為 Linux 上適用於端點的 Microsoft Defender 設定喜好設定
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
重要事項
本文包含如何在企業環境中設定適用於Linux上適用於端點的Defender喜好設定的指示。 如果您有興趣從命令行在裝置上設定產品,請參閱 資源。
在企業環境中,Linux 上的適用於端點的 Defender 可以透過組態配置檔來管理。 這個設定檔是從您選擇的管理工具部署。 企業管理的喜好設定優先於裝置本機設定的喜好設定。 換句話說,您企業中的使用者無法變更透過此組態配置檔設定的喜好設定。 如果是透過Managed組態配置檔新增排除專案,則只能透過受控組態配置檔移除。 命令行適用於在本機新增的排除專案。
本文說明此設定檔的結構 (包括您可用來開始使用的建議配置檔) 以及如何部署配置檔的指示。
組態配置文件結構
組態配置檔是.json檔,由索引鍵 (所識別的項目組成,該索引鍵 (代表喜好設定) 的名稱,後面接著值,視喜好設定的本質而定。 值可以很簡單,例如數值或複雜值,例如巢狀的喜好設定清單。
一般而言,您會使用組態管理工具,在位置/etc/opt/microsoft/mdatp/managed/
推送名稱mdatp_managed.json
為 的檔案。
組態配置檔的最上層包含產品子區域的全產品喜好設定和專案,下一節會詳細說明。
防病毒軟體引擎喜好設定
組態配置檔的 antivirusEngine 區段可用來管理產品防病毒軟體元件的喜好設定。
描述 | 值 |
---|---|
機碼 | antivirusEngine |
資料類型 | 巢狀喜好設定 (字典) |
Comments | 如需字典內容的描述,請參閱下列各節。 |
防病毒軟體引擎的強制層級
指定防病毒軟體引擎的強制喜好設定。 設定強制層級有三個值:
- 即時 (
real_time
) :啟用) 時,實時保護 (掃描檔案。 - 隨選 (
on_demand
) :僅視需要掃描檔案。 在這裡範例中:- 即時保護已關閉。
- 被動 (
passive
) :以被動模式執行防病毒軟體引擎。 在這裡範例中:- 實時保護已關閉:Microsoft Defender 防病毒軟體不會補救威脅。
- 隨選掃描已開啟:仍然使用端點上的掃描功能。
- 自動威脅補救已關閉:將不會移動任何檔案,而且預期安全性系統管理員會採取必要的動作。
- 安全性情報更新已開啟:安全性系統管理員租使用者上將提供警示。
描述 | 值 |
---|---|
機碼 | enforcementLevel |
資料類型 | 字串 |
可能值 | real_time on_demand 被動 (預設) |
Comments | 適用於端點的 Defender 101.10.72 版或更新版本中提供。 端點版本 101.23062.0001 或更新版本的預設值從real_time變更為被動。 |
注意事項
建議您也根據需求使用 排程掃描 。
啟用/停用行為監視
判斷裝置上是否啟用行為監視和封鎖功能。
注意事項
只有在啟用 Real-Time 保護功能時,才適用此功能。
描述 | 值 |
---|---|
機碼 | behaviorMonitoring |
資料類型 | 字串 |
可能值 | 已停用 (預設) 啟用 |
Comments | 適用於端點的 Defender 101.45.00 版或更新版本中提供。 |
更新定義之後執行掃描
指定在裝置上下載新的安全情報更新之後,是否要啟動進程掃描。 啟用此設定會在裝置的執行中進程上觸發防病毒軟體掃描。
描述 | 值 |
---|---|
機碼 | scanAfterDefinitionUpdate |
資料類型 | 布林值 |
可能值 | true (預設) 假 |
Comments | 適用於端點的 Defender 101.45.00 版或更新版本中提供。 |
注意事項
只有在強制層級設定為 real-time
時,此功能才適用。
僅掃描封存 (視需要的防病毒軟體掃描)
指定是否要在隨選防病毒軟體掃描期間掃描封存。
注意事項
即時保護期間永遠不會掃描封存盤案。 擷取封存中的檔案時,系統會掃描這些檔案。 scanArchives 選項只能在隨選掃描期間用來強制掃描封存。
描述 | 值 |
---|---|
機碼 | scanArchives |
資料類型 | 布林值 |
可能值 | true (預設) 假 |
Comments | 適用於 適用於端點的 Microsoft Defender 101.45.00 版或更新版本。 |
隨選掃描的平行處理原則程度
指定隨選掃描的平行處理原則程度。 這會對應至用來執行掃描並影響 CPU 使用量的線程數目,以及隨選掃描的持續時間。
描述 | 值 |
---|---|
機碼 | maximumOnDemandScanThreads |
資料類型 | 整數 |
可能值 | 2 (預設) 。 允許的值是介於 1 到 64 之間的整數。 |
Comments | 適用於 適用於端點的 Microsoft Defender 101.45.00 版或更新版本。 |
排除合併原則
指定排除項目的合併原則。 它可以是系統管理員定義和使用者定義排除項目的組合, () merge
或只有系統管理員定義的排除 () admin_only
。 此設定可用來限制本機用戶定義自己的排除範圍。
描述 | 值 |
---|---|
機碼 | exclusionsMergePolicy |
資料類型 | 字串 |
可能值 | 合併 (預設) admin_only |
Comments | 適用於端點的 Defender 100.83.73 版或更新版本中提供。 |
掃描排除專案
已從掃描中排除的實體。 排除專案可以透過完整路徑、擴展名或檔名來指定。 (排除專案指定為項目數位,系統管理員可以視需要指定任意數量的元素。)
描述 | 值 |
---|---|
機碼 | 排除 |
資料類型 | 巢狀喜好設定 (字典) |
Comments | 如需字典內容的描述,請參閱下列各節。 |
排除類型
指定從掃描中排除的內容類型。
描述 | 值 |
---|---|
機碼 | $type |
資料類型 | 字串 |
可能值 | excludedPath excludedFileExtension excludedFileName |
排除內容的路徑
用來依完整檔案路徑從掃描中排除內容。
描述 | 值 |
---|---|
機碼 | 路徑 |
資料類型 | 字串 |
可能值 | 有效路徑 |
Comments | 只有在已排除 $type 時才適用 Path |
檔案/目錄 () 路徑類型
指出 路徑 屬性是否參考檔案或目錄。
描述 | 值 |
---|---|
機碼 | isDirectory |
資料類型 | 布林值 |
可能值 | false (預設) 真 |
Comments | 只有在已排除 $type 時才適用 Path |
從掃描中排除擴展名
用來從擴展名掃描中排除內容。
描述 | 值 |
---|---|
機碼 | 擴展 |
資料類型 | 字串 |
可能值 | 有效的擴展名 |
Comments | 只有在 排除$type 時才適用 FileExtension |
從掃描中排除的進程*
指定從掃描中排除所有檔案活動的程式。 進程可以透過其名稱 (指定, cat
例如,) 或完整路徑 (例如 /bin/cat
,) 。
描述 | 值 |
---|---|
機碼 | name |
資料類型 | 字串 |
可能值 | 任何字串 |
Comments | 只有在已排除$typeFileName 時才適用 |
將非 Exec 掛接設為靜音
指定標示為 noexec 之裝入點上的 RTP 行為。 設定有兩個值:
- 未變更 (
unmute
) :預設值,所有裝入點都會掃描為 RTP 的一部分。 - 靜音 (
mute
) :標示為 noexec 的裝入點不會掃描為 RTP 的一部分,您可以針對下列專案建立這些裝入點:- 資料庫伺服器上的資料庫檔案,用於保留數據基底檔案。
- 檔案伺服器可以使用 noexec 選項來保留資料檔案裝入點。
- 備份可以使用 noexec 選項來保留資料檔裝入點。
描述 | 值 |
---|---|
機碼 | nonExecMountPolicy |
資料類型 | 字串 |
可能值 | 取消靜 (預設) 靜音 |
Comments | 適用於端點的 Defender 101.85.27 版或更新版本中提供。 |
解除監視檔案系統
將文件系統設定為未受監視/從實時保護中排除 (RTP) 。 已設定的檔案系統會根據 Microsoft Defender 允許的檔案系統清單進行驗證。 只有在驗證成功之後,才會允許將文件系統解除監視。 這些設定的未受監視文件系統仍會透過快速、完整和自定義掃描進行掃描。
描述 | 值 |
---|---|
機碼 | unmonitoredFilesystems |
資料類型 | 字串陣列 |
Comments | 只有在 Microsoft 允許的未受監視檔案系統清單中存在時,設定的檔案系統才會不受監視。 |
根據預設,NFS 和 Fuse 不會受到 RTP、快速和完整掃描的監視。 不過,自定義掃描仍然可以掃描它們。 例如,若要從未受監視的文件系統清單中移除 NFS,請更新 Managed 組態檔,如下所示。 這會自動將 NFS 新增至 RTP 的受監視檔案系統清單。
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
若要從未受監視的檔案系統清單中移除 NFS 和 Fuse,請執行下列動作
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
注意事項
這裡;RTP 受監視檔案系統的預設清單:btrfs
、、、ecryptfs
、ext2
、ext3
、、ext4
fuseblk
、overlay
jfs
ramfs
、reiserfs
、、 vfat
tmpfs
xfs
。
如果需要將任何受監視的文件系統新增至未受監視的文件系統清單,則必須由 Microsoft 透過雲端設定進行評估和啟用。之後,客戶可以更新managed_mdatp.json以解除監視該文件系統。
設定檔案哈希計算功能
啟用或停用檔案哈希計算功能。 啟用這項功能時,適用於端點的 Defender 會計算所掃描檔案的哈希。 請注意,啟用這項功能可能會影響裝置效能。 如需詳細資訊,請參閱:Create 檔案指標。
描述 | 值 |
---|---|
機碼 | enableFileHashComputation |
資料類型 | 布林值 |
可能值 | false (預設) 真 |
Comments | 適用於端點的 Defender 101.85.27 版或更新版本中提供。 |
允許的威脅
(由其名稱識別的威脅清單) ,這些威脅不會被產品封鎖,而是允許執行。
描述 | 值 |
---|---|
機碼 | allowedThreats |
資料類型 | 字串陣列 |
不允許的威脅動作
限制偵測到威脅時,裝置的本機使用者可以採取的動作。 此清單中包含的動作不會顯示在使用者介面中。
描述 | 值 |
---|---|
機碼 | disallowedThreatActions |
資料類型 | 字串陣列 |
可能值 | 允許 (限制使用者允許威脅) 還原 (會限制使用者從隔離) 還原威脅 |
Comments | 適用於端點的 Defender 100.83.73 版或更新版本中提供。 |
威脅類型設定
防病毒軟體引擎中的 threatTypeSettings 喜好設定可用來控制產品如何處理特定威脅類型。
描述 | 值 |
---|---|
機碼 | threatTypeSettings |
資料類型 | 巢狀喜好設定 (字典) |
Comments | 如需字典內容的描述,請參閱下列各節。 |
威脅類型
設定行為的威脅類型。
描述 | 值 |
---|---|
機碼 | 機碼 |
資料類型 | 字串 |
可能值 | potentially_unwanted_application archive_bomb |
要採取的動作
遇到上一節所指定類型的威脅時所要採取的動作。 可以是:
- 稽核:裝置不會受到這類威脅的保護,但會記錄威脅的相關專案。
- 封鎖:裝置會受到保護,免於遭受這類威脅,而您會在安全性控制台中收到通知。
- 關閉:裝置不會受到這類威脅的保護,而且不會記錄任何專案。
描述 | 值 |
---|---|
機碼 | 數值 |
資料類型 | 字串 |
可能值 | 稽核 (預設) 塊 關閉 |
威脅類型設定合併原則
指定威脅類型設定的合併原則。 這可以是系統管理員定義和使用者定義設定的組合, () merge
或只有系統管理員定義的設定 (admin_only
) 。 此設定可用來限制本機用戶針對不同的威脅類型定義自己的設定。
描述 | 值 |
---|---|
機碼 | threatTypeSettingsMergePolicy |
資料類型 | 字串 |
可能值 | 合併 (預設) admin_only |
Comments | 適用於端點的 Defender 100.83.73 版或更新版本中提供。 |
防病毒軟體掃描歷程記錄保留 (天數)
指定在裝置上的掃描歷程記錄中保留結果的天數。 舊的掃描結果會從歷程記錄中移除。 從磁盤中移除的舊隔離檔案。
描述 | 值 |
---|---|
機碼 | scanResultsRetentionDays |
資料類型 | 字串 |
可能值 | 90 (預設) 。 允許的值是從1天到180天。 |
Comments | 適用於端點的 Defender 101.04.76 版或更新版本中提供。 |
防病毒軟體掃描記錄中的項目數目上限
指定要保留在掃描記錄中的項目數目上限。 專案包括過去執行的所有隨選掃描,以及所有防病毒軟體偵測。
描述 | 值 |
---|---|
機碼 | scanHistoryMaximumItems |
資料類型 | 字串 |
可能值 | 10000 (預設) 。 允許的值從 5000 個專案到 15000 個專案。 |
Comments | 適用於端點的 Defender 101.04.76 版或更新版本中提供。 |
進階掃描選項
下列設定可以設定為啟用特定的進階掃描功能。
注意事項
啟用這些功能可能會影響裝置效能。 因此,建議您保留預設值。
設定檔案修改許可權事件的掃描
啟用此功能時,適用於端點的Defender會在檔案的許可權變更為設定執行位 () 時掃描檔案。
注意事項
只有在啟用此功能時,才適用此 enableFilePermissionEvents
功能。 如需詳細資訊,請參閱下方 的進階選擇性功能 一節。
描述 | 值 |
---|---|
機碼 | scanFileModifyPermissions |
資料類型 | 布林值 |
可能值 | false (預設) 真 |
Comments | 適用於端點的Defender版本101.23062.0010或更新版本中提供。 |
設定檔案的掃描修改擁有權事件
啟用這項功能時,適用於端點的 Defender 會掃描擁有權已變更的檔案。
注意事項
只有在啟用此功能時,才適用此 enableFileOwnershipEvents
功能。 如需詳細資訊,請參閱下方 的進階選擇性功能 一節。
描述 | 值 |
---|---|
機碼 | scanFileModifyOwnership |
資料類型 | 布林值 |
可能值 | false (預設) 真 |
Comments | 適用於端點的Defender版本101.23062.0010或更新版本中提供。 |
設定原始套接字事件的掃描
啟用此功能時,適用於端點的 Defender 會掃描網路套接字事件,例如建立原始套接字/封包套接字,或設定套接字選項。
注意事項
只有在啟用行為監視時,這項功能才適用。
只有在啟用此功能時,才適用此 enableRawSocketEvent
功能。 如需詳細資訊,請參閱下方 的進階選擇性功能 一節。
描述 | 值 |
---|---|
機碼 | scanNetworkSocketEvent |
資料類型 | 布林值 |
可能值 | false (預設) 真 |
Comments | 適用於端點的Defender版本101.23062.0010或更新版本中提供。 |
雲端式保護喜好設定
組態配置檔中的 cloudService 專案可用來設定產品的雲端驅動保護功能。
注意事項
雲端式保護適用於任何強制層級設定, (real_time、on_demand、被動) 。
描述 | 值 |
---|---|
機碼 | cloudService |
資料類型 | 巢狀喜好設定 (字典) |
Comments | 如需字典內容的描述,請參閱下列各節。 |
啟用/停用雲端提供的保護
判斷是否已在裝置上啟用雲端式保護。 若要改善服務的安全性,建議您保持開啟此功能。
描述 | 值 |
---|---|
機碼 | 啟用 |
資料類型 | 布林值 |
可能值 | true (預設) 假 |
診斷收集層級
診斷數據可用來保護適用於端點的 Defender 安全且保持最新狀態、偵測、診斷和修正問題,以及改善產品。 此設定會決定產品傳送給 Microsoft 的診斷層級。 如需詳細資訊,請參閱Linux上 適用於端點的 Microsoft Defender隱私權。
描述 | 值 |
---|---|
機碼 | diagnosticLevel |
資料類型 | 字串 |
可能值 | 選用 必要 (預設) |
設定雲端區塊層級
此設定會決定適用於端點的 Defender 封鎖和掃描可疑檔案的積極程度。 如果此設定已開啟,適用於端點的 Defender 在識別要封鎖和掃描的可疑檔案時會更積極;否則,它會較不積極,因此會以較少的頻率封鎖和掃描。
設定雲端區塊層級有五個值:
- 一般 (
normal
) :預設封鎖層級。 - 中等 (
moderate
) :僅針對高信賴度偵測傳遞決策。 - 高 (
high
) :在優化效能的同時積極封鎖未知的檔案 (封鎖非有害檔案) 的機率更大。 - 高加 ()
high_plus
:積極封鎖未知的檔案,並套用額外的保護措施 (可能會影響用戶端裝置效能) 。 - 零容錯 (
zero_tolerance
) :封鎖所有未知的程式。
描述 | 值 |
---|---|
機碼 | cloudBlockLevel |
資料類型 | 字串 |
可能值 | 一般 (預設) 溫和 高 high_plus zero_tolerance |
Comments | 適用於端點的 Defender 101.56.62 版或更新版本中提供。 |
啟用/停用自動提交範例
判斷是否將可能包含威脅的可疑 () 傳送給 Microsoft。 控制範例提交有三個層級:
- 無:不會將可疑的範例提交給 Microsoft。
- 安全:只會自動提交不包含 PII) 個人標識資訊 (可疑樣本。 這是此設定的預設值。
- 全部:所有可疑的範例都會提交給 Microsoft。
描述 | 值 |
---|---|
機碼 | automaticSampleSubmissionConsent |
資料類型 | 字串 |
可能值 | 無 安全 (預設) 所有 |
啟用/停用自動安全情報更新
判斷是否自動安裝安全性情報更新:
描述 | 值 |
---|---|
機碼 | automaticDefinitionUpdateEnabled |
資料類型 | 布林值 |
可能值 | true (預設) 假 |
進階選擇性功能
下列設定可以設定為啟用某些進階功能。
注意事項
啟用這些功能可能會影響裝置效能。 建議您保留預設值。
描述 | 值 |
---|---|
機碼 | 特徵 |
資料類型 | 巢狀喜好設定 (字典) |
Comments | 如需字典內容的描述,請參閱下列各節。 |
模組載入功能
判斷是否監視共用連結庫) 上檔案開啟事件 (模組載入事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
描述 | 值 |
---|---|
機碼 | moduleLoad |
資料類型 | 字串 |
可能值 | 已停用 (預設) 啟用 |
Comments | 適用於端點的 Defender 101.68.80 版或更新版本中提供。 |
增補感測器設定
下列設定可用來設定某些進階增補感測器功能。
描述 | 值 |
---|---|
機碼 | supplementarySensorConfigurations |
資料類型 | 巢狀喜好設定 (字典) |
Comments | 如需字典內容的描述,請參閱下列各節。 |
設定檔案修改許可權事件的監視
判斷是否監視) (chmod
檔案修改許可權事件。
注意事項
啟用此功能時,適用於端點的 Defender 會監視檔案執行位的變更,但不會掃描這些事件。 如需詳細資訊,請參閱 進階掃描功能 一節。
描述 | 值 |
---|---|
機碼 | enableFilePermissionEvents |
資料類型 | 字串 |
可能值 | 已停用 (預設) 啟用 |
Comments | 適用於端點的Defender版本101.23062.0010或更新版本中提供。 |
設定檔案修改擁有權事件的監視
判斷是否監視檔案修改擁有權事件 () 。
注意事項
啟用此功能時,適用於端點的 Defender 會監視檔案擁有權的變更,但不會掃描這些事件。 如需詳細資訊,請參閱 進階掃描功能 一節。
描述 | 值 |
---|---|
機碼 | enableFileOwnershipEvents |
資料類型 | 字串 |
可能值 | 已停用 (預設) 啟用 |
Comments | 適用於端點的Defender版本101.23062.0010或更新版本中提供。 |
設定原始套接字事件的監視
判斷是否監視涉及建立原始套接字/封包套接字或設定套接字選項的網路套接字事件。
注意事項
只有在啟用行為監視時,這項功能才適用。 啟用此功能時,適用於端點的 Defender 會監視這些網路套接字事件,但不會掃描這些事件。 如需詳細資訊,請參閱上述 的進階掃描功能 一節。
描述 | 值 |
---|---|
機碼 | enableRawSocketEvent |
資料類型 | 字串 |
可能值 | 已停用 (預設) 啟用 |
Comments | 適用於端點的Defender版本101.23062.0010或更新版本中提供。 |
設定開機載入器事件的監視
判斷是否監視和掃描開機載入器事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
描述 | 值 |
---|---|
機碼 | enableBootLoaderCalls |
資料類型 | 字串 |
可能值 | 已停用 (預設) 啟用 |
Comments | 適用於端點的 Defender 101.68.80 版或更新版本中提供。 |
設定 ptrace 事件的監視
判斷是否監視和掃描 ptrace 事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
描述 | 值 |
---|---|
機碼 | enableProcessCalls |
資料類型 | 字串 |
可能值 | 已停用 (預設) 啟用 |
Comments | 適用於端點的 Defender 101.68.80 版或更新版本中提供。 |
設定 pseudofs 事件的監視
判斷是否監視和掃描 pseudofs 事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
描述 | 值 |
---|---|
機碼 | enablePseudofsCalls |
資料類型 | 字串 |
可能值 | 已停用 (預設) 啟用 |
Comments | 適用於端點的 Defender 101.68.80 版或更新版本中提供。 |
使用 eBPF 設定模組載入事件的監視
判斷模組載入事件是否使用 eBPF 進行監視和掃描。
注意事項
只有在啟用行為監視時,這項功能才適用。
描述 | 值 |
---|---|
機碼 | enableEbpfModuleLoadEvents |
資料類型 | 字串 |
可能值 | 已停用 (預設) 啟用 |
Comments | 適用於端點的 Defender 101.68.80 版或更新版本中提供。 |
向 EDR 報告 AV 可疑事件
判斷是否向 EDR 回報來自防病毒軟體的可疑事件。
描述 | 值 |
---|---|
機碼 | sendLowfiEvents |
資料類型 | 字串 |
可能值 | 已停用 (預設) 啟用 |
Comments | 適用於端點的Defender版本101.23062.0010或更新版本中提供。 |
網路保護組態
下列設定可用來設定進階網路保護檢查功能,以控制網路保護檢查的流量。
注意事項
若要讓這些功能生效,必須開啟網路保護。 如需詳細資訊,請 參閱開啟Linux的網路保護。
描述 | 值 |
---|---|
機碼 | networkProtection |
資料類型 | 巢狀喜好設定 (字典) |
Comments | 如需字典內容的描述,請參閱下列各節。 |
設定ICMP檢查
判斷是否監視和掃描ICMP事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
描述 | 值 |
---|---|
機碼 | disableIcmpInspection |
資料類型 | 布林值 |
可能值 | true (預設) 假 |
Comments | 適用於端點的Defender版本101.23062.0010或更新版本中提供。 |
建議的組態配置檔
若要開始使用,我們建議您的企業使用適用於端點的 Defender 所提供的所有保護功能,提供下列組態配置檔。
下列組態設定檔將會:
- 啟用即時保護 (RTP)
- 指定如何處理下列威脅類型:
- 可能不想要的應用程式 (PUA) 遭到封鎖
- 系統 會稽核具有高壓縮速率的封存 (檔案) 至產品記錄
- 啟用自動安全性情報更新
- 啟動雲端提供的保護
- 在層級啟
safe
用自動提交範例
範例配置檔
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
完整組態配置檔範例
下列組態配置檔包含本檔所述之所有設定的專案,而且可用於更進階的案例,讓您能夠更充分掌控產品。
注意事項
您無法控制所有 適用於端點的 Microsoft Defender 只與此 JSON 中的 Proxy 設定通訊。
完整配置檔
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
將標籤或群組識別元新增至組態配置檔
當您第一次執行 mdatp health
命令時,標籤和群組識別碼的值會是空白的。 若要將標記或群組標識元新增至 mdatp_managed.json
檔案,請遵循下列步驟:
- 從路徑
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json
開啟組態配置檔。 - 向下移至檔案底部,區塊位於
cloudService
該處。 - 在 的右大括號結尾處,新增必要的卷標或群組標識符,如下列範例所
cloudService
示。
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
注意事項
在區塊結尾 cloudService
的右大括弧後面加入逗號。 此外,請確定在新增標記或群組標識符區塊之後有兩個右大括號 (請參閱上述範例) 。 目前,標籤唯一支援的索引鍵名稱是 GROUP
。
組態配置文件驗證
組態配置檔必須是有效的 JSON 格式檔案。 有許多工具可用來驗證此問題。 例如,如果您已 python
在裝置上安裝:
python -m json.tool mdatp_managed.json
如果 JSON 格式正確,上述命令會將它輸出回終端機,並傳回的 0
結束代碼。 否則,會顯示描述問題的錯誤,且命令會傳回的 1
結束代碼。
確認mdatp_managed.json檔案如預期般運作
若要確認 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json正常運作,您應該會在這些設定旁邊看到 “[managed]”:
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
注意事項
若要讓mdatp_managed.json中 大部分 組態的變更生效,就不需要重新啟動 mdatp 精靈。 例外: 下列設定需要重新啟動精靈才能生效:
- cloud-diagnostic
- log-rotation-parameters
組態配置檔部署
為企業建置組態配置檔之後,您可以透過企業所使用的管理工具進行部署。 Linux 上適用於端點的 Defender 會從 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json 檔案讀取受控組態。
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應