设置 Linux 上 Microsoft Defender for Endpoint 的首选项
适用于:
- Microsoft Defender for Endpoint 服务器版
- 服务器的Microsoft Defender
希望体验 Defender for Endpoint? 注册免费试用版。
重要
本文包含有关如何在企业环境中为 Linux 上的 Defender for Endpoint 设置首选项的说明。 如果有兴趣通过命令行在设备上配置产品,请参阅 资源。
在企业环境中,Linux 上的 Defender for Endpoint 可以通过配置文件进行管理。 此配置文件是从所选的管理工具部署的。 企业管理的首选项优先于设备上本地设置的首选项。 换句话说,企业中的用户无法更改通过此配置文件设置的首选项。 如果通过托管配置文件添加排除项,则只能通过托管配置文件将其删除。 命令行适用于本地添加的排除项。
本文介绍此配置文件的结构 (包括可用于开始) 的建议配置文件以及如何部署配置文件的说明。
配置文件结构
配置文件是由 .json
键 (标识的条目组成的文件,它表示首选项) 的名称,后跟一个值,该值取决于首选项的性质。 值可以是简单的(如数值),也可以是复杂值,例如首选项的嵌套列表。
通常,使用配置管理工具在 位置/etc/opt/microsoft/mdatp/managed/
推送名称mdatp_managed.json
为 的文件。
配置文件的顶层包括产品范围的首选项和产品子区域条目,后续部分将更详细地介绍这些内容。
防病毒引擎首选项
配置文件的 防病毒Engine 部分用于管理产品的防病毒组件的首选项。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | 防病毒Engine | 防病毒引擎 |
数据类型 | 字典 (嵌套首选项) | 折叠分区 |
注释 | 有关字典内容的说明,请参阅以下部分。 | 有关策略属性的说明,请参阅以下部分。 |
防病毒引擎的强制级别
指定防病毒引擎的强制首选项。 设置强制级别有三个值:
- 实时 (
real_time
) :在启用) 修改文件时,实时保护 (扫描这些文件。 - 按需 (
on_demand
) :仅按需扫描文件。 在此中:- 实时保护已关闭。
- 定义更新仅在扫描开始时发生,即使在
automaticDefinitionUpdateEnabled
按需模式下设置为true
也是如此。
- 被动 (
passive
) :在被动模式下运行防病毒引擎。 在这种情况下,以下所有条件均适用:- 实时保护已关闭:Microsoft Defender防病毒无法修正威胁。
- 按需扫描已打开:仍使用终结点上的扫描功能。
- 自动威胁修正已关闭:不会移动任何文件,安全管理员应采取所需的操作。
- 安全智能更新已打开:警报在安全管理员的租户中可用。
- 定义更新仅在扫描开始时发生,即使在
automaticDefinitionUpdateEnabled
被动模式下设置为true
也是如此。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | enforcementLevel | 强制级别 |
数据类型 | String | 下拉列表 |
可能的值 | real_time on_demand passive (默认) |
未配置 实时 OnDemand 被动 (默认) |
注意
在 Defender for Endpoint 版本 101.10.72
或更高版本中可用。 在 Defender for Endpoint 版本101.23062.0001
或更高版本中,默认值从 real_time
passive
更改为 。
建议还根据要求使用 计划扫描 。
启用/禁用行为监视
确定是否在设备上启用行为监视和阻止功能。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | behaviorMonitoring | 启用行为监视 |
数据类型 | String | 下拉列表 |
可能的值 |
disabled (默认) |
未配置 禁用 (默认) 已启用 |
注意
在 Defender for Endpoint 版本 101.45.00
或更高版本中可用。
仅当启用了实时保护时,此功能才适用。
更新定义后运行扫描
指定在设备上下载新的安全智能更新后是否启动进程扫描。 启用此设置会在设备的正在运行的进程上触发防病毒扫描。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | scanAfterDefinitionUpdate | 在定义更新后启用扫描 |
数据类型 | 布尔值 | 下拉列表 |
可能的值 |
true (默认) |
未配置 Disabled 已启用 (默认) |
注意
在 Defender for Endpoint 版本 101.45.00
或更高版本中可用。
仅当强制级别设置为 real-time
时,此功能才有效。
仅扫描存档 (按需防病毒扫描)
指定是否在按需防病毒扫描期间扫描存档。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | scanArchives | 启用存档扫描 |
数据类型 | 布尔值 | 下拉列表 |
可能的值 |
true (默认)
|
未配置 Disabled 已启用 (默认) |
注意
在 Microsoft Defender for Endpoint 101.45.00
或更高版本中可用。
在实时保护期间永远不会扫描存档文件。 提取存档中的文件时,将扫描这些文件。
scanArchives 选项可用于仅在按需扫描期间强制扫描存档。
按需扫描的并行度
指定按需扫描的并行度。 这对应于用于执行扫描并影响 CPU 使用率的线程数,以及按需扫描的持续时间。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | maximumOnDemandScanThreads | 最大按需扫描线程数 |
数据类型 | 整数 | 切换开关 & 整数 |
可能的值 | 2 (默认) 。 允许的值是介于 1 和 64 之间的整数。 | 未配置 (默认关闭默认设置为 2) 配置了 (在 1 到 64 之间的) 和整数上切换。 |
注意
在 Microsoft Defender for Endpoint 101.45.00
或更高版本中可用。
排除合并策略
指定排除项的合并策略。 它可以是管理员定义的排除项和用户定义的排除项 () merge
的组合,也可以是管理员定义的排除项 () admin_only
的组合。 管理员定义的 (admin_only) 是 Defender for Endpoint 策略配置的排除项。 此设置可用于限制本地用户定义其自己的排除项。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | exclusionsMergePolicy | 排除项合并 |
数据类型 | String | 下拉列表 |
可能的值 |
merge (默认)
|
未配置 合并 (默认) admin_only |
注意
在 Defender for Endpoint 版本 100.83.73
或更高版本中可用。
还可以在 exclusionSettings 下配置排除项
扫描排除项
已从扫描中排除的实体。 排除项可以由完整路径、扩展名或文件名指定。 (排除项指定为项数组,管理员可以根据需要指定任意数量的元素,按任意顺序。)
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | 排除 | 扫描排除项 |
数据类型 | 字典 (嵌套首选项) | 动态属性列表 |
注释 | 有关字典内容的说明,请参阅以下部分。 |
排除类型
指定从扫描中排除的内容的类型。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | $type | 类型 |
数据类型 | String | 下拉列表 |
可能的值 | excludedPath
|
Path 文件扩展名 进程名称 |
已排除内容的路径
用于按完整文件路径从扫描中排除内容。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | path | Path |
数据类型 | String | String |
可能的值 | 有效路径 | 有效路径 |
注释 | 仅当排除$type时适用Path | 在 “编辑实例 ”弹出窗口中访问 |
路径类型 (文件/目录)
指示 路径 属性是否引用文件或目录。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | isDirectory | 是目录 |
数据类型 | 布尔值 | 下拉列表 |
可能的值 |
false (默认)
|
已启用 Disabled |
注释 | 仅当排除$type时适用Path | 在 “编辑实例 ”弹出窗口中访问 |
从扫描中排除的文件扩展名
用于按文件扩展名从扫描中排除内容。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | extension | 文件扩展名 |
数据类型 | String | String |
可能的值 | 有效的文件扩展名 | 有效的文件扩展名 |
注释 | 仅当排除$typeFileExtension 时才适用 | 在 配置实例 弹出窗口中访问 |
从扫描中排除的进程*
指定从扫描中排除所有文件活动的进程。 可以按进程的名称 ((例如, cat
) )或完整路径 (指定, /bin/cat
例如) 。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | name | 文件名 |
数据类型 | String | String |
可能的值 | 任何字符串 | 任何字符串 |
注释 | 仅当排除$typeFileName 时适用 | 在 配置实例 弹出窗口中访问 |
将非执行装载静音
指定 RTP 在标记为 noexec 的装入点上的行为。 设置有两个值:
- 未静音 (
unmute
) :默认值,所有装入点都作为 RTP 的一部分进行扫描。 - 已静音 (
mute
) :标记为 noexec 的装入点不会作为 RTP 的一部分进行扫描,可针对以下对象创建这些装入点:- 数据库服务器上的数据库文件,用于保存数据库文件。
- 文件服务器可以使用 noexec 选项保留数据文件装入点。
- 备份可以使用 noexec 选项保留数据文件装入点。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | nonExecMountPolicy | 非执行装载静音 |
数据类型 | String | 下拉列表 |
可能的值 |
unmute (默认)
|
未配置 取消静音 (默认) 静音 |
注意
在 Defender for Endpoint 版本 101.85.27
或更高版本中可用。
Unmonitor 文件系统
将文件系统配置为不受监视/从 RTP) (实时保护中排除。 根据Microsoft Defender允许的文件系统列表验证配置的文件系统。 只有在成功验证后才能监视文件系统。 这些配置的不受监视的文件系统仍可通过 Microsoft Defender 防病毒中的快速扫描、完整扫描和自定义扫描进行扫描。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | unmonitoredFilesystems | 未受监视的文件系统 |
数据类型 | 字符串数组 | 动态字符串列表 |
注意
仅当配置的文件系统存在于Microsoft允许的未受监视文件系统列表中时,才会对其进行监视。
默认情况下,NFS 和 Fuse 不受 RTP、快速和完整扫描的监视。 但是,仍可以通过自定义扫描来扫描它们。 例如,若要从不受监视的文件系统列表中删除 NFS,请更新托管配置文件,如下所示。 这会自动将 NFS 添加到 RTP 的受监视文件系统列表中。
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
若要从不受监视的文件系统列表中同时删除 NFS 和 Fuse,请执行以下操作
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
注意
下面是 RTP 的受监视文件系统的默认列表:btrfs
、、、ext2
ext3
ext4
ecryptfs
ramfs
jfs
fuseblk
overlay
、、reiserfs
、tmpfs
、、vfat
、 。 xfs
如果需要将任何受监视的文件系统添加到未受监视的文件系统列表中,则需要通过云配置Microsoft对其进行评估和启用。之后,客户可以更新managed_mdatp.json以取消监视该文件系统。
配置文件哈希计算功能
启用或禁用文件哈希计算功能。 启用此功能后,Defender for Endpoint 会计算它扫描的文件的哈希。 请注意,启用此功能可能会影响设备性能。 有关更多详细信息,请参阅: 为文件创建指示器。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | enableFileHashComputation | 启用文件哈希计算 |
数据类型 | 布尔值 | 下拉列表 |
可能的值 |
false (默认)
|
未配置 禁用 (默认) 已启用 |
注意
在 Defender for Endpoint 版本 101.85.27
或更高版本中可用。
允许的威胁
(按名称标识的威胁列表) 产品不会阻止,而是允许运行。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | allowedThreats | 允许的威胁 |
数据类型 | 字符串数组 | 动态字符串列表 |
不允许的威胁操作
限制设备本地用户在检测到威胁时可以执行的操作。 此列表中包含的操作不会显示在用户界面中。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | disallowedThreatActions | 不允许的威胁操作 |
数据类型 | 字符串数组 | 动态字符串列表 |
可能的值 |
allow (限制用户允许威胁)
|
允许 (限制用户允许威胁) 还原 (限制用户从隔离) 还原威胁 |
注意
在 Defender for Endpoint 版本 100.83.73
或更高版本中可用。
威胁类型设置
防病毒引擎中的 threatTypeSettings 首选项用于控制产品如何处理某些威胁类型。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | threatTypeSettings | 威胁类型设置 |
数据类型 | 字典 (嵌套首选项) | 动态属性列表 |
注释 | 有关字典内容的说明,请参阅以下部分。 | 有关动态属性的说明,请参阅以下部分。 |
威胁类型
为其配置行为的威胁类型。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | 注册表项 | 威胁类型 |
数据类型 | String | 下拉列表 |
可能的值 | potentially_unwanted_application
|
potentially_unwanted_application archive_bomb |
要采取的措施
遇到上一部分中指定的类型的威胁时要执行的操作。 可以是:
- 审核:设备不受此类威胁的保护,但会记录有关威胁的条目。 (默认)
- 阻止:设备受到保护,免受此类威胁,并在安全控制台中收到通知。
- 关闭:设备不受此类威胁的保护,并且不会记录任何内容。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | 值 | 要采取的措施 |
数据类型 | String | 下拉列表 |
可能的值 |
audit (默认)
|
审计 块 关 |
威胁类型设置合并策略
指定威胁类型设置的合并策略。 这可以是管理员定义的设置和用户定义的设置 () merge
的组合,也可以是管理员定义的设置 () admin_only
。 管理员定义的 (admin_only) 是由 Defender for Endpoint 策略配置的威胁类型设置。 此设置可用于限制本地用户为不同的威胁类型定义自己的设置。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | threatTypeSettingsMergePolicy | 威胁类型合并 |
数据类型 | String | 下拉列表 |
可能的值 | 合并 (默认) admin_only |
未配置 合并 (默认) admin_only |
注意
在 Defender for Endpoint 版本 100.83.73
或更高版本中可用。
防病毒扫描历史记录保留期 (天)
指定结果在设备上的扫描历史记录中保留的天数。 旧扫描结果将从历史记录中删除。 也从磁盘中删除的旧隔离文件。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | scanResultsRetentionDays | 扫描结果保留期 |
数据类型 | String | 切换开关和整数 |
可能的值 | 90 (默认) 。 允许的值为 1 天到 180 天。 | 未配置 (关闭 - 90 天默认) 配置了 (打开) ,允许的值为 1 到 180 天。 |
注意
在 Defender for Endpoint 版本 101.04.76
或更高版本中可用。
防病毒扫描历史记录中的最大项目数
指定要在扫描历史记录中保留的最大条目数。 条目包括过去执行的所有按需扫描和所有防病毒检测。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | scanHistoryMaximumItems | 扫描历史记录大小 |
数据类型 | String | 切换和整数 |
可能的值 | 10000 (默认) 。 允许的值为 5000 到 15000 项。 | 未配置 (关闭 - 10000 默认) 配置了 (在 5000 到 15000 项) 和允许值上切换。 |
注意
在 Defender for Endpoint 版本 101.04.76
或更高版本中可用。
排除设置首选项
Exlusion 设置首选项目前为预览版。
注意
全局排除项目前以公共预览版提供,在预览体验成员慢速和生产圈从版本 101.23092.0012
或更高版本开始的 Defender for Endpoint 中可用。
exclusionSettings
配置文件的 节用于配置 Linux Microsoft Defender for Endpoint的各种排除项。
说明 | JSON 值 |
---|---|
键 | exclusionSettings |
数据类型 | 字典 (嵌套首选项) |
注释 | 有关字典内容的说明,请参阅以下部分。 |
注意
托管 JSON 中已在 (antivirusEngine
) 下配置的防病毒排除项将继续按原样运行,而不会影响。 所有新的 排除项 (包括防病毒排除项)都可以在此全新的部分 (exclusionSettings
) 下添加。 本部分不在 (antivirusEngine
) 标记之外,因为它专用于配置将来将会出现的所有类型的排除项。 还可以继续使用 (antivirusEngine
) 来配置防病毒排除项。
合并策略
指定排除项的合并策略。 它指定是管理员定义的排除项和用户定义的排除项的组合, () merge
,还是仅限管理员定义的排除项 (admin_only
) 。 此设置可用于限制本地用户定义其自己的排除项。 它适用于所有范围的排除项。
说明 | JSON 值 |
---|---|
键 | mergePolicy |
数据类型 | String |
可能的值 | 合并 (默认) admin_only |
注释 | 在 Defender for Endpoint 版本 2023 年 9 月或更高版本中可用。 |
排除项
需要排除的实体可以通过完整路径、扩展名或文件名进行指定。 每个排除实体(即完整路径、扩展名或文件名)都具有可指定的可选范围。 如果未指定,则本部分中作用域的默认值为 全局值。 (排除项指定为项数组,管理员可以根据需要指定任意数量的元素,按任意顺序。)
说明 | JSON 值 |
---|---|
键 | 排除 |
数据类型 | 字典 (嵌套首选项) |
注释 | 有关字典内容的说明,请参阅以下部分。 |
排除类型
指定从扫描中排除的内容的类型。
说明 | JSON 值 |
---|---|
键 | $type |
数据类型 | String |
可能的值 | excludedPath excludedFileExtension excludedFileName |
排除范围 (可选)
指定排除的内容的范围集。 当前支持的范围是 epp
和 global
。
如果在 托管配置中的 exclusionSettings 下未为排除项指定任何内容,则 global
被视为范围。
注意
以前在托管 JSON 中 (antivirusEngine
) 下配置的防病毒排除将继续运行,并且其范围被视为 (epp
) ,因为它们已添加为防病毒排除项。
说明 | JSON 值 |
---|---|
键 | scopes |
数据类型 | 字符串集 |
可能的值 | epp 全球 |
注意
以前使用 () mdatp_managed.json
或 CLI 应用的排除项将不受影响。 这些排除的范围将 (epp
) ,因为它们是在 () antivirusEngine
下添加的。
已排除内容的路径
用于按完整文件路径从扫描中排除内容。
说明 | JSON 值 |
---|---|
键 | path |
数据类型 | String |
可能的值 | 有效路径 |
注释 | 仅当 $type为 excludedPath 时才适用。 如果排除将全局范围作为范围,则不支持通配符。 |
路径类型 (文件/目录)
指示 路径 属性是否引用文件或目录。
注意
如果添加具有全局范围的文件排除,则文件路径必须已存在。
说明 | JSON 值 |
---|---|
键 | isDirectory |
数据类型 | 布尔值 |
可能的值 | false(默认值) true |
注释 | 仅当 $type为 excludedPath 时才适用。 如果排除将全局范围作为范围,则不支持通配符。 |
从扫描中排除的文件扩展名
用于按文件扩展名从扫描中排除内容。
说明 | JSON 值 |
---|---|
键 | extension |
数据类型 | String |
可能的值 | 有效的文件扩展名 |
注释 | 仅当 排除 $typeFileExtension 时才适用。 如果排除将全局范围作为范围,则不受支持。 |
从扫描中排除的进程*
指定从扫描中排除所有文件活动的进程。 可以按进程的名称 ((例如, cat
) )或完整路径 (指定, /bin/cat
例如) 。
说明 | JSON 值 |
---|---|
键 | name |
数据类型 | String |
可能的值 | 任何字符串 |
注释 | 仅当 排除 $typeFileName 时才适用。 如果排除将全局范围作为范围,则需要提供完整路径,则不支持通配符和进程名称。 |
高级扫描选项
可将以下设置配置为启用某些高级扫描功能。
注意
启用这些功能可能会影响设备性能。 因此,建议保留默认值。
配置文件修改权限事件的扫描
启用此功能后,Defender for Endpoint 会在文件的权限更改后扫描文件,以设置执行位 () 。
注意
仅当启用此功能时, enableFilePermissionEvents
此功能才适用。 有关详细信息,请参阅下面的 高级可选功能 部分。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | scanFileModifyPermissions | 不可用 |
数据类型 | 布尔值 | 不适用 |
可能的值 | false(默认值) true |
不适用 |
注意
在 Defender for Endpoint 版本 101.23062.0010
或更高版本中可用。
配置文件修改所有权事件的扫描
启用此功能后,Defender for Endpoint 将扫描所有权已更改的文件。
注意
仅当启用此功能时, enableFileOwnershipEvents
此功能才适用。 有关详细信息,请参阅下面的 高级可选功能 部分。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | scanFileModifyOwnership | 不可用 |
数据类型 | 布尔值 | 不适用 |
可能的值 | false(默认值) true |
不适用 |
注意
在 Defender for Endpoint 版本 101.23062.0010
或更高版本中可用。
配置原始套接字事件的扫描
启用此功能后,Defender for Endpoint 将扫描网络套接字事件,例如创建原始套接字/数据包套接字或设置套接字选项。
注意
仅当启用行为监视时,此功能才适用。
仅当启用此功能时, enableRawSocketEvent
此功能才适用。 有关详细信息,请参阅下面的 高级可选功能 部分。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | scanNetworkSocketEvent | 不可用 |
数据类型 | 布尔值 | 不适用 |
可能的值 | false(默认值) true |
不适用 |
注意
在 Defender for Endpoint 版本 101.23062.0010
或更高版本中可用。
云提供的保护首选项
配置文件中的 cloudService 条目用于配置产品的云驱动保护功能。
注意
云提供的保护适用于任何强制级别设置 (real_time、on_demand、被动) 。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | cloudService | 云提供的保护首选项 |
数据类型 | 字典 (嵌套首选项) | 折叠部分 |
注释 | 有关字典内容的说明,请参阅以下部分。 | 有关策略设置的说明,请参阅以下部分。 |
启用/禁用云提供的保护
确定是否在设备上启用云提供的保护。 为了提高服务的安全性,我们建议保持此功能的打开状态。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | enabled | 启用云提供的保护 |
数据类型 | 布尔值 | 下拉列表 |
可能的值 |
true (默认)
|
未配置 Disabled 已启用 (默认) |
诊断集合级别
诊断数据用于保持 Defender for Endpoint 的安全和最新、检测、诊断和修复问题,以及进行产品改进。 此设置确定产品发送到Microsoft的诊断级别。 有关详细信息,请参阅 Linux 上Microsoft Defender for Endpoint的隐私。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | diagnosticLevel | 诊断数据收集级别 |
数据类型 | String | 下拉列表 |
可能的值 | optional
|
未配置 可选 (默认) 必需 |
配置云块级别
此设置确定 Defender for Endpoint 在阻止和扫描可疑文件时的积极程度。 如果此设置处于打开状态,则 Defender for Endpoint 在识别要阻止和扫描的可疑文件时会更加主动;否则,它的攻击性较低,因此阻止和扫描的频率较低。
有五个值用于设置云块级别:
- 普通 (
normal
) :默认阻止级别。 - 中等 (
moderate
) :仅针对高置信度检测提供判决。 - 高 (
high
) :主动阻止未知文件,同时优化性能 (阻止非有害文件) 的可能性更大。 - 高加 (
high_plus
) :主动阻止未知文件并应用其他保护措施, (可能会影响客户端设备性能) 。 - 零容忍 (
zero_tolerance
) :阻止所有未知程序。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | cloudBlockLevel | 配置云块级别 |
数据类型 | String | 下拉列表 |
可能的值 |
normal (默认)
|
未配置 标准(默认) 适度 高 High_Plus Zero_Tolerance |
注意
在 Defender for Endpoint 版本 101.56.62
或更高版本中可用。
启用/禁用自动示例提交
确定是否将可疑样本 (可能包含威胁) 发送到Microsoft。 有三个级别用于控制示例提交:
- 无:不会将可疑样本提交到Microsoft。
- 安全:仅自动提交不包含个人身份信息的可疑样本 (PII) 。 这是此设置的默认值。
- 全部:所有可疑样本均提交到Microsoft。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | automaticSampleSubmissionConsent | 启用自动示例提交 |
数据类型 | String | 下拉列表 |
可能的值 | none
|
未配置 None 安全 (默认) 全部 |
启用/禁用自动安全智能更新
确定是否自动安装安全智能更新:
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | automaticDefinitionUpdateEnabled | 自动安全智能更新 |
数据类型 | 布尔值 | 下拉列表 |
可能的值 |
true (默认)
|
未配置 Disabled 已启用 (默认) |
根据强制级别,自动安全智能更新的安装方式不同。 在 RTP 模式下,会定期安装更新。 在被动/按需模式中,每次扫描之前都会安装更新。
高级可选功能
可以将以下设置配置为启用某些高级功能。
注意
启用这些功能可能会影响设备性能。 建议保留默认值。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | 特征 | 不可用 |
数据类型 | 字典 (嵌套首选项) | n/a |
注释 | 有关字典内容的说明,请参阅以下部分。 |
模块加载功能
确定是否监视共享库) 上的模块加载事件 (文件打开事件。
注意
仅当启用行为监视时,此功能才适用。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | moduleLoad | 不可用 |
数据类型 | String | n/a |
可能的值 | 已禁用 (默认) enabled |
n/a |
注释 | 在 Defender for Endpoint 版本 101.68.80 或更高版本中可用。 |
补充传感器配置
以下设置可用于配置某些高级补充传感器功能。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | supplementarySensorConfigurations | 不可用 |
数据类型 | 字典 (嵌套首选项) | n/a |
注释 | 有关字典内容的说明,请参阅以下部分。 |
配置文件修改权限事件的监视
确定是否监视) (chmod
文件修改权限事件。
注意
启用此功能后,Defender for Endpoint 将监视对文件执行位的更改,但不扫描这些事件。 有关详细信息,请参阅 高级扫描功能 部分。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | enableFilePermissionEvents | 不可用 |
数据类型 | String | n/a |
可能的值 | 已禁用 (默认) enabled |
n/a |
注释 | 在 Defender for Endpoint 版本 101.23062.0010 或更高版本中可用。 |
配置文件修改所有权事件的监视
确定是否监视 chown) (文件修改所有权事件。
注意
启用此功能后,Defender for Endpoint 将监视对文件所有权的更改,但不扫描这些事件。 有关详细信息,请参阅 高级扫描功能 部分。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | enableFileOwnershipEvents | 不可用 |
数据类型 | String | n/a |
可能的值 | 已禁用 (默认) enabled |
n/a |
注释 | 在 Defender for Endpoint 版本 101.23062.0010 或更高版本中可用。 |
配置原始套接字事件的监视
确定是否监视涉及创建原始套接字/数据包套接字或设置套接字选项的网络套接字事件。
注意
仅当启用行为监视时,此功能才适用。 启用此功能后,Defender for Endpoint 将监视这些网络套接字事件,但不扫描这些事件。 有关详细信息,请参阅上面的 高级扫描功能 部分。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | enableRawSocketEvent | 不可用 |
数据类型 | String | n/a |
可能的值 | 已禁用 (默认) enabled |
n/a |
注释 | 在 Defender for Endpoint 版本 101.23062.0010 或更高版本中可用。 |
配置启动加载程序事件的监视
确定是否监视和扫描启动加载程序事件。
注意
仅当启用行为监视时,此功能才适用。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | enableBootLoaderCalls | 不可用 |
数据类型 | String | n/a |
可能的值 | 已禁用 (默认) enabled |
n/a |
注释 | 在 Defender for Endpoint 版本 101.68.80 或更高版本中可用。 |
配置 ptrace 事件的监视
确定是否监视和扫描 ptrace 事件。
注意
仅当启用行为监视时,此功能才适用。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | enableProcessCalls | 不可用 |
数据类型 | String | n/a |
可能的值 | 已禁用 (默认) enabled |
n/a |
注释 | 在 Defender for Endpoint 版本 101.68.80 或更高版本中可用。 |
配置伪fs 事件的监视
确定是否监视和扫描伪fs 事件。
注意
仅当启用行为监视时,此功能才适用。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | enablePseudofsCalls | 不可用 |
数据类型 | String | n/a |
可能的值 | 已禁用 (默认) enabled |
n/a |
注释 | 在 Defender for Endpoint 版本 101.68.80 或更高版本中可用。 |
使用 eBPF 配置模块负载事件的监视
确定是否使用 eBPF 监视模块加载事件并对其进行扫描。
注意
仅当启用行为监视时,此功能才适用。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | enableEbpfModuleLoadEvents | 不可用 |
数据类型 | String | n/a |
可能的值 | 已禁用 (默认) enabled |
n/a |
注释 | 在 Defender for Endpoint 版本 101.68.80 或更高版本中可用。 |
向 EDR 报告 AV 可疑事件
确定是否将防病毒中的可疑事件报告给 EDR。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | sendLowfiEvents | 不可用 |
数据类型 | String | n/a |
可能的值 | 已禁用 (默认) enabled |
n/a |
注释 | 在 Defender for Endpoint 版本 101.23062.0010 或更高版本中可用。 |
网络保护配置
以下设置可用于配置高级网络保护检查功能,以控制网络保护检查的流量。
注意
若要使这些方案生效,必须打开网络保护。 有关详细信息,请参阅 为 Linux 启用网络保护。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | networkProtection | 网络保护 |
数据类型 | 字典 (嵌套首选项) | 折叠部分 |
注释 | 有关字典内容的说明,请参阅以下部分。 | 有关策略设置的说明,请参阅以下部分。 |
强制级别
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | enforcementLevel | 强制级别 |
数据类型 | String | 下拉列表 |
可能的值 |
disabled (默认) audit block |
未配置 已禁用 (默认) 审计 块 |
配置 ICMP 检查
确定是否监视和扫描 ICMP 事件。
注意
仅当启用行为监视时,此功能才适用。
说明 | JSON 值 | Defender 门户值 |
---|---|---|
键 | disableIcmpInspection | 不可用 |
数据类型 | 布尔值 | n/a |
可能的值 |
true (默认)
|
n/a |
注释 | 在 Defender for Endpoint 版本 101.23062.0010 或更高版本中可用。 |
建议的配置文件
若要开始,我们建议企业使用以下配置文件,以利用 Defender for Endpoint 提供的所有保护功能。
以下配置文件:
- (RTP) 启用实时保护
- 指定如何处理以下威胁类型:
- 阻止了可能不需要的应用程序 (PUA)
- 存档炸弹 (具有高压缩率的文件) 审核到产品日志
- 启用自动安全智能更新
- 启用云提供的保护
- 在级别启用自动示例提交
safe
示例配置文件
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
完整配置文件示例
以下配置文件包含本文档中所述的所有设置的条目,可用于需要对产品进行更多控制的高级方案。
注意
无法仅使用此 JSON 中的代理设置控制所有Microsoft Defender for Endpoint通信。
完整配置文件
{
"antivirusEngine":{
"enforcementLevel":"passive",
"behaviorMonitoring": "disabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"enableFileHashComputation": false,
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
],
"scanFileModifyPermissions":false,
"scanFileModifyOwnership":false,
"scanNetworkSocketEvent":false,
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate":"disabled"
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
"definitionUpdatesInterval":28800
},
"features":{
"moduleLoad":"disabled",
"supplementarySensorConfigurations":{
"enableFilePermissionEvents":"disabled",
"enableFileOwnershipEvents":"disabled",
"enableRawSocketEvent":"disabled",
"enableBootLoaderCalls":"disabled",
"enableProcessCalls":"disabled",
"enablePseudofsCalls":"diabled",
"enableEbpfModuleLoadEvents":"disabled",
"sendLowfiEvents":"disabled"
},
"ebpfSupplementaryEventProvider":"enabled",
"offlineDefinitionUpdateVerifySig": "disabled"
},
"networkProtection":{
"enforcementLevel":"disabled",
"disableIcmpInspection":true
},
"edr":{
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
将标记或组 ID 添加到配置文件
首次运行 mdatp health
命令时,标记和组 ID 的值将为空。 若要向文件添加标记或组 ID mdatp_managed.json
,请执行以下步骤:
从路径
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json
打开配置文件。向下转到块所在的
cloudService
文件底部。在 的右大括号
cloudService
末尾添加所需的标记或组 ID,如以下示例所示。}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }
注意
在块末尾
cloudService
的右大括号后面添加逗号。 此外,请确保在添加标记或组 ID 块后有两个右大括号 (请参阅上面的示例) 。 目前,标记唯一支持的键名称是GROUP
。
配置文件验证
配置文件必须是有效的 JSON 格式文件。 有许多工具可用于验证这一点。 例如,如果你已在 python
设备上安装:
python -m json.tool mdatp_managed.json
如果 JSON 格式正确,则上述命令将其输出回终端,并返回 的退出代码 0
。 否则,将显示描述问题的错误,命令返回退出代码 1
。
验证mdatp_managed.json文件是否按预期工作
若要验证 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json是否正常工作,应在以下设置旁边看到“[托管]”:
cloud_enabled
cloud_automatic_sample_submission_consent
passive_mode_enabled
real_time_protection_enabled
automatic_definition_update_enabled
注意
无需重启 mdatp 守护程序即可对 中的mdatp_managed.json
大多数配置进行更改才能生效。
例外: 以下配置需要重启守护程序才能生效:
cloud-diagnostic
log-rotation-parameters
配置文件部署
为企业生成配置文件后,可以通过企业正在使用的管理工具来部署配置文件。 Linux 上的 Defender for Endpoint 从 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json
读取托管配置。
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。