تكوين إعدادات الأمان في Microsoft Defender لنقطة النهاية على Linux

تتضمن Microsoft Defender لنقطة النهاية على Linux الحماية من الفيروسات والحماية من البرامج الضارة واكتشاف نقطة النهاية وقدرات الاستجابة. تلخص هذه المقالة إعدادات الأمان المهمة لتكوينها وتتضمن ارتباطات إلى موارد أخرى.

الإعدادات	الوصف
1. تكوين اكتشاف الوكيل الثابت.	يساعد تكوين وكيل ثابت على ضمان إرسال بيانات تتبع الاستخدام ويساعد على تجنب مهلات الشبكة. قم بتنفيذ هذه المهمة أثناء وبعد تثبيت Defender لنقطة النهاية. لمزيد من المعلومات، راجع تكوين Microsoft Defender لنقطة النهاية على Linux لاكتشاف الوكيل الثابت.
2. تكوين عمليات فحص مكافحة الفيروسات.	يمكنك جدولة عمليات فحص مكافحة الفيروسات التلقائية باستخدام Anacron أو Crontab. لمزيد من المعلومات، راجع المقالات التالية: استخدم Anacron لجدولة فحص مكافحة الفيروسات في Microsoft Defender لنقطة النهاية على Linux استخدم Crontab لجدولة فحص مكافحة الفيروسات في Microsoft Defender لنقطة النهاية على Linux
3. تكوين إعدادات الأمان والنهج.	يمكنك استخدام مدخل Microsoft Defender (Defender for Endpoint Security Settings Management) أو ملف تعريف التكوين (.jsonملف) لتكوين Defender لنقطة النهاية على Linux. أو يمكنك استخدام سطر الأوامر لتكوين إعدادات معينة. لمزيد من المعلومات، راجع المقالات التالية: إدارة إعدادات أمان Defender لنقطة النهاية ملف تعريف التكوين سطر الأوامر
4. تكوين الاستبعادات والتحقق من صحتها (حسب الاقتضاء)	يمكنك استبعاد ملفات ومجلدات وعمليات وملفات معينة تم فتحها من Defender لنقطة النهاية على Linux. تنطبق الاستثناءات العالمية على الحماية في الوقت الحقيقي (RTP) ومراقبة السلوك (BM) واكتشاف نقطة النهاية والاستجابة لها (EDR)، وبالتالي إيقاف جميع عمليات الكشف عن مكافحة الفيروسات المقترنة وتنبيهات EDR والرؤية للعنصر المستبعد. للمزيد من المعلومات، راجع تكوين الاستثناءات والتحقق من صحتها في Microsoft Defender لنقطة النهاية على Linux.
5. تكوين أداة الاستشعار المستندة إلى eBPF.	يتم تمكين عامل تصفية حزم Berkeley الموسع (eBPF) Microsoft Defender لنقطة النهاية على Linux تلقائيا لجميع العملاء بشكل افتراضي لإصدارات العامل والإصدارات 101.23082.0006 الأحدث. ويوفر بيانات الأحداث التكميلية لأنظمة التشغيل Linux ويساعد على تقليل إمكانية حدوث تعارضات بين التطبيقات. لمزيد من المعلومات، راجع استخدام أداة الاستشعار المستندة إلى eBPF Microsoft Defender لنقطة النهاية على Linux.
6. تكوين تحديث التحليل الذكي للأمان دون اتصال (حسب الاقتضاء)	يمكنك تحديث معلومات الأمان دون اتصال من تكوين تحديثات التحليل الذكي للأمان لخوادم Linux مع تعرض محدود للإنترنت أو مع عدم تعرضه للإنترنت. يمكنك إعداد خادم استضافة محلي ("خادم متطابق") يمكنه الاتصال بسحابة Microsoft لتنزيل التواقيع. يمكن لنقاط النهاية Linux الأخرى سحب التحديثات من الخادم المتطابق في فاصل زمني محدد مسبقا. لمزيد من المعلومات، راجع تكوين تحديث التحليل الذكي للأمان دون اتصال Microsoft Defender لنقطة النهاية على Linux.
7. نشر التحديثات.	تنشر Microsoft تحديثات البرامج بانتظام لتحسين الأداء والأمان وتقديم ميزات جديدة. لمزيد من المعلومات، راجع توزيع التحديثات Microsoft Defender لنقطة النهاية على Linux.
8. تكوين حماية الشبكة (معاينة)	تساعد حماية الشبكة على منع المستخدمين من استخدام أي تطبيق للوصول إلى المجالات الخطرة التي قد تستضيف رسائل التصيد الاحتيالي والمآثر والمحتوى الضار الآخر على الإنترنت. لمزيد من المعلومات، راجع حماية الشبكة Linux.

هام

إذا كنت ترغب في تشغيل حلول أمان متعددة جنبا إلى جنب، فشاهد اعتبارات الأداء والتكوين والدعم.

ربما تكون قد قمت بالفعل بتكوين استثناءات الأمان المتبادل للأجهزة التي تم إلحاقها Microsoft Defender لنقطة النهاية. إذا كنت لا تزال بحاجة إلى تعيين استثناءات متبادلة لتجنب التعارضات، فشاهد إضافة Microsoft Defender لنقطة النهاية إلى قائمة الاستبعاد للحل الحالي.

خيارات لتكوين إعدادات الأمان

لتكوين إعدادات الأمان في Defender لنقطة النهاية على Linux، لديك خياران رئيسيان:

• استخدام مدخل Microsoft Defender (Defender for Endpoint Security Settings Management)

  او

• استخدام ملف تعريف التكوين

يمكنك استخدام سطر الأوامر لتكوين إعدادات معينة، وجمع التشخيصات، وتشغيل عمليات الفحص، والمزيد. لمزيد من المعلومات، راجع Linux الموارد: تكوين باستخدام سطر الأوامر.

إدارة إعدادات أمان Defender لنقطة النهاية

يمكنك تكوين Defender لنقطة النهاية على Linux في مدخل Microsoft Defender في (https://security.microsoft.com) باستخدام Defender for Endpoint Security Settings Management. لمزيد من المعلومات، بما في ذلك كيفية إنشاء نهج الأمان وتحريرها والتحقق منها، راجع استخدام إدارة إعدادات الأمان Microsoft Defender لنقطة النهاية لإدارة Microsoft Defender مكافحة الفيروسات.

ملف تعريف التكوين

يمكنك تكوين الإعدادات في Defender لنقطة النهاية على Linux من خلال ملف تعريف تكوين يستخدم ملفا.json. بعد إعداد ملف التعريف الخاص بك، يمكنك توزيعه باستخدام أداة الإدارة التي تختارها. التفضيلات التي تديرها المؤسسة لها الأسبقية على التفضيلات التي تم تعيينها محليا على الجهاز.

بمعنى آخر، لا يمكن للمستخدمين في مؤسستك تغيير التفضيلات التي تم تعيينها من خلال ملف تعريف التكوين هذا. إذا تمت إضافة استثناءات من خلال ملف تعريف التكوين المدار، يمكن إزالتها فقط من خلال ملف تعريف التكوين المدار. يعمل سطر الأوامر مع الاستثناءات المضافة محليا.

توضح هذه المقالة بنية ملف التعريف هذا (بما في ذلك ملف التعريف الموصى به الذي يمكنك استخدامه للبدء) وإرشادات حول كيفية نشر ملف التعريف.

بنية ملف تعريف التكوين

ملف تعريف التكوين هو .json ملف يتكون من إدخالات تم تحديدها بواسطة مفتاح (الذي يشير إلى اسم التفضيل)، متبوعا بقيمة، والتي تعتمد على طبيعة التفضيل. يمكن أن تكون القيم بسيطة (على سبيل المثال، قيمة رقمية) أو معقدة (على سبيل المثال، قائمة متداخلة من التفضيلات).

عادة ما تستخدم أداة إدارة التكوين لدفع ملف مسمى mdatp_managed.json إلى الموقع /etc/opt/microsoft/mdatp/managed/.

يتضمن المستوى الأعلى لملف تعريف التكوين تفضيلات وإدخالات على مستوى المنتج للمساحات الفرعية للمنتج، والتي يتم شرحها بمزيد من التفصيل في الأقسام التالية.

ملف تعريف التكوين الموصى به

يتضمن هذا القسم مثالين لملف تعريف التكوين:

• نموذج ملف تعريف لمساعدتك على البدء في الإعدادات الموصى بها.
• مثال ملف تعريف التكوين الكامل للمؤسسات التي تريد المزيد من التحكم الدقيق في إعدادات الأمان.

للبدء، نوصي باستخدام نموذج ملف التعريف الأول لمؤسستك. لمزيد من التحكم الدقيق، يمكنك استخدام مثال ملف تعريف التكوين الكامل بدلا من ذلك.

نموذج ملف التعريف

يساعدك ملف تعريف التكوين التالي على الاستفادة من ميزات الحماية المهمة في Defender لنقطة النهاية على Linux. يتضمن ملف التعريف التكوين التالي:

• تمكين الحماية في الوقت الحقيقي (RTP).
• حدد كيفية معالجة أنواع التهديدات التالية:
  • يتم حظر التطبيقات غير المرغوب فيها (PUA).
  • يتم تدقيق الأرشيف القنابل (ملف بمعدل ضغط عال) على سجلات المنتج.
• تمكين تحديثات التحليل الذكي للأمان التلقائي.
• تمكين الحماية المقدمة من السحابة.
• تمكين إرسال العينة التلقائي على safe المستوى.

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

مثال على ملف تعريف التكوين الكامل

يحتوي ملف تعريف التكوين التالي على إدخالات لجميع الإعدادات الموضحة في هذه المقالة ويمكن استخدامه لسيناريوهات أكثر تقدما حيث تريد المزيد من التحكم.

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":true,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefinitionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"disabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

إعدادات مكافحة الفيروسات ومكافحة البرامج الضارة وEDR في Defender لنقطة النهاية على Linux

سواء كنت تستخدم ملف تعريف تكوين (ملف .json) أو مدخل Microsoft Defender (إدارة إعدادات الأمان)، يمكنك تكوين إعدادات مكافحة الفيروسات ومكافحة البرامج الضارة وEDR في Defender لنقطة النهاية على Linux. تصف الأقسام التالية مكان وكيفية تكوين الإعدادات الخاصة بك.

تفضيلات محرك مكافحة الفيروسات

يدير قسم antivirusEngine في ملف تعريف التكوين تفضيلات مكون مكافحة الفيروسات للمنتج.

الوصف	قيمة JSON	قيمة مدخل Defender
المفتاح	antivirusEngine	محرك مكافحة الفيروسات
نوع البيانات	القاموس (التفضيل المتداخل)	مقطع مطوي

راجع الأقسام الفرعية التالية للحصول على وصف لمحتويات القاموس وخصائص النهج.

مستوى إنفاذ برنامج الحماية من الفيروسات Microsoft Defender

يحدد تفضيل فرض محرك مكافحة الفيروسات. هناك ثلاث قيم لتعيين مستوى الإنفاذ:

• في الوقت الحقيقي (real_time): يتم تمكين الحماية في الوقت الحقيقي (فحص الملفات عند تعديلها).

• عند الطلب (on_demand): يتم فحص Files فقط عند الطلب:

  • الحماية في الوقت الحقيقي متوقفة عن التشغيل.
  • تحدث تحديثات التعريف فقط عند بدء الفحص، حتى إذا automaticDefinitionUpdateEnabled تم تعيينه إلى true في الوضع عند الطلب.

• السلبي (passive): تشغيل محرك مكافحة الفيروسات في الوضع السلبي:

  • الحماية في الوقت الحقيقي متوقفة عن التشغيل. لا يعمل برنامج الحماية من الفيروسات Microsoft Defender على معالجة التهديدات.
  • الفحص عند الطلب قيد التشغيل. لا تزال إمكانات الفحص متوفرة على الجهاز.
  • تم إيقاف المعالجة التلقائية للمخاطر. لا يتم نقل أي ملفات ومن المتوقع أن يتخذ مسؤول الأمان الإجراء المطلوب.
  • تحديثات التحليل الذكي للأمان قيد التشغيل. تتوفر التنبيهات في مؤسسة مسؤول الأمان.
  • تحدث تحديثات التعريف فقط عند بدء الفحص، حتى إذا automaticDefinitionUpdateEnabled تم تعيين إلى true.
  • الكشف عن نقطة النهاية والاستجابة لها (EDR) قيد التشغيل. يظهر engine not loaded إخراج الأمر على mdatp health الجهاز للخاصية engine_load_version . يرتبط المحرك ب برنامج الحماية من الفيروسات، وليس EDR.

ملاحظة

• متوفر في إصدار 101.10.72 Defender لنقطة النهاية أو إصدار أحدث.
• في الإصدار 101.23062.0001 أو أحدث، القيمة الافتراضية هي passive. في الإصدارات السابقة، كان الافتراضي هو real_time.
• نوصي أيضا باستخدام عمليات الفحص المجدولة وفقا لمتطلبات.

تمكين مراقبة السلوك أو تعطيلها (إذا تم تمكين RTP)

هام

تعمل هذه الميزة فقط عندما يكون مستوى الإنفاذ هو real-time.

يحدد ما إذا كانت إمكانية مراقبة السلوك والحظر ممكنة أو معطلة على الجهاز.

الوصف	قيمة JSON	قيمة مدخل Defender
المفتاح	المراقبة السلوكية	تمكين مراقبة السلوك
نوع البيانات	سلسلة	القائمة المنسدلة
القيم المحتملة	disabled (افتراضي) enabled	لم يتم تكوينه معطل (افتراضي) تمكين

ملاحظة

متوفر في إصدار 101.45.00 Defender لنقطة النهاية أو إصدار أحدث.

تشغيل فحص بعد تحديث التعريفات

هام

تعمل هذه الميزة فقط عند تعيين مستوى الإنفاذ إلى real-time.

يحدد ما إذا كنت تريد بدء فحص العملية بعد تنزيل تحديثات معلومات الأمان الجديدة على الجهاز. يؤدي تمكين هذا الإعداد إلى تشغيل فحص مكافحة الفيروسات على عمليات تشغيل الجهاز.

الوصف	قيمة JSON	قيمة مدخل Defender
المفتاح	scanAfterDefinitionUpdate	تمكين الفحص بعد تحديث التعريف
نوع البيانات	منطقي	القائمة المنسدلة
القيم المحتملة	true (افتراضي) false	Not configured Disabled Enabled (افتراضي)

ملاحظة

متوفر في إصدار 101.45.00 Defender لنقطة النهاية أو إصدار أحدث.

مسح أرشيفات الفحص (عمليات فحص مكافحة الفيروسات عند الطلب فقط)

يحدد ما إذا كنت تريد مسح الأرشيفات ضوئيا أثناء عمليات فحص مكافحة الفيروسات عند الطلب.

الوصف	قيمة JSON	قيمة مدخل Defender
المفتاح	scanArchives	تمكين مسح الأرشيفات ضوئيا
نوع البيانات	منطقي	القائمة المنسدلة
القيم المحتملة	true (افتراضي) false	لم يتم تكوينه ذوي الاحتياجات الخاصه ممكن (افتراضي)

ملاحظة

• متوفر في إصدار 101.45.00 Microsoft Defender لنقطة النهاية أو أحدث.
• لا يتم فحص الملفات الأرشيف أبدا أثناء RTP. يتم مسح Files في الأرشيف ضوئيا بعد استخراجها. يفرض خيار scanArchives مسح الأرشيف أثناء عمليات الفحص عند الطلب فقط.

درجة التوازي للمسح الضوئي عند الطلب

يحدد درجة التوازي لإجراء عمليات الفحص عند الطلب. يتوافق هذا الإعداد مع عدد مؤشرات ترابط المعالج المستخدمة من قبل الفحص. يؤثر هذا الإعداد على استخدام وحدة المعالجة المركزية ومدة عمليات الفحص عند الطلب.

الوصف	قيمة JSON	قيمة مدخل Defender
المفتاح	maximumOnDemandScanThreads	الحد الأقصى لرسائل تفحص مؤشرات الترابط عند الطلب
نوع البيانات	صحيح	تبديل تبديل & عدد صحيح
القيم المحتملة	2 (افتراضي). القيم المسموح بها هي أعداد صحيحة بين 1 و 64.	Not Configured (تبديل الإعدادات الافتراضية إلى 2) Configured (تشغيل) والأعداد الصحيحة بين 1 و 64.

ملاحظة

متوفر في إصدار 101.45.00 Microsoft Defender لنقطة النهاية أو أحدث.

نهج دمج الاستبعاد

ملاحظة

نوصي بتكوين الاستثناءات ونهج الدمج في exclusionSettings. يسمح لك هذا الأسلوب بتكوين epp الاستثناءات ونطاقها global باستخدام واحد mergePolicy. تنطبق الإعدادات في هذا القسم فقط على epp الاستثناءات ما لم يكن نهج الدمج في exclusionSettings هو admin_only.

يحدد ما إذا كان يجب استخدام الاستثناءات المعرفة من قبل المستخدم على الجهاز. القيم الصالحة هي:

• admin_only: استخدم الاستثناءات المعرفة من قبل المسؤول فقط التي تم تكوينها بواسطة نهج Defender لنقطة النهاية. استخدم هذه القيمة لمنع المستخدمين من تحديد استثناءاتهم الخاصة.
• merge: استخدم مجموعة من الاستثناءات المعرفة من قبل المسؤول والمعرفة من قبل المستخدم.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	exclusionsMergePolicy	دمج الاستثناءات
نوع البيانات	سلسلة	القائمة المنسدلة
القيم المحتملة	merge (افتراضي) admin_only	Not configured merge (افتراضي) admin_only

ملاحظة

متوفر في إصدار 100.83.73 Defender لنقطة النهاية أو إصدار أحدث.

استثناءات الفحص

الكيانات المستبعدة من عمليات الفحص. يمكنك تحديد الاستثناءات كصفيف من العناصر. يمكن للمسؤولين تحديد أكبر عدد من العناصر حسب الضرورة، بأي ترتيب. يمكنك تحديد الاستثناءات باستخدام المسارات الكاملة أو الملحقات أو أسماء الملفات.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	exclusions	استثناءات الفحص
نوع البيانات	القاموس (التفضيل المتداخل)	قائمة الخصائص الديناميكية

راجع الأقسام الفرعية التالية للحصول على وصف لمحتويات القاموس.

نوع الاستبعاد

يحدد نوع المحتوى المستبعد من عمليات الفحص.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	$type	نوع
نوع البيانات	سلسلة	القائمة المنسدلة
القيم المحتملة	excludedPath excludedFileExtension excludedFileName	مسار ملحق الملف اسم العملية

المسار إلى المحتوى المستبعد

استبعاد المحتوى من الفحص حسب مسار الملف الكامل.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	مسار	مسار
نوع البيانات	سلسلة	سلسلة
القيم المحتملة	مسارات صالحة	مسارات صالحة
تعليقات	قابل للتطبيق فقط إذا كان $typeexcludedPath	تم الوصول إليه في النافذة المنبثقة "تحرير المثيل "

نوع المسار (ملف / دليل)

يحدد ما إذا كانت خاصية المسار تشير إلى ملف أو دليل.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	isDirectory	هو الدليل
نوع البيانات	منطقي	القائمة المنسدلة
القيم المحتملة	false (افتراضي) true	Enabled Disabled
تعليقات	قابل للتطبيق فقط إذا كان $typeexcludedPath	تم الوصول إليه في النافذة المنبثقة "تحرير المثيل "

تم استبعاد ملحق الملف من الفحص

استبعاد المحتوى من الفحص حسب ملحق الملف.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	ملحق	ملحق الملف
نوع البيانات	سلسلة	سلسلة
القيم المحتملة	ملحقات الملفات الصالحة	ملحقات الملفات الصالحة
تعليقات	قابل للتطبيق فقط إذا كان $typeexcludedFileExtension	تم الوصول إليه في النافذة المنبثقة تكوين المثيل

العملية المستبعدة من الفحص

تحديد عملية يتم استبعاد جميع نشاط الملف من المسح الضوئي لها. يمكنك تحديد العملية حسب الاسم (على سبيل المثال، cat) أو المسار الكامل (على سبيل المثال، /bin/cat).

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	اسم	اسم الملف
نوع البيانات	سلسلة	سلسلة
القيم المحتملة	أي سلسلة	أي سلسلة
تعليقات	قابل للتطبيق فقط إذا كان $typeexcludedFileName	تم الوصول إليه في النافذة المنبثقة تكوين المثيل

كتم التحميلات غير المكتتمة

يحدد سلوك RTP على نقاط التحميل التي تم وضع علامة عليها ك noexec. القيم الصالحة هي:

• إلغاء كتمه (unmute): يتم مسح جميع نقاط التحميل ضوئيا كجزء من RTP. هذه القيمة هي القيمة الافتراضية.
• كتم الصوت (mute): لا يتم مسح نقاط التحميل التي تم وضع علامة عليها على أنها noexec ضوئيا كجزء من RTP.
  • يمكن لخوادم قاعدة البيانات الاحتفاظ بملفات قاعدة البيانات.
  • يمكن لخوادم الملفات الاحتفاظ بنقاط تحميل ملف البيانات.
  • يمكن للنسخ الاحتياطي الاحتفاظ بنقاط تحميل ملف البيانات.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	nonExecMountPolicy	non execute mount mute
نوع البيانات	سلسلة	القائمة المنسدلة
القيم المحتملة	unmute (افتراضي) mute	Not configured unmute (افتراضي) mute

ملاحظة

متوفر في إصدار 101.85.27 Defender لنقطة النهاية أو إصدار أحدث.

أنظمة الملفات غير المراقبة

يحدد أنظمة الملفات التي لا تتم مراقبتها بواسطة (يتم استبعادها من) RTP. لا تزال أنظمة الملفات المحددة ممسوحة ضوئيا بواسطة عمليات فحص سريعة وكاملة ومخصصة في برنامج الحماية من الفيروسات Microsoft Defender.

عند إضافة نظام ملفات أو إزالته من القائمة غير الخاضعة للمراقبة، تتحقق Microsoft من أهلية نظام الملفات للمراقبة بواسطة RTP (تمت إزالته من القائمة) أو عدم وجود مراقبة بواسطة RTP (تمت إضافته إلى القائمة).

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	unmonitoredFilesystems	أنظمة الملفات غير الخاضعة للمراقبة
نوع البيانات	صفيف من السلاسل	قائمة السلاسل الديناميكية

• بشكل افتراضي، تتم مراقبة أنظمة الملفات التالية بواسطة RTP:

  • btrfs
  • ecryptfs
  • ext2
  • ext3
  • ext4
  • fuseblk
  • jfs
  • overlay
  • ramfs
  • reiserfs
  • tmpfs
  • vfat
  • xfs

• بشكل افتراضي، لا تتم مراقبة أنظمة الملفات التالية بواسطة RTP:

  • cifs^*
  • fuse
  • nfs
  • nfs4^*
  • smb^*

  كما أن أنظمة الملفات هذه غير مراقبة بواسطة عمليات الفحص السريعة والكاملة، ولكنها قابلة للمسح الضوئي بواسطة عمليات الفحص المخصصة.

  ^* حاليا، مراقبة RTP لنظام الملفات هذا قيد المعاينة.

على سبيل المثال، لإزالة nfs ومن nfs4 قائمة أنظمة الملفات غير الخاضعة للمراقبة (مما يعني nfs ويتم nfs4 مراقبتها بواسطة RTP بعد التحقق من الصحة)، قم بتحديث ملف التكوين المدار مع الإدخال التالي:

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["cifs","fuse","smb"]
  }
}

لإزالة جميع الإدخالات من قائمة أنظمة الملفات غير الخاضعة للمراقبة، استخدم الإدخال التالي:

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

تكوين ميزة حساب تجزئة الملف

تمكين حساب تجزئة الملفات للملفات التي تم مسحها ضوئيا بواسطة Defender لنقطة النهاية أو تعطيلها. قد يؤثر تمكين هذه الميزة على أداء الجهاز. لمزيد من المعلومات، راجع إنشاء مؤشرات للملفات.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	enableFileHashComputation	تمكين حساب تجزئة الملف
نوع البيانات	منطقي	القائمة المنسدلة
القيم المحتملة	false (افتراضي) true	Not configured Disabled (افتراضي) Enabled

ملاحظة

متوفر في إصدار 101.85.27 Defender لنقطة النهاية أو إصدار أحدث.

التهديدات المسموح بها

يحدد أسماء التهديدات التي لم يتم حظرها بواسطة Defender لنقطة النهاية. بدلا من ذلك، يسمح بتشغيل هذه التهديدات.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	allowedThreats	التهديدات المسموح بها
نوع البيانات	صفيف من السلاسل	قائمة السلاسل الديناميكية

إجراءات التهديد غير المسموح بها

يقيد الإجراءات المسموح بها من قبل مستخدم الجهاز عند اكتشاف التهديدات. لا يتم عرض الإجراءات المضمنة في هذه القائمة في واجهة المستخدم.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	disallowedThreatActions	إجراءات التهديد غير المسموح بها
نوع البيانات	صفيف من السلاسل	قائمة السلاسل الديناميكية
القيم المحتملة	allow (يقيد المستخدمين من السماح بالتهديدات) restore (يقيد المستخدمين من استعادة التهديدات من العزل)	allow (يقيد المستخدمين من السماح بالتهديدات) restore (يقيد المستخدمين من استعادة التهديدات من العزل)

ملاحظة

متوفر في إصدار 100.83.73 Defender لنقطة النهاية أو إصدار أحدث.

إعدادات نوع التهديد

التحكم في كيفية معالجة أنواع معينة من التهديدات.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	threatTypeSettings	إعدادات نوع التهديد
نوع البيانات	القاموس (التفضيل المتداخل)	قائمة الخصائص الديناميكية

راجع الأقسام الفرعية التالية للحصول على وصف لمحتويات القاموس.

نوع التهديد

يحدد نوع التهديد.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	مفتاح	نوع التهديد
نوع البيانات	سلسلة	القائمة المنسدلة
القيم المحتملة	potentially_unwanted_application archive_bomb	potentially_unwanted_application archive_bomb

الإجراء الذي يجب اتخاذه

يحدد الإجراء عند اكتشاف أنواع التهديدات المحددة مسبقا. القيم الصالحة هي:

• التدقيق: الجهاز غير محمي من هذا النوع من التهديدات، ولكن يتم تسجيل إدخال حول التهديد. هذه القيمة هي القيمة الافتراضية.
• الحظر: الجهاز محمي من هذا النوع من التهديدات ويتم إعلامك في مدخل Microsoft Defender.
• إيقاف التشغيل: الجهاز غير محمي من هذا النوع من التهديدات ولا يتم تسجيل أي شيء.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	قيمه	الإجراء الذي يجب اتخاذه
نوع البيانات	سلسلة	القائمة المنسدلة
القيم المحتملة	audit (افتراضي) block off	audit block قباله

نهج دمج إعدادات نوع التهديد

يحدد ما إذا كنت تريد استخدام إعدادات نوع التهديد المعرفة من قبل المستخدم على الجهاز. القيم الصالحة هي:

• admin_only: استخدم إعدادات نوع التهديد المعرفة من قبل المسؤول فقط. استخدم هذه القيمة لمنع المستخدمين من تحديد إعدادات نوع التهديد الخاصة بهم.
• merge: استخدم مجموعة من إعدادات نوع التهديد المعرفة من قبل المسؤول والمعرفة من قبل المستخدم.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	threatTypeSettingsMergePolicy	دمج إعدادات نوع التهديد
نوع البيانات	سلسلة	القائمة المنسدلة
القيم المحتملة	merge (افتراضي) admin_only	Not configured merge (افتراضي) admin_only

ملاحظة

متوفر في إصدار 100.83.73 Defender لنقطة النهاية أو إصدار أحدث.

استبقاء محفوظات فحص برنامج الحماية من الفيروسات (بالأيام)

حدد عدد الأيام التي يتم فيها الاحتفاظ بالنتائج في محفوظات الفحص على الجهاز. تتم إزالة نتائج الفحص القديمة من المحفوظات. تتم أيضا إزالة الملفات المعزولة القديمة من القرص.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	scanResultsRetentionDays	فحص استبقاء النتائج
نوع البيانات	سلسلة	تبديل المفتاح والرقم الصحيح
القيم المحتملة	90 (افتراضي). تتراوح القيم الصالحة من 1 إلى 180 يوما.	Not configured (إيقاف التشغيل؛ افتراضي لمدة 90 يوما) Configured (تشغيل التبديل) والقيمة المسموح بها من 1 إلى 180 يوما.

ملاحظة

متوفر في إصدار 101.04.76 Defender لنقطة النهاية أو إصدار أحدث.

الحد الأقصى لعدد العناصر في سجل فحص مكافحة الفيروسات

حدد الحد الأقصى لعدد الإدخالات التي يجب الاحتفاظ بها في محفوظات الفحص. تتضمن الإدخالات جميع عمليات الفحص عند الطلب وجميع عمليات الكشف عن مكافحة الفيروسات.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	scanHistoryMaximumItems	حجم محفوظات الفحص
نوع البيانات	سلسلة	التبديل والأعداد الصحيحة
القيم المحتملة	10000 (افتراضي). القيم المسموح بها هي من 5000 عناصر إلى 15000 عناصر.	غير مكون (إيقاف التشغيل - 10000 افتراضي) Configured (تبديل) والقيمة المسموح بها من 5000 إلى 15000 عنصر.

ملاحظة

متوفر في إصدار 101.04.76 Defender لنقطة النهاية أو إصدار أحدث.

تفضيلات إعداد الاستبعاد

ملاحظة

تتوفر الاستثناءات العمومية في إصدار 101.24092.0001 Defender لنقطة النهاية أو إصدار أحدث.

يقوم exclusionSettings قسم ملف تعريف التكوين بتكوين استثناءات مختلفة Microsoft Defender لنقطة النهاية Linux.

الوصف	قيمة JSON
المفتاح	exclusionSettings
نوع البيانات	القاموس (التفضيل المتداخل)

راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.|

ملاحظة

• تستمر استثناءات مكافحة الفيروسات التي تم تكوينها مسبقا في قسم antivirusEngine في JSON المدار في العمل.
• يمكنك تحديد استثناءات مكافحة الفيروسات في هذا القسم أو في antivirusEngineالقسم ) . يجب إضافة جميع أنواع الاستبعاد الأخرى في هذا القسم، لأن exclusionSettings القسم مصمم لاستضافة جميع أنواع الاستبعاد مركزيا.

نهج الدمج

نهج دمج الاستبعاد

يحدد ما إذا كان يجب استخدام الاستثناءات المعرفة من قبل المستخدم على الجهاز. القيم الصالحة هي:

• admin_only: استخدم الاستثناءات المعرفة من قبل المسؤول فقط التي تم تكوينها بواسطة نهج Defender لنقطة النهاية. استخدم هذه القيمة لمنع المستخدمين من تحديد استثناءاتهم الخاصة.
• merge: استخدم مجموعة من الاستثناءات المعرفة من قبل المسؤول والمعرفة من قبل المستخدم.

ينطبق هذا الإعداد على استثناءات جميع النطاقات.

الوصف	قيمة JSON
المفتاح	mergePolicy
نوع البيانات	سلسلة
القيم المحتملة	merge (افتراضي) admin_only

ملاحظة

متوفر في إصدار Defender لنقطة النهاية سبتمبر 2023 أو أحدث.

الاستثناءات

الكيانات المستبعدة من عمليات الفحص. يمكنك تحديد الاستثناءات كصفيف من العناصر. يمكن للمسؤولين تحديد أكبر عدد من العناصر حسب الضرورة، بأي ترتيب. يمكنك تحديد الاستثناءات باستخدام المسارات الكاملة أو الملحقات أو أسماء الملفات. لكل استثناء، يمكنك تحديد نطاق. النطاق الافتراضي عمومي.

الوصف	قيمة JSON
المفتاح	exclusions
نوع البيانات	القاموس (التفضيل المتداخل)

راجع الأقسام الفرعية التالية للحصول على وصف لمحتويات القاموس.

نوع الاستبعاد

يحدد نوع المحتوى المستبعد من عمليات الفحص.

الوصف	قيمة JSON
المفتاح	$type
نوع البيانات	سلسلة
القيم المحتملة	excludedPath excludedFileExtension excludedFileName

نطاق الاستبعاد (اختياري)

يحدد نطاق الاستبعاد للمحتوى المستبعد. القيم الصالحة هي:

• epp
• global

إذا لم تحدد نطاق استبعاد في التكوين المدار، يتم استخدام القيمة global .

ملاحظة

تستمر استثناءات مكافحة الفيروسات التي تم تكوينها مسبقا ضمن antivirusEngine في JSON المدارة في العمل مع النطاق epp لأنها كانت في antivirusEngine القسم .

الوصف	قيمة JSON
المفتاح	نطاقات
نوع البيانات	مجموعة من السلاسل
القيم المحتملة	epp global

ملاحظة

لا تتأثر الاستثناءات التي تم تطبيقها مسبقا باستخدام (mdatp_managed.json) أو بواسطة CLI. نطاق هذه الاستثناءات هو epp لأنها كانت في antivirusEngine القسم .

المسار إلى المحتوى المستبعد

استبعاد المحتوى من عمليات الفحص حسب مسار الملف الكامل.

الوصف	قيمة JSON
المفتاح	مسار
نوع البيانات	سلسلة
القيم المحتملة	مسارات صالحة
تعليقات	ينطبق فقط إذا تم استبعاد $type Path. لا يتم دعم أحرف البدل إذا كان الاستبعاد له نطاق عمومي.

نوع المسار (ملف / دليل)

يحدد ما إذا كانت خاصية المسار تشير إلى ملف أو دليل.

ملاحظة

يجب أن يكون مسار الملف موجودا بالفعل إذا قمت بإضافة استثناء ملف مع global النطاق.

الوصف	قيمة JSON
المفتاح	isDirectory
نوع البيانات	منطقي
القيم المحتملة	false (افتراضي) true
تعليقات	ينطبق فقط إذا تم استبعاد $type Path. لا يتم دعم أحرف البدل إذا كان الاستبعاد له نطاق عمومي.

تم استبعاد ملحق الملف من الفحص

استبعاد المحتوى من عمليات الفحص حسب ملحق الملف.

الوصف	قيمة JSON
المفتاح	ملحق
نوع البيانات	سلسلة
القيم المحتملة	ملحقات الملفات الصالحة
تعليقات	ينطبق فقط إذا تم استبعاد $type FileExtension. غير مدعوم إذا كان الاستبعاد له نطاق عمومي.

العملية المستبعدة من الفحص

استبعاد كافة نشاط الملف بواسطة عملية من عمليات الفحص. القيم الصالحة هي:

• اسم العملية. على سبيل المثال، cat.
• المسار الكامل. على سبيل المثال، /bin/cat.

الوصف	قيمة JSON
المفتاح	اسم
نوع البيانات	سلسلة
القيم المحتملة	أي سلسلة
تعليقات	ينطبق فقط إذا تم استبعاد $type FileName. لا يتم دعم أحرف البدل وأسماء العمليات إذا كان الاستبعاد له نطاق عمومي. تحتاج إلى توفير المسار الكامل.

خيارات الفحص المتقدمة

يمكنك تكوين الإعدادات التالية لتمكين بعض ميزات الفحص المتقدمة.

هام

قد يؤثر تمكين هذه الميزات على أداء الجهاز. نوصي بالقيم الافتراضية إلا إذا أوصى بدعم Microsoft بخلاف ذلك.

تكوين فحص أحداث أذونات تعديل الملف

يحدد ما إذا كان Defender لنقطة النهاية يفحص الملفات عند تغيير أذوناتها لتعيين وحدات البت المنفذة.

ملاحظة

يكون هذا الإعداد ذا معنى فقط عند enableFilePermissionEvents تمكينه. لمزيد من المعلومات، راجع قسم الميزات الاختيارية المتقدمة لاحقا في هذه المقالة.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	scanFileModifyPermissions	غير متوفر
نوع البيانات	منطقي	غير متوفر
القيم المحتملة	false (افتراضي) true	غير متوفر

ملاحظة

متوفر في إصدار 101.23062.0010 Defender لنقطة النهاية أو إصدار أحدث.

تكوين فحص أحداث ملكية تعديل الملف

يحدد ما إذا كان Defender لنقطة النهاية يفحص الملفات ذات الملكية المتغيرة.

ملاحظة

يكون هذا الإعداد ذا معنى فقط عند enableFileOwnershipEvents تمكينه. لمزيد من المعلومات، راجع قسم الميزات الاختيارية المتقدمة لاحقا في هذه المقالة.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	scanFileModifyOwnership	غير متوفر
نوع البيانات	منطقي	غير متوفر
القيم المحتملة	false (افتراضي) true	غير متوفر

ملاحظة

متوفر في إصدار 101.23062.0010 Defender لنقطة النهاية أو إصدار أحدث.

تكوين مسح ضوئي لأحداث مأخذ التوصيل الخام

يحدد ما إذا كان Defender لنقطة النهاية يفحص أحداث مأخذ توصيل الشبكة. على سبيل المثال:

• إنشاء مآخذ توصيل أولية / مآخذ توصيل الحزمة.
• تعيين خيارات مأخذ التوصيل.

ملاحظة

• يكون هذا الإعداد ذا معنى فقط عند تمكين مراقبة السلوك.
• يكون هذا الإعداد ذا معنى فقط عند enableRawSocketEvent تمكينه. لمزيد من المعلومات، راجع قسم الميزات الاختيارية المتقدمة لاحقا في هذه المقالة.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	scanNetworkSocketEvent	غير متوفر
نوع البيانات	منطقي	غير متوفر
القيم المحتملة	false (افتراضي) true	غير متوفر

ملاحظة

متوفر في إصدار 101.23062.0010 Defender لنقطة النهاية أو إصدار أحدث.

تفضيلات الحماية المقدمة من السحابة

يقوم إدخال cloudService في ملف تعريف التكوين بتكوين ميزة الحماية المستندة إلى السحابة.

ملاحظة

تنطبق الحماية المقدمة من السحابة مع أي إعدادات مستوى الإنفاذ (real_timeأو on_demandأو passive).

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	cloudService	تفضيلات الحماية المقدمة من السحابة
نوع البيانات	القاموس (التفضيل المتداخل)	مقطع مطوي

راجع الأقسام الفرعية التالية للحصول على وصف لمحتويات القاموس وإعدادات النهج.

تمكين الحماية المقدمة من السحابة أو تعطيلها

حدد ما إذا كانت الحماية المقدمة من السحابة ممكنة على الجهاز. لتحسين الأمان، نوصي بإبقاء هذه الميزة قيد التشغيل.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	enabled	تمكين الحماية المقدمة من السحابة
نوع البيانات	منطقي	القائمة المنسدلة
القيم المحتملة	true (افتراضي) false	لم يتم تكوينه ذوي الاحتياجات الخاصه ممكن (افتراضي)

مستوى مجموعة التشخيص

حدد مستوى المعلومات التشخيصية المرسلة إلى Microsoft. لمزيد من المعلومات، راجع الخصوصية Microsoft Defender لنقطة النهاية على Linux.

يتم استخدام البيانات التشخيصية للحفاظ على أمان Defender لنقطة النهاية وتحديثها، واكتشاف المشكلات وتشخيصها وإصلاحها، وكذلك إجراء تحسينات على المنتج.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	diagnosticLevel	مستوى جمع البيانات التشخيصية
نوع البيانات	سلسلة	القائمة المنسدلة
القيم المحتملة	optional required (افتراضي)	Not configured optional (افتراضي) required

تكوين مستوى كتلة السحابة

حدد عدوانية Defender لنقطة النهاية في حظر الملفات المشبوهة ومسحها ضوئيا. القيم الصالحة هي:

• عادي (normal): القيمة هي القيمة الافتراضية.
• معتدل (moderate): إصدار الأحكام فقط للكشف عن الثقة العالية.
• عالي (high): حظر الملفات غير المعروفة بقوة أثناء التحسين للأداء. هذه القيمة لها فرصة أكبر لحظر الملفات غير الصالحة.
• High Plus (high_plus): حظر الملفات غير المعروفة بقوة وتطبيق مقاييس حماية إضافية. قد تؤثر هذه القيمة على أداء جهاز العميل.
• عدم التسامح (zero_tolerance): حظر جميع البرامج غير المعروفة.

إذا كان هذا الإعداد قيد التشغيل، فإن Defender لنقطة النهاية أكثر عدوانية عند تحديد الملفات المشبوهة لحظرها ومسحها ضوئيا. وإلا، فهو أقل عدوانية وبالتالي يحظر ويمسح بتردد أقل.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	cloudBlockLevel	تكوين مستوى كتلة السحابة
نوع البيانات	سلسلة	القائمة المنسدلة
القيم المحتملة	normal (افتراضي) moderate high high_plus zero_tolerance	Not configured Normal (افتراضي) Moderate High High_Plus Zero_Tolerance

ملاحظة

متوفر في إصدار 101.56.62 Defender لنقطة النهاية أو إصدار أحدث.

تمكين عمليات إرسال العينة التلقائية أو تعطيلها

يحدد ما إذا كانت العينات المشبوهة (من المحتمل أن تحتوي على تهديدات) يتم إرسالها إلى Microsoft. القيم الصالحة هي:

• بلا: لا يتم إرسال أي عينات مريبة إلى Microsoft.
• آمن: يتم إرسال العينات المشبوهة التي لا تحتوي على معلومات شخصية فقط تلقائيا. هذه القيمة هي القيمة الافتراضية.
• الكل: يتم إرسال جميع العينات المشبوهة إلى Microsoft.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	automaticSampleSubmissionConsent	تمكين عمليات إرسال العينة التلقائية
نوع البيانات	سلسلة	القائمة المنسدلة
القيم المحتملة	none safe (افتراضي) all	Not configured None Safe (افتراضي) All

تمكين تحديثات التحليل الذكي للأمان التلقائية أو تعطيلها

يحدد ما إذا كانت تحديثات التحليل الذكي للأمان مثبتة تلقائيا.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	automaticDefinitionUpdateEnabled	تحديثات التحليل الذكي للأمان التلقائي
نوع البيانات	منطقي	القائمة المنسدلة
القيم المحتملة	true (افتراضي) false	Not configured Disabled Enabled (افتراضي)

اعتمادا على مستوى الإنفاذ، يتم تثبيت تحديثات التحليل الذكي للأمان التلقائي بشكل مختلف. في وضع RTP، يتم تثبيت التحديثات بشكل دوري. في الوضع السلبي أو عند الطلب، يتم تثبيت التحديثات قبل كل فحص.

الميزات الاختيارية المتقدمة

استخدم الإعدادات التالية لتمكين ميزات اختيارية متقدمة معينة.

هام

قد يؤثر تمكين هذه الميزات على أداء الجهاز. نوصي بالقيم الافتراضية إلا إذا أوصى بدعم Microsoft بخلاف ذلك.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	ميزات	غير متوفر
نوع البيانات	القاموس (التفضيل المتداخل)	غير متوفر

راجع الأقسام الفرعية التالية للحصول على وصف لمحتويات القاموس.

ميزة تحميل الوحدة النمطية

يحدد ما إذا كانت أحداث تحميل الوحدة النمطية (أحداث فتح الملف على المكتبات المشتركة) تتم مراقبتها.

ملاحظة

يكون هذا الإعداد ذا معنى فقط عند تمكين مراقبة السلوك.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	moduleLoad	غير متوفر
نوع البيانات	سلسلة	غير متوفر
القيم المحتملة	disabled (افتراضي) enabled	غير متوفر

ملاحظة

متوفر في إصدار 101.68.80 Defender لنقطة النهاية أو إصدار أحدث.

معالجة ميزة الملف المصاب

يحدد ما إذا كانت العمليات المصابة التي تفتح الملفات المصابة أو تحملها تعالج في وضع RTP.

ملاحظة

لا تظهر هذه العمليات في قائمة التهديدات لأنها ليست ضارة. يتم إنهاء عمليات THe فقط لأنها حملت ملف التهديد في الذاكرة.

الوصف	قيمة JSON	قيمة مدخل Defender
المفتاح	remediateInfectedFile	غير متوفر
نوع البيانات	سلسلة	غير متوفر
القيم المحتملة	معطل (افتراضي) تمكين	غير متوفر

ملاحظة

متوفر في إصدار 101.24122.0001 Defender لنقطة النهاية أو إصدار أحدث.

تكوينات المستشعر التكميلية

استخدم الإعدادات التالية لتكوين ميزات مستشعر تكميلية متقدمة معينة.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	supplementarySensorConfigurations	غير متوفر
نوع البيانات	القاموس (التفضيل المتداخل)	غير متوفر

راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.

تكوين مراقبة أحداث أذونات تعديل الملف

يحدد ما إذا كانت أحداث أذونات تعديل الملف (chmod) تتم مراقبتها.

ملاحظة

عند تمكين هذه الميزة، يراقب Defender لنقطة النهاية التغييرات على وحدات البت المنفذة من الملفات، ولكنه لا يفحص هذه الأحداث. لمزيد من المعلومات، راجع قسم Advanced scanning features .

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	enableFilePermissionEvents	غير متوفر
نوع البيانات	سلسلة	غير متوفر
القيم المحتملة	disabled (افتراضي) enabled	غير متوفر

ملاحظة

متوفر في إصدار 101.23062.0010 Defender لنقطة النهاية أو إصدار أحدث.

تكوين مراقبة أحداث ملكية تعديل الملف

يحدد ما إذا كانت أحداث تعديل الملف (chown) تتم مراقبتها.

ملاحظة

عند تمكين هذه الميزة، يراقب Defender لنقطة النهاية التغييرات التي تطرأ على ملكية الملفات، ولكنه لا يفحص هذه الأحداث. لمزيد من المعلومات، راجع ميزات الفحص المتقدم.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	enableFileOwnershipEvents	غير متوفر
نوع البيانات	سلسلة	غير متوفر
القيم المحتملة	disabled (افتراضي) enabled	غير متوفر

ملاحظة

متوفر في إصدار 101.23062.0010 Defender لنقطة النهاية أو إصدار أحدث.

تكوين مراقبة أحداث مأخذ التوصيل الخام

يحدد ما إذا كانت أحداث مأخذ توصيل الشبكة التي تتضمن إنشاء مآخذ توصيل أولية / مآخذ توصيل الحزمة، أو إعداد خيار مأخذ التوصيل، تتم مراقبتها.

ملاحظة

• تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.
• عند تمكين هذه الميزة، يراقب Defender لنقطة النهاية أحداث مأخذ توصيل الشبكة هذه، ولكنه لا يفحص هذه الأحداث. لمزيد من المعلومات، راجع قسم ميزات المسح المتقدم .

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	enableRawSocketEvent	غير متوفر
نوع البيانات	سلسلة	غير متوفر
القيم المحتملة	disabled (افتراضي) enabled	غير متوفر

ملاحظة

متوفر في إصدار 101.23062.0010 Defender لنقطة النهاية أو إصدار أحدث.|

تكوين مراقبة أحداث محمل التمهيد

يحدد ما إذا كانت أحداث محمل التمهيد تتم مراقبتها ومسحها ضوئيا.

ملاحظة

يكون هذا الإعداد ذا معنى فقط عند تمكين مراقبة السلوك.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	enableBootLoaderCalls	غير متوفر
نوع البيانات	سلسلة	غير متوفر
القيم المحتملة	disabled (افتراضي) enabled	غير متوفر

ملاحظة

متوفر في إصدار 101.68.80 Defender لنقطة النهاية أو إصدار أحدث.

تكوين مراقبة أحداث ptrace

يحدد ما إذا كانت أحداث ptrace تتم مراقبتها ومسحها ضوئيا.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	enableProcessCalls	غير متوفر
نوع البيانات	سلسلة	غير متوفر
القيم المحتملة	disabled (افتراضي) enabled	غير متوفر

ملاحظة

متوفر في إصدار 101.68.80 Defender لنقطة النهاية أو إصدار أحدث.

تكوين مراقبة الأحداث الزائفة

يحدد ما إذا كانت الأحداث الزائفة تتم مراقبتها ومسحها ضوئيا.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	enablePseudofsCalls	غير متوفر
نوع البيانات	سلسلة	غير متوفر
القيم المحتملة	disabled (افتراضي) enabled	غير متوفر

ملاحظة

متوفر في إصدار 101.68.80 Defender لنقطة النهاية أو إصدار أحدث.

تكوين مراقبة أحداث تحميل الوحدة النمطية باستخدام eBPF

يحدد ما إذا كانت أحداث تحميل الوحدة النمطية تتم مراقبتها بواسطة eBPF ومسحها ضوئيا.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	enableEbpfModuleLoadEvents	غير متوفر
نوع البيانات	سلسلة	غير متوفر
القيم المحتملة	disabled (افتراضي) enabled	غير متوفر

ملاحظة

متوفر في إصدار 101.68.80 Defender لنقطة النهاية أو إصدار أحدث.

تكوين مراقبة الأحداث المفتوحة من أنظمة ملفات معينة باستخدام eBPF

يحدد ما إذا كانت الأحداث المفتوحة من procfs تتم مراقبتها بواسطة eBPF.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	enableOtherFsOpenEvents	غير متوفر
نوع البيانات	سلسلة	غير متوفر
القيم المحتملة	disabled (افتراضي) enabled	غير متوفر

ملاحظة

متوفر في إصدار 101.24072.0001 Defender لنقطة النهاية أو إصدار أحدث.

تكوين إثراء مصدر الأحداث باستخدام eBPF

يحدد ما إذا كان يتم إثراء الأحداث ببيانات التعريف في المصدر في eBPF.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	enableEbpfSourceEnrichment	غير متوفر
نوع البيانات	سلسلة	غير متوفر
القيم المحتملة	disabled (افتراضي) enabled	غير متوفر

ملاحظة

متوفر في إصدار 101.24072.0001 Defender لنقطة النهاية أو إصدار أحدث.

تمكين ذاكرة التخزين المؤقت لمحرك مكافحة الفيروسات

يحدد ما إذا كانت بيانات التعريف للأحداث التي تم مسحها ضوئيا بواسطة محرك مكافحة الفيروسات مخزنة مؤقتا.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	enableAntivirusEngineCache	غير متوفر
نوع البيانات	سلسلة	غير متوفر
القيم المحتملة	disabled (افتراضي) enabled	غير متوفر

ملاحظة

متوفر في إصدار 101.24072.0001 Defender لنقطة النهاية أو إصدار أحدث.

الإبلاغ عن أحداث مكافحة الفيروسات المشبوهة إلى EDR

يحدد ما إذا كان يتم الإبلاغ عن الأحداث المشبوهة من برنامج الحماية من الفيروسات إلى EDR.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	sendLowfiEvents	غير متوفر
نوع البيانات	سلسلة	غير متوفر
القيم المحتملة	disabled (افتراضي) enabled	غير متوفر

ملاحظة

متوفر في إصدار 101.23062.0010 Defender لنقطة النهاية أو إصدار أحدث.

تكوينات حماية الشبكة

ملاحظة

• حاليا، هذه الميزة في المعاينة.
• هذه الإعدادات ذات معنى فقط عند تشغيل Network Protection. لمزيد من المعلومات، راجع تشغيل حماية الشبكة Linux.

استخدم الإعدادات التالية لتكوين ميزات فحص حماية الشبكة المتقدمة التي تتحكم في نسبة استخدام الشبكة التي تم فحصها بواسطة Network Protection.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	networkProtection	حماية الشبكة
نوع البيانات	القاموس (التفضيل المتداخل)	مقطع مطوي

راجع الأقسام الفرعية التالية للحصول على وصف لمحتويات القاموس.

مستوى الإنفاذ

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	enforcementLevel	مستوى الإنفاذ
نوع البيانات	سلسلة	القائمة المنسدلة
القيم المحتملة	disabled (افتراضي) audit block	Not configured disabled (افتراضي) audit block

تكوين فحص ICMP

يحدد ما إذا كانت أحداث ICMP تتم مراقبتها ومسحها ضوئيا.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.

الوصف	قيمة JSON	قيمة مدخل Microsoft Defender
المفتاح	disableIcmpInspection	غير متوفر
نوع البيانات	منطقي	غير متوفر
القيم المحتملة	true (افتراضي) false	غير متوفر

ملاحظة

متوفر في إصدار 101.23062.0010 Defender لنقطة النهاية أو إصدار أحدث.

إضافة العلامة أو معرف المجموعة إلى ملف تعريف التكوين

عند تشغيل mdatp health الأمر لأول مرة، تكون قيم العلامة ومعرف المجموعة فارغة. لإضافة علامة أو معرف مجموعة إلى mdatp_managed.json الملف، اتبع الخطوات التالية:

1. افتح ملف تعريف التكوين من المسار /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

2. cloudService في الكتلة الموجودة أسفل الملف، أضف العلامة المطلوبة أو معرف المجموعة في نهاية قوس الإغلاق المتعرج للكتلة cloudService كما هو موضح في المثال التالي.

   },
   "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
   },
   "edr": {
   "groupIds":"GroupIdExample",
   "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
   }
   

   ملاحظة

   • أضف فاصلة بعد قوس الإغلاق المتعرج في نهاية cloudService الكتلة.
   • تحقق من وجود قوسين متعرجين مغلقين بعد إضافة tags أو groupIds كتل كما هو موضح في المثال.
   • حاليا، اسم المفتاح الوحيد المدعوم للعلامات هو GROUP.

التحقق من صحة ملف تعريف التكوين

يجب أن يكون ملف تعريف التكوين ملفا صالحا بتنسيق JSON. تتوفر لك العديد من الأدوات للتحقق من ملف تعريف التكوين. على سبيل المثال، قم بتشغيل الأمر التالي إذا قمت python بتثبيته على جهازك:

python -m json.tool mdatp_managed.json

إذا تم تنسيق الملف بشكل صحيح، يقوم الأمر بإرجاع التعليمة البرمجية 0للخروج . وإلا، يتم عرض الأخطاء ويقوم الأمر بإرجاع التعليمة البرمجية 1للخروج .

التحقق من أن ملف mdatp_managed.json يعمل كما هو متوقع

للتحقق من أن عملك /etc/opt/microsoft/mdatp/managed/mdatp_managed.json يعمل بشكل صحيح، يجب أن ترى [managed] بجوار هذه الإعدادات:

• cloud_enabled
• cloud_automatic_sample_submission_consent
• passive_mode_enabled
• real_time_protection_enabled
• automatic_definition_update_enabled

تلميح

بالنسبة لمعظم التكوينات في mdatp_managed.json، لا تحتاج إلى إعادة تشغيل البرنامج الخفي mdatp. تتطلب التكوينات التالية إعادة تشغيل البرنامج الخفي حتى يصبح ساري المفعول:

• cloud-diagnostic
• log-rotation-parameters

توزيع ملف تعريف التكوين

بعد إنشاء ملف تعريف التكوين لمؤسستك، يمكنك توزيعه باستخدام أدوات الإدارة الحالية. يقرأ Defender لنقطة النهاية على Linux التكوين المدار من /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.