Udostępnij za pośrednictwem


Ustaw preferencje dla ochrony punktu końcowego w usłudze Microsoft Defender w systemie Linux

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Ważna

Ten artykuł zawiera instrukcje dotyczące ustawiania preferencji dla usługi Defender dla punktu końcowego w systemie Linux w środowiskach przedsiębiorstwa. Jeśli chcesz skonfigurować produkt na urządzeniu z poziomu wiersza polecenia, zobacz Zasoby.

W środowiskach przedsiębiorstwa usługą Defender for Endpoint w systemie Linux można zarządzać za pośrednictwem profilu konfiguracji. Ten profil jest wdrażany z wybranego narzędzia do zarządzania. Preferencje zarządzane przez przedsiębiorstwo mają pierwszeństwo przed preferencjami ustawionymi lokalnie na urządzeniu. Innymi słowy, użytkownicy w przedsiębiorstwie nie mogą zmieniać preferencji ustawionych za pomocą tego profilu konfiguracji. Jeśli wykluczenia zostały dodane za pośrednictwem profilu konfiguracji zarządzanej, można je usunąć tylko za pośrednictwem profilu konfiguracji zarządzanej. Wiersz polecenia działa w przypadku wykluczeń, które zostały dodane lokalnie.

W tym artykule opisano strukturę tego profilu (w tym zalecany profil, którego można użyć do rozpoczęcia pracy) oraz instrukcje dotyczące sposobu wdrażania profilu.

Struktura profilu konfiguracji

Profil konfiguracji to .json plik, który składa się z wpisów zidentyfikowanych przez klucz (co oznacza nazwę preferencji), po którym następuje wartość, która zależy od charakteru preferencji. Wartości mogą być proste, takie jak wartość liczbowa lub złożone, takie jak zagnieżdżona lista preferencji.

Zazwyczaj należy użyć narzędzia do zarządzania konfiguracją, aby wypchnąć plik o nazwie mdatp_managed.json w lokalizacji /etc/opt/microsoft/mdatp/managed/.

Najwyższy poziom profilu konfiguracji zawiera preferencje dla całego produktu i wpisy dla obszarów podrzędnych produktu, co opisano bardziej szczegółowo w następnych sekcjach.

Preferencje aparatu antywirusowego

Sekcja antivirusEngine profilu konfiguracji służy do zarządzania preferencjami składnika antywirusowego produktu.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz antivirusEngine Aparat antywirusowy
Typ danych Słownik (preferencja zagnieżdżona) Zwinięta sekcja
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach. Opis właściwości zasad można znaleźć w poniższych sekcjach.

Poziom wymuszania dla aparatu antywirusowego

Określa preferencje wymuszania aparatu antywirusowego. Istnieją trzy wartości dotyczące ustawiania poziomu wymuszania:

  • W czasie rzeczywistym (real_time): włączono ochronę w czasie rzeczywistym (skanuj pliki w miarę ich modyfikowania).
  • Na żądanie (on_demand): pliki są skanowane tylko na żądanie. W tym:
    • Ochrona w czasie rzeczywistym jest wyłączona.
    • Aktualizacje definicji występują tylko wtedy, gdy rozpoczyna się skanowanie, nawet jeśli automaticDefinitionUpdateEnabled jest ustawione na true tryb na żądanie.
  • Pasywne (passive): uruchamia aparat antywirusowy w trybie pasywnym. W tym przypadku mają zastosowanie wszystkie następujące elementy:
    • Ochrona w czasie rzeczywistym jest wyłączona: zagrożenia nie są korygowane przez program antywirusowy Microsoft Defender.
    • Skanowanie na żądanie jest włączone: nadal używaj możliwości skanowania w punkcie końcowym.
    • Automatyczne korygowanie zagrożeń jest wyłączone: żadne pliki nie są przenoszone, a administrator zabezpieczeń powinien podjąć wymagane działania.
    • Aktualizacje analizy zabezpieczeń są włączone: alerty są dostępne w dzierżawie administratora zabezpieczeń.
    • Aktualizacje definicji występują tylko wtedy, gdy rozpoczyna się skanowanie, nawet jeśli automaticDefinitionUpdateEnabled jest ustawione na true w trybie pasywnym.
Opis Wartość JSON Wartość portalu usługi Defender
Klucz enforcementLevel Poziom wymuszania
Typ danych Ciąg Lista rozwijana
Dopuszczalne wartości real_time
on_demand
passive (wartość domyślna)
Nie skonfigurowano
Czas rzeczywisty
OnDemand
Pasywne (domyślne)

Uwaga

Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.10.72 . Wartość domyślna jest zmieniana z real_time na passive w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0001 . Zaleca się również używanie zaplanowanych skanów zgodnie z wymaganiami.

Włączanie/wyłączanie monitorowania zachowania

Określa, czy funkcja monitorowania i blokowania zachowania jest włączona na urządzeniu, czy nie.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz behaviorMonitoring Włączanie monitorowania zachowania
Typ danych Ciąg Lista rozwijana
Dopuszczalne wartości disabled (wartość domyślna)

enabled

Nie skonfigurowano
Wyłączone (domyślne)
Włączone

Uwaga

Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.45.00 . Ta funkcja ma zastosowanie tylko wtedy, gdy włączono ochronę w czasie rzeczywistym.

Uruchamianie skanowania po zaktualizowaniu definicji

Określa, czy należy rozpocząć skanowanie procesu po pobraniu nowych aktualizacji analizy zabezpieczeń na urządzeniu. Włączenie tego ustawienia powoduje uruchomienie skanowania antywirusowego w uruchomionych procesach urządzenia.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz scanAfterDefinitionUpdate Włączanie skanowania po aktualizacji definicji
Typ danych Wartość logiczna Lista rozwijana
Dopuszczalne wartości true (wartość domyślna)

false

Nie skonfigurowano
Wyłączona
Włączone (domyślne)

Uwaga

Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.45.00 . Ta funkcja działa tylko wtedy, gdy poziom wymuszania jest ustawiony na real-time.

Skanuj archiwa (tylko skanowanie antywirusowe na żądanie)

Określa, czy skanować archiwa podczas skanowania antywirusowego na żądanie.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz scanArchives Włączanie skanowania archiwów
Typ danych Wartość logiczna Lista rozwijana
Dopuszczalne wartości true (wartość domyślna)

false

Nie skonfigurowano
Wyłączona
Włączone (domyślne)

Uwaga

Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji lub nowszej101.45.00. Pliki archiwum nigdy nie są skanowane podczas ochrony w czasie rzeczywistym. Po wyodrębnieniu plików w archiwum są one skanowane. Opcja scanArchives może służyć do wymuszania skanowania archiwów tylko podczas skanowania na żądanie.

Stopień równoległości skanowania na żądanie

Określa stopień równoległości skanowania na żądanie. Odpowiada to liczbie wątków używanych do skanowania i wpływa na użycie procesora CPU oraz czas trwania skanowania na żądanie.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz maximumOnDemandScanThreads maksymalna liczba wątków skanowania na żądanie
Typ danych Liczba całkowita Przełącz przełącznik & liczba całkowita
Dopuszczalne wartości 2 (wartość domyślna). Dozwolone wartości to liczby całkowite z zakresu od 1 do 64. Nie skonfigurowano (ustawienie domyślne powoduje wyłączenie ustawień domyślnych na 2)
Skonfigurowano (włącz) i liczbę całkowitą z zakresu od 1 do 64.

Uwaga

Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji lub nowszej101.45.00.

Zasady scalania wykluczeń

Określa zasady scalania dla wykluczeń. Może to być kombinacja wykluczeń zdefiniowanych przez administratora i zdefiniowanych przez użytkownika (merge) lub tylko wykluczeń zdefiniowanych przez administratora (admin_only). Zdefiniowane przez administratora (admin_only) to wykluczenia skonfigurowane przez zasady punktu końcowego usługi Defender. To ustawienie może służyć do ograniczania użytkownikom lokalnym definiowania własnych wykluczeń.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz exclusionsMergePolicy Scalanie wykluczeń
Typ danych Ciąg Lista rozwijana
Dopuszczalne wartości merge (wartość domyślna)

admin_only

Nie skonfigurowano
scalanie (domyślne)
admin_only

Uwaga

Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 100.83.73 . Można również skonfigurować wykluczenia w obszarze wykluczeniaUstawienia

Wykluczeń skanowania

Jednostki, które zostały wykluczone ze skanowania. Wykluczenia można określić za pomocą pełnych ścieżek, rozszerzeń lub nazw plików. (Wykluczenia są określane jako tablica elementów, administrator może określić dowolną liczbę elementów w dowolnej kolejności).

Opis Wartość JSON Wartość portalu usługi Defender
Klucz Wykluczenia Wykluczeń skanowania
Typ danych Słownik (preferencja zagnieżdżona) Lista właściwości dynamicznych
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach.
Typ wykluczenia

Określa typ zawartości wykluczonej ze skanowania.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz $type Wpisać
Typ danych Ciąg Lista rozwijana
Dopuszczalne wartości excludedPath

excludedFileExtension

excludedFileName

Ścieżka
Formatem
Nazwa procesu
Ścieżka do wykluczonej zawartości

Służy do wykluczania zawartości ze skanowania za pomocą pełnej ścieżki pliku.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz ścieżka Ścieżka
Typ danych Ciąg Ciąg
Dopuszczalne wartości prawidłowe ścieżki prawidłowe ścieżki
Komentarze Dotyczy tylko wtedy, gdy $type jest excludedPath Dostęp w oknie podręcznym Edytuj wystąpienie
Typ ścieżki (plik/katalog)

Wskazuje, czy właściwość path odwołuje się do pliku lub katalogu.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz isDirectory Czy katalog
Typ danych Wartość logiczna Lista rozwijana
Dopuszczalne wartości false (wartość domyślna)

true

Włączone
Wyłączona
Komentarze Dotyczy tylko wtedy, gdy $type jest excludedPath Dostęp w oknie podręcznym Edytuj wystąpienie
Rozszerzenie pliku wykluczone ze skanowania

Służy do wykluczania zawartości ze skanowania według rozszerzenia pliku.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz rozszerzenie Formatem
Typ danych Ciąg Ciąg
Dopuszczalne wartości prawidłowe rozszerzenia plików prawidłowe rozszerzenia plików
Komentarze Dotyczy tylko wtedy, gdy $type jest wykluczoneFileExtension Dostęp w oknie podręcznym Konfigurowanie wystąpienia
Proces wykluczony ze skanowania*

Określa proces, dla którego wszystkie działania plików są wykluczone ze skanowania. Proces można określić za pomocą jego nazwy (na przykład cat) lub pełnej ścieżki (na przykład /bin/cat).

Opis Wartość JSON Wartość portalu usługi Defender
Klucz nazwa Nazwa pliku
Typ danych Ciąg Ciąg
Dopuszczalne wartości dowolny ciąg dowolny ciąg
Komentarze Dotyczy tylko wtedy, gdy $type jest wykluczoneFileName Dostęp w oknie podręcznym Konfigurowanie wystąpienia

Wyciszenie instalacji innych niż exec

Określa zachowanie protokołu RTP w punkcie instalacji oznaczonym jako noexec. Istnieją dwie wartości ustawienia:

  • Unmuted (unmute): wartość domyślna, wszystkie punkty instalacji są skanowane w ramach rtp.
  • Wyciszony (mute): punkty instalacji oznaczone jako noexec nie są skanowane w ramach rtp, te punkty instalacji można utworzyć dla:
    • Pliki bazy danych na serwerach bazy danych do przechowywania plików bazy danych.
    • Serwer plików może przechowywać punkty instalacji plików danych z opcją noexec.
    • Kopia zapasowa może przechowywać punkty instalacji plików danych z opcją noexec.
Opis Wartość JSON Wartość portalu usługi Defender
Klucz nonExecMountPolicy nie wykonać wyciszenia instalacji
Typ danych Ciąg Lista rozwijana
Dopuszczalne wartości unmute (wartość domyślna)

mute

Nie skonfigurowano
unmute (wartość domyślna)
niemy

Uwaga

Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.85.27 .

Niemonitoruj systemów plików

Skonfiguruj systemy plików tak, aby były niemonitorowane/wykluczone z ochrony w czasie rzeczywistym (RTP). Skonfigurowane systemy plików są weryfikowane względem listy dozwolonych systemów plików Microsoft Defender. Systemy plików można monitorować tylko po pomyślnym walidacji. Te skonfigurowane niemonitorowane systemy plików są nadal skanowane za pomocą szybkich, pełnych i niestandardowych skanów w programie antywirusowym Microsoft Defender.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz unmonitoredFilesystems Niemonitorowane systemy plików
Typ danych Tablica ciągów Dynamiczna lista ciągów

Uwaga

Skonfigurowany system plików będzie niemonitorowany tylko wtedy, gdy znajduje się na liście dozwolonych niemonitorowanych systemów plików firmy Microsoft.

Domyślnie NFS i Fuse są niemonitorowane z rtp, szybkie i pełne skanowania. Jednak nadal można je skanować za pomocą skanowania niestandardowego. Aby na przykład usunąć system plików NFS z listy niemonitorowanych systemów plików, zaktualizuj zarządzany plik konfiguracji, jak pokazano poniżej. Spowoduje to automatyczne dodanie systemu plików NFS do listy monitorowanych systemów plików dla protokołu RTP.

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["Fuse"]
  }
}

Aby usunąć systemy plików NFS i Fuse z niemonitorowanej listy systemów plików, wykonaj następujące czynności

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

Uwaga

Oto domyślna lista monitorowanych systemów plików dla programu RTP: btrfs, ecryptfs, , ext2, ext3, ext4, fuseblk, , jfs, overlay, , ramfs, , reiserfs, , tmpfs, vfat. xfs

Jeśli jakikolwiek monitorowany system plików musi zostać dodany do listy niemonitorowanych systemów plików, musi zostać oceniony i włączony przez firmę Microsoft za pośrednictwem konfiguracji w chmurze. Po tym, którzy klienci mogą zaktualizować managed_mdatp.json, aby niemonitorować tego systemu plików.

Konfigurowanie funkcji obliczania skrótów plików

Włącza lub wyłącza funkcję obliczania skrótów plików. Po włączeniu tej funkcji usługa Defender for Endpoint oblicza skróty skanujących plików. Należy pamiętać, że włączenie tej funkcji może mieć wpływ na wydajność urządzenia. Aby uzyskać więcej informacji, zobacz: Tworzenie wskaźników dla plików.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz enableFileHashComputation Włączanie obliczeń skrótów plików
Typ danych Wartość logiczna Lista rozwijana
Dopuszczalne wartości false (wartość domyślna)

true

Nie skonfigurowano
Wyłączone (ustawienie domyślne)
Włączone

Uwaga

Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.85.27 .

Dozwolone zagrożenia

Lista zagrożeń (identyfikowanych przez ich nazwę), które nie są blokowane przez produkt i zamiast tego mogą być uruchamiane.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz allowedThreats Dozwolone zagrożenia
Typ danych Tablica ciągów Dynamiczna lista ciągów

Niedozwolone akcje zagrożeń

Ogranicza akcje, które może wykonać lokalny użytkownik urządzenia po wykryciu zagrożeń. Akcje zawarte na tej liście nie są wyświetlane w interfejsie użytkownika.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz disallowedThreatActions Niedozwolone akcje zagrożeń
Typ danych Tablica ciągów Dynamiczna lista ciągów
Dopuszczalne wartości allow (ogranicza użytkownikom możliwość zezwalania na zagrożenia)

restore (ogranicza użytkownikom możliwość przywracania zagrożeń z kwarantanny)

zezwalaj (ogranicza użytkownikom możliwość zezwalania na zagrożenia)

przywracanie (ogranicza użytkownikom możliwość przywracania zagrożeń z kwarantanny)

Uwaga

Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 100.83.73 .

Ustawienia typu zagrożenia

Preferencja threatTypeSettings w aparacie antywirusowym służy do kontrolowania sposobu obsługi określonych typów zagrożeń przez produkt.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz threatTypeSettings Ustawienia typu zagrożenia
Typ danych Słownik (preferencja zagnieżdżona) Lista właściwości dynamicznych
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach. Opis właściwości dynamicznych można znaleźć w poniższych sekcjach.
Typ zagrożenia

Typ zagrożenia, dla którego skonfigurowano zachowanie.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz klucz Typ zagrożenia
Typ danych Ciąg Lista rozwijana
Dopuszczalne wartości potentially_unwanted_application

archive_bomb

potentially_unwanted_application

archive_bomb

Akcja do wykonania

Akcja do wykonania w przypadku wystąpienia zagrożenia typu określonego w poprzedniej sekcji. Może to być:

  • Inspekcja: urządzenie nie jest chronione przed tego typu zagrożeniem, ale wpis dotyczący zagrożenia jest rejestrowany. (Ustawienie domyślne)
  • Blokuj: urządzenie jest chronione przed tego typu zagrożeniem i otrzymujesz powiadomienie w konsoli zabezpieczeń.
  • Wyłączone: urządzenie nie jest chronione przed tego typu zagrożeniem i nic nie jest rejestrowane.
Opis Wartość JSON Wartość portalu usługi Defender
Klucz wartość Akcja do wykonania
Typ danych Ciąg Lista rozwijana
Dopuszczalne wartości audit (wartość domyślna)

block

off

audyt

blok

od

Zasady scalania ustawień typu zagrożenia

Określa zasady scalania dla ustawień typu zagrożenia. Może to być kombinacja ustawień zdefiniowanych przez administratora i zdefiniowanych przez użytkownika (merge) lub tylko ustawień zdefiniowanych przez administratora (admin_only). Zdefiniowane przez administratora (admin_only) to ustawienia typu zagrożenia skonfigurowane przez zasady punktu końcowego usługi Defender. To ustawienie może służyć do ograniczania użytkownikom lokalnym możliwości definiowania własnych ustawień dla różnych typów zagrożeń.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz threatTypeSettingsMergePolicy Scalanie ustawień typu zagrożenia
Typ danych Ciąg Lista rozwijana
Dopuszczalne wartości scalanie (domyślne)

admin_only

Nie skonfigurowano
scalanie (domyślne)
admin_only

Uwaga

Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 100.83.73 .

Przechowywanie historii skanowania antywirusowego (w dniach)

Określ liczbę dni przechowywania wyników w historii skanowania na urządzeniu. Stare wyniki skanowania są usuwane z historii. Stare pliki poddane kwarantannie, które również są usuwane z dysku.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz scanResultsRetentionDays Przechowywanie wyników skanowania
Typ danych Ciąg Przełączanie przełącznika i liczby całkowitej
Dopuszczalne wartości 90 (wartość domyślna). Dozwolone wartości to od 1 dnia do 180 dni. Nieskonfigurowane (ustawienie wyłączone — domyślne 90-dniowe)
Skonfigurowano (włącz) i dozwoloną wartość od 1 do 180 dni.

Uwaga

Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.04.76 .

Maksymalna liczba elementów w historii skanowania antywirusowego

Określ maksymalną liczbę wpisów do zachowania w historii skanowania. Wpisy obejmują wszystkie skany na żądanie wykonywane w przeszłości i wszystkie wykrycia antywirusowe.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz scanHistoryMaximumItems Rozmiar historii skanowania
Typ danych Ciąg Przełączanie i liczba całkowita
Dopuszczalne wartości 10000 (wartość domyślna). Dozwolone wartości to od 5000 do 15000 elementów. Nie skonfigurowano (ustawienie wyłączone — domyślne 10000)
Skonfigurowano (włącz) i dozwoloną wartość od 5000 do 15000 elementów.

Uwaga

Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.04.76 .

Preferencje ustawień wykluczeń

Preferencje ustawień wyłączności są obecnie dostępne w wersji zapoznawczej.

Uwaga

Wykluczenia globalne są obecnie dostępne w publicznej wersji zapoznawczej i są dostępne w usłudze Defender for Endpoint, począwszy od wersji 101.23092.0012 lub nowszej w pierścieniach Slow and Production Insiders.

Sekcja exclusionSettings profilu konfiguracji służy do konfigurowania różnych wykluczeń dla Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux.

Opis Wartość JSON
Klucz exclusionSettings
Typ danych Słownik (preferencja zagnieżdżona)
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach.

Uwaga

Już skonfigurowane wykluczenia programu antywirusowego w obszarze (antivirusEngine) w zarządzanym formacie JSON będą nadal działać bez wpływu. Wszystkie nowe wykluczenia, w tym wykluczenia antywirusowe, można dodać w tej zupełnie nowej sekcji (exclusionSettings). Ta sekcja znajduje się poza tagiem (antivirusEngine) jako przeznaczona wyłącznie do konfigurowania wszystkich typów wykluczeń, które pojawią się w przyszłości. Można również nadal używać (antivirusEngine) do konfigurowania wykluczeń programu antywirusowego.

Zasady scalania

Określa zasady scalania dla wykluczeń. Określa, czy może to być kombinacja wykluczeń zdefiniowanych przez administratora i zdefiniowanych przez użytkownika (merge) lub tylko wykluczeń zdefiniowanych przez administratora (admin_only). To ustawienie może służyć do ograniczania użytkownikom lokalnym definiowania własnych wykluczeń. Ma zastosowanie do wykluczeń wszystkich zakresów.

Opis Wartość JSON
Klucz mergePolicy
Typ danych Ciąg
Dopuszczalne wartości scalanie (domyślne)

admin_only

Komentarze Dostępne w usłudze Defender dla punktu końcowego w wersji wrzesień 2023 lub nowszej.

Wykluczenia

Jednostki, które muszą zostać wykluczone, można określić za pomocą pełnych ścieżek, rozszerzeń lub nazw plików. Każda jednostka wykluczenia, czyli pełna ścieżka, rozszerzenie lub nazwa pliku, ma opcjonalny zakres, który można określić. Jeśli nie zostanie określony, wartość domyślna zakresu w tej sekcji jest globalna. (Wykluczenia są określane jako tablica elementów, administrator może określić dowolną liczbę elementów w dowolnej kolejności).

Opis Wartość JSON
Klucz Wykluczenia
Typ danych Słownik (preferencja zagnieżdżona)
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach.
Typ wykluczenia

Określa typ zawartości wykluczonej ze skanowania.

Opis Wartość JSON
Klucz $type
Typ danych Ciąg
Dopuszczalne wartości excludedPath

excludedFileExtension

excludedFileName

Zakresy wykluczeń (opcjonalnie)

Określa zestaw zakresów wyłączności wykluczonej zawartości. Obecnie obsługiwane zakresy to epp i global.

Jeśli w przypadku wykluczenia w ramach wykluczeniaUstawienia w konfiguracji zarządzanej nie określono żadnych elementów , zostanie ono global uznane za zakres.

Uwaga

Wcześniej skonfigurowane wykluczenia antywirusowe w obszarze (antivirusEngine) w zarządzanym formacie JSON będą nadal działać, a ich zakres będzie traktowany jako (epp), ponieważ zostały dodane jako wykluczenia antywirusowe.

Opis Wartość JSON
Klucz Zakresów
Typ danych Zestaw ciągów
Dopuszczalne wartości Epp

globalny

Uwaga

Wcześniej zastosowane wykluczenia przy użyciu (mdatp_managed.json) lub interfejsu wiersza polecenia pozostaną nienaruszone. Zakres tych wykluczeń będzie (epp), ponieważ zostały dodane w obszarze (antivirusEngine).

Ścieżka do wykluczonej zawartości

Służy do wykluczania zawartości ze skanowania za pomocą pełnej ścieżki pliku.

Opis Wartość JSON
Klucz ścieżka
Typ danych Ciąg
Dopuszczalne wartości prawidłowe ścieżki
Komentarze Dotyczy tylko wtedy, gdy $type jest excludedPath.
Symbol wieloznaczny nie jest obsługiwany, jeśli wykluczenie ma zakres globalny.
Typ ścieżki (plik/katalog)

Wskazuje, czy właściwość path odwołuje się do pliku lub katalogu.

Uwaga

Ścieżka pliku musi już istnieć w przypadku dodawania wykluczenia pliku z zakresem globalnym.

Opis Wartość JSON
Klucz isDirectory
Typ danych Wartość logiczna
Dopuszczalne wartości false (wartość domyślna)

prawdziwy

Komentarze Dotyczy tylko wtedy, gdy $type jest excludedPath.
Symbol wieloznaczny nie jest obsługiwany, jeśli wykluczenie ma zakres globalny.
Rozszerzenie pliku wykluczone ze skanowania

Służy do wykluczania zawartości ze skanowania według rozszerzenia pliku.

Opis Wartość JSON
Klucz rozszerzenie
Typ danych Ciąg
Dopuszczalne wartości prawidłowe rozszerzenia plików
Komentarze Dotyczy tylko wtedy, gdy $type jest wykluczoneFileExtension.
Nieobsługiwane, jeśli wykluczenie ma zakres globalny.
Proces wykluczony ze skanowania*

Określa proces, dla którego wszystkie działania plików są wykluczone ze skanowania. Proces można określić za pomocą jego nazwy (na przykład cat) lub pełnej ścieżki (na przykład /bin/cat).

Opis Wartość JSON
Klucz nazwa
Typ danych Ciąg
Dopuszczalne wartości dowolny ciąg
Komentarze Dotyczy tylko wtedy, gdy $type jest wykluczoneFileName.
Symbol wieloznaczny i nazwa procesu nie są obsługiwane, jeśli wykluczenie ma zakres globalny, należy podać pełną ścieżkę.

Zaawansowane opcje skanowania

Następujące ustawienia można skonfigurować w celu włączenia niektórych zaawansowanych funkcji skanowania.

Uwaga

Włączenie tych funkcji może mieć wpływ na wydajność urządzenia. W związku z tym zaleca się zachowanie wartości domyślnych.

Konfigurowanie skanowania zdarzeń uprawnień modyfikowania pliku

Po włączeniu tej funkcji usługa Defender dla punktu końcowego będzie skanować pliki po zmianie ich uprawnień w celu ustawienia bitów wykonywania.

Uwaga

Ta funkcja ma zastosowanie tylko wtedy, gdy funkcja jest włączona enableFilePermissionEvents . Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje opcjonalne poniżej, aby uzyskać szczegółowe informacje.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz scanFileModifyPermissions Niedostępny
Typ danych Wartość logiczna nie dotyczy
Dopuszczalne wartości false (wartość domyślna)

prawdziwy

nie dotyczy

Uwaga

Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 .

Konfigurowanie skanowania zdarzeń własności modyfikowania plików

Po włączeniu tej funkcji usługa Defender for Endpoint przeskanuje pliki, dla których zmieniono własność.

Uwaga

Ta funkcja ma zastosowanie tylko wtedy, gdy funkcja jest włączona enableFileOwnershipEvents . Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje opcjonalne poniżej, aby uzyskać szczegółowe informacje.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz scanFileModifyOwnership Niedostępny
Typ danych Wartość logiczna nie dotyczy
Dopuszczalne wartości false (wartość domyślna)

prawdziwy

nie dotyczy

Uwaga

Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 .

Konfigurowanie skanowania nieprzetworzonych zdarzeń gniazd

Po włączeniu tej funkcji usługa Defender for Endpoint przeskanuje zdarzenia gniazd sieciowych, takie jak tworzenie nieprzetworzonych gniazd/gniazd pakietów lub opcja gniazda ustawień.

Uwaga

Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania. Ta funkcja ma zastosowanie tylko wtedy, gdy funkcja jest włączona enableRawSocketEvent . Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje opcjonalne poniżej, aby uzyskać szczegółowe informacje.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz scanNetworkSocketEvent Niedostępny
Typ danych Wartość logiczna nie dotyczy
Dopuszczalne wartości false (wartość domyślna)

prawdziwy

nie dotyczy

Uwaga

Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 .

Preferencje ochrony dostarczanej w chmurze

Wpis cloudService w profilu konfiguracji służy do konfigurowania funkcji ochrony opartej na chmurze produktu.

Uwaga

Ochrona dostarczana w chmurze ma zastosowanie do wszystkich ustawień poziomu wymuszania (real_time, on_demand, pasywnych).

Opis Wartość JSON Wartość portalu usługi Defender
Klucz cloudService Preferencje ochrony dostarczanej w chmurze
Typ danych Słownik (preferencja zagnieżdżona) Zwinięta sekcja
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach. Zapoznaj się z poniższymi sekcjami, aby uzyskać opis ustawień zasad.

Włączanie/wyłączanie ochrony dostarczanej w chmurze

Określa, czy ochrona dostarczana w chmurze jest włączona na urządzeniu, czy nie. Aby zwiększyć bezpieczeństwo usług, zalecamy włączenie tej funkcji.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz Włączone Włączanie ochrony dostarczanej w chmurze
Typ danych Wartość logiczna Lista rozwijana
Dopuszczalne wartości true (wartość domyślna)

false

Nie skonfigurowano
Wyłączona
Włączone (domyślne)

Poziom kolekcji diagnostycznej

Dane diagnostyczne służą do zapewnienia bezpieczeństwa i aktualności usługi Defender for Endpoint, wykrywania, diagnozowania i rozwiązywania problemów, a także wprowadzania ulepszeń produktu. To ustawienie określa poziom diagnostyki wysyłanej przez produkt do firmy Microsoft. Aby uzyskać więcej informacji, zobacz Prywatność dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz diagnosticLevel Poziom zbierania danych diagnostycznych
Typ danych Ciąg Lista rozwijana
Dopuszczalne wartości optional

required (wartość domyślna)

Nie skonfigurowano
opcjonalne (domyślne)
Wymagane

Konfigurowanie poziomu bloku chmury

To ustawienie określa, jak agresywna usługa Defender dla punktu końcowego blokuje i skanuje podejrzane pliki. Jeśli to ustawienie jest włączone, usługa Defender for Endpoint jest bardziej agresywna podczas identyfikowania podejrzanych plików do zablokowania i skanowania; W przeciwnym razie jest mniej agresywny, dlatego blokuje i skanuje z mniejszą częstotliwością.

Istnieje pięć wartości dotyczących ustawiania poziomu bloku chmury:

  • Normalny (normal): domyślny poziom blokowania.
  • Umiarkowane (moderate): Dostarcza werdykt tylko w przypadku wykrywania wysokiej ufności.
  • Wysoka (high): Agresywnie blokuje nieznane pliki, optymalizując pod kątem wydajności (większe prawdopodobieństwo zablokowania nie szkodliwych plików).
  • Wysoki plus (high_plus): agresywnie blokuje nieznane pliki i stosuje dodatkowe środki ochrony (może mieć wpływ na wydajność urządzenia klienckiego).
  • Zero tolerancji (zero_tolerance): blokuje wszystkie nieznane programy.
Opis Wartość JSON Wartość portalu usługi Defender
Klucz cloudBlockLevel Konfigurowanie poziomu bloku chmury
Typ danych Ciąg Lista rozwijana
Dopuszczalne wartości normal (wartość domyślna)

moderate

high

high_plus

zero_tolerance

Nie skonfigurowano
Normalny (domyślny)
Umiarkowany
High (Wysoki)
High_Plus
Zero_Tolerance

Uwaga

Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.56.62 .

Włączanie/wyłączanie automatycznych przesyłania przykładów

Określa, czy podejrzane próbki (które mogą zawierać zagrożenia) są wysyłane do firmy Microsoft. Istnieją trzy poziomy kontroli przesyłania przykładów:

  • Brak: firma Microsoft nie przesyła żadnych podejrzanych przykładów.
  • Bezpieczne: tylko podejrzane próbki, które nie zawierają danych osobowych, są przesyłane automatycznie. Jest to wartość domyślna dla tego ustawienia.
  • Wszystkie: wszystkie podejrzane przykłady są przesyłane do firmy Microsoft.
Opis Wartość JSON Wartość portalu usługi Defender
Klucz automaticSampleSubmissionConsent Włączanie automatycznego przesyłania przykładów
Typ danych Ciąg Lista rozwijana
Dopuszczalne wartości none

safe (wartość domyślna)

all

Nie skonfigurowano
Brak
Bezpieczne (domyślne)
Wszystkie

Włączanie/wyłączanie automatycznych aktualizacji analizy zabezpieczeń

Określa, czy aktualizacje analizy zabezpieczeń są instalowane automatycznie:

Opis Wartość JSON Wartość portalu usługi Defender
Klucz automaticDefinitionUpdateEnabled Automatyczne aktualizacje analizy zabezpieczeń
Typ danych Wartość logiczna Lista rozwijana
Dopuszczalne wartości true (wartość domyślna)

false

Nie skonfigurowano
Wyłączona
Włączone (domyślne)

W zależności od poziomu wymuszania aktualizacje automatycznej analizy zabezpieczeń są instalowane inaczej. W trybie RTP aktualizacje są instalowane okresowo. W trybie pasywnym/na żądanie aktualizacje są instalowane przed każdym skanowaniem.

Zaawansowane funkcje opcjonalne

Następujące ustawienia można skonfigurować w celu włączenia niektórych zaawansowanych funkcji.

Uwaga

Włączenie tych funkcji może mieć wpływ na wydajność urządzenia. Zaleca się zachowanie wartości domyślnych.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz Funkcje Niedostępny
Typ danych Słownik (preferencja zagnieżdżona) nie dotyczy
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach.

Funkcja ładowania modułu

Określa, czy zdarzenia ładowania modułu (zdarzenia otwierania pliku w bibliotekach udostępnionych) są monitorowane.

Uwaga

Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz moduleLoad Niedostępny
Typ danych Ciąg nie dotyczy
Dopuszczalne wartości wyłączone (ustawienie domyślne)

Włączone

nie dotyczy
Komentarze Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.68.80 .

Dodatkowe konfiguracje czujników

Poniższe ustawienia mogą służyć do konfigurowania niektórych zaawansowanych funkcji dodatkowych czujników.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz supplementarySensorConfigurations Niedostępny
Typ danych Słownik (preferencja zagnieżdżona) nie dotyczy
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach.
Konfigurowanie monitorowania zdarzeń uprawnień modyfikowania plików

Określa, czy zdarzenia uprawnień modyfikowania pliku (chmod) są monitorowane.

Uwaga

Po włączeniu tej funkcji usługa Defender dla punktu końcowego będzie monitorować zmiany w wykonywaniu bitów plików, ale nie skanuje tych zdarzeń. Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje skanowania , aby uzyskać więcej informacji.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz enableFilePermissionEvents Niedostępny
Typ danych Ciąg nie dotyczy
Dopuszczalne wartości wyłączone (ustawienie domyślne)

Włączone

nie dotyczy
Komentarze Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 .
Konfigurowanie monitorowania zdarzeń dotyczących modyfikowania plików

Określa, czy zdarzenia własności modyfikowania pliku (chown) są monitorowane.

Uwaga

Po włączeniu tej funkcji usługa Defender for Endpoint będzie monitorować zmiany własności plików, ale nie skanuje tych zdarzeń. Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje skanowania , aby uzyskać więcej informacji.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz enableFileOwnershipEvents Niedostępny
Typ danych Ciąg nie dotyczy
Dopuszczalne wartości wyłączone (ustawienie domyślne)

Włączone

nie dotyczy
Komentarze Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 .
Konfigurowanie monitorowania nieprzetworzonych zdarzeń gniazd

Określa, czy zdarzenia gniazd sieciowych związane z tworzeniem nieprzetworzonych gniazd/gniazd pakietów lub opcją gniazda ustawień są monitorowane.

Uwaga

Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania. Po włączeniu tej funkcji usługa Defender dla punktu końcowego będzie monitorować te zdarzenia gniazd sieciowych, ale nie będzie skanować tych zdarzeń. Aby uzyskać więcej informacji, zobacz sekcję Zaawansowane funkcje skanowania powyżej, aby uzyskać więcej informacji.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz enableRawSocketEvent Niedostępny
Typ danych Ciąg nie dotyczy
Dopuszczalne wartości wyłączone (ustawienie domyślne)

Włączone

nie dotyczy
Komentarze Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 .
Konfigurowanie monitorowania zdarzeń modułu ładującego rozruch

Określa, czy zdarzenia modułu ładującego rozruchu są monitorowane i skanowane.

Uwaga

Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz enableBootLoaderCalls Niedostępny
Typ danych Ciąg nie dotyczy
Dopuszczalne wartości wyłączone (ustawienie domyślne)

Włączone

nie dotyczy
Komentarze Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.68.80 .
Konfigurowanie monitorowania zdarzeń śledzenia

Określa, czy zdarzenia śledzenia są monitorowane i skanowane.

Uwaga

Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz enableProcessCalls Niedostępny
Typ danych Ciąg nie dotyczy
Dopuszczalne wartości wyłączone (ustawienie domyślne)

Włączone

nie dotyczy
Komentarze Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.68.80 .
Konfigurowanie monitorowania zdarzeń pseudofs

Określa, czy zdarzenia pseudofs są monitorowane i skanowane.

Uwaga

Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz enablePseudofsCalls Niedostępny
Typ danych Ciąg nie dotyczy
Dopuszczalne wartości wyłączone (ustawienie domyślne)

Włączone

nie dotyczy
Komentarze Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.68.80 .
Konfigurowanie monitorowania zdarzeń ładowania modułu przy użyciu eBPF

Określa, czy zdarzenia ładowania modułu są monitorowane przy użyciu eBPF i skanowane.

Uwaga

Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz enableEbpfModuleLoadEvents Niedostępny
Typ danych Ciąg nie dotyczy
Dopuszczalne wartości wyłączone (ustawienie domyślne)

Włączone

nie dotyczy
Komentarze Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.68.80 .

Zgłaszanie podejrzanych zdarzeń av do EDR

Określa, czy podejrzane zdarzenia z programu antywirusowego są zgłaszane do EDR.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz sendLowfiEvents Niedostępny
Typ danych Ciąg nie dotyczy
Dopuszczalne wartości wyłączone (ustawienie domyślne)

Włączone

nie dotyczy
Komentarze Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 .

Konfiguracje ochrony sieci

Poniższe ustawienia mogą służyć do konfigurowania zaawansowanych funkcji inspekcji ochrony sieci w celu kontrolowania ruchu sprawdzanego przez usługę Network Protection.

Uwaga

Aby były one skuteczne, należy włączyć ochronę sieci. Aby uzyskać więcej informacji, zobacz Włączanie ochrony sieci dla systemu Linux.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz networkProtection Ochrona sieci
Typ danych Słownik (preferencja zagnieżdżona) Zwinięta sekcja
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach. Opis ustawień zasad można znaleźć w poniższych sekcjach.

Poziom wymuszania

Opis Wartość JSON Wartość portalu usługi Defender
Klucz enforcementLevel Poziom wymuszania
Typ danych Ciąg Lista rozwijana
Dopuszczalne wartości disabled (wartość domyślna)
audit
block
Nie skonfigurowano
wyłączone (ustawienie domyślne)
audyt
blok

Konfigurowanie inspekcji protokołu ICMP

Określa, czy zdarzenia ICMP są monitorowane i skanowane.

Uwaga

Ta funkcja ma zastosowanie tylko wtedy, gdy włączono monitorowanie zachowania.

Opis Wartość JSON Wartość portalu usługi Defender
Klucz disableIcmpInspection Niedostępny
Typ danych Wartość logiczna nie dotyczy
Dopuszczalne wartości true (wartość domyślna)

false

nie dotyczy
Komentarze Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23062.0010 .

Aby rozpocząć pracę, zalecamy korzystanie ze wszystkich funkcji ochrony udostępnianych przez usługę Defender for Endpoint w następującym profilu konfiguracji dla przedsiębiorstwa.

Następujący profil konfiguracji:

  • Włącza ochronę w czasie rzeczywistym (RTP)
  • Określa sposób obsługi następujących typów zagrożeń:
    • Potencjalnie niechciane aplikacje (PUA) są blokowane
    • Bomby archiwalne (plik o wysokiej szybkości kompresji) są poddawane inspekcji w dziennikach produktów
  • Włącza automatyczne aktualizacje analizy zabezpieczeń
  • Włącza ochronę dostarczaną przez chmurę
  • Włącza automatyczne przesyłanie przykładów na safe poziomie

Przykładowy profil

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Przykład pełnego profilu konfiguracji

Poniższy profil konfiguracji zawiera wpisy dla wszystkich ustawień opisanych w tym dokumencie i może służyć do bardziej zaawansowanych scenariuszy, w których chcesz mieć większą kontrolę nad produktem.

Uwaga

Nie można kontrolować wszystkich Ochrona punktu końcowego w usłudze Microsoft Defender komunikacji tylko z ustawieniem serwera proxy w tym formacie JSON.

Pełny profil

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":false,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefintionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"diabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

Dodawanie tagu lub identyfikatora grupy do profilu konfiguracji

Po pierwszym uruchomieniu mdatp health polecenia wartość tagu i identyfikatora grupy będzie pusta. Aby dodać tag lub identyfikator grupy do mdatp_managed.json pliku, wykonaj poniższe kroki:

  1. Otwórz profil konfiguracji ze ścieżki /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

  2. Przejdź do dolnej części pliku, gdzie cloudService znajduje się blok.

  3. Dodaj wymagany tag lub identyfikator grupy jako poniższy przykład na końcu zamykającego nawiasu klamrowego cloudServicedla elementu .

    },
    "cloudService": {
     "enabled": true,
     "diagnosticLevel": "optional",
     "automaticSampleSubmissionConsent": "safe",
     "automaticDefinitionUpdateEnabled": true,
     "proxy": "http://proxy.server:port/"
    },
    "edr": {
    "groupIds":"GroupIdExample",
    "tags": [
             {
             "key": "GROUP",
             "value": "Tag"
             }
           ]
       }
    }
    

    Uwaga

    Dodaj przecinek po zamykającym nawiasie klamrowym na końcu cloudService bloku. Upewnij się również, że istnieją dwa zamykające nawiasy klamrowe po dodaniu bloku Tag lub Identyfikator grupy (zobacz powyższy przykład). Obecnie jedyną obsługiwaną nazwą klucza tagów jest GROUP.

Sprawdzanie poprawności profilu konfiguracji

Profil konfiguracji musi być prawidłowym plikiem w formacie JSON. Istnieje wiele narzędzi, których można użyć do zweryfikowania tego. Jeśli na przykład python zainstalowano na urządzeniu:

python -m json.tool mdatp_managed.json

Jeśli kod JSON jest dobrze sformułowany, powyższe polecenie wyprowadza go z powrotem do terminalu i zwraca kod zakończenia .0 W przeciwnym razie zostanie wyświetlony błąd opisujący problem, a polecenie zwróci kod zakończenia .1

Sprawdzanie, czy plik mdatp_managed.json działa zgodnie z oczekiwaniami

Aby sprawdzić, czy /etc/opt/microsoft/mdatp/managed/mdatp_managed.json działa prawidłowo, obok tych ustawień powinien zostać wyświetlony komunikat "[managed]":

  • cloud_enabled
  • cloud_automatic_sample_submission_consent
  • passive_mode_enabled
  • real_time_protection_enabled
  • automatic_definition_update_enabled

Uwaga

Aby zmiany większości konfiguracji zaczęły mdatp_managed.json obowiązywać, nie jest wymagane ponowne uruchomienie demona mdatp. Wyjątek: Następujące konfiguracje wymagają ponownego uruchomienia demona, aby obowiązywać:

  • cloud-diagnostic
  • log-rotation-parameters

Wdrażanie profilu konfiguracji

Po utworzeniu profilu konfiguracji dla przedsiębiorstwa można go wdrożyć za pomocą narzędzia do zarządzania używanego przez przedsiębiorstwo. Usługa Defender for Endpoint w systemie Linux odczytuje konfigurację zarządzana z programu /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.