相关文章推荐
好帅的红茶  ·  java执行linux命令时需要输入密码 ...·  1 月前    · 
打篮球的啄木鸟  ·  linux安装java8包_GhostLov ...·  1 月前    · 
爽快的绿豆  ·  linux kill命令__linux ...·  2 周前    · 
腹黑的铅笔  ·  JavaSE蓝牙通信开发指南 - 十二楼C ...·  5 月前    · 
另类的火柴  ·  mongodb中嵌套数组对象的展开和分组-腾 ...·  1 年前    · 
暴躁的电影票  ·  【函数】Oracle函数系列(2)--数学函 ...·  1 年前    · 
奔跑的西瓜  ·  「linux终端命令」相关问答|文档|产品| ...·  1 年前    · 
Code  ›  设置 Linux 上 Microsoft Defender for Endpoint 的首选项 | Microsoft Learn
linux系统 linux服务器
https://learn.microsoft.com/zh-cn/microsoft-365/security/defender-endpoint/linux-preferences?view=o365-worldwide
任性的鸡蛋
1 年前
  • Microsoft Defender for Endpoint 计划 1
  • Microsoft Defender for Endpoint 计划 2
  • Microsoft Defender XDR

    • 希望体验 Defender for Endpoint? 注册免费试用版

    本主题包含有关如何在企业环境中为 Linux 上的 Defender for Endpoint 设置首选项的说明。 如果有兴趣通过命令行在设备上配置产品,请参阅 资源

    在企业环境中,Linux 上的 Defender for Endpoint 可以通过配置文件进行管理。 此配置文件是从所选的管理工具部署的。 企业管理的首选项优先于设备上本地设置的首选项。 换句话说,企业中的用户无法更改通过此配置文件设置的首选项。 如果通过托管配置文件添加排除项,则只能通过托管配置文件将其删除。 命令行适用于本地添加的排除项。

    本文介绍此配置文件的结构 (包括可用于开始) 的建议配置文件以及如何部署配置文件的说明。

    配置文件结构

    配置文件是一个 .json 文件,其中包含由键 (标识的条目,该项表示首选项) 的名称,后跟一个值,该值取决于首选项的性质。 值可以是简单的(如数值),也可以是复杂值,例如首选项的嵌套列表。

    通常,使用配置管理工具在 位置 /etc/opt/microsoft/mdatp/managed/ 推送名称 mdatp_managed.json 为 的文件。

    配置文件的顶层包括产品范围的首选项和产品子区域条目,后续部分将更详细地介绍这些内容。

    防病毒引擎首选项

    配置文件的 防病毒Engine 部分用于管理产品的防病毒组件的首选项。

  • 被动 ( passive ) :在被动模式下运行防病毒引擎。 在此中:
    • 实时保护已关闭:Microsoft Defender防病毒无法修正威胁。
    • 按需扫描已打开:仍使用终结点上的扫描功能。
    • 自动威胁修正已关闭:不会移动任何文件,安全管理员应采取所需的操作。
    • 安全智能更新已打开:警报将在安全管理员租户上可用。
    • 未静音 ( unmute ) :默认值,所有装入点都作为 RTP 的一部分进行扫描。
    • 已静音 ( mute ) :标记为 noexec 的装入点不会作为 RTP 的一部分进行扫描,可针对以下对象创建这些装入点:
      • 数据库服务器上的数据库文件,用于保留数据库文件。
      • 文件服务器可以使用 noexec 选项保留数据文件装入点。
      • 备份可以使用 noexec 选项保留数据文件装入点。

        • 默认情况下,NFS 和 Fuse 不受 RTP、快速和完整扫描的监视。 但是,仍可以通过自定义扫描来扫描它们。 例如,若要从不受监视的文件系统列表中删除 NFS,请更新托管配置文件,如下所示。 这会自动将 NFS 添加到 RTP 的受监视文件系统列表中。

        "antivirusEngine":{ "unmonitoredFilesystems": ["Fuse"]

        若要从不受监视的文件系统列表中同时删除 NFS 和 Fuse,请执行以下操作

        "antivirusEngine":{ "unmonitoredFilesystems": []

        下面是 RTP 的受监视文件系统的默认列表 -

        [btrfs, ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, reiserfs, tmpfs, vfat, xfs]

        如果需要将任何受监视的文件系统添加到未受监视的文件系统列表中,则 Microsoft 需要通过云配置对其进行评估和启用。之后,客户可以更新 managed_mdatp.json 以取消监视该文件系统。

        配置文件哈希计算功能

        启用或禁用文件哈希计算功能。 启用此功能后,Defender for Endpoint 会计算它扫描的文件的哈希。 请注意,启用此功能可能会影响设备性能。 有关更多详细信息,请参阅: 为文件创建指示器

        配置云块级别

        此设置确定 Defender for Endpoint 在阻止和扫描可疑文件时的积极程度。 如果此设置处于打开状态,则 Defender for Endpoint 在识别要阻止和扫描的可疑文件时会更加主动;否则,它的攻击性较低,因此阻止和扫描的频率较低。

        有五个值用于设置云块级别:

      • 普通 ( normal ) :默认阻止级别。
      • 中等 ( moderate ) :仅针对高置信度检测提供判决。
      • 高 ( high ) :主动阻止未知文件,同时优化性能 (阻止非有害文件) 的可能性更大。
      • 高加 ( high_plus ) :主动阻止未知文件并应用其他保护措施, (可能会影响客户端设备性能) 。
      • 零容忍 ( zero_tolerance ) :阻止所有未知程序。
        • "cloudService":{ "automaticDefinitionUpdateEnabled":true, "automaticSampleSubmissionConsent":"safe", "enabled":true, "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"

        完整配置文件示例

        以下配置文件包含本文档中所述的所有设置的条目,可用于需要对产品进行更多控制的高级方案。

        无法仅使用此 JSON 中的代理设置控制所有Microsoft Defender for Endpoint通信。

        完整配置文件

        "antivirusEngine":{ "enforcementLevel":"passive", "scanAfterDefinitionUpdate":true, "scanArchives":true, "maximumOnDemandScanThreads":2, "exclusionsMergePolicy":"merge", "exclusions":[ "$type":"excludedPath", "isDirectory":false, "path":"/var/log/system.log<EXAMPLE DO NOT USE>" "$type":"excludedPath", "isDirectory":true, "path":"/run<EXAMPLE DO NOT USE>" "$type":"excludedPath", "isDirectory":true, "path":"/home/*/git<EXAMPLE DO NOT USE>" "$type":"excludedFileExtension", "extension":".pdf<EXAMPLE DO NOT USE>" "$type":"excludedFileName", "name":"cat<EXAMPLE DO NOT USE>" "allowedThreats":[ "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)" "disallowedThreatActions":[ "allow", "restore" "nonExecMountPolicy":"unmute", "unmonitoredFilesystems": ["nfs,fuse"], "threatTypeSettingsMergePolicy":"merge", "threatTypeSettings":[ "key":"potentially_unwanted_application", "value":"block" "key":"archive_bomb", "value":"audit" "cloudService":{ "enabled":true, "diagnosticLevel":"optional", "automaticSampleSubmissionConsent":"safe", "automaticDefinitionUpdateEnabled":true, "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"

        将标记或组 ID 添加到配置文件

        首次运行 mdatp health 命令时,标记和组 ID 的值将为空。 若要向文件添加标记或组 ID mdatp_managed.json ,请执行以下步骤:

      • 从路径 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json 打开配置文件。
      • 向下转到块所在的 cloudService 文件底部。
      • 在 的右大括号 cloudService 末尾添加所需的标记或组 ID,如以下示例所示。
        • "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" "edr": { "groupIds":"GroupIdExample", "tags": [ "key": "GROUP", "value": "Tag"

        在块末尾 cloudService 的右大括号后面添加逗号。 此外,请确保在添加标记或组 ID 块后有两个右大括号 (请参阅上面的示例) 。 目前,标记唯一支持的键名称是 GROUP

        配置文件验证

        配置文件必须是有效的 JSON 格式文件。 有许多工具可用于验证这一点。 例如,如果你已在 python 设备上安装: 

        python -m json.tool mdatp_managed.json

        如果 JSON 格式正确,则上述命令将其输出回终端,并返回 的退出代码 0。 否则,将显示描述问题的错误,命令返回退出代码 1
        

        验证 mdatp_managed.json 文件是否按预期工作
        

        若要验证 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json 是否正常工作,应在以下设置旁边看到“[managed]”:
        

      • cloud_enabled
        • 

      • cloud_automatic_sample_submission_consent
        • 

      • passive_mode_enabled
        • 

      • real_time_protection_enabled
        • 

      • automatic_definition_update_enabled
        • 

        无需重启 mdatp 守护程序,mdatp_managed.json 中的 大多数 配置更改即可生效。
例外: 以下配置需要重启守护程序才能生效:
        

      • cloud-diagnostic
        • 

      • log-rotation-parameters
        • 

        配置文件部署
        

        为企业生成配置文件后,可以通过企业正在使用的管理工具来部署配置文件。 Linux 上的 Defender for Endpoint 从 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json 文件读取托管配置。
        

        想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动:Microsoft Defender for Endpoint技术社区
    •  
    推荐文章
    好帅的红茶  ·  java执行linux命令时需要输入密码 - CSDN文库
    1 月前
    打篮球的啄木鸟  ·  linux安装java8包_GhostLover的技术博客_
    1 月前
    爽快的绿豆  ·  linux kill命令__linux kill命令参数
    2 周前
    腹黑的铅笔  ·  JavaSE蓝牙通信开发指南 - 十二楼C - 博客园
    5 月前
    另类的火柴  ·  mongodb中嵌套数组对象的展开和分组-腾讯云开发者社区-腾讯云
    1 年前
    暴躁的电影票  ·  【函数】Oracle函数系列(2)--数学函数及日期函数 - ^_^小麦苗^_^ - 博客园
    1 年前
    奔跑的西瓜  ·  「linux终端命令」相关问答|文档|产品|活动 - 七牛云
    1 年前
    今天看啥   ·   Py中国   ·   codingpro   ·   藏经阁   ·   小百科   ·   link之家   ·   卧龙AI搜索
    删除内容请联系邮箱 2879853325@qq.com
    Code - 代码工具平台
    © 2024 ~ 沪ICP备11025650号