🫵

Microsoft Defender for Endpoint for Linux の設定

2023/06/07に公開

はじめに

Microsoft Defender for Endpoint (MDE) は Linux にもインストール可能です。MDE および付付随する Microsoft Defender Anti Virus の設定はコマンドベースで行う必要があります。本記事はその備忘録です。

参考ドキュメント

コマンドリストの参考ドキュメントはこちら。
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/microsoft-defender-for-endpoint-linux-configuration-and/ba-p/1577902#:~:text=To enable ATP diagnostic mdatp config cloud-diagnostic –value,--id "Your threat ID" mdatp threat quarantine list
https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/linux-resources?view=o365-worldwide

コマンド叩いてみる

ステータス確認

mdatp health

除外設定

mdatp exclusion extension add --name .txt

mdatp exclusion list

構成プロファイル

各コマンド実行の他に構成プロファイルで設定する方法があります。こちらは、json ファイルに各設定を記載して Ansible などの構成管理ツールで配布することで管理者側で集中管理するために使用します。こちらも試してみます。なお、構成管理ツールがないため、疑似的にローカルでファイルを作成して動作確認しました。
https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/linux-preferences?view=o365-worldwide

mdatp_managed.json という名前のファイルを /etc/opt/microsoft/mdatp/managed/ にプッシュします。

構成ファイルのサンプル

mdatp_managed.json
{
    "antivirusEngine":{
        "enforcementLevel":"real_time",
        "threatTypeSettings":[
            {
                 "key":"potentially_unwanted_application",
                 "value":"block"
            },
            {
                 "key":"archive_bomb",
                 "value":"audit"
            }
        ]
    },
    "cloudService":{
        "automaticDefinitionUpdateEnabled":true,
        "automaticSampleSubmissionConsent":"safe",
        "enabled":true
    }
}


ステータス確認コマンドで確認すると、該当項目が managed になっていることが分かります。


これらをコマンドで上書きしようとすると拒否されます。

Microsoft (有志)

Discussion