Настройка параметров безопасности в Microsoft Defender для конечной точки в Linux

Область применения:

• Microsoft Defender для конечной точки для серверов
• Microsoft Defender для серверов плана 1 или плана 2

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Настройка параметров безопасности

Microsoft Defender для конечной точки в Linux включает антивирусную программу, защиту от вредоносных программ, обнаружение конечных точек и возможности реагирования. В этой статье перечислены важные параметры безопасности, которые необходимо настроить, и содержатся ссылки на дополнительные ресурсы.

Параметры настройки параметров безопасности

Чтобы настроить параметры безопасности в Defender для конечной точки в Linux, у вас есть два main параметра:

• Используйте портал Microsoft Defender (управление параметрами безопасности Defender для конечной точки); или
• Использование профиля конфигурации

Если вы предпочитаете использовать командную строку, ее можно использовать для настройки определенных параметров, сбора диагностика, выполнения проверок и многого другого. См . статью Ресурсы Linux: настройка с помощью командной строки.

Управление параметрами безопасности Defender для конечной точки

Вы можете настроить Defender для конечной точки в Linux на портале Microsoft Defender (https://security.microsoft.com) с помощью функций, известных как Управление параметрами безопасности Defender для конечной точки. Дополнительные сведения, включая создание, изменение и проверку политик безопасности, см. в статье Управление параметрами безопасности Microsoft Defender для конечной точки для управления Microsoft Defender антивирусной программой.

Профиль конфигурации

Параметры в Defender для конечной точки в Linux можно настроить с помощью профиля конфигурации, использующего .json файл. После настройки профиля его можно развернуть с помощью выбранного средства управления. Предпочтения, управляемые предприятием, имеют приоритет над параметрами, заданными локально на устройстве. Другими словами, пользователи в организации не могут изменять настройки, заданные в этом профиле конфигурации. Если исключения были добавлены с помощью профиля управляемой конфигурации, их можно удалить только с помощью профиля управляемой конфигурации. Командная строка работает для исключений, добавленных локально.

В этой статье описывается структура этого профиля (включая рекомендуемый профиль, который можно использовать для начала работы) и инструкции по развертыванию профиля.

Структура профиля конфигурации

Профиль конфигурации — это .json файл, состоящий из записей, определенных ключом (который обозначает имя предпочтения), за которым следует значение, которое зависит от характера предпочтения. Значения могут быть простыми, например числовым значением, или сложными, например вложенным списком параметров.

Как правило, вы используете средство управления конфигурацией для отправки файла с именем mdatp_managed.json в расположение /etc/opt/microsoft/mdatp/managed/.

Верхний уровень профиля конфигурации включает в себя настройки для всего продукта и записи для вложенных элементов продукта, которые более подробно описаны в следующих разделах.

Рекомендуемый профиль конфигурации

В этом разделе содержатся два примера профиля конфигурации:

• Пример профиля , который поможет вам приступить к работе с рекомендуемыми параметрами.
• Пример полного профиля конфигурации для организаций, которым требуется более детализированный контроль над параметрами безопасности.

Чтобы приступить к работе, рекомендуется использовать первый пример профиля для вашей организации. Для более детального управления можно использовать полный пример профиля конфигурации .

Пример профиля

Это поможет вам воспользоваться важными функциями защиты, предоставляемыми Defender для конечной точки в Linux. Следующий профиль конфигурации:

• Включает защиту в режиме реального времени (RTP)
• Указывает, как обрабатываются следующие типы угроз:
  • Потенциально нежелательные приложения блокируются
  • Архив бомбы (файл с высокой степенью сжатия) проверяются в журналах продукта
• Включает автоматические обновления аналитики безопасности.
• Включает облачную защиту
• Включает автоматическую отправку примеров на safe уровне

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Пример полного профиля конфигурации

Следующий профиль конфигурации содержит записи для всех параметров, описанных в этом документе, и может использоваться для более сложных сценариев, в которых требуется больший контроль над продуктом.

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":false,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefintionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"diabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

Параметры антивирусной программы, антивредоносного ПО и EDR в Defender для конечной точки в Linux

Независимо от того, используете ли вы профиль конфигурации (.json файл) или портал Microsoft Defender (управление параметрами безопасности), вы можете настроить параметры антивирусной программы, антивредоносного ПО и EDR в Defender для конечной точки в Linux. В следующих разделах описывается, где и как настроить параметры.

Параметры антивирусного ядра

Раздел antivirusEngine профиля конфигурации используется для управления параметрами антивирусного компонента продукта.

Уровень принудительного применения для антивирусной программы Microsoft Defender

Задает параметр принудительного применения антивирусного ядра. Существует три значения для установки уровня принудительного применения:

• В режиме реального времени (real_time): включена защита в режиме реального времени (сканирование файлов по мере их изменения).

• По запросу (on_demand): файлы сканируются только по запросу. В этом случае:

  • Защита в режиме реального времени отключена.
  • Обновления определений происходят только при запуске сканирования, даже если automaticDefinitionUpdateEnabled задано значение true в режиме по запросу.

• Пассивный (passive): запускает антивирусную программу в пассивном режиме. В этом случае применяются все перечисленные ниже действия.

  • Защита в режиме реального времени отключена: угрозы не устраняются Microsoft Defender антивирусной программой.
  • Сканирование по запросу включено. По-прежнему используйте возможности сканирования в конечной точке.
  • Автоматическое исправление угроз отключено: файлы не перемещаются, и администратор безопасности, как ожидается, примет необходимые меры.
  • Обновления аналитики безопасности включены: оповещения доступны в клиенте администратора безопасности.
  • Обновления определений происходят только при запуске сканирования, даже если automaticDefinitionUpdateEnabled задано значение в пассивном true режиме.

Включение или отключение мониторинга поведения (если rtp включен)

Определяет, включена ли на устройстве возможность мониторинга и блокировки поведения.

Запуск проверки после обновления определений

Указывает, следует ли запускать проверку процесса после загрузки на устройство новых обновлений аналитики безопасности. Включение этого параметра запускает антивирусную проверку запущенных процессов устройства.

Сканирование архивов (только антивирусная проверка по запросу)

Указывает, следует ли сканировать архивы во время проверки антивирусной программы по запросу.

Степень параллелизма при сканировании по запросу

Указывает степень параллелизма для проверок по запросу. Это соответствует количеству потоков, используемых для проверки, влияет на загрузку ЦП и длительность проверки по запросу.

Политика слияния исключений

Задает политику слияния для исключений. Это может быть сочетание исключений, определенных администратором и пользователем (merge) или только исключений, определенных администратором (admin_only). Определяемые администратором (admin_only) — это исключения, настроенные политикой Defender для конечной точки. Этот параметр можно использовать, чтобы запретить локальным пользователям определять собственные исключения.

Так как она находится в антивирусной программеEngine, эта политика применима только к epp исключениям, если mergePolicy в параметре exclusionSettings не настроено значение (admin_only).

исключения сканирования;

Сущности, исключенные из проверки. Исключения можно указать полными путями, расширениями или именами файлов. (Исключения указываются в виде массива элементов. Администратор может указать любое необходимое количество элементов в любом порядке.)

Тип исключения

Указывает тип содержимого, исключенного из сканирования.

Путь к исключенным содержимому

Используется для исключения содержимого из сканирования по полному пути к файлу.

Тип пути (файл или каталог)

Указывает, относится ли свойство path к файлу или каталогу.

Расширение файла, исключенное из сканирования

Используется для исключения содержимого из расширения файла сканирования.

Процесс, исключенный из сканирования

Указывает процесс, для которого все действия файлов исключаются из сканирования. Процесс можно указать по его имени (например, cat) или по полному пути (например, /bin/cat).

Отключение подключений без exec

Указывает поведение RTP в точке подключения, помеченной как noexec. Параметр имеет два значения:

• Unmuted () —unmute значение по умолчанию, все точки подключения проверяются как часть RTP.
• Отключаемое (mute): точки подключения, помеченные как noexec , не сканируются как часть RTP. Эти точки подключения можно создать для:
  • Файлы базы данных на серверах баз данных для хранения файлов базы данных.
  • Файловый сервер может хранить точки подключения файлов данных с помощью noexec параметра .
  • Резервное копирование может сохранять точки подключения файлов данных с noexec помощью параметра .

Немониторные файловые системы

Настройте файловые системы, чтобы они немонитоировались или исключены из защиты в режиме реального времени (RTP). Настроенные файловые системы проверяются на соответствие списку разрешенных файловых систем Microsoft Defender. Файловые системы можно отслеживать только после успешной проверки. Эти настроенные неуправляемые файловые системы по-прежнему сканируются с помощью быстрых, полных и пользовательских проверок в Microsoft Defender антивирусной программы.

По умолчанию NFS и Fuse не отслеживаются при проверке RTP, быстрой и полной проверки. Однако их по-прежнему можно сканировать с помощью пользовательской проверки. Например, чтобы удалить NFS из списка неустранимых файловых систем, обновите управляемый файл конфигурации, как показано ниже. Это автоматически добавит NFS в список отслеживаемых файловых систем для RTP.

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["Fuse"]
  }
}

Чтобы удалить NFS и Fuse из неустранимого списка файловых систем, используйте следующий фрагмент кода:

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

Настройка функции вычисления хэша файлов

Включает или отключает функцию вычисления хэша файлов. Если эта функция включена, Defender для конечной точки вычисляет хэши для файлов, которые он сканирует. Обратите внимание, что включение этой функции может повлиять на производительность устройства. Дополнительные сведения см. в статье Создание индикаторов для файлов.

разрешенные угрозы;

Список угроз (идентифицируемых по их имени), которые не блокируются продуктом и вместо этого могут выполняться.

Disallowed threat actions (Запрещенные действия в отношении угроз);

Ограничивает действия, которые может выполнять локальный пользователь устройства при обнаружении угроз. Действия, включенные в этот список, не отображаются в пользовательском интерфейсе.

параметры типа угрозы.

Параметр threatTypeSettings в антивирусном ядре используется для управления тем, как продукт обрабатывает определенные типы угроз.

Тип угрозы

Тип угрозы, для которой настроено поведение.

Действие

Действие, выполняемое при угрозе типа, указанного в предыдущем разделе. Может быть:

• Аудит. Устройство не защищено от этой угрозы, но запись об угрозе регистрируется. (по умолчанию)
• Блокировать. Устройство защищено от угрозы этого типа, и вы получите уведомление на портале Microsoft Defender.
• Выкл. Устройство не защищено от этой угрозы, и ничего не регистрируется.

Политика слияния параметров типа угроз

Указывает политику слияния для параметров типа угроз. Это может быть сочетание определяемых администратором и пользователем параметров (merge) или только параметров, определенных администратором (admin_only). Определяемые администратором (admin_only) — это параметры типа угроз, настроенные политикой Defender для конечной точки. Этот параметр можно использовать, чтобы запретить локальным пользователям определять собственные параметры для различных типов угроз.

Хранение журнала антивирусной проверки (в днях)

Укажите количество дней, в течение которых результаты хранятся в журнале сканирования на устройстве. Старые результаты сканирования удаляются из журнала. Старые файлы, помещенные в карантин, которые также удаляются с диска.

Максимальное число элементов в журнале антивирусной проверки

Укажите максимальное количество записей, которые будут храниться в журнале сканирования. Записи включают все проверки по запросу, выполненные в прошлом, и все обнаружения антивирусной программы.

Параметры параметра исключения

Параметры исключения в настоящее время находятся в предварительной версии.

Раздел exclusionSettings профиля конфигурации используется для настройки различных исключений для Microsoft Defender для конечной точки для Linux.

Политика слияния

Задает политику слияния для исключений. Он указывает, может ли это быть сочетание исключений, определяемых администратором и пользователем (merge) или исключений, определенных только администратором (admin_only). Этот параметр можно использовать, чтобы запретить локальным пользователям определять собственные исключения. Он применим для исключений всех областей.

Исключения

Сущности, которые необходимо исключить, можно указать полными путями, расширениями или именами файлов. Каждая сущность исключения, т. е. полный путь, расширение или имя файла, имеет необязательный область, который можно указать. Если значение не указано, значение по умолчанию область в этом разделе является глобальным. (Исключения указываются в виде массива элементов. Администратор может указать любое необходимое количество элементов в любом порядке.)

Тип исключения

Указывает тип содержимого, исключенного из сканирования.

Область исключения (необязательно)

Задает набор областей исключения исключенного содержимого. В настоящее время поддерживаются epp области и global.

Если для исключения в разделе exclusionSettings в управляемой конфигурации ничего не указано, то global считается область.

Путь к исключенным содержимому

Используется для исключения содержимого из сканирования по полному пути к файлу.

Тип пути (файл или каталог)

Указывает, относится ли свойство path к файлу или каталогу.

Расширение файла, исключенное из сканирования

Используется для исключения содержимого из расширения файла сканирования.

Процесс, исключенный из сканирования

Указывает процесс, для которого все действия файлов исключаются из сканирования. Процесс можно указать по его имени (например, cat) или по полному пути (например, /bin/cat).

Дополнительные параметры сканирования

Следующие параметры можно настроить для включения некоторых расширенных функций сканирования.

Настройка проверки событий разрешений на изменение файла

Если эта функция включена, Defender для конечной точки будет проверять файлы при изменении их разрешений, чтобы задать биты выполнения.

Настройка сканирования событий владения изменением файла

Если эта функция включена, Defender для конечной точки будет проверять файлы, для которых изменено владение.

Настройка сканирования необработанных событий сокета

Если эта функция включена, Defender для конечной точки будет проверять события сетевых сокетов, такие как создание необработанных сокетов или сокетов пакетов или установка параметра сокета.

Параметры защиты, предоставляемые облаком

Запись cloudService в профиле конфигурации используется для настройки функции облачной защиты продукта.

Включение или отключение облачной защиты

Определяет, включена ли облачная защита на устройстве. Чтобы повысить безопасность служб, рекомендуется оставить эту функцию включенной.

уровень сбора данных диагностики

Диагностические данные используются для обеспечения безопасности и актуальности Defender для конечной точки, обнаружения, диагностики и устранения проблем, а также улучшения продукта. Этот параметр определяет уровень диагностика, отправляемых продуктом в корпорацию Майкрософт. Дополнительные сведения см. в разделе Конфиденциальность для Microsoft Defender для конечной точки в Linux.

Настройка уровня облачного блока

Этот параметр определяет, насколько агрессивным является Defender для конечной точки при блокировке и сканировании подозрительных файлов. Если этот параметр включен, Defender для конечной точки будет более агрессивным при обнаружении подозрительных файлов для блокировки и сканирования. в противном случае он менее агрессивный и, следовательно, блокирует и сканирует с меньшей частотой.

Существует пять значений для настройки уровня блока облака:

• Обычный (normal): уровень блокировки по умолчанию.
• Умеренный (moderate): выставляет вердикт только для обнаружения высокой достоверности.
• Высокий (high): агрессивно блокирует неизвестные файлы, оптимизируя производительность (больше вероятность блокировки невредных файлов).
• Высокий плюс (high_plus): агрессивно блокирует неизвестные файлы и применяет дополнительные меры защиты (может повлиять на производительность клиентского устройства).
• Нулевое отклонение (zero_tolerance): блокирует все неизвестные программы.

Включение или отключение автоматической отправки примеров

Определяет, отправляются ли в корпорацию Майкрософт подозрительные образцы (которые могут содержать угрозы). Существует три уровня управления отправкой примеров:

• Нет: подозрительные примеры не отправляются в корпорацию Майкрософт.
• Безопасно: автоматически отправляются только подозрительные примеры, не содержащие персональных данных. Это значение по умолчанию для этого параметра.
• Все: все подозрительные примеры отправляются в корпорацию Майкрософт.

Включение или отключение автоматических обновлений аналитики безопасности

Определяет, устанавливаются ли обновления аналитики безопасности автоматически.

В зависимости от уровня принудительного применения автоматические обновления аналитики безопасности устанавливаются по-разному. В режиме RTP обновления устанавливаются периодически. В пассивном режиме или режиме по запросу обновления устанавливаются перед каждой проверкой.

Дополнительные необязательные функции

Для включения некоторых дополнительных функций можно настроить следующие параметры.

Функция загрузки модуля

Определяет, отслеживаются ли события загрузки модуля (события открытия файлов в общих библиотеках).

Исправление функции "Зараженный файл"

Определяет, будут ли исправлены зараженные процессы, которые открывают или загружают любой зараженный файл.

Дополнительные конфигурации датчиков

Следующие параметры можно использовать для настройки некоторых дополнительных дополнительных функций датчика.

Настройка мониторинга событий разрешений на изменение файла

Определяет, отслеживаются ли события разрешений на изменение файла (chmod).

Настройка мониторинга событий владения изменением файлов

Определяет, отслеживаются ли события владения изменением файла (chown).

Настройка мониторинга необработанных событий сокета

Определяет, отслеживаются ли события сетевого сокета, связанные с созданием необработанных сокетов или сокетов пакетов или настройкой параметра сокета.

Настройка мониторинга событий загрузчика

Определяет, отслеживаются ли и сканируются события загрузчика.

Настройка мониторинга событий ptrace

Определяет, отслеживаются ли и сканируются события ptrace.

Настройка мониторинга событий псевдофы

Определяет, отслеживаются ли и сканируются события псевдофов.

Настройка мониторинга событий загрузки модуля с помощью eBPF

Определяет, отслеживаются ли события загрузки модуля с помощью eBPF и сканируются.

Настройка мониторинга открытых событий из определенных файловых систем с помощью eBPF

Определяет, отслеживаются ли открытые события из procfs с помощью eBPF.

Настройка обогащения событий в источнике с помощью eBPF

Определяет, обогащаются ли события метаданными в источнике в eBPF.

Включение кэша антивирусного ядра

Определяет, кэшируются ли метаданные событий, сканируемых антивирусной подсистемой.

Отчет о подозрительных событиях AV в EDR

Определяет, передаются ли подозрительные события из антивирусной программы в EDR.

Конфигурации защиты сети

Следующие параметры можно использовать для настройки расширенных функций проверки защиты сети для контроля того, какой трафик проверяется защитой сети.

Уровень принудительного применения

Настройка проверки ICMP

Определяет, отслеживаются ли и сканируются события ICMP.

Добавление тега или идентификатора группы в профиль конфигурации

При первом выполнении mdatp health команды значение тега и идентификатора группы будет пустым. Чтобы добавить тег или идентификатор группы в mdatp_managed.json файл, выполните следующие действия:

1. Откройте профиль конфигурации из пути /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

2. Перейдите к нижней части файла, где cloudService находится блок.

3. Добавьте требуемый тег или идентификатор группы, как в следующем примере в конце закрывающей фигурной скобки cloudServiceдля .

   },
   "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
   },
   "edr": {
   "groupIds":"GroupIdExample",
   "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
   }
   

   Примечание.

   Добавьте запятую после закрывающей фигурной скобки в конце cloudService блока. Кроме того, убедитесь, что после добавления тега или блока идентификатора группы есть две закрывающие фигурные скобки (см. приведенный выше пример). На данный момент единственным поддерживаемым именем ключа для тегов является GROUP.

Проверка профиля конфигурации

Профиль конфигурации должен быть допустимым файлом в формате JSON. Для этого можно использовать множество средств. Например, если вы python установили на устройстве:

python -m json.tool mdatp_managed.json

Если json имеет правильный формат, приведенная выше команда выводит его обратно в терминал и возвращает код выхода из 0. В противном случае отображается ошибка, описывающая проблему, и команда возвращает код 1выхода .

Проверка правильности работы файла mdatp_managed.json

Чтобы убедиться, что вы /etc/opt/microsoft/mdatp/managed/mdatp_managed.json работаете правильно, рядом со следующими параметрами должен появиться сообщение "[managed]:

• cloud_enabled
• cloud_automatic_sample_submission_consent
• passive_mode_enabled
• real_time_protection_enabled
• automatic_definition_update_enabled

Развертывание профиля конфигурации

После создания профиля конфигурации для предприятия его можно развернуть с помощью средства управления, используемого предприятием. Defender для конечной точки в Linux считывает управляемую конфигурацию из /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.