為 Linux 上適用於端點的 Microsoft Defender 設定喜好設定
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
重要事項
本主題包含如何在企業環境中設定 Linux 上適用於端點的 Defender 喜好設定的指示。 如果您有興趣從命令行在裝置上設定產品,請參閱 資源。
在企業環境中,Linux 上的適用於端點的 Defender 可以透過組態配置檔來管理。 這個設定檔是從您選擇的管理工具部署。 企業管理的喜好設定優先於裝置本機設定的喜好設定。 換句話說,您企業中的使用者無法變更透過此組態配置檔設定的喜好設定。 如果是透過Managed組態配置檔新增排除專案,則只能透過受控組態配置檔移除。 命令行適用於在本機新增的排除專案。
本文說明此設定檔的結構 (包括您可用來開始使用的建議配置檔) 以及如何部署配置檔的指示。
組態配置文件結構
組態配置檔是.json檔,由索引鍵 (所識別的項目組成,該索引鍵 (代表喜好設定) 的名稱,後面接著值,視喜好設定的本質而定。 值可以很簡單,例如數值或複雜值,例如巢狀的喜好設定清單。
一般而言,您會使用組態管理工具,在位置/etc/opt/microsoft/mdatp/managed/推送名稱mdatp_managed.json為 的檔案。
組態配置檔的最上層包含產品子區域的全產品喜好設定和專案,下一節會詳細說明。
防病毒軟體引擎喜好設定
組態配置檔的 antivirusEngine 區段可用來管理產品防病毒軟體元件的喜好設定。
| 描述 | 值 |
|---|---|
| 機碼 | antivirusEngine |
| 資料類型 | 巢狀喜好設定 (字典) |
| Comments | 如需字典內容的描述,請參閱下列各節。 |
防病毒軟體引擎的強制層級
指定防病毒軟體引擎的強制喜好設定。 設定強制層級有三個值:
- 即時 (
real_time) :啟用) 時,實時保護 (掃描檔案。 - 隨選 (
on_demand) :僅視需要掃描檔案。 在這裡範例中:- 即時保護已關閉。
- 被動 (
passive) :以被動模式執行防病毒軟體引擎。 在這裡範例中:- 實時保護已關閉:Microsoft Defender 防病毒軟體不會補救威脅。
- 隨選掃描已開啟:仍然使用端點上的掃描功能。
- 自動威脅補救已關閉:將不會移動任何檔案,而且預期安全性系統管理員會採取必要的動作。
- 安全性情報更新已開啟:安全性系統管理員租使用者上將提供警示。
| 描述 | 值 |
|---|---|
| 機碼 | enforcementLevel |
| 資料類型 | 字串 |
| 可能值 | real_time on_demand 被動 (預設) |
| Comments | 適用於端點的 Defender 101.10.72 版或更新版本中提供。 端點版本 101.23062.0001 或更新版本的預設值從real_time變更為被動。 |
啟用/停用行為監視
判斷裝置上是否啟用行為監視和封鎖功能。
注意事項
只有在啟用 Real-Time 保護功能時,才適用此功能。
| 描述 | 值 |
|---|---|
| 機碼 | behaviorMonitoring |
| 資料類型 | 字串 |
| 可能值 | 已停用 (預設) 啟用 |
| Comments | 適用於端點的 Defender 101.45.00 版或更新版本中提供。 |
更新定義之後執行掃描
指定在裝置上下載新的安全情報更新之後,是否要啟動進程掃描。 啟用此設定會在裝置的執行中進程上觸發防病毒軟體掃描。
| 描述 | 值 |
|---|---|
| 機碼 | scanAfterDefinitionUpdate |
| 資料類型 | 布林值 |
| 可能值 | true (預設) 假 |
| Comments | 適用於端點的 Defender 101.45.00 版或更新版本中提供。 |
僅掃描封存 (視需要的防病毒軟體掃描)
指定是否要在隨選防病毒軟體掃描期間掃描封存。
注意事項
即時保護期間永遠不會掃描封存盤案。 擷取封存中的檔案時,系統會掃描這些檔案。 scanArchives 選項只能在隨選掃描期間用來強制掃描封存。
| 描述 | 值 |
|---|---|
| 機碼 | scanArchives |
| 資料類型 | 布林值 |
| 可能值 | true (預設) 假 |
| Comments | 適用於 適用於端點的 Microsoft Defender 101.45.00 版或更新版本。 |
隨選掃描的平行處理原則程度
指定隨選掃描的平行處理原則程度。 這會對應至用來執行掃描並影響 CPU 使用量的線程數目,以及隨選掃描的持續時間。
| 描述 | 值 |
|---|---|
| 機碼 | maximumOnDemandScanThreads |
| 資料類型 | 整數 |
| 可能值 | 2 (預設) 。 允許的值是介於 1 到 64 之間的整數。 |
| Comments | 適用於 適用於端點的 Microsoft Defender 101.45.00 版或更新版本。 |
排除合併原則
指定排除項目的合併原則。 它可以是系統管理員定義和使用者定義排除項目的組合, () merge 或只有系統管理員定義的排除 () admin_only 。 此設定可用來限制本機用戶定義自己的排除範圍。
| 描述 | 值 |
|---|---|
| 機碼 | exclusionsMergePolicy |
| 資料類型 | 字串 |
| 可能值 | 合併 (預設) admin_only |
| Comments | 適用於端點的 Defender 100.83.73 版或更新版本中提供。 |
掃描排除專案
已從掃描中排除的實體。 排除專案可以透過完整路徑、擴展名或檔名來指定。 (排除專案指定為項目數位,系統管理員可以視需要指定任意數量的元素。)
| 描述 | 值 |
|---|---|
| 機碼 | 排除 |
| 資料類型 | 巢狀喜好設定 (字典) |
| Comments | 如需字典內容的描述,請參閱下列各節。 |
排除類型
指定從掃描中排除的內容類型。
| 描述 | 值 |
|---|---|
| 機碼 | $type |
| 資料類型 | 字串 |
| 可能值 | excludedPath excludedFileExtension excludedFileName |
排除內容的路徑
用來依完整檔案路徑從掃描中排除內容。
| 描述 | 值 |
|---|---|
| 機碼 | 路徑 |
| 資料類型 | 字串 |
| 可能值 | 有效路徑 |
| Comments | 只有在已排除 $type 時才適用 Path |
檔案/目錄 () 路徑類型
指出 路徑 屬性是否參考檔案或目錄。
| 描述 | 值 |
|---|---|
| 機碼 | isDirectory |
| 資料類型 | 布林值 |
| 可能值 | false (預設) 真 |
| Comments | 只有在已排除 $type 時才適用 Path |
從掃描中排除擴展名
用來從擴展名掃描中排除內容。
| 描述 | 值 |
|---|---|
| 機碼 | 擴展 |
| 資料類型 | 字串 |
| 可能值 | 有效的擴展名 |
| Comments | 只有在 排除$type 時才適用 FileExtension |
從掃描中排除的進程*
指定從掃描中排除所有檔案活動的程式。 進程可以透過其名稱 (指定, cat 例如,) 或完整路徑 (例如 /bin/cat ,) 。
| 描述 | 值 |
|---|---|
| 機碼 | name |
| 資料類型 | 字串 |
| 可能值 | 任何字串 |
| Comments | 只有在已排除$typeFileName 時才適用 |
將非 Exec 掛接設為靜音
指定標示為 noexec 之裝入點上的 RTP 行為。 設定有兩個值:
- 未變更 (
unmute) :預設值,所有裝入點都會掃描為 RTP 的一部分。 - 靜音 (
mute) :標示為 noexec 的裝入點不會掃描為 RTP 的一部分,您可以針對下列專案建立這些裝入點:- 資料庫伺服器上的資料庫檔案,用於保留數據基底檔案。
- 檔案伺服器可以使用 noexec 選項來保留資料檔案裝入點。
- 備份可以使用 noexec 選項來保留資料檔裝入點。
| 描述 | 值 |
|---|---|
| 機碼 | nonExecMountPolicy |
| 資料類型 | 字串 |
| 可能值 | 取消靜 (預設) 靜音 |
| Comments | 適用於端點的 Defender 101.85.27 版或更新版本中提供。 |
解除監視檔案系統
將文件系統設定為未受監視/從實時保護中排除 (RTP) 。 已設定的檔案系統會根據 Microsoft Defender 允許的檔案系統清單進行驗證。 只有在驗證成功之後,才會允許將文件系統解除監視。 這些設定的未受監視文件系統仍會透過快速、完整和自定義掃描進行掃描。
| 描述 | 值 |
|---|---|
| 機碼 | unmonitoredFilesystems |
| 資料類型 | 字串陣列 |
| Comments | 只有在 Microsoft 允許的未受監視檔案系統清單中存在時,設定的檔案系統才會不受監視。 |
根據預設,NFS 和 Fuse 不會受到 RTP、快速和完整掃描的監視。 不過,自定義掃描仍然可以掃描它們。 例如,若要從未受監視的文件系統清單中移除 NFS,請更新 Managed 組態檔,如下所示。 這會自動將 NFS 新增至 RTP 的受監視檔案系統清單。
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
若要從未受監視的檔案系統清單中移除 NFS 和 Fuse,請執行下列動作
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
注意事項
以下是 RTP 受監視檔案系統的預設清單 -
[btrfs、ecryptfs、ext2、ext3、ext4、fuseblk、jfs、overlay、ramfs、reiserfs、tmpfs、vfat、xfs]
如果需要將任何受監視的文件系統新增至未受監視的文件系統清單,則必須由 Microsoft 透過雲端設定進行評估和啟用。之後,客戶可以更新managed_mdatp.json以解除監視該文件系統。
設定檔案哈希計算功能
啟用或停用檔案哈希計算功能。 啟用這項功能時,適用於端點的 Defender 會計算所掃描檔案的哈希。 請注意,啟用這項功能可能會影響裝置效能。 如需詳細資訊,請參閱:Create 檔案指標。
| 描述 | 值 |
|---|---|
| 機碼 | enableFileHashComputation |
| 資料類型 | 布林值 |
| 可能值 | false (預設) 真 |
| Comments | 適用於端點的 Defender 101.85.27 版或更新版本中提供。 |
允許的威脅
(由其名稱識別的威脅清單) ,這些威脅不會被產品封鎖,而是允許執行。
| 描述 | 值 |
|---|---|
| 機碼 | allowedThreats |
| 資料類型 | 字串陣列 |
不允許的威脅動作
限制偵測到威脅時,裝置的本機使用者可以採取的動作。 此清單中包含的動作不會顯示在使用者介面中。
| 描述 | 值 |
|---|---|
| 機碼 | disallowedThreatActions |
| 資料類型 | 字串陣列 |
| 可能值 | 允許 (限制使用者允許威脅) 還原 (會限制使用者從隔離) 還原威脅 |
| Comments | 適用於端點的 Defender 100.83.73 版或更新版本中提供。 |
威脅類型設定
防病毒軟體引擎中的 threatTypeSettings 喜好設定可用來控制產品如何處理特定威脅類型。
| 描述 | 值 |
|---|---|
| 機碼 | threatTypeSettings |
| 資料類型 | 巢狀喜好設定 (字典) |
| Comments | 如需字典內容的描述,請參閱下列各節。 |
威脅類型
設定行為的威脅類型。
| 描述 | 值 |
|---|---|
| 機碼 | 機碼 |
| 資料類型 | 字串 |
| 可能值 | potentially_unwanted_application archive_bomb |
要採取的動作
遇到上一節所指定類型的威脅時所要採取的動作。 可以是:
- 稽核:裝置不會受到這類威脅的保護,但會記錄威脅的相關專案。
- 封鎖:裝置會受到保護,免於遭受這類威脅,而您會在安全性控制台中收到通知。
- 關閉:裝置不會受到這類威脅的保護,而且不會記錄任何專案。
| 描述 | 值 |
|---|---|
| 機碼 | 數值 |
| 資料類型 | 字串 |
| 可能值 | 稽核 (預設) 塊 關閉 |
威脅類型設定合併原則
指定威脅類型設定的合併原則。 這可以是系統管理員定義和使用者定義設定的組合, () merge 或只有系統管理員定義的設定 (admin_only) 。 此設定可用來限制本機用戶針對不同的威脅類型定義自己的設定。
| 描述 | 值 |
|---|---|
| 機碼 | threatTypeSettingsMergePolicy |
| 資料類型 | 字串 |
| 可能值 | 合併 (預設) admin_only |
| Comments | 適用於端點的 Defender 100.83.73 版或更新版本中提供。 |
防病毒軟體掃描歷程記錄保留 (天數)
指定在裝置上的掃描歷程記錄中保留結果的天數。 舊的掃描結果會從歷程記錄中移除。 從磁盤中移除的舊隔離檔案。
| 描述 | 值 |
|---|---|
| 機碼 | scanResultsRetentionDays |
| 資料類型 | 字串 |
| 可能值 | 90 (預設) 。 允許的值是從1天到180天。 |
| Comments | 適用於端點的 Defender 101.04.76 版或更新版本中提供。 |
防病毒軟體掃描記錄中的項目數目上限
指定要保留在掃描記錄中的項目數目上限。 專案包括過去執行的所有隨選掃描,以及所有防病毒軟體偵測。
| 描述 | 值 |
|---|---|
| 機碼 | scanHistoryMaximumItems |
| 資料類型 | 字串 |
| 可能值 | 10000 (預設) 。 允許的值從 5000 個專案到 15000 個專案。 |
| Comments | 適用於端點的 Defender 101.04.76 版或更新版本中提供。 |
進階掃描選項
下列設定可以設定為啟用特定的進階掃描功能。
注意事項
啟用這些功能可能會影響裝置效能。 因此,建議您保留預設值。
設定檔案修改許可權事件的掃描
啟用此功能時,適用於端點的Defender會在檔案的許可權變更為設定執行位 () 時掃描檔案。
注意事項
只有在啟用此功能時,才適用此 enableFilePermissionEvents 功能。 如需詳細資訊,請參閱下方 的進階選擇性功能 一節。
| 描述 | 值 |
|---|---|
| 機碼 | scanFileModifyPermissions |
| 資料類型 | 布林值 |
| 可能值 | false (預設) 真 |
| Comments | 適用於端點的Defender版本101.23062.0010或更新版本中提供。 |
設定檔案的掃描修改擁有權事件
啟用這項功能時,適用於端點的 Defender 會掃描擁有權已變更的檔案。
注意事項
只有在啟用此功能時,才適用此 enableFileOwnershipEvents 功能。 如需詳細資訊,請參閱下方 的進階選擇性功能 一節。
| 描述 | 值 |
|---|---|
| 機碼 | scanFileModifyOwnership |
| 資料類型 | 布林值 |
| 可能值 | false (預設) 真 |
| Comments | 適用於端點的Defender版本101.23062.0010或更新版本中提供。 |
設定原始套接字事件的掃描
啟用此功能時,適用於端點的 Defender 會掃描網路套接字事件,例如建立原始套接字/封包套接字,或設定套接字選項。
注意事項
只有在啟用行為監視時,這項功能才適用。
注意事項
只有在啟用此功能時,才適用此 enableRawSocketEvent 功能。 如需詳細資訊,請參閱下方 的進階選擇性功能 一節。
| 描述 | 值 |
|---|---|
| 機碼 | scanNetworkSocketEvent |
| 資料類型 | 布林值 |
| 可能值 | false (預設) 真 |
| Comments | 適用於端點的Defender版本101.23062.0010或更新版本中提供。 |
雲端式保護喜好設定
組態配置檔中的 cloudService 專案可用來設定產品的雲端驅動保護功能。
注意事項
雲端式保護適用於任何強制層級設定, (real_time、on_demand、被動) 。
| 描述 | 值 |
|---|---|
| 機碼 | cloudService |
| 資料類型 | 巢狀喜好設定 (字典) |
| Comments | 如需字典內容的描述,請參閱下列各節。 |
啟用/停用雲端提供的保護
判斷是否已在裝置上啟用雲端式保護。 若要改善服務的安全性,建議您保持開啟此功能。
| 描述 | 值 |
|---|---|
| 機碼 | 啟用 |
| 資料類型 | 布林值 |
| 可能值 | true (預設) 假 |
診斷收集層級
診斷數據可用來保護適用於端點的 Defender 安全且保持最新狀態、偵測、診斷和修正問題,以及改善產品。 此設定會決定產品傳送給 Microsoft 的診斷層級。
| 描述 | 值 |
|---|---|
| 機碼 | diagnosticLevel |
| 資料類型 | 字串 |
| 可能值 | 選用 必要 (預設) |
設定雲端區塊層級
此設定會決定適用於端點的 Defender 封鎖和掃描可疑檔案的積極程度。 如果此設定已開啟,適用於端點的 Defender 在識別要封鎖和掃描的可疑檔案時會更積極;否則,它會較不積極,因此會以較少的頻率封鎖和掃描。
設定雲端區塊層級有五個值:
- 一般 (
normal) :預設封鎖層級。 - 中等 (
moderate) :僅針對高信賴度偵測傳遞決策。 - 高 (
high) :在優化效能的同時積極封鎖未知的檔案 (封鎖非有害檔案) 的機率更大。 - 高加 ()
high_plus:積極封鎖未知的檔案,並套用額外的保護措施 (可能會影響用戶端裝置效能) 。 - 零容錯 (
zero_tolerance) :封鎖所有未知的程式。
| 描述 | 值 |
|---|---|
| 機碼 | cloudBlockLevel |
| 資料類型 | 字串 |
| 可能值 | 一般 (預設) 溫和 高 high_plus zero_tolerance |
| Comments | 適用於端點的 Defender 101.56.62 版或更新版本中提供。 |
啟用/停用自動提交範例
判斷是否將可能包含威脅的可疑 () 傳送給 Microsoft。 控制範例提交有三個層級:
- 無:不會將可疑的範例提交給 Microsoft。
- 安全:只會自動提交不包含 PII) 個人標識資訊 (可疑樣本。 這是此設定的預設值。
- 全部:所有可疑的範例都會提交給 Microsoft。
| 描述 | 值 |
|---|---|
| 機碼 | automaticSampleSubmissionConsent |
| 資料類型 | 字串 |
| 可能值 | 無 安全 (預設) 所有 |
啟用/停用自動安全情報更新
判斷是否自動安裝安全性情報更新:
| 描述 | 值 |
|---|---|
| 機碼 | automaticDefinitionUpdateEnabled |
| 資料類型 | 布林值 |
| 可能值 | true (預設) 假 |
進階選擇性功能
下列設定可以設定為啟用某些進階功能。
注意事項
啟用這些功能可能會影響裝置效能。 建議您保留預設值。
| 描述 | 值 |
|---|---|
| 機碼 | 特徵 |
| 資料類型 | 巢狀喜好設定 (字典) |
| Comments | 如需字典內容的描述,請參閱下列各節。 |
模組載入功能
判斷是否監視共用連結庫) 上檔案開啟事件 (模組載入事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
| 描述 | 值 |
|---|---|
| 機碼 | moduleLoad |
| 資料類型 | 字串 |
| 可能值 | 已停用 (預設) 啟用 |
| Comments | 適用於端點的 Defender 101.68.80 版或更新版本中提供。 |
增補感測器設定
下列設定可用來設定某些進階增補感測器功能。
| 描述 | 值 |
|---|---|
| 機碼 | supplementarySensorConfigurations |
| 資料類型 | 巢狀喜好設定 (字典) |
| Comments | 如需字典內容的描述,請參閱下列各節。 |
設定檔案修改許可權事件的監視
判斷是否監視) (chmod 檔案修改許可權事件。
注意事項
啟用此功能時,適用於端點的 Defender 會監視檔案執行位的變更,但不會掃描這些事件。 如需詳細資訊,請參閱 進階掃描功能 一節。
| 描述 | 值 |
|---|---|
| 機碼 | enableFilePermissionEvents |
| 資料類型 | 字串 |
| 可能值 | 已停用 (預設) 啟用 |
| Comments | 適用於端點的Defender版本101.23062.0010或更新版本中提供。 |
設定檔案修改擁有權事件的監視
判斷是否監視檔案修改擁有權事件 () 。
注意事項
啟用此功能時,適用於端點的 Defender 會監視檔案擁有權的變更,但不會掃描這些事件。 如需詳細資訊,請參閱 進階掃描功能 一節。
| 描述 | 值 |
|---|---|
| 機碼 | enableFileOwnershipEvents |
| 資料類型 | 字串 |
| 可能值 | 已停用 (預設) 啟用 |
| Comments | 適用於端點的Defender版本101.23062.0010或更新版本中提供。 |
設定原始套接字事件的監視
判斷是否監視涉及建立原始套接字/封包套接字或設定套接字選項的網路套接字事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
注意事項
啟用此功能時,適用於端點的 Defender 會監視這些網路套接字事件,但不會掃描這些事件。 如需詳細資訊,請參閱上述 的進階掃描功能 一節。
| 描述 | 值 |
|---|---|
| 機碼 | enableRawSocketEvent |
| 資料類型 | 字串 |
| 可能值 | 已停用 (預設) 啟用 |
| Comments | 適用於端點的Defender版本101.23062.0010或更新版本中提供。 |
設定開機載入器事件的監視
判斷是否監視和掃描開機載入器事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
| 描述 | 值 |
|---|---|
| 機碼 | enableBootLoaderCalls |
| 資料類型 | 字串 |
| 可能值 | 已停用 (預設) 啟用 |
| Comments | 適用於端點的 Defender 101.68.80 版或更新版本中提供。 |
設定 ptrace 事件的監視
判斷是否監視和掃描 ptrace 事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
| 描述 | 值 |
|---|---|
| 機碼 | enableProcessCalls |
| 資料類型 | 字串 |
| 可能值 | 已停用 (預設) 啟用 |
| Comments | 適用於端點的 Defender 101.68.80 版或更新版本中提供。 |
設定 pseudofs 事件的監視
判斷是否監視和掃描 pseudofs 事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
| 描述 | 值 |
|---|---|
| 機碼 | enablePseudofsCalls |
| 資料類型 | 字串 |
| 可能值 | 已停用 (預設) 啟用 |
| Comments | 適用於端點的 Defender 101.68.80 版或更新版本中提供。 |
使用 eBPF 設定模組載入事件的監視
判斷模組載入事件是否使用 eBPF 進行監視和掃描。
注意事項
只有在啟用行為監視時,這項功能才適用。
| 描述 | 值 |
|---|---|
| 機碼 | enableEbpfModuleLoadEvents |
| 資料類型 | 字串 |
| 可能值 | 已停用 (預設) 啟用 |
| Comments | 適用於端點的 Defender 101.68.80 版或更新版本中提供。 |
向 EDR 報告 AV 可疑事件
判斷是否向 EDR 回報來自防病毒軟體的可疑事件。
| 描述 | 值 |
|---|---|
| 機碼 | sendLowfiEvents |
| 資料類型 | 字串 |
| 可能值 | 已停用 (預設) 啟用 |
| Comments | 適用於端點的Defender版本101.23062.0010或更新版本中提供。 |
網路保護組態
下列設定可用來設定進階網路保護檢查功能,以控制網路保護檢查的流量。
注意事項
若要讓這些功能生效,必須開啟網路保護。 如需詳細資訊,請 參閱開啟Linux的網路保護。
| 描述 | 值 |
|---|---|
| 機碼 | networkProtection |
| 資料類型 | 巢狀喜好設定 (字典) |
| Comments | 如需字典內容的描述,請參閱下列各節。 |
設定ICMP檢查
判斷是否監視和掃描ICMP事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
| 描述 | 值 |
|---|---|
| 機碼 | disableIcmpInspection |
| 資料類型 | 布林值 |
| 可能值 | true (預設) 假 |
| Comments | 適用於端點的Defender版本101.23062.0010或更新版本中提供。 |
建議的組態配置檔
若要開始使用,我們建議您的企業使用適用於端點的 Defender 所提供的所有保護功能,提供下列組態配置檔。
下列組態設定檔將會:
- 啟用即時保護 (RTP)
- 指定如何處理下列威脅類型:
- 可能不想要的應用程式 (PUA) 遭到封鎖
- 系統 會稽核具有高壓縮速率的封存 (檔案) 至產品記錄
- 啟用自動安全性情報更新
- 啟動雲端提供的保護
- 在層級啟
safe用自動提交範例
範例配置檔
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
完整組態配置檔範例
下列組態配置檔包含本檔所述之所有設定的專案,而且可用於更進階的案例,讓您能夠更充分掌控產品。
注意事項
您無法控制所有 適用於端點的 Microsoft Defender 只與此 JSON 中的 Proxy 設定進行通訊。
完整配置檔
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
將標籤或群組識別元新增至組態配置檔
當您第一次執行 mdatp health 命令時,標籤和群組識別碼的值會是空白的。 若要將標記或群組標識元新增至 mdatp_managed.json 檔案,請遵循下列步驟:
- 從路徑
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json開啟組態配置檔。 - 向下移至檔案底部,區塊位於
cloudService該處。 - 在 的右大括號結尾處,新增必要的卷標或群組標識符,如下列範例所
cloudService示。
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
注意事項
在區塊結尾 cloudService 的右大括弧後面加入逗號。 此外,請確定在新增標記或群組標識符區塊之後有兩個右大括號 (請參閱上述範例) 。 目前,標籤唯一支援的索引鍵名稱是 GROUP。
組態配置文件驗證
組態配置檔必須是有效的 JSON 格式檔案。 有許多工具可用來驗證此問題。 例如,如果您已 python 在裝置上安裝:
python -m json.tool mdatp_managed.json
如果 JSON 格式正確,上述命令會將它輸出回終端機,並傳回的 0結束代碼。 否則,會顯示描述問題的錯誤,且命令會傳回的 1結束代碼。
確認mdatp_managed.json檔案如預期般運作
若要確認 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json正常運作,您應該會在這些設定旁邊看到 “[managed]”:
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
注意事項
若要讓mdatp_managed.json中 大部分 組態的變更生效,就不需要重新啟動 mdatp 精靈。 例外: 下列設定需要重新啟動精靈才能生效:
- cloud-diagnostic
- log-rotation-parameters
組態配置檔部署
為企業建置組態配置檔之後,您可以透過企業所使用的管理工具進行部署。 Linux 上適用於端點的 Defender 會從 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json 檔案讀取受控組態。
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應