatp para que as alterações à maioria das configurações no entrem em mdatp_managed.json vigor. Exceção: As seguintes configurações requerem um reinício do daemon para entrarem em vigor:

  • cloud-diagnostic
  • log-rotation-parameters

Implementação do perfil de configuração

Depois de criar o perfil de configuração para a sua empresa, pode implementá-lo através da ferramenta de gestão que a sua empresa está a utilizar. O Defender para Endpoint no Linux lê a configuração gerida a partir de /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.