Microsoft Defender for Endpoint on Linux の基本設定（JSONファイル）を解説

Microsoft Defender for Endpoint (MDE) は、Windows だけでなく Linux 環境にも対応しており、エンドポイントのセキュリティを強化するための重要なツールです。本記事では、Linux 環境での Microsoft Defender for Endpoint の 基本設定方法について解説します。

前提条件

• Microsoft Defender for Endpoint のインストール
  Microsoft Defender for Endpoint on Linux が既にインストールされている必要があります。インストール手順は弊社ブログを参照してください。
• Linuxの管理者権限
  JSON 設定ファイルの作成および適用にはsudo 権限が必要です。
• クラウド接続の要件
  Microsoft のクラウドサービスにアクセスできる必要があります。必要なネットワーク設定については公式ドキュメントを参照してください。

設定ファイルの場所と基本構成

Microsoft Defender for Endpoint の設定は JSON 形式で管理され、以下のパスに格納されます。

/etc/opt/microsoft/mdatp/managed/mdatp_managed.json

この JSON ファイルを適切に設定することで、Defender の動作をカスタマイズできます。

JSON 設定ファイルのキーと値の説明

以下の表に、Microsoft Defender for Endpoint on Linux の JSON 設定ファイルに使用される主要なキーと値の説明をまとめます。

キー	説明	値の例
antivirusEngine	ウイルス対策エンジンの設定	{} (ネストされたオブジェクト)
enforcementLevel	ウイルス対策の適用レベル	"real_time", "passive", "on_demand"
behaviorMonitoring	動作監視の設定	disable または enable
scanAfterDefinitionUpdate	定義の更新後にスキャンを実行	true または false
scanArchives	オンデマンドスキャン中のアーカイブファイル（圧縮ファイル）のスキャン設定	true または false
maximumOnDemandScanThreads	オンデマンド スキャンの並列処理	2（既定値） 1~64で指定可能。
exclusionsMergePolicy	除外マージ ポリシー	"merge", "admin_only"
exclusions	スキャンの除外設定	{} (ネストされたオブジェクト)
$type	パス ファイル拡張子 プロセス名	excludedPath excludedFileExtension excludedFileName
path	ファイルパス $typeが excludedPathの場合のみ適用されます。	有効なパス
extention	ファイル拡張子 $typeが excludedFileExtension の場合にのみ適用されます	有効なファイル拡張子
name	プロセス $typeが excludedFileName の場合にのみ適用されます	任意の文字列
isDirectory	path プロパティがファイルまたはディレクトリを参照しているかどうかを指定。	false true
nonExecMountPolicy	noexec としてマークされたマウント ポイントでのリアルタイム保護の動作	unmute mute
unmonitoredFilesystems	ファイルシステムに対する監視の解除	文字列の配列 [“Nfs”,”Fuse”]
enableFileHashComputation	ファイル ハッシュ計算機能	false true
allowedThreats	許可される脅威	[ “EICAR-Test-File (not a virus)” ]
disallowedThreatActions	許可されていない脅威アクション allow (ユーザーが脅威を許可できないように制限します)restore (ユーザーが検疫から脅威を復元できないように制限します)	allow restore
threatTypeSettings	特定の脅威タイプに対するアクション	[{"key":"potentially_unwanted_application","value":"block"}]
threatTypeSettingsMergePolicy	脅威の種類の設定のマージ ポリシー	merge (既定値) admin_only
scanResultsRetentionDays	ウイルス対策スキャン履歴の保持期間 (日数) 検疫されたファイルの保持期間にもなります。	90 (既定値)。 使用できる値は、1 日から 180 日です。
scanHistoryMaximumItems	ウイルス対策スキャン履歴の最大数	10000 (既定値)。 使用できる値は、5,000 項目から 1,5000 項目までです。
cloudService	クラウドサービスの設定	{} (ネストされたオブジェクト)
enabled	クラウド配信保護を有効または無効	true または false
diagnosticLevel	診断収集のレベル	optional required (既定値)
cloudBlockLevel	クラウド ブロック レベル	normal (既定値)moderate high high_plus zero_tolerance
automaticSampleSubmissionConsent	サンプルの自動送信を有効または無効にする	none safe (既定値) all
automaticDefinitionUpdateEnabled	セキュリティ インテリジェンスの自動更新を有効または無効にする	true (既定値) false
proxy	プロキシ設定	"http://proxy.server:port/"
definitionUpdatesInterval	定義更新の間隔	署名の自動更新の間隔 (秒単位)。

JSON 設定ファイルの適用手順

設定ファイルの作成

まず、mdatp_managed.json を作成し、必要な設定を記述します。以下は、完全な構成プロファイルの例です。

{
    "antivirusEngine": {
        "enforcementLevel": "real_time",
        "behaviorMonitoring": "enabled",
        "scanAfterDefinitionUpdate": false,
        "scanArchives": true,
        "scanHistoryMaximumItems": 10000,
        "scanResultsRetentionDays": 7,
        "maximumOnDemandScanThreads": 2,
        "exclusionsMergePolicy": "merge",
        "exclusions": [
        ],
        "disallowedThreatActions": [
            "allow",
            "restore"
        ],
        "nonExecMountPolicy": "unmute",
        "unmonitoredFilesystems": [
            "nfs,fuse"
        ],
        "enableFileHashComputation": false,
        "threatTypeSettingsMergePolicy": "merge",
        "threatTypeSettings": [
            {
                "key": "archive_bomb",
                "value": "audit"
            },
            {
                "key": "potentially_unwanted_application",
                "value": "block"
            }
        ]
    },
    "cloudService": {
        "enabled": true,
        "diagnosticLevel": "required",
        "automaticSampleSubmissionConsent": "safe",
        "cloudBlockLevel": "normal",
        "automaticDefinitionUpdateEnabled": true,
        "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
        "definitionUpdatesInterval":28800 //8時間ごとの定義更新
    }
}

設定の適用

作成した JSON ファイルを以下のディレクトリに配置し、適用します。

sudo cp mdatp_managed.json /etc/opt/microsoft/mdatp/managed/

その後、Defender のサービスを再起動します。

sudo systemctl restart mdatp

設定の確認

適用した設定が反映されているかを確認するには、以下のコマンドを実行します。

sudo mdatp health

このコマンドの出力を確認し、適用した設定が有効になっていることを確認してください。
以下の設定の横に[managed]という表記があれば正しく設定されています。

• cloud_enabled
• cloud_automatic_sample_submission_consent
• passive_mode_enabled
• real_time_protection_enabled
• automatic_definition_update_enabled

まとめ

Microsoft Defender for Endpoint on Linux では、JSON 形式の設定ファイルを使用して詳細なセキュリティ設定を行うことができます。適切な設定を行うことで、より強固なエンドポイント保護を実現できます。