Definir preferências para o Microsoft Defender para Endpoint no Linux
Aplica-se a:
- Microsoft Defender para Endpoint Server
- Microsoft Defender para Servidores
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Importante
Este artigo contém instruções sobre como definir preferências para o Defender para Endpoint no Linux em ambientes empresariais. Se estiver interessado em configurar o produto num dispositivo a partir da linha de comandos, veja Recursos.
Em ambientes empresariais, o Defender para Endpoint no Linux pode ser gerido através de um perfil de configuração. Este perfil é implementado a partir da ferramenta de gestão à sua escolha. As preferências geridas pela empresa têm precedência sobre as definidas localmente no dispositivo. Por outras palavras, os utilizadores na sua empresa não conseguem alterar as preferências definidas através deste perfil de configuração. Se as exclusões tiverem sido adicionadas através do perfil de configuração gerida, só podem ser removidas através do perfil de configuração gerida. A linha de comandos funciona para exclusões que foram adicionadas localmente.
Este artigo descreve a estrutura deste perfil (incluindo um perfil recomendado que pode utilizar para começar) e instruções sobre como implementar o perfil.
Estrutura do perfil de configuração
O perfil de configuração é um .json
ficheiro que consiste em entradas identificadas por uma chave (que denota o nome da preferência), seguido de um valor, que depende da natureza da preferência. Os valores podem ser simples, como um valor numérico ou complexo, como uma lista aninhada de preferências.
Normalmente, utilizaria uma ferramenta de gestão de configuração para emitir um ficheiro com o nome mdatp_managed.json
na localização /etc/opt/microsoft/mdatp/managed/
.
O nível superior do perfil de configuração inclui preferências e entradas ao nível do produto para subáreas do produto, que são explicadas mais detalhadamente nas secções seguintes.
Preferências do motor antivírus
A secção antivírusEngine do perfil de configuração é utilizada para gerir as preferências do componente antivírus do produto.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | antivírusEngine | Motor antivírus |
Tipo de dados | Dicionário (preferência aninhada) | Secção Fechada |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. | Veja as secções seguintes para obter uma descrição das propriedades da política. |
Nível de imposição do motor antivírus
Especifica a preferência de imposição do motor antivírus. Existem três valores para definir o nível de imposição:
- Em tempo real (
real_time
): a proteção em tempo real (analisar ficheiros à medida que são modificados) está ativada. - A pedido (
on_demand
): os ficheiros são analisados apenas a pedido. Neste:- A proteção em tempo real está desativada.
- As atualizações de definições ocorrem apenas quando uma análise é iniciada, mesmo que
automaticDefinitionUpdateEnabled
esteja definida como no modo atrue
pedido.
- Passivo (
passive
): executa o motor antivírus no modo passivo. Neste caso, aplicam-se todos os seguintes:- A proteção em tempo real está desativada: as ameaças não são remediadas pelo Antivírus Microsoft Defender.
- A análise a pedido está ativada: utilize ainda as capacidades de análise no ponto final.
- A remediação automática de ameaças está desativada: não são movidos ficheiros e espera-se que o administrador de segurança tome as medidas necessárias.
- As atualizações de informações de segurança estão ativadas: os alertas estão disponíveis no inquilino do administrador de segurança.
- As atualizações de definições ocorrem apenas quando uma análise é iniciada, mesmo que
automaticDefinitionUpdateEnabled
esteja definida comotrue
no modo passivo.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | enforcementLevel | Nível de Imposição |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis | real_time on_demand passive (predefinição) |
Não configurado Tempo real OnDemand Passivo (Predefinição) |
Nota
Disponível na versão 101.10.72
do Defender para Endpoint ou posterior. A predefinição é alterada de para passive
na versão 101.23062.0001
do real_time
Defender para Endpoint ou posterior.
Recomenda-se também utilizar análises agendadas de acordo com o requisito.
Ativar/desativar a monitorização de comportamento
Determina se a capacidade de monitorização e bloqueio de comportamento está ou não ativada no dispositivo.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | behaviorMonitoring | Ativar a monitorização de comportamento |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis |
disabled (predefinição) |
Não configurado Desativado (Predefinição) Ativado |
Nota
Disponível na versão 101.45.00
do Defender para Endpoint ou posterior.
Esta funcionalidade só é aplicável quando a proteção em tempo real está ativada.
Executar uma análise após a atualização das definições
Especifica se pretende iniciar uma análise de processo após a transferência de novas atualizações de informações de segurança no dispositivo. Ativar esta definição aciona uma análise antivírus nos processos em execução do dispositivo.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | scanAfterDefinitionUpdate | Ativar a Análise após a atualização da definição |
Tipo de dados | Booleano | Menu pendente |
Valores possíveis |
true (predefinição) |
Não configurado Desativado Ativado (Predefinição) |
Nota
Disponível na versão 101.45.00
do Defender para Endpoint ou posterior.
Esta funcionalidade só funciona quando o nível de imposição está definido como real-time
.
Analisar arquivos (apenas análises antivírus a pedido)
Especifica se pretende analisar arquivos durante análises antivírus a pedido.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | scanArchives | Ativar a análise de arquivos |
Tipo de dados | Booleano | Menu pendente |
Valores possíveis |
true (predefinição)
|
Não configurado Desativado Ativado (Predefinição) |
Nota
Disponível na versão 101.45.00
Microsoft Defender para Endpoint ou posterior.
Os ficheiros de arquivo nunca são analisados durante a proteção em tempo real. Quando os ficheiros num arquivo são extraídos, são analisados. A opção scanArchives pode ser utilizada para forçar a análise de arquivos apenas durante a análise a pedido.
Grau de paralelismo para análises a pedido
Especifica o grau de paralelismo para análises a pedido. Isto corresponde ao número de threads utilizados para efetuar a análise e afeta a utilização da CPU e a duração da análise a pedido.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | maximumOnDemandScanThreads | threads de análise máximo a pedido |
Tipo de dados | Número inteiro | Alternar Alternar & Número Inteiro |
Valores possíveis | 2 (predefinição). Os valores permitidos são números inteiros entre 1 e 64. | Não Configurado (a predefinição desativa a predefinição é 2) Configurado (ativado) e número inteiro entre 1 e 64. |
Nota
Disponível na versão 101.45.00
Microsoft Defender para Endpoint ou posterior.
Política de intercalação de exclusão
Especifica a política de intercalação para exclusões. Pode ser uma combinação de exclusões definidas pelo administrador e definidas pelo utilizador (merge
) ou apenas exclusões definidas pelo administrador (admin_only
). As exclusões definidas pelo administrador (admin_only) são exclusões configuradas pela política do Defender para Endpoint. Esta definição pode ser utilizada para impedir que os utilizadores locais definam as suas próprias exclusões.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | exclusionsMergePolicy | Intercalação de exclusões |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis |
merge (predefinição)
|
Não configurado intercalação (Predefinição) admin_only |
Nota
Disponível na versão 100.83.73
do Defender para Endpoint ou posterior.
Também pode configurar exclusões em exclusionSettings
Analisar exclusões
Entidades que foram excluídas da análise. As exclusões podem ser especificadas por caminhos completos, extensões ou nomes de ficheiros. (As exclusões são especificadas como uma matriz de itens, o administrador pode especificar o número de elementos necessários, por qualquer ordem.)
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | exclusões | Analisar exclusões |
Tipo de dados | Dicionário (preferência aninhada) | Lista de Propriedades Dinâmicas |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Tipo de exclusão
Especifica o tipo de conteúdo excluído da análise.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | $type | Tipo |
Tipo de dados | Cadeia | Menu Pendente |
Valores possíveis | excludedPath
|
Caminho Extensão de ficheiro Nome do processo |
Caminho para conteúdo excluído
Utilizado para excluir conteúdo da análise por caminho de ficheiro completo.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | caminho | Caminho |
Tipo de dados | Cadeia | Cadeia |
Valores possíveis | caminhos válidos | caminhos válidos |
Comentários | Aplicável apenas se $type for excluídoPath | Acedido no pop-up Editar instância |
Tipo de caminho (ficheiro/diretório)
Indica se a propriedade path se refere a um ficheiro ou diretório.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | isDirectory | É diretório |
Tipo de dados | Booleano | Menu pendente |
Valores possíveis |
false (predefinição)
|
Ativado Desativado |
Comentários | Aplicável apenas se $type for excluídoPath | Acedido no pop-up Editar instância |
Extensão de ficheiro excluída da análise
Utilizado para excluir conteúdo da análise por extensão de ficheiro.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | extensão | Extensão de ficheiro |
Tipo de dados | Cadeia | Cadeia |
Valores possíveis | extensões de ficheiro válidas | extensões de ficheiro válidas |
Comentários | Aplicável apenas se $type for excluídoFileExtension | Acedido no pop-up Configurar instância |
Processo excluído da análise*
Especifica um processo para o qual toda a atividade de ficheiro é excluída da análise. O processo pode ser especificado pelo respetivo nome (por exemplo, cat
) ou caminho completo (por exemplo, /bin/cat
).
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | nome | Nome de ficheiro |
Tipo de dados | Cadeia | Cadeia |
Valores possíveis | qualquer cadeia | qualquer cadeia |
Comentários | Aplicável apenas se $type for excluídoFileName | Acedido no pop-up Configurar instância |
Desativar o som de montagens não exec
Especifica o comportamento do RTP no ponto de montagem marcado como noexec. Existem dois valores para a definição:
- Unmuted (
unmute
): o valor predefinido, todos os pontos de montagem são analisados como parte do RTP. - Desativado (
mute
): os pontos de montagem marcados como nãoexec não são analisados como parte do RTP. Estes pontos de montagem podem ser criados para:- Ficheiros de base de dados em Servidores de bases de dados para manter ficheiros de base de dados.
- O servidor de ficheiros pode manter pontos de montagem de ficheiros de dados com a opção noexec.
- A cópia de segurança pode manter pontos de montagem de ficheiros de dados com a opção noexec.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | nonExecMountPolicy | sem execução de susativação de montagem |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis |
unmute (predefinição)
|
Não configurado ativar som (Predefinição) desativar som |
Nota
Disponível na versão 101.85.27
do Defender para Endpoint ou posterior.
Desmonitorizar sistemas de ficheiros
Configure sistemas de ficheiros para não serem monitorizados/excluídos da proteção em tempo real (RTP). Os sistemas de ficheiros configurados são validados na lista de sistemas de ficheiros permitidos do Microsoft Defender. Os sistemas de ficheiros só podem ser monitorizados após a validação com êxito. Estes sistemas de ficheiros não monitorizados configurados continuam a ser analisados por análises rápidas, completas e personalizadas no Antivírus Microsoft Defender.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | unmonitoredFilesystems | Sistemas de Ficheiros Não Monitorizados |
Tipo de dados | Matriz de cadeias | Lista de Cadeias Dinâmicas |
Nota
O sistema de ficheiros configurado só será monitorizado se estiver presente na lista de sistemas de ficheiros não monitorizados permitidos da Microsoft.
Por predefinição, o NFS e a Fusão não são monitorizados das análises RTP, Rápida e Completa. No entanto, ainda podem ser analisados por uma análise personalizada. Por exemplo, para remover o NFS da lista de sistemas de ficheiros não monitorizados, atualize o ficheiro de configuração gerida, conforme mostrado abaixo. Esta ação irá adicionar automaticamente NFS à lista de sistemas de ficheiros monitorizados para RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
Para remover o NFS e a Fusão da lista não monitorizada de sistemas de ficheiros, faça o seguinte
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
Nota
Eis a lista predefinida de sistemas de ficheiros monitorizados para RTP: btrfs
, , ext2
ecryptfs
, ext3
, ext4
, fuseblk
, jfs
, overlay
, ramfs
, , reiserfs
, , tmpfs
, , vfat
, . xfs
Se for necessário adicionar algum sistema de ficheiros monitorizado à lista de sistemas de ficheiros não monitorizados, tem de ser avaliado e ativado pela Microsoft através da configuração da cloud. Seguindo o que os clientes podem atualizar managed_mdatp.json para desmonitorizar esse sistema de ficheiros.
Configurar a funcionalidade de computação hash de ficheiros
Ativa ou desativa a funcionalidade de computação hash de ficheiros. Quando esta funcionalidade está ativada, o Defender para Endpoint calcula os hashes dos ficheiros que analisa. Tenha em atenção que ativar esta funcionalidade pode afetar o desempenho do dispositivo. Para obter mais detalhes, veja: Criar indicadores para ficheiros.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | enableFileHashComputation | Ativar a computação hash de ficheiros |
Tipo de dados | Booleano | Menu pendente |
Valores possíveis |
false (predefinição)
|
Não configurado Desativado (predefinição) Ativado |
Nota
Disponível na versão 101.85.27
do Defender para Endpoint ou posterior.
Ameaças permitidas
Lista de ameaças (identificadas pelo respetivo nome) que não são bloqueadas pelo produto e que, em vez disso, têm permissão para serem executadas.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | allowedThreats | Ameaças permitidas |
Tipo de dados | Matriz de cadeias | Lista de Cadeias Dinâmicas |
Ações de ameaça não permitidas
Restringe as ações que o utilizador local de um dispositivo pode efetuar quando são detetadas ameaças. As ações incluídas nesta lista não são apresentadas na interface de utilizador.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | disallowedThreatActions | Ações de ameaça não permitidas |
Tipo de dados | Matriz de cadeias | Lista de Cadeias Dinâmicas |
Valores possíveis |
allow (impede os utilizadores de permitir ameaças)
|
permitir (impede os utilizadores de permitir ameaças) restaurar (impede os utilizadores de restaurar ameaças a partir da quarentena) |
Nota
Disponível na versão 100.83.73
do Defender para Endpoint ou posterior.
Definições de tipo de ameaça
A preferência threatTypeSettings no motor antivírus é utilizada para controlar a forma como determinados tipos de ameaças são processados pelo produto.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | threatTypeSettings | Definições de tipo de ameaça |
Tipo de dados | Dicionário (preferência aninhada) | Lista de Propriedades Dinâmicas |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. | Veja as secções seguintes para obter uma descrição das propriedades dinâmicas. |
Tipo de ameaça
Tipo de ameaça para a qual o comportamento está configurado.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | tecla | Tipo de ameaça |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis | potentially_unwanted_application
|
potentially_unwanted_application archive_bomb |
Ação a tomar
Ação a tomar ao deparar-se com uma ameaça do tipo especificado na secção anterior. Pode ser:
- Auditoria: o dispositivo não está protegido contra este tipo de ameaça, mas é registada uma entrada sobre a ameaça. (Predefinição)
- Bloco: o dispositivo está protegido contra este tipo de ameaça e é notificado na consola de segurança.
- Desativado: o dispositivo não está protegido contra este tipo de ameaça e nada é registado.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | valor | Ação a tomar |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis |
audit (predefinição)
|
auditoria bloquear desativado |
Política de intercalação de definições de tipo de ameaça
Especifica a política de intercalação para definições de tipo de ameaça. Pode ser uma combinação de definições definidas pelo administrador e definidas pelo utilizador (merge
) ou apenas definições definidas pelo administrador (admin_only
). As definições definidas pelo administrador (admin_only) são definições de tipo de ameaça que são configuradas pela política do Defender para Endpoint. Esta definição pode ser utilizada para impedir que os utilizadores locais definam as suas próprias definições para diferentes tipos de ameaças.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | threatTypeSettingsMergePolicy | Intercalação de definições de tipo de ameaça |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis | intercalação (predefinição) admin_only |
Não configurado intercalação (Predefinição) admin_only |
Nota
Disponível na versão 100.83.73
do Defender para Endpoint ou posterior.
Retenção do histórico de análises de antivírus (em dias)
Especifique o número de dias que os resultados são retidos no histórico de análises no dispositivo. Os resultados da análise antigos são removidos do histórico. Ficheiros antigos em quarentena que também são removidos do disco.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | scanResultsRetentionDays | Retenção de resultados da análise |
Tipo de dados | Cadeia | Alternar comutador e Número Inteiro |
Valores possíveis | 90 (predefinição). Os valores permitidos são de 1 dia a 180 dias. | Não configurado (desativar - predefinição de 90 dias) Configurado (ativado) e valor permitido de 1 a 180 dias. |
Nota
Disponível na versão 101.04.76
do Defender para Endpoint ou posterior.
Número máximo de itens no histórico de análise de antivírus
Especifique o número máximo de entradas a manter no histórico de análises. As entradas incluem todas as análises a pedido realizadas no passado e todas as deteções de antivírus.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | scanHistoryMaximumItems | Tamanho do histórico de análises |
Tipo de dados | Cadeia | Alternar e Número Inteiro |
Valores possíveis | 10000 (predefinição). Os valores permitidos são de 5000 itens a 15000 itens. | Não configurado (desativar - 10000 predefinição) Configurado (ativado) e valor permitido de 5000 a 15000 itens. |
Nota
Disponível na versão 101.04.76
do Defender para Endpoint ou posterior.
Preferências de definição de exclusão
As preferências de definição de exlusão estão atualmente em pré-visualização.
Nota
As exclusões globais estão atualmente em pré-visualização pública e estão disponíveis no Defender para Endpoint a partir da versão 101.23092.0012
ou posterior nos anéis Insiders Slow e Production.
A exclusionSettings
secção do perfil de configuração é utilizada para configurar várias exclusões para Microsoft Defender para Endpoint para Linux.
Descrição | Valor JSON |
---|---|
Chave | exclusionSettings |
Tipo de dados | Dicionário (preferência aninhada) |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Nota
As exclusões antivírus já configuradas em (antivirusEngine
) no JSON gerido continuarão a funcionar tal como estão sem impacto. Todas as novas exclusões , incluindo exclusões antivírus, podem ser adicionadas nesta secção completamente nova (exclusionSettings
). Esta secção está fora da etiqueta (antivirusEngine
) como dedicada exclusivamente para configurar todos os tipos de exclusões que virão no futuro. Também pode continuar a utilizar (antivirusEngine
) para configurar exclusões antivírus.
Política de intercalação
Especifica a política de intercalação para exclusões. Especifica se pode ser uma combinação de exclusões definidas pelo administrador e definidas pelo utilizador (merge
) ou apenas exclusões definidas pelo administrador (admin_only
). Esta definição pode ser utilizada para impedir que os utilizadores locais definam as suas próprias exclusões. Aplica-se a exclusões de todos os âmbitos.
Descrição | Valor JSON |
---|---|
Chave | mergePolicy |
Tipo de dados | Cadeia |
Valores possíveis | intercalação (predefinição) admin_only |
Comentários | Disponível no Defender para Endpoint versão de setembro de 2023 ou superior. |
Exclusões
As entidades que precisam de ser excluídas podem ser especificadas por caminhos completos, extensões ou nomes de ficheiros. Cada entidade de exclusão, ou seja, caminho completo, extensão ou nome de ficheiro tem um âmbito opcional que pode ser especificado. Se não for especificado, o valor predefinido do âmbito nesta secção é global. (As exclusões são especificadas como uma matriz de itens, o administrador pode especificar o número de elementos necessários, por qualquer ordem.)
Descrição | Valor JSON |
---|---|
Chave | exclusões |
Tipo de dados | Dicionário (preferência aninhada) |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Tipo de exclusão
Especifica o tipo de conteúdo excluído da análise.
Descrição | Valor JSON |
---|---|
Chave | $type |
Tipo de dados | Cadeia |
Valores possíveis | excludedPath excludedFileExtension excludedFileName |
Âmbitos de exclusão (opcional)
Especifica o conjunto de âmbitos de exlusão de conteúdo excluído. Os âmbitos atualmente suportados são epp
e global
.
Se não for especificado nada no para uma exclusão em exclusionSettings na configuração gerida, global
será considerado como âmbito.
Nota
As exclusões de antivírus configuradas anteriormente em (antivirusEngine
) no JSON gerido continuarão a funcionar e o respetivo âmbito é considerado (epp
) uma vez que foram adicionadas como exclusões antivírus.
Descrição | Valor JSON |
---|---|
Chave | âmbitos |
Tipo de dados | Conjunto de cadeias |
Valores possíveis | epp global |
Nota
As exclusões aplicadas anteriormente com (mdatp_managed.json
) ou pela CLI permanecerão inalteradas. O âmbito dessas exclusões será (epp
) uma vez que foram adicionadas em (antivirusEngine
).
Caminho para conteúdo excluído
Utilizado para excluir conteúdo da análise por caminho de ficheiro completo.
Descrição | Valor JSON |
---|---|
Chave | caminho |
Tipo de dados | Cadeia |
Valores possíveis | caminhos válidos |
Comentários | Aplicável apenas se $type for excluídoPath. Caráter universal não suportado se a exclusão tiver um âmbito global. |
Tipo de caminho (ficheiro/diretório)
Indica se a propriedade path se refere a um ficheiro ou diretório.
Nota
O caminho do ficheiro já tem de existir se adicionar a exclusão de ficheiros com âmbito global.
Descrição | Valor JSON |
---|---|
Chave | isDirectory |
Tipo de dados | Booleano |
Valores possíveis | falso (predefinição) verdadeiro |
Comentários | Aplicável apenas se $type for excluídoPath. Caráter universal não suportado se a exclusão tiver um âmbito global. |
Extensão de ficheiro excluída da análise
Utilizado para excluir conteúdo da análise por extensão de ficheiro.
Descrição | Valor JSON |
---|---|
Chave | extensão |
Tipo de dados | Cadeia |
Valores possíveis | extensões de ficheiro válidas |
Comentários | Aplicável apenas se $type for excluídoFileExtension. Não suportado se a exclusão tiver um âmbito global. |
Processo excluído da análise*
Especifica um processo para o qual toda a atividade de ficheiro é excluída da análise. O processo pode ser especificado pelo respetivo nome (por exemplo, cat
) ou caminho completo (por exemplo, /bin/cat
).
Descrição | Valor JSON |
---|---|
Chave | nome |
Tipo de dados | Cadeia |
Valores possíveis | qualquer cadeia |
Comentários | Aplicável apenas se $type for excluídoFileName. O caráter universal e o nome do processo não são suportados se a exclusão tiver um âmbito global, tem de fornecer o caminho completo. |
Opções avançadas de análise
As seguintes definições podem ser configuradas para ativar determinadas funcionalidades avançadas de análise.
Nota
Ativar estas funcionalidades pode afetar o desempenho do dispositivo. Como tal, é recomendado manter as predefinições.
Configurar a análise de eventos de permissões de modificação de ficheiros
Quando esta funcionalidade estiver ativada, o Defender para Endpoint analisará os ficheiros quando as respetivas permissões tiverem sido alteradas para definir os bits de execução.
Nota
Esta funcionalidade só é aplicável quando a enableFilePermissionEvents
funcionalidade está ativada. Para obter mais informações, consulte a secção Funcionalidades opcionais avançadas abaixo para obter detalhes.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | scanFileModifyPermissions | Não disponível |
Tipo de dados | Booleano | n/a |
Valores possíveis | falso (predefinição) verdadeiro |
n/a |
Nota
Disponível na versão 101.23062.0010
do Defender para Endpoint ou posterior.
Configurar a análise de eventos de propriedade de modificação de ficheiros
Quando esta funcionalidade estiver ativada, o Defender para Endpoint analisará os ficheiros para os quais a propriedade foi alterada.
Nota
Esta funcionalidade só é aplicável quando a enableFileOwnershipEvents
funcionalidade está ativada. Para obter mais informações, consulte a secção Funcionalidades opcionais avançadas abaixo para obter detalhes.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | scanFileModifyOwnership | Não disponível |
Tipo de dados | Booleano | n/a |
Valores possíveis | falso (predefinição) verdadeiro |
n/a |
Nota
Disponível na versão 101.23062.0010
do Defender para Endpoint ou posterior.
Configurar a análise de eventos de socket não processados
Quando esta funcionalidade estiver ativada, o Defender para Endpoint analisará eventos de socket de rede, como a criação de sockets/sockets de pacotes não processados ou a opção de configuração do socket.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
Esta funcionalidade só é aplicável quando a enableRawSocketEvent
funcionalidade está ativada. Para obter mais informações, consulte a secção Funcionalidades opcionais avançadas abaixo para obter detalhes.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | scanNetworkSocketEvent | Não disponível |
Tipo de dados | Booleano | n/a |
Valores possíveis | falso (predefinição) verdadeiro |
n/a |
Nota
Disponível na versão 101.23062.0010
do Defender para Endpoint ou posterior.
Preferências de proteção fornecidas pela cloud
A entrada cloudService no perfil de configuração é utilizada para configurar a funcionalidade de proteção orientada para a cloud do produto.
Nota
A proteção fornecida pela cloud é aplicável a todas as definições de Nível de imposição (real_time, on_demand, passivo).
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | cloudService | Preferências de proteção fornecidas pela cloud |
Tipo de dados | Dicionário (preferência aninhada) | Secção fechada |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. | Consulte as secções seguintes para obter uma descrição das definições da política. |
Ativar/desativar a proteção fornecida pela cloud
Determina se a proteção fornecida pela cloud está ou não ativada no dispositivo. Para melhorar a segurança dos seus serviços, recomendamos que mantenha esta funcionalidade ativada.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | ativado | Ativar a proteção fornecida pela cloud |
Tipo de dados | Booleano | Menu pendente |
Valores possíveis |
true (predefinição)
|
Não configurado Desativado Ativado (Predefinição) |
Nível de recolha de diagnósticos
Os dados de diagnóstico são utilizados para manter o Defender para Endpoint seguro e atualizado, detetar, diagnosticar e corrigir problemas e também melhorar o produto. Esta definição determina o nível de diagnóstico enviado pelo produto à Microsoft. Para obter mais detalhes, consulte Privacidade para Microsoft Defender para Endpoint no Linux.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | diagnosticLevel | Nível de recolha de dados de diagnóstico |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis | optional
|
Não configurado opcional (Predefinição) Necessário |
Configurar o nível de bloco da cloud
Esta definição determina a agressividade do Defender para Endpoint ao bloquear e analisar ficheiros suspeitos. Se esta definição estiver ativada, o Defender para Endpoint é mais agressivo ao identificar ficheiros suspeitos para bloquear e analisar; caso contrário, é menos agressivo e, portanto, bloqueia e analisa com menos frequência.
Existem cinco valores para definir o nível de bloco da cloud:
- Normal (
normal
): o nível de bloqueio predefinido. - Moderado (
moderate
): dá um veredicto apenas para deteções de alta confiança. - Alto (
high
): bloqueia agressivamente ficheiros desconhecidos ao otimizar o desempenho (maior probabilidade de bloquear ficheiros não prejudiciais). - High Plus (
high_plus
): bloqueia agressivamente ficheiros desconhecidos e aplica medidas de proteção adicionais (podem afetar o desempenho do dispositivo cliente). - Tolerância Zero (
zero_tolerance
): bloqueia todos os programas desconhecidos.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | cloudBlockLevel | Configurar o nível de bloco da cloud |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis |
normal (predefinição)
|
Não configurado Normal (predefinição) Moderado High High_Plus Zero_Tolerance |
Nota
Disponível na versão 101.56.62
do Defender para Endpoint ou posterior.
Ativar/desativar submissões automáticas de exemplo
Determina se as amostras suspeitas (que são susceptíveis de conter ameaças) são enviadas para a Microsoft. Existem três níveis para controlar a submissão de amostras:
- Nenhum: não são submetidos exemplos suspeitos à Microsoft.
- Seguro: apenas os exemplos suspeitos que não contenham informações pessoais (PII) são submetidos automaticamente. Este é o valor predefinido para esta definição.
- Todos: todos os exemplos suspeitos são submetidos à Microsoft.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | automaticSampleSubmissionConsent | Ativar submissões automáticas de exemplo |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis | none
|
Não configurado Nenhum Seguro (Predefinição) Todos |
Ativar/desativar atualizações automáticas de informações de segurança
Determina se as atualizações de informações de segurança são instaladas automaticamente:
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | automaticDefinitionUpdateEnabled | Atualizações automáticas de informações de segurança |
Tipo de dados | Booleano | Menu pendente |
Valores possíveis |
true (predefinição)
|
Não configurado Desativado Ativado (Predefinição) |
Consoante o nível de imposição, as atualizações automáticas de informações de segurança são instaladas de forma diferente. No modo RTP, as atualizações são instaladas periodicamente. No modo Passivo/A Pedido, as atualizações são instaladas antes de cada análise.
Funcionalidades opcionais avançadas
As seguintes definições podem ser configuradas para ativar determinadas funcionalidades avançadas.
Nota
Ativar estas funcionalidades pode afetar o desempenho do dispositivo. Recomenda-se que mantenha as predefinições.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | funcionalidades | Não está disponível |
Tipo de dados | Dicionário (preferência aninhada) | n/a |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Funcionalidade de carregamento do módulo
Determina se os eventos de carregamento do módulo (eventos de abertura de ficheiros em bibliotecas partilhadas) são monitorizados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | moduleLoad | Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis | desativado (predefinição) ativado |
n/a |
Comentários | Disponível na versão 101.68.80 do Defender para Endpoint ou posterior. |
Configurações suplementares do sensor
As seguintes definições podem ser utilizadas para configurar determinadas funcionalidades avançadas do sensor suplementar.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | supplementarySensorConfigurations | Não está disponível |
Tipo de dados | Dicionário (preferência aninhada) | n/a |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Configurar a monitorização de eventos de permissões de modificação de ficheiros
Determina se os eventos de permissões de modificação de ficheiros (chmod
) são monitorizados.
Nota
Quando esta funcionalidade está ativada, o Defender para Endpoint monitorizará as alterações aos bits de execução de ficheiros, mas não analisará estes eventos. Para obter mais informações, veja a secção Funcionalidades de análise avançadas para obter mais detalhes.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | enableFilePermissionEvents | Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis | desativado (predefinição) ativado |
n/a |
Comentários | Disponível na versão 101.23062.0010 do Defender para Endpoint ou posterior. |
Configurar a monitorização de eventos de propriedade de modificação de ficheiros
Determina se os eventos de propriedade de modificação de ficheiros (chown) são monitorizados.
Nota
Quando esta funcionalidade estiver ativada, o Defender para Endpoint monitorizará as alterações à propriedade dos ficheiros, mas não analisará estes eventos. Para obter mais informações, veja a secção Funcionalidades de análise avançadas para obter mais detalhes.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | enableFileOwnershipEvents | Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis | desativado (predefinição) ativado |
n/a |
Comentários | Disponível na versão 101.23062.0010 do Defender para Endpoint ou posterior. |
Configurar a monitorização de eventos de socket não processados
Determina se os eventos de socket de rede que envolvem a criação de sockets/sockets de pacotes não processados ou a opção de socket de definição são monitorizados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada. Quando esta funcionalidade estiver ativada, o Defender para Endpoint monitorizará estes eventos de socket de rede, mas não analisará estes eventos. Para obter mais informações, veja a secção Funcionalidades de análise avançada acima para obter mais detalhes.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | enableRawSocketEvent | Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis | desativado (predefinição) ativado |
n/a |
Comentários | Disponível na versão 101.23062.0010 do Defender para Endpoint ou posterior. |
Configurar a monitorização de eventos do carregador de arranque
Determina se os eventos do carregador de arranque são monitorizados e analisados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | enableBootLoaderCalls | Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis | desativado (predefinição) ativado |
n/a |
Comentários | Disponível na versão 101.68.80 do Defender para Endpoint ou posterior. |
Configurar a monitorização de eventos ptrace
Determina se os eventos ptrace são monitorizados e analisados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | enableProcessCalls | Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis | desativado (predefinição) ativado |
n/a |
Comentários | Disponível na versão 101.68.80 do Defender para Endpoint ou posterior. |
Configurar a monitorização de eventos pseudofs
Determina se os eventos pseudofs são monitorizados e analisados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | enablePseudofsCalls | Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis | desativado (predefinição) ativado |
n/a |
Comentários | Disponível na versão 101.68.80 do Defender para Endpoint ou posterior. |
Configurar a monitorização de eventos de carregamento de módulos com o eBPF
Determina se os eventos de carregamento do módulo são monitorizados com eBPF e analisados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | enableEbpfModuleLoadEvents | Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis | desativado (predefinição) ativado |
n/a |
Comentários | Disponível na versão 101.68.80 do Defender para Endpoint ou posterior. |
Reportar Eventos Suspeitos av à EDR
Determina se os eventos suspeitos do Antivírus são comunicados à EDR.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | sendLowfiEvents | Não está disponível |
Tipo de dados | Cadeia | n/a |
Valores possíveis | desativado (predefinição) ativado |
n/a |
Comentários | Disponível na versão 101.23062.0010 do Defender para Endpoint ou posterior. |
Configurações de proteção de rede
As seguintes definições podem ser utilizadas para configurar funcionalidades avançadas de inspeção de Proteção de Rede para controlar que tráfego é inspecionado pela Proteção de Rede.
Nota
Para que sejam eficazes, a Proteção de Rede tem de ser ativada. Para obter mais informações, veja Ativar a proteção de rede para Linux.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | networkProtection | Proteção da rede |
Tipo de dados | Dicionário (preferência aninhada) | Secção fechada |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. | Consulte as secções seguintes para obter uma descrição das definições de política. |
Nível de Imposição
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | enforcementLevel | Nível de Imposição |
Tipo de dados | Cadeia | Menu pendente |
Valores possíveis |
disabled (predefinição)audit block |
Não configurado desativado (predefinição) auditoria bloquear |
Configurar a inspeção ICMP
Determina se os eventos ICMP são monitorizados e analisados.
Nota
Esta funcionalidade só é aplicável quando a Monitorização de Comportamento está ativada.
Descrição | Valor JSON | Valor do Portal do Defender |
---|---|---|
Chave | disableIcmpInspection | Não está disponível |
Tipo de dados | Booleano | n/a |
Valores possíveis |
true (predefinição)
|
n/a |
Comentários | Disponível na versão 101.23062.0010 do Defender para Endpoint ou posterior. |
Perfil de configuração recomendado
Para começar, recomendamos que o seguinte perfil de configuração para a sua empresa tire partido de todas as funcionalidades de proteção que o Defender para Endpoint fornece.
O seguinte perfil de configuração:
- Ativa a proteção em tempo real (RTP)
- Especifica a forma como os seguintes tipos de ameaças são processados:
- As aplicações potencialmente indesejadas (PUA) estão bloqueadas
- As bombas de arquivo (ficheiro com uma taxa de compressão elevada) são auditadas para os registos de produtos
- Ativa atualizações automáticas de informações de segurança
- Ativa a proteção fornecida pela cloud
- Ativa a submissão automática de exemplo ao
safe
nível
Perfil de exemplo
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
Exemplo de perfil de configuração completo
O seguinte perfil de configuração contém entradas para todas as definições descritas neste documento e pode ser utilizado para cenários mais avançados em que pretende ter mais controlo sobre o produto.
Nota
Não é possível controlar todas as Microsoft Defender para Endpoint comunicação apenas com uma definição de proxy neste JSON.
Perfil completo
{
"antivirusEngine":{
"enforcementLevel":"passive",
"behaviorMonitoring": "disabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"enableFileHashComputation": false,
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
],
"scanFileModifyPermissions":false,
"scanFileModifyOwnership":false,
"scanNetworkSocketEvent":false,
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate":"disabled"
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
"definitionUpdatesInterval":28800
},
"features":{
"moduleLoad":"disabled",
"supplementarySensorConfigurations":{
"enableFilePermissionEvents":"disabled",
"enableFileOwnershipEvents":"disabled",
"enableRawSocketEvent":"disabled",
"enableBootLoaderCalls":"disabled",
"enableProcessCalls":"disabled",
"enablePseudofsCalls":"diabled",
"enableEbpfModuleLoadEvents":"disabled",
"sendLowfiEvents":"disabled"
},
"ebpfSupplementaryEventProvider":"enabled",
"offlineDefinitionUpdateVerifySig": "disabled"
},
"networkProtection":{
"enforcementLevel":"disabled",
"disableIcmpInspection":true
},
"edr":{
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Adicionar um ID de grupo ou etiqueta ao perfil de configuração
Quando executar o mdatp health
comando pela primeira vez, o valor da etiqueta e do ID de grupo estará em branco. Para adicionar um ID de etiqueta ou grupo ao mdatp_managed.json
ficheiro, siga os passos abaixo:
Abra o perfil de configuração a partir do caminho
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json
.Desça até à parte inferior do ficheiro, onde se encontra o
cloudService
bloco.Adicione a etiqueta necessária ou o ID de grupo como exemplo seguinte no final do parêntese curly de fecho do
cloudService
.}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }
Nota
Adicione a vírgula após o parêntese encaracolado de fecho no final do
cloudService
bloco. Além disso, certifique-se de que existem dois parênteses retos de fecho depois de adicionar o bloco ID da Etiqueta ou do Grupo (veja o exemplo acima). Neste momento, o único nome de chave suportado para etiquetas éGROUP
.
Validação do perfil de configuração
O perfil de configuração tem de ser um ficheiro com formato JSON válido. Existem muitas ferramentas que podem ser utilizadas para verificar isto. Por exemplo, se tiver python
instalado no seu dispositivo:
python -m json.tool mdatp_managed.json
Se o JSON estiver bem formado, o comando acima devolve-o ao Terminal e devolve um código de saída de 0
. Caso contrário, é apresentado um erro que descreve o problema e o comando devolve um código de saída de 1
.
Verificar se o ficheiro mdatp_managed.json está a funcionar conforme esperado
Para verificar se o seu /etc/opt/microsoft/mdatp/managed/mdatp_managed.json está a funcionar corretamente, deverá ver "[managed]" junto a estas definições:
cloud_enabled
cloud_automatic_sample_submission_consent
passive_mode_enabled
real_time_protection_enabled
automatic_definition_update_enabled
Nota
Não é necessário reiniciar o daemon mdatp para que as alterações à maioria das configurações no entrem em mdatp_managed.json
vigor.
Exceção: As seguintes configurações requerem um reinício do daemon para entrarem em vigor:
cloud-diagnostic
log-rotation-parameters
Implementação do perfil de configuração
Depois de criar o perfil de configuração para a sua empresa, pode implementá-lo através da ferramenta de gestão que a sua empresa está a utilizar. O Defender para Endpoint no Linux lê a configuração gerida a partir de /etc/opt/microsoft/mdatp/managed/mdatp_managed.json
.
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.