Configurer les paramètres de sécurité dans Microsoft Defender pour point de terminaison sur Linux

Configurer vos paramètres de sécurité

Microsoft Defender pour point de terminaison sur Linux inclut des fonctionnalités antivirus, de protection contre les programmes malveillants, de détection de point de terminaison et de réponse. Cet article récapitule les paramètres de sécurité importants à configurer et inclut des liens vers des ressources supplémentaires.

Options de configuration des paramètres de sécurité

Pour configurer vos paramètres de sécurité dans Defender pour point de terminaison sur Linux, vous avez deux options principales :

• Utilisez le portail Microsoft Defender (Gestion des paramètres de sécurité de Defender pour point de terminaison) ; ou
• Utiliser un profil de configuration

Si vous préférez utiliser la ligne de commande, vous pouvez l’utiliser pour configurer certains paramètres, collecter des diagnostics, exécuter des analyses, etc. Consultez Ressources Linux : Configurer à l’aide de la ligne de commande.

Gestion des paramètres de sécurité de Defender pour point de terminaison

Vous pouvez configurer Defender pour point de terminaison sur Linux dans le portail Microsoft Defender (https://security.microsoft.com) via la fonctionnalité connue sous le nom de Gestion des paramètres de sécurité de Defender pour point de terminaison. Pour plus d’informations, notamment sur la création, la modification et la vérification des stratégies de sécurité, consultez Utiliser Microsoft Defender pour point de terminaison gestion des paramètres de sécurité pour gérer Microsoft Defender Antivirus.

Profil de configuration

Vous pouvez configurer les paramètres dans Defender pour point de terminaison sur Linux via un profil de configuration qui utilise un .json fichier. Une fois que vous avez configuré votre profil, vous pouvez le déployer à l’aide de l’outil de gestion de votre choix. Les préférences gérées par l’entreprise sont prioritaires sur celles définies localement sur l’appareil. En d’autres termes, les utilisateurs de votre entreprise ne peuvent pas modifier les préférences définies via ce profil de configuration. Si des exclusions ont été ajoutées via le profil de configuration managé, elles ne peuvent être supprimées que via le profil de configuration managé. La ligne de commande fonctionne pour les exclusions qui ont été ajoutées localement.

Cet article décrit la structure de ce profil (y compris un profil recommandé que vous pouvez utiliser pour commencer) et des instructions sur la façon de déployer le profil.

Structure du profil de configuration

Le profil de configuration est un .json fichier qui se compose d’entrées identifiées par une clé (qui indique le nom de la préférence), suivie d’une valeur, qui dépend de la nature de la préférence. Les valeurs peuvent être simples, telles qu’une valeur numérique, ou complexes, comme une liste imbriquée de préférences.

En règle générale, vous devez utiliser un outil de gestion de la configuration pour envoyer (push) un fichier portant le nom mdatp_managed.json à l’emplacement /etc/opt/microsoft/mdatp/managed/.

Le niveau supérieur du profil de configuration inclut les préférences et les entrées à l’échelle du produit pour les sous-zones du produit, qui sont expliquées plus en détail dans les sections suivantes.

Profil de configuration recommandé

Cette section comprend deux exemples de profils de configuration :

• Exemple de profil pour vous aider à bien démarrer avec les paramètres recommandés.
• Exemple de profil de configuration complet pour les organisations qui souhaitent un contrôle plus précis sur les paramètres de sécurité.

Pour commencer, nous vous recommandons d’utiliser le premier exemple de profil pour votre organization. Pour un contrôle plus précis, vous pouvez utiliser l’exemple de profil de configuration complet à la place.

Exemple de profil

Il vous permet de tirer parti des fonctionnalités de protection importantes fournies par Defender pour point de terminaison sur Linux. Le profil de configuration suivant :

• Active la protection en temps réel (RTP)
• Spécifie la façon dont les types de menaces suivants sont gérés :
  • Les applications potentiellement indésirables (PUA) sont bloquées
  • Archive bombes (fichier avec un taux de compression élevé) sont auditées dans les journaux du produit
• Active les mises à jour automatiques du renseignement de sécurité
• Active la protection fournie par le cloud
• Active l’envoi automatique d’exemples au safe niveau

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Exemple de profil de configuration complet

Le profil de configuration suivant contient des entrées pour tous les paramètres décrits dans ce document et peut être utilisé pour des scénarios plus avancés où vous souhaitez davantage de contrôle sur le produit.

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":false,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefinitionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"diabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

Paramètres antivirus, anti-programme malveillant et EDR dans Defender pour point de terminaison sur Linux

Que vous utilisiez un profil de configuration (fichier .json) ou le portail Microsoft Defender (Gestion des paramètres de sécurité), vous pouvez configurer vos paramètres antivirus, anti-programme malveillant et EDR dans Defender pour point de terminaison sur Linux. Les sections suivantes décrivent où et comment configurer vos paramètres.

Préférences du moteur antivirus

La section antivirusEngine du profil de configuration est utilisée pour gérer les préférences du composant antivirus du produit.

Niveau d’application pour Microsoft Defender Antivirus

Spécifie la préférence d’application du moteur antivirus. Il existe trois valeurs pour définir le niveau d’application :

• En temps réel (real_time) : la protection en temps réel (analyser les fichiers à mesure qu’ils sont modifiés) est activée.

• À la demande (on_demand) : les fichiers sont analysés uniquement à la demande. Dans ce cas :

  • La protection en temps réel est désactivée.
  • Les mises à jour de définition se produisent uniquement au démarrage d’une analyse, même si automaticDefinitionUpdateEnabled est défini sur en mode à true la demande.

• Passif (passive) : exécute le moteur antivirus en mode passif. Dans ce cas, toutes les conditions suivantes s’appliquent :

  • La protection en temps réel est désactivée : les menaces ne sont pas corrigées par Microsoft Defender Antivirus.
  • L’analyse à la demande est activée : utilisez toujours les fonctionnalités d’analyse sur le point de terminaison.
  • La correction automatique des menaces est désactivée : aucun fichier n’est déplacé et votre administrateur de sécurité est censé prendre les mesures nécessaires.
  • Les mises à jour du renseignement de sécurité sont activées : les alertes sont disponibles dans le locataire de l’administrateur de sécurité.
  • Les mises à jour de définition se produisent uniquement au démarrage d’une analyse, même si automaticDefinitionUpdateEnabled est défini sur true en mode passif.

Activer ou désactiver la surveillance du comportement (si RTP est activé)

Détermine si la fonctionnalité de surveillance et de blocage du comportement est activée sur l’appareil ou non.

Exécuter une analyse après la mise à jour des définitions

Spécifie s’il faut démarrer une analyse de processus après le téléchargement de nouvelles mises à jour du renseignement de sécurité sur l’appareil. L’activation de ce paramètre déclenche une analyse antivirus sur les processus en cours d’exécution de l’appareil.

Archives d’analyse (analyses antivirus à la demande uniquement)

Spécifie s’il faut analyser les archives pendant les analyses antivirus à la demande.

Degré de parallélisme pour les analyses à la demande

Spécifie le degré de parallélisme pour les analyses à la demande. Cela correspond au nombre de threads utilisés pour effectuer l’analyse et a un impact sur l’utilisation du processeur, ainsi que sur la durée de l’analyse à la demande.

Stratégie de fusion d’exclusion

Spécifie la stratégie de fusion pour les exclusions. Il peut s’agir d’une combinaison d’exclusions définies par l’administrateur et définies par l’utilisateur (merge) ou uniquement d’exclusions définies par l’administrateur (admin_only). Les exclusions définies par l’administrateur (admin_only) sont configurées par la stratégie Defender pour point de terminaison. Ce paramètre peut être utilisé pour empêcher les utilisateurs locaux de définir leurs propres exclusions.

Sous antivirusEngine, cette stratégie s’applique uniquement aux epp exclusions, sauf si mergePolicy sous exclusionParamètres est configuré comme (admin_only).

Exclusions d’analyse

Entités qui ont été exclues de l’analyse. Les exclusions peuvent être spécifiées par des chemins d’accès complets, des extensions ou des noms de fichiers. (Les exclusions sont spécifiées sous la forme d’un tableau d’éléments, l’administrateur peut spécifier autant d’éléments que nécessaire, dans n’importe quel ordre.)

Type d’exclusion

Spécifie le type de contenu exclu de l’analyse.

Chemin d’accès au contenu exclu

Permet d’exclure le contenu de l’analyse par chemin d’accès de fichier complet.

Type de chemin d’accès (fichier/répertoire)

Indique si la propriété path fait référence à un fichier ou un répertoire.

Extension de fichier exclue de l’analyse

Permet d’exclure le contenu de l’analyse par extension de fichier.

Processus exclu de l’analyse

Spécifie un processus pour lequel toute l’activité de fichier est exclue de l’analyse. Le processus peut être spécifié par son nom (par exemple, cat) ou par son chemin d’accès complet (par exemple, /bin/cat).

Désactivation des montages non exécutifs

Spécifie le comportement de RTP sur le point de montage marqué comme noexec. Il existe deux valeurs pour la définition :

• Non activé (unmute) : valeur par défaut, tous les points de montage sont analysés dans le cadre de RTP.
• Désactivé (mute) : les points de montage marqués comme noexec ne sont pas analysés dans le cadre de RTP, ces points de montage peuvent être créés pour :
  • Fichiers de base de données sur les serveurs de base de données pour la conservation des fichiers de base de données.
  • Le serveur de fichiers peut conserver les points de montage des fichiers de données avec l’option noexec .
  • La sauvegarde peut conserver les points de montage des fichiers de données avec l’option noexec .

Annuler la surveillance des systèmes de fichiers

Configurez les systèmes de fichiers pour qu’ils ne soient pas supervisés/exclus de la protection en temps réel (RTP). Les systèmes de fichiers configurés sont validés par rapport à la liste des systèmes de fichiers autorisés de Microsoft Defender. Les systèmes de fichiers ne peuvent être surveillés qu’après une validation réussie. Ces systèmes de fichiers non supervisés configurés sont toujours analysés par des analyses rapides, complètes et personnalisées dans Microsoft Defender Antivirus.

Par défaut, cifs, fuse, nfsnfs4 et smb ne sont pas surveillés à partir des analyses RTP, Rapides et Complètes. Toutefois, ils peuvent toujours être analysés par une analyse personnalisée. Par exemple, pour supprimer nfs et nfs4 de la liste des systèmes de fichiers non supervisés, mettez à jour le fichier de configuration managé comme indiqué ci-dessous. Cela s’ajoute nfs/nfs4 à la liste des systèmes de fichiers surveillés pour RTP. Actuellement, la surveillance nfs4des systèmes de fichiers et cifssmb est en mode préversion pour le mode RTP.

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["cifs","fuse","smb"]
  }
}

Pour supprimer toutes les entrées de la liste non surveillée des systèmes de fichiers, utilisez l’extrait de code suivant :

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

Configurer la fonctionnalité de calcul de hachage de fichier

Active ou désactive la fonctionnalité de calcul de hachage de fichier. Lorsque cette fonctionnalité est activée, Defender pour point de terminaison calcule le hachage des fichiers qu’il analyse. L’activation de cette fonctionnalité peut avoir un impact sur les performances de l’appareil. Pour plus d’informations, reportez-vous à : Créer des indicateurs pour les fichiers.

Menaces autorisées

Liste des menaces (identifiées par leur nom) qui ne sont pas bloquées par le produit et sont autorisées à s’exécuter.

Actions de menace non autorisées

Limite les actions que l’utilisateur local d’un appareil peut effectuer lorsque des menaces sont détectées. Les actions incluses dans cette liste ne sont pas affichées dans l’interface utilisateur.

Paramètres des types de menaces

La préférence threatTypeSettings dans le moteur antivirus est utilisée pour contrôler la façon dont certains types de menaces sont gérés par le produit.

Type de menace

Type de menace pour lequel le comportement est configuré.

Mesures à prendre

Action à entreprendre en cas de détection d’une menace du type spécifié dans la section précédente. Peut être :

• Audit : l’appareil n’est pas protégé contre ce type de menace, mais une entrée concernant la menace est journalisée. (Valeur par défaut)
• Bloquer : l’appareil est protégé contre ce type de menace et vous êtes averti dans le portail Microsoft Defender.
• Désactivé : l’appareil n’est pas protégé contre ce type de menace et rien n’est journalisé.

Stratégie de fusion des paramètres de type de menace

Spécifie la stratégie de fusion pour les paramètres de type de menace. Il peut s’agir d’une combinaison de paramètres définis par l’administrateur et définis par l’utilisateur (merge) ou uniquement de paramètres définis par l’administrateur (admin_only). Les paramètres définis par l’administrateur (admin_only) sont des paramètres de type de menace configurés par la stratégie Defender pour point de terminaison. Ce paramètre peut être utilisé pour empêcher les utilisateurs locaux de définir leurs propres paramètres pour différents types de menaces.

Rétention de l’historique d’analyse antivirus (en jours)

Spécifiez le nombre de jours pendant lesquels les résultats sont conservés dans l’historique d’analyse sur l’appareil. Les anciens résultats de l’analyse sont supprimés de l’historique. Anciens fichiers mis en quarantaine qui sont également supprimés du disque.

Nombre maximal d’éléments dans l’historique d’analyse antivirus

Spécifiez le nombre maximal d’entrées à conserver dans l’historique d’analyse. Les entrées incluent toutes les analyses à la demande effectuées dans le passé et toutes les détections antivirus.

Préférences de paramètre d’exclusion

La exclusionSettings section du profil de configuration est utilisée pour configurer différentes exclusions pour Microsoft Defender pour point de terminaison pour Linux.

Stratégie de fusion

Spécifie la stratégie de fusion pour les exclusions. Il spécifie s’il peut s’agir d’une combinaison d’exclusions définies par l’administrateur et définies par l’utilisateur (merge) ou uniquement d’exclusions définies par l’administrateur (admin_only). Ce paramètre peut être utilisé pour empêcher les utilisateurs locaux de définir leurs propres exclusions. Elle s’applique aux exclusions de toutes les étendues.

Exclusions

Les entités qui doivent être exclues peuvent être spécifiées par des chemins d’accès complets, des extensions ou des noms de fichiers. Chaque entité d’exclusion, c’est-à-dire le chemin d’accès complet, l’extension ou le nom de fichier, a une étendue facultative qui peut être spécifiée. Si elle n’est pas spécifiée, la valeur par défaut de l’étendue dans cette section est globale. (Les exclusions sont spécifiées sous la forme d’un tableau d’éléments, l’administrateur peut spécifier autant d’éléments que nécessaire, dans n’importe quel ordre.)

Type d’exclusion

Spécifie le type de contenu exclu de l’analyse.

Étendue de l’exclusion (facultatif)

Spécifie l’ensemble des étendues d’exclusion du contenu exclu. Les étendues actuellement prises en charge sont epp et global.

Si rien n’est spécifié dans pour une exclusion sous exclusionParamètres dans la configuration managée, global est considéré comme une étendue.

Chemin d’accès au contenu exclu

Permet d’exclure le contenu de l’analyse par chemin d’accès de fichier complet.

Type de chemin d’accès (fichier/répertoire)

Indique si la propriété path fait référence à un fichier ou un répertoire.

Extension de fichier exclue de l’analyse

Permet d’exclure le contenu de l’analyse par extension de fichier.

Processus exclu de l’analyse

Spécifie un processus pour lequel toute l’activité de fichier est exclue de l’analyse. Le processus peut être spécifié par son nom (par exemple, cat) ou par son chemin d’accès complet (par exemple, /bin/cat).

Options d’analyse avancées

Les paramètres suivants peuvent être configurés pour activer certaines fonctionnalités d’analyse avancées.

Configurer l’analyse des événements d’autorisations de modification de fichier

Lorsque cette fonctionnalité est activée, Defender pour point de terminaison analyse les fichiers lorsque leurs autorisations ont été modifiées pour définir les bits exécutés.

Configurer l’analyse des événements de modification de propriété de fichier

Lorsque cette fonctionnalité est activée, Defender pour point de terminaison analyse les fichiers dont la propriété a changé.

Configurer l’analyse des événements de socket bruts

Lorsque cette fonctionnalité est activée, Defender pour point de terminaison analyse les événements de socket réseau tels que la création de sockets bruts/sockets de paquets ou la définition de l’option socket.

Préférences de protection fournies par le cloud

L’entrée cloudService dans le profil de configuration est utilisée pour configurer la fonctionnalité de protection pilotée par le cloud du produit.

Activer ou désactiver la protection fournie par le cloud

Détermine si la protection fournie par le cloud est activée sur l’appareil ou non. Pour améliorer la sécurité de vos services, nous vous recommandons de garder cette fonctionnalité activée.

Niveau de collecte de diagnostics

Les données de diagnostic sont utilisées pour assurer la sécurité et la mise à jour de Defender pour point de terminaison, détecter, diagnostiquer et résoudre les problèmes, et apporter des améliorations au produit. Ce paramètre détermine le niveau de diagnostics envoyées par le produit à Microsoft. Pour plus d’informations, consultez Confidentialité pour Microsoft Defender pour point de terminaison sur Linux.

Configurer le niveau de bloc cloud

Ce paramètre détermine l’agressivité de Defender pour point de terminaison dans le blocage et l’analyse des fichiers suspects. Si ce paramètre est activé, Defender pour point de terminaison est plus agressif lors de l’identification des fichiers suspects à bloquer et analyser . sinon, il est moins agressif et donc bloque et analyse avec moins de fréquence.

Il existe cinq valeurs pour définir le niveau de bloc cloud :

• Normal (normal) : niveau de blocage par défaut.
• Modéré (moderate) : fournit un verdict uniquement pour les détections à haut niveau de confiance.
• Élevé (high) : bloque de manière agressive les fichiers inconnus tout en optimisant les performances (plus de chances de bloquer les fichiers non partagés).
• Plus élevé (high_plus) : bloque de manière agressive les fichiers inconnus et applique des mesures de protection supplémentaires (susceptibles d’avoir un impact sur les performances des appareils clients).
• Tolérance zéro (zero_tolerance) : bloque tous les programmes inconnus.

Activer ou désactiver les envois d’exemples automatiques

Détermine si des échantillons suspects (susceptibles de contenir des menaces) sont envoyés à Microsoft. Il existe trois niveaux pour contrôler l’envoi d’exemples :

• Aucun : aucun échantillon suspect n’est envoyé à Microsoft.
• Sécurisé : seuls les échantillons suspects qui ne contiennent pas d’informations d’identification personnelle (PII) sont envoyés automatiquement. Il s’agit de la valeur par défaut de ce paramètre.
• Tout : tous les échantillons suspects sont envoyés à Microsoft.

Activer ou désactiver les mises à jour automatiques du renseignement de sécurité

Détermine si les mises à jour du renseignement de sécurité sont installées automatiquement :

Selon le niveau d’application, les mises à jour automatiques du renseignement de sécurité sont installées différemment. En mode RTP, les mises à jour sont installées régulièrement. En mode passif/à la demande, les mises à jour sont installées avant chaque analyse.

Fonctionnalités facultatives avancées

Les paramètres suivants peuvent être configurés pour activer certaines fonctionnalités avancées.

Fonctionnalité de chargement de module

Détermine si les événements de chargement de module (événements d’ouverture de fichier sur les bibliothèques partagées) sont surveillés.

Corriger la fonctionnalité de fichier infecté

Détermine si les processus infectés qui ouvrent ou chargent un fichier infecté sont corrigés ou non.

Configurations de capteur supplémentaires

Les paramètres suivants peuvent être utilisés pour configurer certaines fonctionnalités de capteur supplémentaires avancées.

Configurer la surveillance des événements de modification des autorisations de fichier

Détermine si les événements d’autorisations de modification de fichier (chmod) sont surveillés.

Configurer la surveillance des événements de modification de propriété de fichier

Détermine si les événements de modification de propriété de fichier (chown) sont surveillés.

Configurer la surveillance des événements de socket bruts

Détermine si les événements de socket réseau impliquant la création de sockets bruts/sockets de paquets ou la définition d’une option de socket sont surveillés.

Configurer la surveillance des événements du chargeur de démarrage

Détermine si les événements du chargeur de démarrage sont surveillés et analysés.

Configurer la surveillance des événements ptrace

Détermine si les événements ptrace sont surveillés et analysés.

Configurer la surveillance des événements pseudofs

Détermine si les événements pseudofs sont surveillés et analysés.

Configurer la surveillance des événements de chargement de module à l’aide d’eBPF

Détermine si les événements de chargement de module sont surveillés à l’aide d’eBPF et analysés.

Configurer la surveillance des événements ouverts à partir de systèmes de fichiers spécifiques à l’aide d’eBPF

Détermine si les événements ouverts à partir de procfs sont surveillés par eBPF.

Configurer l’enrichissement à la source des événements à l’aide d’eBPF

Détermine si les événements sont enrichis avec des métadonnées à la source dans eBPF.

Activer le cache du moteur antivirus

Détermine si les métadonnées des événements analysés par le moteur antivirus sont mises en cache ou non.

Signaler des événements suspects AV à EDR

Détermine si les événements suspects de l’antivirus sont signalés à EDR.

Configurations de protection réseau

Les paramètres suivants peuvent être utilisés pour configurer des fonctionnalités avancées d’inspection de la protection réseau afin de contrôler le trafic inspecté par la protection réseau.

Niveau d’application

Configurer l’inspection ICMP

Détermine si les événements ICMP sont surveillés et analysés.

Ajouter une étiquette ou un ID de groupe au profil de configuration

Lorsque vous exécutez la mdatp health commande pour la première fois, la valeur de la balise et de l’ID de groupe est vide. Pour ajouter une balise ou un ID de groupe au mdatp_managed.json fichier, procédez comme suit :

1. Ouvrez le profil de configuration à partir du chemin d’accès /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

2. Descendez en bas du fichier, où se trouve le cloudService bloc.

3. Ajoutez la balise ou l’ID de groupe requis comme exemple suivant à la fin du crochet fermant pour le cloudService.

   },
   "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
   },
   "edr": {
   "groupIds":"GroupIdExample",
   "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
   }
   

   Remarque

   Ajoutez la virgule après le crochet fermant à la fin du cloudService bloc. Vérifiez également qu’il existe deux accolades fermants après l’ajout d’une balise ou d’un bloc d’ID de groupe (voir l’exemple ci-dessus). Pour le moment, le seul nom de clé pris en charge pour les balises est GROUP.

Validation du profil de configuration

Le profil de configuration doit être un fichier au format JSON valide. De nombreux outils peuvent être utilisés pour vérifier cela. Par exemple, si vous avez python installé sur votre appareil :

python -m json.tool mdatp_managed.json

Si le json est correctement formé, la commande ci-dessus le renvoie au terminal et retourne un code de sortie de 0. Sinon, une erreur décrivant le problème s’affiche et la commande retourne un code de sortie de 1.

Vérification que le fichier mdatp_managed.json fonctionne comme prévu

Pour vérifier que votre /etc/opt/microsoft/mdatp/managed/mdatp_managed.json fonctionne correctement, vous devez voir « [géré] » en regard de ces paramètres :

• cloud_enabled
• cloud_automatic_sample_submission_consent
• passive_mode_enabled
• real_time_protection_enabled
• automatic_definition_update_enabled

Déploiement du profil de configuration

Une fois que vous avez créé le profil de configuration pour votre entreprise, vous pouvez le déployer via l’outil de gestion que votre entreprise utilise. Defender pour point de terminaison sur Linux lit la configuration managée à partir de /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.