為 Linux 上適用於端點的 Microsoft Defender 設定喜好設定
適用於:
- 適用於端點的 Microsoft Defender 伺服器
- 伺服器的 Microsoft Defender
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
重要事項
本文包含如何在企業環境中設定適用於Linux上適用於端點的Defender喜好設定的指示。 如果您有興趣從命令行在裝置上設定產品,請參閱 資源。
在企業環境中,Linux 上的適用於端點的 Defender 可以透過組態配置檔來管理。 這個設定檔是從您選擇的管理工具部署。 企業管理的喜好設定優先於裝置本機設定的喜好設定。 換句話說,您企業中的使用者無法變更透過此組態配置檔設定的喜好設定。 如果是透過Managed組態配置檔新增排除專案,則只能透過受控組態配置檔移除。 命令行適用於在本機新增的排除專案。
本文說明此設定檔的結構 (包括您可用來開始使用的建議配置檔) 以及如何部署配置檔的指示。
組態配置文件結構
組態配置檔是由 .json
索引鍵 (所識別的專案所組成,其代表喜好設定) 的名稱,後面接著值,視喜好設定的本質而定。 值可以很簡單,例如數值或複雜值,例如巢狀的喜好設定清單。
一般而言,您會使用組態管理工具,在位置/etc/opt/microsoft/mdatp/managed/
推送名稱mdatp_managed.json
為 的檔案。
組態配置檔的最上層包含產品子區域的全產品喜好設定和專案,下一節會詳細說明。
防病毒軟體引擎喜好設定
組態配置檔的 antivirusEngine 區段可用來管理產品防病毒軟體元件的喜好設定。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | antivirusEngine | 防病毒軟體引擎 |
資料類型 | 巢狀喜好設定 (字典) | 折疊區段 |
Comments | 如需字典內容的描述,請參閱下列各節。 | 如需原則屬性的描述,請參閱下列各節。 |
防病毒軟體引擎的強制層級
指定防病毒軟體引擎的強制喜好設定。 設定強制層級有三個值:
- 即時 (
real_time
) :啟用) 時,實時保護 (掃描檔案。 - 隨選 (
on_demand
) :僅視需要掃描檔案。 在這裡範例中:- 即時保護已關閉。
- 定義更新只會在掃描開始時發生,即使
automaticDefinitionUpdateEnabled
在隨選模式中設定為true
也一般。
- 被動 (
passive
) :以被動模式執行防病毒軟體引擎。 在此情況下,適用下列所有專案:- 實時保護已關閉:Microsoft Defender 防病毒軟體不會補救威脅。
- 隨選掃描已開啟:仍然使用端點上的掃描功能。
- 自動威脅補救已關閉:不會移動任何檔案,而且您的安全性系統管理員應該採取必要的動作。
- 安全性情報更新已開啟:安全性系統管理員的租使用者中提供警示。
- 定義更新只會在掃描開始時發生,即使
automaticDefinitionUpdateEnabled
設為true
被動模式也一般。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | enforcementLevel | 強制層級 |
資料類型 | 字串 | 下拉式清單 |
可能值 | real_time on_demand passive (預設) |
尚未設定 即時 OnDemand 被動 (預設) |
注意事項
適用於端點的 Defender 版本或更新版本 101.10.72
中提供。 在適用於端點的 Defender 版本或更新版本中,預設值101.23062.0001
會從 real_time
passive
變更為 。
建議您也根據需求使用 排程掃描 。
啟用/停用行為監視
判斷裝置上是否啟用行為監視和封鎖功能。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | behaviorMonitoring | 啟用行為監視 |
資料類型 | 字串 | 下拉式清單 |
可能值 |
disabled (預設) |
尚未設定 停用 (預設) Enabled |
注意事項
適用於端點的 Defender 版本或更新版本 101.45.00
中提供。
只有在啟用即時保護時,這項功能才適用。
更新定義之後執行掃描
指定在裝置上下載新的安全情報更新之後,是否要啟動進程掃描。 啟用此設定會在裝置的執行中進程上觸發防病毒軟體掃描。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | scanAfterDefinitionUpdate | 在定義更新後啟用掃描 |
資料類型 | 布林值 | 下拉式清單 |
可能值 |
true (預設) |
尚未設定 已停用 啟用 (預設) |
注意事項
適用於端點的 Defender 版本或更新版本 101.45.00
中提供。
只有在強制層級設定為 real-time
時,此功能才適用。
僅掃描封存 (視需要的防病毒軟體掃描)
指定是否要在隨選防病毒軟體掃描期間掃描封存。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | scanArchives | 啟用封存掃描 |
資料類型 | 布林值 | 下拉式清單 |
可能值 |
true (預設)
|
尚未設定 已停用 啟用 (預設) |
注意事項
適用於 適用於端點的 Microsoft Defender 版或更新版本101.45.00
。
即時保護期間永遠不會掃描封存盤案。 擷取封存中的檔案時,系統會掃描這些檔案。
scanArchives 選項只能在隨選掃描期間用來強制掃描封存。
隨選掃描的平行處理原則程度
指定隨選掃描的平行處理原則程度。 這會對應至用來執行掃描並影響 CPU 使用量的線程數目,以及隨選掃描的持續時間。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | maximumOnDemandScanThreads | 隨選掃描線程數目上限 |
資料類型 | 整數 | 切換切換 & 整數 |
可能值 | 2 (預設) 。 允許的值是介於 1 到 64 之間的整數。 | [未設定] (預設值將預設值切換為 2) 已設定 (在 1 到 64 之間的) 和整數上切換。 |
注意事項
適用於 適用於端點的 Microsoft Defender 版或更新版本101.45.00
。
排除合併原則
指定排除項目的合併原則。 它可以是系統管理員定義和使用者定義排除項目的組合, () merge
或只有系統管理員定義的排除 () admin_only
。 系統管理員定義的 (admin_only) 是適用於端點的 Defender 原則所設定的排除專案。 此設定可用來限制本機用戶定義自己的排除範圍。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | exclusionsMergePolicy | 排除合併 |
資料類型 | 字串 | 下拉式清單 |
可能值 |
merge (預設)
|
尚未設定 合併 (預設) admin_only |
注意事項
適用於端點的 Defender 版本或更新版本 100.83.73
中提供。
也可以在 exclusionSettings 下設定排除專案
掃描排除專案
已從掃描中排除的實體。 排除專案可以透過完整路徑、擴展名或檔名來指定。 (排除專案指定為項目數位,系統管理員可以視需要指定任意數量的元素。)
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | 排除 | 掃描排除專案 |
資料類型 | 巢狀喜好設定 (字典) | 動態屬性清單 |
Comments | 如需字典內容的描述,請參閱下列各節。 |
排除類型
指定從掃描中排除的內容類型。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | $type | 類型 |
資料類型 | 字串 | 下拉式清單 |
可能值 | excludedPath
|
路徑 副檔名 處理序名稱 |
排除內容的路徑
用來依完整檔案路徑從掃描中排除內容。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | 路徑 | 路徑 |
資料類型 | 字串 | 字串 |
可能值 | 有效路徑 | 有效路徑 |
Comments | 只有在已排除 $type 時才適用 Path | 在 編輯實例 快顯中存取 |
檔案/目錄 () 路徑類型
指出 路徑 屬性是否參考檔案或目錄。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | isDirectory | 為目錄 |
資料類型 | 布林值 | 下拉式清單 |
可能值 |
false (預設)
|
Enabled 停用 |
Comments | 只有在已排除 $type 時才適用 Path | 在 編輯實例 快顯中存取 |
從掃描中排除擴展名
用來從擴展名掃描中排除內容。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | 外延 | 副檔名 |
資料類型 | 字串 | 字串 |
可能值 | 有效的擴展名 | 有效的擴展名 |
Comments | 只有在 排除$type 時才適用 FileExtension | 在設定實 例 快顯中存取 |
從掃描中排除的進程*
指定從掃描中排除所有檔案活動的程式。 進程可以透過其名稱 (指定, cat
例如,) 或完整路徑 (例如 /bin/cat
,) 。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | name | 檔案名稱 |
資料類型 | 字串 | 字串 |
可能值 | 任何字串 | 任何字串 |
Comments | 只有在已排除$typeFileName 時才適用 | 在設定實 例 快顯中存取 |
將非 exec 掛接設為靜音
指定標示為 noexec 之裝入點上的 RTP 行為。 設定有兩個值:
- 未變更 (
unmute
) :預設值,所有裝入點都會掃描為 RTP 的一部分。 - 靜音 (
mute
) :標示為 noexec 的裝入點不會掃描為 RTP 的一部分,您可以針對下列專案建立這些裝入點:- 資料庫伺服器上的資料庫檔案,用於保留資料庫檔案。
- 檔案伺服器可以使用 noexec 選項來保留資料檔案裝入點。
- 備份可以使用 noexec 選項來保留資料檔裝入點。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | nonExecMountPolicy | 非執行掛接靜音 |
資料類型 | 字串 | 下拉式清單 |
可能值 |
unmute (預設)
|
尚未設定 取消靜 (預設) 靜音 |
注意事項
適用於端點的 Defender 版本或更新版本 101.85.27
中提供。
解除監視檔案系統
將文件系統設定為未受監視/從實時保護中排除, (RTP) 。 已設定的檔案系統會根據 Microsoft Defender 允許的檔案系統清單進行驗證。 只有在驗證成功之後,才能監視文件系統。 Microsoft Defender 防病毒軟體中的快速、完整和自定義掃描仍會掃描這些設定的未受監視文件系統。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | unmonitoredFilesystems | 未受監視的文件系統 |
資料類型 | 字串陣列 | 動態字串清單 |
注意事項
只有在Microsoft允許的未受監視檔案系統清單中存在時,才會解除監視已設定的文件系統。
根據預設,NFS 和 Fuse 不會受到 RTP、快速和完整掃描的監視。 不過,自定義掃描仍然可以掃描它們。 例如,若要從未受監視的文件系統清單中移除 NFS,請更新 Managed 組態檔,如下所示。 這會自動將 NFS 新增至 RTP 的受監視檔案系統清單。
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
若要從未受監視的檔案系統清單中移除 NFS 和 Fuse,請執行下列動作
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
注意事項
以下是 RTP 受監視檔案系統的預設清單:btrfs
、ecryptfs
、ext3
ext2
、ext4
、 fuseblk
jfs
overlay
ramfs
reiserfs
tmpfs
vfat
xfs
如果需要將任何受監視的文件系統新增至未受監視的文件系統清單,則必須透過雲端設定Microsoft加以評估和啟用。之後,客戶可以更新managed_mdatp.json以解除監視該文件系統。
設定檔案哈希計算功能
啟用或停用檔案哈希計算功能。 啟用這項功能時,適用於端點的 Defender 會計算所掃描檔案的哈希。 請注意,啟用這項功能可能會影響裝置效能。 如需詳細資訊,請參閱: 建立檔案的指標。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | enableFileHashComputation | 啟用檔案哈希計算 |
資料類型 | 布林值 | 下拉式清單 |
可能值 |
false (預設)
|
尚未設定 停用 (預設) Enabled |
注意事項
適用於端點的 Defender 版本或更新版本 101.85.27
中提供。
允許的威脅
(由其名稱識別的威脅清單) ,這些威脅不會被產品封鎖,而是允許執行。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | allowedThreats | 允許的威脅 |
資料類型 | 字串陣列 | 動態字串清單 |
不允許的威脅動作
限制偵測到威脅時,裝置的本機使用者可以採取的動作。 此清單中包含的動作不會顯示在使用者介面中。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | disallowedThreatActions | 不允許的威脅動作 |
資料類型 | 字串陣列 | 動態字串清單 |
可能值 |
allow (會限制使用者允許威脅)
|
允許 (限制使用者允許威脅) 還原 (會限制使用者從隔離) 還原威脅 |
注意事項
適用於端點的 Defender 版本或更新版本 100.83.73
中提供。
威脅類型設定
防病毒軟體引擎中的 threatTypeSettings 喜好設定可用來控制產品如何處理特定威脅類型。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | threatTypeSettings | 威脅類型設定 |
資料類型 | 巢狀喜好設定 (字典) | 動態屬性清單 |
Comments | 如需字典內容的描述,請參閱下列各節。 | 如需動態屬性的描述,請參閱下列各節。 |
威脅類型
設定行為的威脅類型。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | 機碼 | 威脅類型 |
資料類型 | 字串 | 下拉式清單 |
可能值 | potentially_unwanted_application
|
potentially_unwanted_application archive_bomb |
要採取的動作
遇到上一節所指定類型的威脅時所要採取的動作。 可以是:
- 稽核:裝置不會受到這類威脅的保護,但會記錄威脅的相關專案。 (Default)
- 封鎖:裝置會受到保護,免於遭受這類威脅,而您會在安全性控制台中收到通知。
- 關閉:裝置不會受到這類威脅的保護,而且不會記錄任何專案。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | 數值 | 要採取的動作 |
資料類型 | 字串 | 下拉式清單 |
可能值 |
audit (預設)
|
審計 塊 關閉 |
威脅類型設定合併原則
指定威脅類型設定的合併原則。 這可以是系統管理員定義和使用者定義設定的組合, () merge
或只有系統管理員定義的設定 (admin_only
) 。 系統管理員定義 (admin_only) 是適用於端點的Defender原則所設定的威脅類型設定。 此設定可用來限制本機用戶針對不同的威脅類型定義自己的設定。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | threatTypeSettingsMergePolicy | 威脅類型設定合併 |
資料類型 | 字串 | 下拉式清單 |
可能值 | 合併 (預設) admin_only |
尚未設定 合併 (預設) admin_only |
注意事項
適用於端點的 Defender 版本或更新版本 100.83.73
中提供。
防病毒軟體掃描歷程記錄保留 (天數)
指定在裝置上的掃描歷程記錄中保留結果的天數。 舊的掃描結果會從歷程記錄中移除。 從磁盤中移除的舊隔離檔案。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | scanResultsRetentionDays | 掃描結果保留期 |
資料類型 | 字串 | 切換開關和整數 |
可能值 | 90 (預設) 。 允許的值是從1天到180天。 | 未設定 (關閉 - 90 天預設) 已設定 (在) 上切換,並允許值 1 到 180 天。 |
注意事項
適用於端點的 Defender 版本或更新版本 101.04.76
中提供。
防病毒軟體掃描記錄中的項目數目上限
指定要保留在掃描記錄中的項目數目上限。 專案包括過去執行的所有隨選掃描,以及所有防病毒軟體偵測。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | scanHistoryMaximumItems | 掃描歷程記錄大小 |
資料類型 | 字串 | 切換和整數 |
可能值 | 10000 (預設) 。 允許的值從 5000 個專案到 15000 個專案。 | 未設定 (關閉 - 10000 預設) 已設定 (在) 上切換,並允許從5000到15000個專案的值。 |
注意事項
適用於端點的 Defender 版本或更新版本 101.04.76
中提供。
排除設定喜好設定
外泄設定喜好設定目前為預覽狀態。
注意事項
全域排除專案目前處於公開預覽狀態,且可在適用於端點的 Defender 中使用,從測試人員慢速和生產環境通道的版本或更新版本 101.23092.0012
開始。
組態配置檔的 區exclusionSettings
段可用來設定 Linux 適用於端點的 Microsoft Defender 的各種排除專案。
描述 | JSON 值 |
---|---|
機碼 | exclusionSettings |
資料類型 | 巢狀喜好設定 (字典) |
Comments | 如需字典內容的描述,請參閱下列各節。 |
注意事項
在受控 JSON 中 (antivirusEngine
) 下已設定的防病毒軟體排除專案,將會繼續如同 般運作,且不會有任何影響。 您可以在這個全新的區段下新增包括防病毒軟體排除專案的所有新 排除 專案, () exclusionSettings
。 本節不在 (antivirusEngine
) 標籤之外,專門用來設定未來將會出現的所有排除類型。 您也可以繼續使用 (antivirusEngine
) 來設定防病毒軟體排除專案。
合併原則
指定排除項目的合併原則。 它會指定它是否可以是系統管理員定義和用戶定義排除 () merge
的組合,或是只能是系統管理員定義的排除 (admin_only
) 。 此設定可用來限制本機用戶定義自己的排除範圍。 它適用於排除所有範圍。
描述 | JSON 值 |
---|---|
機碼 | mergePolicy |
資料類型 | 字串 |
可能值 | 合併 (預設) admin_only |
Comments | 適用於端點的 Defender 版本 2023 年 9 月或更高版本中提供。 |
排除項目
需要排除的實體可以透過完整路徑、擴展名或檔名來指定。 每個排除實體,也就是完整路徑、擴展名或檔名,都有可指定的選擇性範圍。 如果未指定,則本節中範圍的預設值為 全域值。 (排除專案指定為項目數位,系統管理員可以視需要指定任意數量的元素。)
描述 | JSON 值 |
---|---|
機碼 | 排除 |
資料類型 | 巢狀喜好設定 (字典) |
Comments | 如需字典內容的描述,請參閱下列各節。 |
排除類型
指定從掃描中排除的內容類型。
描述 | JSON 值 |
---|---|
機碼 | $type |
資料類型 | 字串 |
可能值 | excludedPath excludedFileExtension excludedFileName |
選擇性 (排除範圍)
指定排除之內容的一組外泄範圍。 目前支援的範圍為 epp
和 global
。
如果在 中未指定任何專案來排除 Managed 組態中的 exclusionSettings ,則 global
會視為範圍。
注意事項
先前在受控 JSON 中 (antivirusEngine
) 下設定的防病毒軟體排除專案將會繼續運作,而且其範圍會被視為 (epp
) ,因為它們已新增為防病毒軟體排除專案。
描述 | JSON 值 |
---|---|
機碼 | 範圍 |
資料類型 | 一組字串 |
可能值 | epp 全球 |
注意事項
先前使用 () mdatp_managed.json
或 CLI 套用的排除專案將不會受到影響。 這些排除範圍會 (epp
) ,因為它們是在 () antivirusEngine
下新增。
排除內容的路徑
用來依完整檔案路徑從掃描中排除內容。
描述 | JSON 值 |
---|---|
機碼 | 路徑 |
資料類型 | 字串 |
可能值 | 有效路徑 |
Comments | 只有在 excludedPath $type才適用。 如果排除範圍具有全域範圍,則不支援通配符。 |
檔案/目錄 () 路徑類型
指出 路徑 屬性是否參考檔案或目錄。
注意事項
如果新增全域範圍的檔案排除,檔案路徑必須已經存在。
描述 | JSON 值 |
---|---|
機碼 | isDirectory |
資料類型 | 布林值 |
可能值 | false (預設) 真 |
Comments | 只有在 excludedPath $type才適用。 如果排除範圍具有全域範圍,則不支援通配符。 |
從掃描中排除擴展名
用來從擴展名掃描中排除內容。
描述 | JSON 值 |
---|---|
機碼 | 外延 |
資料類型 | 字串 |
可能值 | 有效的擴展名 |
Comments | 只有在已排除 $typeFileExtension 時才適用。 如果排除範圍是全域範圍,則不支援。 |
從掃描中排除的進程*
指定從掃描中排除所有檔案活動的程式。 進程可以透過其名稱 (指定, cat
例如,) 或完整路徑 (例如 /bin/cat
,) 。
描述 | JSON 值 |
---|---|
機碼 | name |
資料類型 | 字串 |
可能值 | 任何字串 |
Comments | 只有在已排除 $typeFileName 時才適用。 如果排除範圍具有全域範圍,則不支援通配符和進程名稱,需要提供完整路徑。 |
進階掃描選項
下列設定可以設定為啟用特定的進階掃描功能。
注意事項
啟用這些功能可能會影響裝置效能。 因此,建議您保留預設值。
設定檔案修改許可權事件的掃描
啟用此功能時,適用於端點的Defender會在檔案的許可權變更為設定執行位 () 時掃描檔案。
注意事項
只有在啟用此功能時,才適用此 enableFilePermissionEvents
功能。 如需詳細資訊,請參閱下方 的進階選擇性功能 一節。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | scanFileModifyPermissions | 無 |
資料類型 | 布林值 | 不適用 |
可能值 | false (預設) 真 |
不適用 |
注意事項
適用於端點的 Defender 版本或更新版本 101.23062.0010
中提供。
設定檔案的掃描修改擁有權事件
啟用這項功能時,適用於端點的 Defender 會掃描擁有權已變更的檔案。
注意事項
只有在啟用此功能時,才適用此 enableFileOwnershipEvents
功能。 如需詳細資訊,請參閱下方 的進階選擇性功能 一節。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | scanFileModifyOwnership | 無 |
資料類型 | 布林值 | 不適用 |
可能值 | false (預設) 真 |
不適用 |
注意事項
適用於端點的 Defender 版本或更新版本 101.23062.0010
中提供。
設定原始套接字事件的掃描
啟用此功能時,適用於端點的 Defender 會掃描網路套接字事件,例如建立原始套接字/封包套接字,或設定套接字選項。
注意事項
只有在啟用行為監視時,這項功能才適用。
只有在啟用此功能時,才適用此 enableRawSocketEvent
功能。 如需詳細資訊,請參閱下方 的進階選擇性功能 一節。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | scanNetworkSocketEvent | 無 |
資料類型 | 布林值 | 不適用 |
可能值 | false (預設) 真 |
不適用 |
注意事項
適用於端點的 Defender 版本或更新版本 101.23062.0010
中提供。
雲端式保護喜好設定
組態配置檔中的 cloudService 專案可用來設定產品的雲端驅動保護功能。
注意事項
雲端式保護適用於任何強制層級設定, (real_time、on_demand、被動) 。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | cloudService | 雲端提供的保護喜好設定 |
資料類型 | 巢狀喜好設定 (字典) | 折疊區段 |
Comments | 如需字典內容的描述,請參閱下列各節。 | 如需原則設定的描述,請參閱下列各節。 |
啟用/停用雲端提供的保護
判斷是否已在裝置上啟用雲端式保護。 若要改善服務的安全性,建議您保持開啟此功能。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | 啟用 | 啟用雲端提供的保護 |
資料類型 | 布林值 | 下拉式清單 |
可能值 |
true (預設)
|
尚未設定 已停用 啟用 (預設) |
診斷收集層級
診斷數據可用來保護適用於端點的 Defender 安全且保持最新狀態、偵測、診斷和修正問題,以及改善產品。 此設定會決定產品傳送至 Microsoft 的診斷層級。 如需詳細資訊,請參閱Linux上 適用於端點的 Microsoft Defender的隱私權。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | diagnosticLevel | 診斷數據收集層級 |
資料類型 | 字串 | 下拉式清單 |
可能值 | optional
|
尚未設定 選擇性 (預設) 必要 |
設定雲端區塊層級
此設定會決定適用於端點的 Defender 封鎖和掃描可疑檔案的積極程度。 如果此設定已開啟,適用於端點的 Defender 在識別要封鎖和掃描的可疑檔案時會更積極;否則,它會較不積極,因此會以較少的頻率封鎖和掃描。
設定雲端區塊層級有五個值:
- 一般 (
normal
) :預設封鎖層級。 - 中等 (
moderate
) :僅針對高信賴度偵測傳遞決策。 - 高 (
high
) :在優化效能的同時積極封鎖未知的檔案 (封鎖非有害檔案) 的機率更大。 - 高加 ()
high_plus
:積極封鎖未知的檔案,並套用額外的保護措施 (可能會影響用戶端裝置效能) 。 - 零容錯 (
zero_tolerance
) :封鎖所有未知的程式。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | cloudBlockLevel | 設定雲端區塊層級 |
資料類型 | 字串 | 下拉式清單 |
可能值 |
normal (預設)
|
尚未設定 一般 (預設值) 中等 高 High_Plus Zero_Tolerance |
注意事項
適用於端點的 Defender 版本或更新版本 101.56.62
中提供。
啟用/停用自動提交範例
判斷是否將可能包含威脅) 的可疑樣本 (傳送至Microsoft。 控制範例提交有三個層級:
- 無:不會將可疑的樣本提交至Microsoft。
- 安全:只會自動提交不包含 PII) 個人標識資訊 (可疑樣本。 這是此設定的預設值。
- 全部:所有可疑的樣本都會提交至Microsoft。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | automaticSampleSubmissionConsent | 啟用自動範例提交 |
資料類型 | 字串 | 下拉式清單 |
可能值 | none
|
尚未設定 無 安全 (預設) 全部 |
啟用/停用自動安全情報更新
判斷是否自動安裝安全性情報更新:
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | automaticDefinitionUpdateEnabled | 自動安全情報更新 |
資料類型 | 布林值 | 下拉式清單 |
可能值 |
true (預設)
|
尚未設定 已停用 啟用 (預設) |
根據強制層級,自動安全情報更新的安裝方式會不同。 在 RTP 模式中,會定期安裝更新。 在被動/隨選模式中,每次掃描之前都會安裝更新。
進階選擇性功能
下列設定可以設定為啟用某些進階功能。
注意事項
啟用這些功能可能會影響裝置效能。 建議您保留預設值。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | 特徵 | 無 |
資料類型 | 巢狀喜好設定 (字典) | n/a |
Comments | 如需字典內容的描述,請參閱下列各節。 |
模組載入功能
判斷是否監視共用連結庫) 上檔案開啟事件 (模組載入事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | moduleLoad | 無 |
資料類型 | 字串 | n/a |
可能值 | 已停用 (預設) 啟用 |
n/a |
Comments | 適用於端點的 Defender 版本或更新版本 101.68.80 中提供。 |
增補感測器設定
下列設定可用來設定某些進階增補感測器功能。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | supplementarySensorConfigurations | 無 |
資料類型 | 巢狀喜好設定 (字典) | n/a |
Comments | 如需字典內容的描述,請參閱下列各節。 |
設定檔案修改許可權事件的監視
判斷是否監視) (chmod
檔案修改許可權事件。
注意事項
啟用此功能時,適用於端點的 Defender 會監視檔案執行位的變更,但不會掃描這些事件。 如需詳細資訊,請參閱 進階掃描功能 一節。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | enableFilePermissionEvents | 無 |
資料類型 | 字串 | n/a |
可能值 | 已停用 (預設) 啟用 |
n/a |
Comments | 適用於端點的 Defender 版本或更新版本 101.23062.0010 中提供。 |
設定檔案修改擁有權事件的監視
判斷是否監視檔案修改擁有權事件 () 。
注意事項
啟用此功能時,適用於端點的 Defender 會監視檔案擁有權的變更,但不會掃描這些事件。 如需詳細資訊,請參閱 進階掃描功能 一節。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | enableFileOwnershipEvents | 無 |
資料類型 | 字串 | n/a |
可能值 | 已停用 (預設) 啟用 |
n/a |
Comments | 適用於端點的 Defender 版本或更新版本 101.23062.0010 中提供。 |
設定原始套接字事件的監視
判斷是否監視涉及建立原始套接字/封包套接字或設定套接字選項的網路套接字事件。
注意事項
只有在啟用行為監視時,這項功能才適用。 啟用此功能時,適用於端點的 Defender 會監視這些網路套接字事件,但不會掃描這些事件。 如需詳細資訊,請參閱上述 的進階掃描功能 一節。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | enableRawSocketEvent | 無 |
資料類型 | 字串 | n/a |
可能值 | 已停用 (預設) 啟用 |
n/a |
Comments | 適用於端點的 Defender 版本或更新版本 101.23062.0010 中提供。 |
設定開機載入器事件的監視
判斷是否監視和掃描開機載入器事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | enableBootLoaderCalls | 無 |
資料類型 | 字串 | n/a |
可能值 | 已停用 (預設) 啟用 |
n/a |
Comments | 適用於端點的 Defender 版本或更新版本 101.68.80 中提供。 |
設定 ptrace 事件的監視
判斷是否監視和掃描 ptrace 事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | enableProcessCalls | 無 |
資料類型 | 字串 | n/a |
可能值 | 已停用 (預設) 啟用 |
n/a |
Comments | 適用於端點的 Defender 版本或更新版本 101.68.80 中提供。 |
設定 pseudofs 事件的監視
判斷是否監視和掃描 pseudofs 事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | enablePseudofsCalls | 無 |
資料類型 | 字串 | n/a |
可能值 | 已停用 (預設) 啟用 |
n/a |
Comments | 適用於端點的 Defender 版本或更新版本 101.68.80 中提供。 |
使用 eBPF 設定模組載入事件的監視
判斷模組載入事件是否使用 eBPF 進行監視和掃描。
注意事項
只有在啟用行為監視時,這項功能才適用。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | enableEbpfModuleLoadEvents | 無 |
資料類型 | 字串 | n/a |
可能值 | 已停用 (預設) 啟用 |
n/a |
Comments | 適用於端點的 Defender 版本或更新版本 101.68.80 中提供。 |
向 EDR 報告 AV 可疑事件
判斷是否向 EDR 回報來自防病毒軟體的可疑事件。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | sendLowfiEvents | 無 |
資料類型 | 字串 | n/a |
可能值 | 已停用 (預設) 啟用 |
n/a |
Comments | 適用於端點的 Defender 版本或更新版本 101.23062.0010 中提供。 |
網路保護組態
下列設定可用來設定進階網路保護檢查功能,以控制網路保護檢查的流量。
注意事項
若要讓這些功能生效,必須開啟網路保護。 如需詳細資訊,請 參閱開啟Linux的網路保護。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | networkProtection | 網路保護 |
資料類型 | 巢狀喜好設定 (字典) | 折疊區段 |
Comments | 如需字典內容的描述,請參閱下列各節。 | 如需原則設定的描述,請參閱下列各節。 |
強制層級
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | enforcementLevel | 強制層級 |
資料類型 | 字串 | 下拉式清單 |
可能值 |
disabled (預設) audit block |
尚未設定 已停用 (預設) 審計 塊 |
設定ICMP檢查
判斷是否監視和掃描ICMP事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
機碼 | disableIcmpInspection | 無 |
資料類型 | 布林值 | n/a |
可能值 |
true (預設)
|
n/a |
Comments | 適用於端點的 Defender 版本或更新版本 101.23062.0010 中提供。 |
建議的組態配置檔
若要開始使用,我們建議您的企業使用適用於端點的 Defender 所提供的所有保護功能,提供下列組態配置檔。
下列組態設定檔:
- 啟用 RTP) (實時保護
- 指定如何處理下列威脅類型:
- 可能不想要的應用程式 (PUA) 遭到封鎖
- 系統 會稽核具有高壓縮速率的封存 (檔案) 至產品記錄
- 啟用自動安全情報更新
- 啟用雲端式保護
- 啟用層級的自動範例提交
safe
範例配置檔
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
完整組態配置檔範例
下列組態配置檔包含本檔所述之所有設定的專案,而且可用於更進階的案例,讓您能夠更充分掌控產品。
注意事項
您無法控制所有 適用於端點的 Microsoft Defender 只與此 JSON 中的 Proxy 設定通訊。
完整配置檔
{
"antivirusEngine":{
"enforcementLevel":"passive",
"behaviorMonitoring": "disabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"enableFileHashComputation": false,
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
],
"scanFileModifyPermissions":false,
"scanFileModifyOwnership":false,
"scanNetworkSocketEvent":false,
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate":"disabled"
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
"definitionUpdatesInterval":28800
},
"features":{
"moduleLoad":"disabled",
"supplementarySensorConfigurations":{
"enableFilePermissionEvents":"disabled",
"enableFileOwnershipEvents":"disabled",
"enableRawSocketEvent":"disabled",
"enableBootLoaderCalls":"disabled",
"enableProcessCalls":"disabled",
"enablePseudofsCalls":"diabled",
"enableEbpfModuleLoadEvents":"disabled",
"sendLowfiEvents":"disabled"
},
"ebpfSupplementaryEventProvider":"enabled",
"offlineDefinitionUpdateVerifySig": "disabled"
},
"networkProtection":{
"enforcementLevel":"disabled",
"disableIcmpInspection":true
},
"edr":{
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
將標籤或群組識別元新增至組態配置檔
當您第一次執行 mdatp health
命令時,標籤和群組識別碼的值會是空白的。 若要將標記或群組標識元新增至 mdatp_managed.json
檔案,請遵循下列步驟:
從路徑
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json
開啟組態配置檔。向下移至檔案底部,區塊位於
cloudService
該處。在 的右大括號結尾處,新增必要的卷標或群組標識符,如下列範例所
cloudService
示。}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }
注意事項
在區塊結尾
cloudService
的右大括弧後面加入逗號。 此外,請確定在新增標記或群組標識符區塊之後有兩個右大括號 (請參閱上述範例) 。 目前,標籤唯一支援的索引鍵名稱是GROUP
。
組態配置文件驗證
組態配置檔必須是有效的 JSON 格式檔案。 有許多工具可用來驗證此問題。 例如,如果您已 python
在裝置上安裝:
python -m json.tool mdatp_managed.json
如果 JSON 格式正確,上述命令會將它輸出回終端機,並傳回的 0
結束代碼。 否則,會顯示描述問題的錯誤,且命令會傳回的 1
結束代碼。
確認mdatp_managed.json檔案如預期般運作
若要確認 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json正常運作,您應該會在這些設定旁邊看到 “[managed]”:
cloud_enabled
cloud_automatic_sample_submission_consent
passive_mode_enabled
real_time_protection_enabled
automatic_definition_update_enabled
注意事項
在 中 ,大部分 組態的 mdatp_managed.json
變更都不需要重新啟動 mdatp 精靈即可生效。
例外: 下列設定需要重新啟動精靈才能生效:
cloud-diagnostic
log-rotation-parameters
組態配置檔部署
為企業建置組態配置檔之後,您可以透過企業所使用的管理工具進行部署。 Linux 上適用於端點的 Defender 會從 讀取受控組態 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json
。
提示
想要深入了解? 在我們的技術社群中 Engage Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。