Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo configurar exámenes antivirus programados en Microsoft Defender para punto de conexión en Linux. Está pensado para administradores de TI y seguridad que administran dispositivos Linux y quieren garantizar la protección antivirus continua mediante la programación centralizada de exámenes.
Información general
Microsoft Defender para punto de conexión en Linux admite exámenes antivirus programados para ayudar a mantener la protección continua entre dispositivos. En lugar de depender de trabajos cron personalizados, los exámenes programados se configuran de forma centralizada para garantizar un examen coherente entre entornos.
Los exámenes programados permiten ejecutar exámenes rápidos a intervalos regulares o a una hora específica cada día, así como configurar exámenes semanales con tipos de examen rápidos o completos. También puede controlar cómo se ejecutan los exámenes, como reducir su impacto en el rendimiento, esperar a que el dispositivo esté inactivo o aleatorizar las horas de inicio entre dispositivos.
Puede configurar exámenes programados mediante la configuración administrada (JSON administrada) o una experiencia de directiva en Administración de configuración de seguridad en el portal de Microsoft Defender, en función de cómo administre la configuración del dispositivo.
Requisitos previos
Antes de configurar exámenes antivirus programados en Linux, asegúrese de que se cumplen los siguientes requisitos:
- Microsoft Defender para punto de conexión se instala e incorpora en distribuciones de Linux compatibles.
- Los dispositivos ejecutan la versión mínima del agente 101.26032.0000 en el anillo de producción.
- Los dispositivos están en buen estado y notifican correctamente al servicio Microsoft Defender
En función del método de configuración, también es necesario cumplir los siguientes requisitos previos:
Configuración de JSON administrado de MDATP:
- Debe poder implementar archivos de configuración en
/etc/opt/microsoft/mdatp/managed - Debe tener los permisos necesarios para administrar los archivos de configuración del sistema.
- Si ya usa la configuración administrada para otras opciones de antivirus, anexe al archivo de configuración existente en lugar de reemplazarlo.
- Debe poder implementar archivos de configuración en
portal de Microsoft Defender:
- Debe tener los permisos adecuados para crear y asignar directivas de seguridad.
Tipos de examen de antivirus programados
Defender para punto de conexión en Linux admite los siguientes tipos de examen para exámenes programados:
- Exámenes rápidos: los exámenes rápidos se centran en ubicaciones críticas del sistema donde es más probable que haya malware, como rutas de inicio y servicios del sistema. Se completan más rápido y se recomiendan para la programación frecuente, como exámenes diarios o basados en intervalos.
- Exámenes completos: los exámenes completos examinan todos los archivos y directorios del dispositivo. Proporcionan una cobertura más completa, pero pueden tardar más en completarse, en función del tamaño del sistema y la carga de trabajo. Normalmente, se programan con menos frecuencia, como semanalmente.
Opciones de programación
Los exámenes programados se pueden configurar mediante las siguientes opciones de programación:
- Exámenes rápidos por hora: ejecute exámenes rápidos a intervalos periódicos (cada N horas).
- Exámenes rápidos diarios: ejecute exámenes rápidos a una hora específica cada día.
- Exámenes semanales: ejecute un examen en un día y hora especificados, con la opción de elegir un examen rápido o un examen completo.
Estas opciones de programación se pueden configurar de forma independiente y combinada. Por ejemplo, puede ejecutar exámenes rápidos diarios junto con un examen completo semanal.
Configuración de examen programada
En la tabla siguiente se describen los valores disponibles para configurar exámenes antivirus programados:
| Categoría | Configuración | Descripción | Posibles valores | Predeterminado |
|---|---|---|---|---|
| Configuración de examen diario | interval | Ejecuta un examen rápido cada N horas (programación basada en intervalos). | Entero (horas) 0 = deshabilitado | 0 |
| Configuración de examen diario | timeOfDay (diario) | Ejecuta un examen rápido una vez al día a una hora específica. El valor está en minutos desde medianoche (hora local del servidor) | 0–1440 (por ejemplo, 120 = 2:00 AM) | 0 |
| Configuración del examen semanal | dayOfWeek | Especifica el día en que se ejecuta un examen programado. | 0–8 0 = deshabilitado 1–7 = domingo a sábado 8 = cada día |
0 |
| Configuración del examen semanal | timeOfDay (semanal) | Especifica cuándo se ejecuta el examen semanal. El valor está en minutos desde medianoche (hora local del servidor) | 0–1440 | 120 (2:00 AM) |
| Configuración del examen semanal | scanType | Especifica el tipo de examen para los exámenes semanales. | rápido, completo | rápido |
| Configuración avanzada (opcional) | runScanWhenIdle | Retrasa el examen hasta que el sistema está inactivo. | true, false | false |
| Configuración avanzada (opcional) | lowPriorityScheduledScan | Ejecuta exámenes con prioridad de CPU reducida. | true, false | false |
| Configuración avanzada (opcional) | checkForDefinitionsUpdate | Comprueba las últimas actualizaciones de inteligencia de seguridad antes de iniciar el examen. | true, false | false |
| Configuración avanzada (opcional) | randomizeScanStartTime | Aleatoriza la hora de inicio del examen dentro de una ventana definida (en horas) para evitar exámenes simultáneos. | 0–23 | 0 |
| Configuración avanzada (opcional) | ignoreExclusions | Ejecuta exámenes sin respetar las exclusiones configuradas. | true, false | false |
Nota:
interval y timeOfDay (diariamente) son configuraciones independientes. Si ambos están configurados, crean programaciones de examen rápido independientes y pueden dar lugar a varios exámenes al día.
Configuración de exámenes de antivirus programados
Puede configurar exámenes antivirus programados en Linux mediante uno de los métodos siguientes, en función de cómo administre la configuración del dispositivo en su entorno.
Uso de directivas de administración de configuración de seguridad en el portal de Defender
Configure el inquilino para admitir la administración de la configuración de seguridad.
En el portal de Defender, vaya a Ámbito deaplicación deadministración> de configuración depuntos> de conexión deconfiguración> del sistema> y, a continuación, seleccione la plataforma de Linux.
Etiquetar dispositivos con la etiqueta MDE-Management. La mayoría de los dispositivos se inscriben y reciben la directiva en cuestión de minutos, aunque algunos pueden tardar hasta 24 horas. Para obtener más información, consulte Información sobre el uso de Intune para administrar la configuración de Microsoft Defender en dispositivos que no están inscritos con Intune.
Cree un grupo de Microsoft Entra.
- Cree un grupo de Microsoft Entra dinámico basado en el tipo de sistema operativo para asegurarse de que todos los dispositivos incorporados a Defender para punto de conexión reciban las directivas adecuadas.
- Este grupo dinámico incluye automáticamente dispositivos administrados por Defender para punto de conexión, lo que elimina la necesidad de que los administradores creen manualmente nuevas directivas. Para obtener más información, consulte Creación de grupos de Microsoft Entra.
Cree una directiva de seguridad de punto de conexión.
- En el portal de Defender, vaya a EndpointsConfiguration management>Endpoint security policies (Directivas> de seguridad de punto de conexión) y, a continuación, seleccione Create new policy (Crear nueva directiva).
- En Plataforma, seleccione Linux.
- Seleccione la plantilla Microsoft Defender Antivirus y, a continuación, seleccione Crear directiva.
- En la página Datos básicos, escriba un nombre y una descripción para el perfil y, después, elija Siguiente.
- En la página Configuración , vaya a la sección Análisis de programación hacia el final de la página y configure los valores que desea administrar con este perfil.
- Cuando haya finalizado la configuración, seleccione Siguiente.
- En la página Asignaciones , seleccione los grupos que reciben este perfil. Después, seleccione Siguiente.
- En la página Revisar y crear , cuando haya terminado, seleccione Guardar. El nuevo perfil se muestra en la lista cuando se selecciona el tipo de directiva del perfil creado.
Para obtener más información, consulte Administración de directivas de seguridad de puntos de conexión en Microsoft Defender para punto de conexión.
Uso de la configuración json administrada de mdatp
En entornos empresariales, los exámenes antivirus se pueden programar a través de un perfil de configuración. Normalmente, usaría una herramienta de administración de configuración como Puppet, Ansible u otra consola de administración para insertar un archivo con el nombre mdatp_managed.json en la ubicación /etc/opt/microsoft/mdatp/managed.
Si ya usa mdatp_managed.json para configurar otras opciones de Defender para punto de conexión (por ejemplo, exclusiones o preferencias de antivirus), no reemplace el archivo existente. La configuración de examen programada debe agregarse al JSON administrado existente, junto con la configuración actual. Para obtener más información, consulte Configuración de las opciones de seguridad en Microsoft Defender para punto de conexión en Linux.
En el ejemplo siguiente se configura:
- Un examen completo semanal todos los sábados a las 3:00 AM.
- Un examen rápido diario todos los días a las 3:00 AM.
- Los exámenes solo se ejecutan cuando el dispositivo está inactivo.
- Reducción del impacto en la CPU mediante la programación de prioridad baja.
- Las actualizaciones de definiciones se comprueban antes del examen.
- Las exclusiones se omiten durante los exámenes.
- Las horas de inicio del examen se aleatorizan hasta en 3 horas.
{
"antivirusEngine": {
"scheduledScan": "enabled"
},
"scheduledScan": {
"weeklyConfiguration": {
"dayOfWeek": 7,
"scanType": "full",
"timeOfDay": 180
},
"dailyConfiguration": {
"timeOfDay": 180
},
"runScanWhenIdle": true,
"lowPriorityScheduledScan": true,
"checkForDefinitionsUpdate": true,
"ignoreExclusions": true,
"randomizeScanStartTime": 3
}
}
Uso de la línea de comandos
Puede configurar exámenes antivirus programados directamente en un dispositivo Linux mediante la herramienta de línea de comandos mdatp. Este enfoque es útil para probar o configurar un solo dispositivo.
Habilitación de exámenes programados:
mdatp config scheduled-scan settings feature --value enabled
Configuración del examen rápido diario:
Ejecute un examen rápido diario a una hora específica (en minutos desde medianoche).
Ejemplo: Examen rápido diario a las 2:00 AM
mdatp config scheduled-scan quick-scan time-of-day --value 120
Configuración del examen rápido basado en intervalos:
Ejecute exámenes rápidos a intervalos regulares por hora.
Ejemplo: Ejecución de un examen rápido cada 6 horas
mdatp config scheduled-scan quick-scan hourly-interval --value 6
Configuración del examen semanal:
Programe un examen semanal con un día, hora y tipo de examen específicos.
Ejemplo: Examen completo semanal todos los miércoles a las 3:00 AM
mdatp config scheduled-scan weekly-scan --day-of-week 4 --time-of-day 180 --scan-type full
Nota:
La configuración basada en la CLI se recomienda para las pruebas o la configuración ad hoc. Para la implementación a gran escala, use la configuración JSON administrada o Microsoft Defender directivas del portal.
Prioridad de configuración
Si la configuración de examen programada se configura mediante varios métodos, Microsoft Defender directivas del portal (Administración de configuración de seguridad) tienen prioridad sobre la configuración local (JSON administrado o CLI).
Comprobación de exámenes de antivirus programados
Después de configurar los exámenes programados, compruebe que la configuración se aplica correctamente y que los exámenes se ejecutan según lo esperado.
Comprobación del estado de la configuración
Ejecute el siguiente comando para confirmar que se aplica la configuración de examen programada:
mdatp health --details scheduled_scan
Este comando muestra la configuración de examen programada actual en el dispositivo.
Comprobación de la ejecución programada del examen
Para ver el historial de exámenes ejecutados:
mdatp scan list
Este comando muestra los exámenes completados y en curso.
También puede comprobar la actividad de examen directamente desde el portal de Defender en el nivel de dispositivo. Muestra el último examen completo y el último examen rápido:
- Vaya a Dispositivos activos>.
- Seleccione el dispositivo de Linux de destino.
- En la pestaña Información general , busque la sección Estado de mantenimiento del dispositivo .
Esto ayuda a confirmar si los exámenes programados se ejecutan según lo esperado en el dispositivo.
Preguntas frecuentes
¿Los exámenes programados requieren protección en tiempo real para habilitarse?
No. Los exámenes programados funcionan independientemente de la protección en tiempo real. Pueden ejecutarse incluso cuando la protección en tiempo real está deshabilitada o el dispositivo está en modo pasivo o a petición.
¿Se pueden configurar juntos los exámenes diarios y semanales?
Sí. Las configuraciones diarias y semanales pueden coexistir. Un patrón común son los exámenes diarios para la cobertura regular y un examen completo semanal para una inspección más profunda.
¿Qué tipo de examen se usa para los exámenes diarios?
Los exámenes diarios siguen el comportamiento predeterminado del motor; siempre son exámenes rápidos. El tipo de examen se puede configurar explícitamente para los exámenes semanales.
¿Se aplican exclusiones durante los exámenes programados?
De forma predeterminada, los exámenes programados respetan las exclusiones configuradas. Si ignoreExclusions se establece en true, los exámenes programados omitirán las exclusiones durante la ejecución.
¿Qué zona horaria se usa para la programación de exámenes?
Todas las horas de examen programadas se evalúan mediante la zona horaria local del dispositivo.
¿Qué ocurre si no se especifica ninguna configuración diaria ni semanal?
Si no se define ninguna configuración diaria o semanal, no se ejecutarán los exámenes programados.
¿Puedo escalonar las horas de inicio del examen entre dispositivos?
Use randomizeScanStartTime para aleatorizar el inicio del examen dentro de una ventana definida, lo que ayuda a reducir la carga simultánea en toda la flota.
¿Qué ocurre si el servidor está sin conexión?
Los exámenes programados no se ejecutan a la hora programada mientras el dispositivo está inactivo. En su lugar, los exámenes programados se ejecutan cuando el dispositivo se reanuda del modo de suspensión. Si el dispositivo está desactivado, el examen se ejecuta en el siguiente tiempo de examen programado.