Zenn
Microsoft (有志)Publicationへの投稿
🫵

Microsoft Defender for Endpoint for Linux の設定

k.sato
2023/06/07に公開
Linux
Security
Microsoft
tech

はじめに

Microsoft Defender for Endpoint (MDE) は Linux にもインストール可能です。MDE および付付随する Microsoft Defender Anti Virus の設定はコマンドベースで行う必要があります。本記事はその備忘録です。

参考ドキュメント

コマンドリストの参考ドキュメントはこちら。
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/microsoft-defender-for-endpoint-linux-configuration-and/ba-p/1577902#:~:text=To enable ATP diagnostic mdatp config cloud-diagnostic –value,--id "Your threat ID" mdatp threat quarantine list
https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/linux-resources?view=o365-worldwide

コマンド叩いてみる

ステータス確認

mdatp health

除外設定

mdatp exclusion extension add --name .txt


mdatp exclusion list

構成プロファイル

各コマンド実行の他に構成プロファイルで設定する方法があります。こちらは、json ファイルに各設定を記載して Ansible などの構成管理ツールで配布することで管理者側で集中管理するために使用します。こちらも試してみます。なお、構成管理ツールがないため、疑似的にローカルでファイルを作成して動作確認しました。
https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/linux-preferences?view=o365-worldwide

mdatp_managed.json という名前のファイルを /etc/opt/microsoft/mdatp/managed/ にプッシュします。

構成ファイルのサンプル

mdatp_managed.json
{
    "antivirusEngine":{
        "enforcementLevel":"real_time",
        "threatTypeSettings":[
            {
                 "key":"potentially_unwanted_application",
                 "value":"block"
            },
            {
                 "key":"archive_bomb",
                 "value":"audit"
            }
        ]
    },
    "cloudService":{
        "automaticDefinitionUpdateEnabled":true,
        "automaticSampleSubmissionConsent":"safe",
        "enabled":true
    }
}

ステータス確認コマンドで確認すると、該当項目が managed になっていることが分かります。

これらをコマンドで上書きしようとすると拒否されます。

Microsoft (有志)
Microsoft (有志)Publication

Microsoft Azureをはじめとする最新技術情報をお届けします。 ※このPublicationは日本マイクロソフトまたは米Microsoft所属社員による個人の見解であり、所属する組織の公式見解ではありません。 ※Publicationに参加希望の社員は @07JP27までご連絡ください。

Discussion