Identifiera och blockera potentiellt oönskade program med Microsoft Defender för Endpoint på Linux

Funktionen för skydd mot potentiellt oönskade program (PUA) i Defender för Endpoint på Linux kan identifiera och blockera PUA-filer på slutpunkter i nätverket.

Dessa program betraktas inte som virus, skadlig kod eller andra typer av hot, men kan utföra åtgärder på slutpunkter som negativt påverkar deras prestanda eller användning. PUA kan också referera till program som anses ha dåligt rykte.

Dessa program kan öka risken för att nätverket infekteras med skadlig kod, orsaka att skadlig kod blir svårare att identifiera och kan slösa IT-resurser vid rensning av programmen.

Så här fungerar det

Defender för Endpoint på Linux kan identifiera och rapportera PUA-filer. När pua-filer konfigureras i blockeringsläge flyttas de till karantänen.

När en PUA identifieras på en slutpunkt behåller Defender för Endpoint på Linux ett register över infektionen i hothistoriken. Historiken kan visualiseras från Microsoft Defender-portalen eller via mdatp kommandoradsverktyget. Hotnamnet innehåller ordet "Program".

Konfigurera PUA-skydd

PUA-skydd i Defender för Endpoint på Linux kan konfigureras på något av följande sätt:

  • Av: PUA-skydd är inaktiverat.
  • Granskning: PUA-filer rapporteras i produktloggarna, men inte i Microsoft Defender XDR. Inga uppgifter om infektionen lagras i hothistoriken och inga åtgärder vidtas av produkten.
  • Blockera: PUA-filer rapporteras i produktloggarna och i Microsoft Defender XDR. En post av infektionen lagras i hothistoriken och åtgärder vidtas av produkten.

Varning

Som standard konfigureras PUA-skydd i granskningsläge .

Du kan konfigurera hur PUA-filer hanteras från kommandoraden eller från hanteringskonsolen.

Använd kommandoradsverktyget för att konfigurera PUA-skydd:

I Terminal kör du följande kommando för att konfigurera PUA-skydd:

mdatp threat policy set --type potentially_unwanted_application --action [off|audit|block]

Använd hanteringskonsolen för att konfigurera PUA-skydd:

I företaget kan du konfigurera PUA-skydd från en hanteringskonsol, till exempel Puppet eller Ansible, på samma sätt som andra produktinställningar konfigureras. Mer information finns i Inställningar för hottyp i Ange inställningar för Defender för Endpoint på Linux.