Agendar análises antivírus no Linux (pré-visualização)

Este artigo descreve como configurar análises de antivírus agendadas no Microsoft Defender para Endpoint no Linux. Destina-se a administradores de TI e de segurança que gerem dispositivos Linux e querem garantir a proteção contínua do antivírus através do agendamento centralizado da análise.

Descrição geral

Microsoft Defender para Endpoint no Linux suporta análises antivírus agendadas para ajudar a manter a proteção contínua em todos os dispositivos. Em vez de depender de tarefas cron personalizadas, as análises agendadas são configuradas centralmente para garantir uma análise consistente entre ambientes.

As análises agendadas permitem-lhe executar análises rápidas em intervalos regulares ou numa hora específica todos os dias, bem como configurar análises semanais com tipos de análise rápidos ou completos. Também pode controlar a forma como as análises são executadas, como reduzir o impacto no desempenho, aguardar que o dispositivo fique inativo ou aleatorizar as horas de início em todos os dispositivos.

Pode configurar análises agendadas com a configuração gerida (JSON gerido) ou uma experiência de política na Gestão de Definições de Segurança no portal do Microsoft Defender, consoante a forma como gere as definições do dispositivo.

Pré-requisitos

Antes de configurar as análises antivírus agendadas no Linux, certifique-se de que os seguintes requisitos são cumpridos:

Microsoft Defender para Endpoint é instalado e integrado em distribuições de Linux suportadas.
Os dispositivos estão a executar a versão mínima do agente 101.26032.0000 na cadência de produção.
Os dispositivos estão em bom estado de funcionamento e a comunicar corretamente ao serviço de Microsoft Defender

Consoante o método de configuração, os seguintes pré-requisitos também têm de ser cumpridos:

Configuração JSON Gerida do MDATP:
- Tem de conseguir implementar ficheiros de configuração no /etc/opt/microsoft/mdatp/managed
- Tem de ter as permissões necessárias para gerir ficheiros de configuração do sistema.
- Se já utilizar a configuração gerida para outras definições de antivírus, acrescente ao ficheiro de configuração existente em vez de o substituir.
portal do Microsoft Defender:
- Tem de ter as permissões adequadas para criar e atribuir políticas de segurança

Tipos de análise de antivírus agendados

O Defender para Endpoint no Linux suporta os seguintes tipos de análise para análises agendadas:

Análises rápidas: as análises rápidas focam-se em localizações críticas do sistema onde é mais provável que o software maligno esteja presente, como caminhos de arranque e serviços do sistema. São concluídas mais rapidamente e são recomendadas para agendamento frequente, como análises diárias ou baseadas em intervalos.
Análises completas: as análises completas examinam todos os ficheiros e diretórios no dispositivo. Proporcionam uma cobertura mais abrangente, mas podem demorar mais tempo a concluir, dependendo do tamanho do sistema e da carga de trabalho. Normalmente, estes são agendados com menos frequência, como semanalmente.

Opções de agendamento

As análises agendadas podem ser configuradas com as seguintes opções de agendamento:

Análises rápidas por hora: execute análises rápidas em intervalos periódicos (a cada N horas).
Análises rápidas diárias: execute análises rápidas a uma hora específica todos os dias.
Análises semanais: execute uma análise num dia e hora especificados, com a opção de escolher uma análise rápida ou uma análise completa.

Estas opções de agendamento podem ser configuradas de forma independente e combinadas. Por exemplo, pode executar análises rápidas diárias juntamente com uma análise completa semanal.

Definições de análise agendada

A tabela seguinte descreve as definições disponíveis para configurar análises antivírus agendadas:

Categoria	Definição	Descrição	Valores possíveis	Predefinição
Definições de análise diária	intervalo	Executa uma análise rápida a cada N horas (agendamento baseado em intervalos).	Número inteiro (horas) 0 = desativado	0
Definições de análise diária	timeOfDay (diariamente)	Executa uma análise rápida uma vez por dia numa hora específica. O valor é em minutos a partir da meia-noite (hora local do servidor)	0-1440 (por exemplo, 120 = 02:00)	0
Definições semanais de análise	dayOfWeek	Especifica o dia em que uma análise agendada é executada.	0–8 0 = desativado 1-7 = Domingo-Sábado 8 = todos os dias	0
Definições semanais de análise	timeOfDay (semanalmente)	Especifica quando a análise semanal é executada. O valor é em minutos a partir da meia-noite (hora local do servidor)	0–1440	120 (02:00)
Definições semanais de análise	scanType	Especifica o tipo de análise para análises semanais.	rápido, cheio	rápido
Definições avançadas (opcional)	runScanWhenIdle	Atrasa a análise até que o sistema esteja inativo.	true, false	falso
Definições avançadas (opcional)	lowPriorityScheduledScan	Executa análises com prioridade de CPU reduzida.	true, false	falso
Definições avançadas (opcional)	checkForDefinitionsUpdate	Verifica a existência das atualizações de informações de segurança mais recentes antes de iniciar a análise.	true, false	falso
Definições avançadas (opcional)	randomizeScanStartTime	Aleatoriza a hora de início da análise numa janela definida (em horas) para evitar análises simultâneas.	0–23	0
Definições avançadas (opcional)	ignoreExclusions	Executa análises sem honrar as exclusões configuradas.	true, false	falso

Nota

interval e timeOfDay (diariamente) são definições independentes. Se ambos estiverem configurados, criam agendas de análise rápida separadas e podem resultar em múltiplas análises por dia.

Configurar análises antivírus agendadas

Pode configurar análises antivírus agendadas no Linux através de um dos seguintes métodos, consoante a forma como gere a configuração do dispositivo no seu ambiente.

Utilizar políticas de Gestão de Definições de Segurança no portal do Defender

Configure o seu inquilino para suportar a gestão de definições de segurança.
No portal do Defender, navegue paraDefinições> do Sistema> Âmbito deimposição da Gestão> de configuração dePontos Finais>e, em seguida, selecione a plataforma Linux.
Etiquetar dispositivos com a etiqueta gestão de MDE. A maioria dos dispositivos inscreve e recebe a política dentro de minutos, embora alguns possam demorar até 24 horas. Para obter mais informações, veja Saiba como utilizar Intune para gerir definições de Microsoft Defender em dispositivos que não estão inscritos com Intune.
Crie um grupo Microsoft Entra.
- Crie um grupo de Microsoft Entra dinâmico com base no tipo de sistema operativo para garantir que todos os dispositivos integrados no Defender para Endpoint recebem as políticas adequadas.
- Este grupo dinâmico inclui automaticamente dispositivos geridos pelo Defender para Endpoint, eliminando a necessidade de os administradores criarem manualmente novas políticas. Para obter mais informações, veja Criar grupos de Microsoft Entra.
Criar uma política de segurança de ponto final.
1. No portal do Defender, aceda a EndpointsGestão> de configuração Políticas > desegurança de ponto final e, em seguida, selecione Criar nova política.
2. Em Plataforma, selecione Linux.
3. Selecione o modelo Microsoft Defender Antivírus e, em seguida, selecione Criar política.
4. Na página Informações básicas , introduza um nome e uma descrição para o perfil e, em seguida, selecione Seguinte.
5. Na página Definições de configuração , aceda à secção Agendar Análise no final da página e configure as definições que pretende gerir com este perfil.
6. Quando terminar de configurar as definições, selecione Seguinte.
7. Na página Atribuições , selecione os grupos que recebem este perfil. Em seguida, selecione Seguinte.
8. Na página Rever + criar , quando terminar, selecione Guardar. O novo perfil é apresentado na lista quando seleciona o tipo de política para o perfil que criou.
Para obter mais informações, veja Gerir políticas de segurança de pontos finais no Microsoft Defender para Endpoint.

Utilizar a configuração JSON gerida do mdatp

Em ambientes empresariais, as análises antivírus podem ser agendadas através de um perfil de configuração. Normalmente, utilizaria uma ferramenta de gestão de configuração como o Puppet, o Ansible ou outra consola de gestão para emitir um ficheiro com o nome mdatp_managed.json para a localização /etc/opt/microsoft/mdatp/managed.

Se já utilizar mdatp_managed.json para configurar outras definições do Defender para Endpoint (por exemplo, exclusões ou preferências antivírus), não substitua o ficheiro existente. As definições de análise agendada devem ser adicionadas ao JSON gerido existente, juntamente com a configuração atual. Para obter mais informações, veja Configurar definições de segurança no Microsoft Defender para Endpoint no Linux.

O exemplo seguinte configura:

Uma análise completa semanal todos os sábados às 3:00.
Uma análise rápida diária todos os dias às 3:00.
As análises são executadas apenas quando o dispositivo está inativo.
Redução do impacto da CPU com o agendamento de baixa prioridade.
As atualizações de definições são verificadas antes da análise.
As exclusões são ignoradas durante as análises.
As horas de início da análise são aleatórias até 3 horas.

{
  "antivirusEngine": {
    "scheduledScan": "enabled"
  },
  "scheduledScan": {
    "weeklyConfiguration": {
      "dayOfWeek": 7,
      "scanType": "full",
      "timeOfDay": 180
    },
    "dailyConfiguration": {
      "timeOfDay": 180
    },
    "runScanWhenIdle": true,
    "lowPriorityScheduledScan": true,
    "checkForDefinitionsUpdate": true,
    "ignoreExclusions": true,
    "randomizeScanStartTime": 3
  }
}

Utilizar a linha de comandos

Pode configurar análises antivírus agendadas diretamente num dispositivo Linux com a ferramenta de linha de comandos mdatp. Esta abordagem é útil para testes ou configuração de dispositivo único.

Ativar análises agendadas:

mdatp config scheduled-scan settings feature --value enabled

Configurar a análise rápida diária:

Execute uma análise rápida diária numa hora específica (em minutos a partir da meia-noite).

Exemplo: Análise rápida diária às 02:00

mdatp config scheduled-scan quick-scan time-of-day --value 120

Configurar a análise rápida baseada em intervalos:

Execute análises rápidas em intervalos regulares de hora a hora.

Exemplo: Executar uma análise rápida a cada 6 horas

mdatp config scheduled-scan quick-scan hourly-interval --value 6

Configurar a análise semanal:

Agende uma análise semanal com um dia, hora e tipo de análise específicos.

Exemplo: Análise completa semanal todas as quartas-feiras às 3:00

mdatp config scheduled-scan weekly-scan --day-of-week 4 --time-of-day 180 --scan-type full

Nota

A configuração baseada na CLI é recomendada para testes ou configuração ad hoc. Para a implementação em grande escala, utilize a configuração JSON gerida ou Microsoft Defender políticas do portal.

Precedência de configuração

Se as definições de análise agendada estiverem configuradas com vários métodos, Microsoft Defender políticas do portal (Gestão de Definições de Segurança) têm precedência sobre a configuração local (JSON gerido ou CLI).

Verificar análises de antivírus agendadas

Depois de configurar as análises agendadas, verifique se a configuração foi aplicada corretamente e se as análises estão a ser executadas conforme esperado.

Verificar o estado da configuração

Execute o seguinte comando para confirmar que as definições de análise agendadas são aplicadas:

mdatp health --details scheduled_scan

Este comando mostra a configuração da análise agendada atual no dispositivo.

Verificar a execução da análise agendada

Para ver o histórico das análises executadas:

mdatp scan list

Este comando apresenta análises concluídas e em curso.

Também pode verificar a atividade de análise diretamente a partir do portal do Defender ao nível do dispositivo. Mostra a última análise completa e a última análise rápida:

Aceda a Dispositivos de Recursos>.
Selecione o Linux dispositivo de destino.
No separador Descrição geral , localize a secção Estado de funcionamento do dispositivo .

Isto ajuda a confirmar se as análises agendadas estão a ser executadas conforme esperado no dispositivo.

Perguntas mais frequentes

As análises agendadas requerem proteção em tempo real para serem ativadas?

Não. As análises agendadas funcionam independentemente da proteção em tempo real. Podem ser executados mesmo quando a proteção em tempo real está desativada ou o dispositivo está no modo passivo ou a pedido.

As análises diárias e semanais podem ser configuradas em conjunto?

Sim. As configurações diárias e semanais podem coexistir. Um padrão comum são as análises diárias para cobertura regular e uma análise completa semanal para uma inspeção mais profunda.

Que tipo de análise é utilizado para análises diárias?

As análises diárias seguem o comportamento predefinido do motor; são sempre análises rápidas. O tipo de análise é explicitamente configurável para análises semanais.

As exclusões são aplicadas durante as análises agendadas?

Por predefinição, as análises agendadas respeitam as exclusões configuradas. Se ignoreExclusions estiver definido como verdadeiro, as análises agendadas ignorarão as exclusões durante a execução.

Que fuso horário é utilizado para o agendamento da análise?

Todos os tempos de análise agendados são avaliados com o fuso horário local do dispositivo.

O que acontece se não for especificada nem a configuração diária nem semanal?

Se não for definida nenhuma configuração diária ou semanal, as análises agendadas não serão executadas.

Posso escalonar as horas de início da análise em todos os dispositivos?

Utilize randomizeScanStartTime para aleatoriamente o início da análise numa janela definida, ajudando a reduzir a carga simultânea na sua frota.

O que acontece se o servidor estiver offline?

As análises agendadas não são executadas na hora agendada enquanto o dispositivo está em modo de espera. Em vez disso, as análises agendadas são executadas quando o dispositivo sai do modo de suspensão. Se o dispositivo estiver desativado, a análise será executada na próxima hora de análise agendada.

Configurar definições de segurança no Microsoft Defender para Endpoint no Linux

Comentários

Esta página foi útil?

Last updated on 2026-05-26