Schemalägga en antivirusgenomsökning med crontab med Microsoft Defender för Endpoint på Linux

  • Gäller för: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Information om hur du kör en genomsökning efter Linux finns i Kommandon som stöds.

För Linux (och Unix) kan du använda ett verktyg med namnet crontab (liknar Schemaläggaren i Windows) för att köra schemalagda aktiviteter.

Förutsättningar

Obs!

Kör följande kommando för att hämta en lista över alla tidszoner: timedatectl list-timezones
Exempel för tidszoner:

  • America/Los_Angeles
  • America/New_York
  • America/Chicago
  • America/Denver

Ange Cron-jobbet

Om du vill ange cron-jobbet använder du kommandona i den här artikeln.

Säkerhetskopiera crontab-poster

Tips

Gör det här steget innan du redigerar eller tar bort poster.

sudo crontab -l > /var/tmp/cron_backup_200919.dat

Där 200919 = YYMMDD

Så här redigerar du crontab och lägger till ett nytt jobb som rotanvändare:

sudo crontab -e

Obs!

Standardredigeraren är VIM.

Du kan se:

0 * * * * /etc/opt/microsoft/mdatp/logrorate.sh

Tryck på Infoga och lägg sedan till följande poster:

CRON_TZ=America/Los_Angeles

0 2 * * sat /usr/bin/mdatp scan quick > ~/mdatp_cron_job.log

Obs!

I det här exemplet har vi angett till 00 minuter, 02:00 (timme i 24-timmarsformat), valfri dag i månaden, vilken månad som helst, på lördagar. Den här inställningen innebär att jobbet körs lördagar kl. 02:00. Pacific (UTC -8).

Tryck på Esc och skriv ":wq" utan dubbla citattecken.

Obs!

w == write, q == quit

Om du vill visa dina cron-jobb skriver du sudo crontab -l

Skärmbild av linux mdatp-sidan.

Så här inspekterar du cron-jobbkörningar

sudo grep mdatp /var/log/cron

Så här inspekterar du mdatp_cron_job.log*

sudo nano mdatp_cron_job.log

Verifiera genomsökningskörning

Linux ger inget direkt sätt att bekräfta att en schemalagd genomsökning kördes.

Schemalagda genomsökningar som konfigurerats via crontab visar inte något statusfält eller dedikerad bekräftelse i Microsoft Defender för Endpoint på Linux.

Kontrollera att en genomsökning kördes genom att köra följande kommando:

mdatp scan list

mdatp scan listreturnerar en historik över de senaste 7 genomsökningarna som utförts på enheten av Microsoft Defender för Endpoint. För varje genomsökningspost kan du se:

  • Genomsökningstyp – snabb eller fullständig
  • Genomsökningens starttid – till exempel 05 januari 2023 kl. 15:18:39
  • Genomsökningstillstånd – till exempel lyckades, misslyckades eller avbröts

Använd det här kommandot för att kontrollera att schemalagda genomsökningar kördes vid förväntat datum, tid och frekvens.

Utdata täcker bara de senaste sju genomsökningarna. Om du behöver kontrollera om både snabba och fullständiga genomsökningar körs regelbundet övervakar du det över tid eller skript runt den.

Du kan också kontrollera att genomsökningen kördes av:

Köra genomsökningar på begäran:

  • Snabbsökning

    mdatp scan quick

  • Fullständig genomsökning

     mdatp scan full

  • Sök igenom en specifik sökväg

    mdatp scan custom --path /home/user/downloads

Kontrollera genomsökningsresultat

  • Visa en lista över alla identifierade hot.

    mdatp threat list

  • Få information om ett specifikt hot.

    mdatp threat get --id [threat-id]

Om du använder Ansible, Chef, Puppet eller SaltStack

Använd följande kommandon:

Så här anger du cron-jobb i Ansible

cron - Manage cron.d and crontab entries

Mer information finns i Ansible-dokumentationen.

Så här ställer du in crontabs i Chef

cron resource

Mer information finns i Chef-dokumentationen.

Så här ställer du in cron-jobb i Puppet

Resource Type: cron

Mer information finns i Puppet-dokumentation: Resurstyp: cron.

Automatisera med Puppet: Cron-jobb och schemalagda aktiviteter

Mer information finns i Puppet-dokumentationen om jobb och schemalagda aktiviteter.

Hantera cron-jobb i SaltStack

Resource Type: salt.states.cron

Exempel:

mdatp scan quick > /tmp/mdatp_scan_log.log:
  cron.present:
    - special: '@hourly'

Mer information finns i dokumentationen om Salt.States.Cron.

Ytterligare information

Så här får du hjälp med crontab

man crontab

Hämta en lista över crontab-filer för den aktuella användaren

crontab -l

Hämta en lista över crontab-filer för en annan användare

crontab -u username -l

Säkerhetskopiera crontab-poster

Tips

Gör det här steget innan du redigerar eller tar bort poster.

crontab -l > /var/tmp/cron_backup.dat

Så här återställer du crontab-poster

crontab /var/tmp/cron_backup.dat

Redigera crontab och lägga till ett nytt jobb som rotanvändare

sudo crontab -e

Redigera crontab och lägga till ett nytt jobb

crontab -e

Redigera andra användares crontab-poster

crontab -u username -e

Ta bort alla crontab-poster

crontab -r

Ta bort andra användares crontab-poster

crontab -u username -r

Förklaring

+—————- minute (values: 0 - 59) (special characters: , \- \* /)  <br>
| +————- hour (values: 0 - 23) (special characters: , \- \* /) <br>
| | +———- day of month (values: 1 - 31) (special characters: , \- \* / L W C)  <br>
| | | +——- month (values: 1 - 12) (special characters: , \- \* /)  <br>
| | | | +—- day of week (values: 0 - 6) (Sunday=0 or 7) (special characters: , \- \* / L W C) <br>
| | | | |*****command to be executed

Se även

  • Last updated on