Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Defender para punto de conexión en Linux ofrece sólidas funcionalidades de análisis antivirus para ayudar a identificar y mitigar archivos malintencionados en el sistema. Puede ejecutar estos exámenes a petición o programarlos a intervalos regulares, lo que garantiza una protección continua y tranquilidad. Se admiten tres formas de ejecutar los exámenes:
- Interfaz de línea de comandos (CLI) (exámenes a petición)
- crontab/anacron (exámenes programados)
- A través del portal de Microsoft Defender (exámenes a petición)
Requisitos previos
Para iniciar un examen desde el portal de Defender, debe tener al menos el permiso Alertas (administrar ). Este requisito de permiso no se aplica a los exámenes manuales desencadenados a través de la CLI.
Tipos de examen admitidos
Con Defender para punto de conexión en Linux, puede realizar tres tipos de exámenes a petición en dispositivos individuales: examen rápido, examen completo y examen personalizado.
Estos exámenes se inician de inmediato, lo que permite especificar parámetros como la ubicación o el tipo de examen. También respetan las exclusiones de antivirus configuradas, lo que garantiza que no se examinan los archivos y carpetas excluidos.
En la tabla siguiente se describe cada tipo de examen:
| Tipo de examen | Descripción |
|---|---|
| Examen rápido (recomendado) | Un examen rápido examina las ubicaciones donde es probable que se registre y ejecute malware, como scripts de inicio, trabajos cron y directorios de servicio del sistema (por ejemplo, /etc/rc.local, /etc/init.d/y systemd archivos de servicio). También comprueba directorios comunes en los que podría residir malware, como /tmp, /var, etc. Esto está sujeto a cambios en función de diversos factores, como el panorama de amenazas o las técnicas de malware en constante evolución. |
| Examen completo | Un examen completo examina todos los archivos y carpetas dentro de /. Un examen completo con Defender para punto de conexión en Linux puede tardar varias horas o incluso días en completarse. La duración depende del volumen y el tipo de datos que se examinan y de la disponibilidad de los recursos de CPU. |
| Examen personalizado | Un examen personalizado se ejecuta en archivos y carpetas especificados con el --path parámetro . De forma predeterminada, los exámenes personalizados de Defender para punto de conexión en Linux omitir archivos y carpetas especificados en las exclusiones del antivirus. Sin embargo, puede invalidar este comportamiento mediante la --ignore-exclusions marca para asegurarse de que los archivos y carpetas excluidos se examinan durante un examen personalizado. |
Nota:
Para un rendimiento óptimo, se recomienda usar exámenes rápidos para proteger los dispositivos.
En función del nivel de cumplimiento configurado, Defender para punto de conexión realiza las acciones de corrección en consecuencia cuando un examen detecta un archivo malintencionado. Para obtener más información, consulte Nivel de cumplimiento de Microsoft Defender Antivirus.
Si se inician varios exámenes, se ponen en cola uno tras otro.
Ejecución de exámenes a petición a través de la CLI
Los siguientes comandos se pueden usar para ejecutar exámenes rápidos, completos o personalizados:
| Descripción | Get-Help |
|---|---|
| Ejecución de un examen rápido | mdatp scan quick |
| Ejecución de un examen completo | mdatp scan full |
| Ejecución de un examen personalizado en una ruta de acceso | mdatp scan custom --path [path] [--ignore-exclusions] |
| Cancelación de un examen a petición en curso | mdatp scan cancel |
| Enumeración de los exámenes a petición completados o cancelados | mdatp scan list |
Ejecución de exámenes programados a través de crontab/anacron
En los artículos siguientes se describe cómo programar exámenes antivirus mediante crontab o anacron:
- Programar un examen antivirus mediante crontab con Microsoft Defender para punto de conexión en Linux
- Programar un examen antivirus mediante Anacron con Microsoft Defender para punto de conexión en Linux
Ejecución de exámenes a petición a través del portal de Defender
Para desencadenar un examen antivirus en un dispositivo desde el portal de Defender:
Vaya al portal de Microsoft Defender (https://security.microsoft.com) e inicie sesión.
Vaya a Dispositivos activos> y seleccione el dispositivo que desea examinar.
En la página del dispositivo, seleccione Más opciones (...) y, a continuación, seleccione Ejecutar examen antivirus.
En Seleccionar tipo de examen, seleccione el botón de radio Examen rápido o Examen completo , agregue un comentario y, a continuación, seleccione Confirmar.
Optimizaciones de rendimiento
La ejecución de exámenes antivirus en el dispositivo es fundamental para mantener la seguridad, pero es importante equilibrarlo con el impacto en el rendimiento del dispositivo. Naturalmente, la ejecución de un examen completo en un dispositivo con contenido extenso y complejo da como resultado un mayor uso de los recursos del sistema y tiempos de finalización más largos.
Varias configuraciones y configuraciones de antivirus pueden influir en los niveles de rendimiento y protección. Para mejorar el rendimiento de Microsoft Defender para punto de conexión en Linux durante los exámenes antivirus, considere la posibilidad de ajustar la configuración y los modificadores siguientes:
| Flag | Descripción |
|---|---|
| Examen después de la actualización de definiciones | Esta configuración determina si se inicia un examen del proceso después de que se descarguen nuevas actualizaciones de inteligencia de seguridad en el dispositivo. Cuando está habilitado, inicia un examen antivirus en los procesos activos del dispositivo. |
| Examinar archivos (solo exámenes antivirus a petición) | Esta configuración especifica si se deben examinar los archivos (como .zip, .rar, .7z, etc.) durante los exámenes antivirus a petición. |
| Número máximo de subprocesos de examen a petición | Esta configuración controla cuántos subprocesos se usan para los exámenes a petición, lo que afecta tanto al uso de cpu como a la duración del examen. |
Para obtener instrucciones detalladas sobre cómo configurar los valores anteriores mediante la CLI o JSON administrado, consulte Configuración de las opciones de seguridad en Microsoft Defender para punto de conexión en Linux.
Procedimientos recomendados
A partir de la versión 101.23062.0001, Defender para punto de conexión en Linux funciona en modo pasivo de forma predeterminada, lo que significa que la protección en tiempo real (RTP) está desactivada. En este modo, se recomienda usar exámenes programados según sea necesario para asegurarse de que el sistema está protegido periódicamente.
Después de instalar Defender para punto de conexión en Linux, se recomienda ejecutar un examen completo (o un examen rápido) para ayudar a identificar y corregir las amenazas existentes en el sistema.
Esto es especialmente importante antes de cambiar del modo pasivo al modo RTP, ya que habilitar RTP proporciona principalmente protección contra malware recién introducido, y no contra las amenazas que ya están presentes en el sistema. Ejecutar un examen de antemano ayuda a garantizar que el dispositivo comienza desde un estado limpio conocido.
Para la protección continua, incorpore exámenes rápidos en los exámenes programados normales. Los exámenes rápidos ofrecen una cobertura completa para el malware que comienza con las amenazas de nivel de kernel y del sistema, a la vez que se mantiene un impacto mínimo en el rendimiento del dispositivo.
Contenido relacionado
- Programar exámenes antivirus en Linux
- Acerca de los exámenes programados rápidos o completos Microsoft Defender Antivirus
- Configurar y ejecutar análisis bajo petición en el Antivirus de Microsoft Defender
- Programar un examen antivirus mediante crontab con Microsoft Defender para punto de conexión en Linux
- Programar un examen antivirus mediante Anacron con Microsoft Defender para punto de conexión en Linux