مشاركة عبر

تعيين تفضيلات Microsoft Defender لنقطة النهاية على Linux

  • مقالة

ينطبق على:

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

هام

تحتوي هذه المقالة على إرشادات حول كيفية تعيين تفضيلات Defender لنقطة النهاية على Linux في بيئات المؤسسة. إذا كنت مهتما بتكوين المنتج على جهاز من سطر الأوامر، فشاهد الموارد.

في بيئات المؤسسة، يمكن إدارة Defender لنقطة النهاية على Linux من خلال ملف تعريف التكوين. يتم نشر ملف التعريف هذا من أداة الإدارة التي تختارها. التفضيلات التي تديرها المؤسسة لها الأسبقية على التفضيلات التي تم تعيينها محليا على الجهاز. بمعنى آخر، لا يمكن للمستخدمين في مؤسستك تغيير التفضيلات التي تم تعيينها من خلال ملف تعريف التكوين هذا. إذا تمت إضافة استثناءات من خلال ملف تعريف التكوين المدار، يمكن إزالتها فقط من خلال ملف تعريف التكوين المدار. يعمل سطر الأوامر مع الاستثناءات التي تمت إضافتها محليا.

توضح هذه المقالة بنية ملف التعريف هذا (بما في ذلك ملف التعريف الموصى به الذي يمكنك استخدامه للبدء) وإرشادات حول كيفية نشر ملف التعريف.

بنية ملف تعريف التكوين

ملف تعريف التكوين هو ملف .json يتكون من إدخالات تم تحديدها بواسطة مفتاح (الذي يشير إلى اسم التفضيل)، متبوعا بقيمة، والتي تعتمد على طبيعة التفضيل. يمكن أن تكون القيم بسيطة، مثل قيمة رقمية، أو معقدة، مثل قائمة متداخلة من التفضيلات.

عادة، يمكنك استخدام أداة إدارة التكوين لدفع ملف بالاسم mdatp_managed.json في الموقع /etc/opt/microsoft/mdatp/managed/.

يتضمن المستوى الأعلى لملف تعريف التكوين تفضيلات وإدخالات على مستوى المنتج للمساحات الفرعية للمنتج، والتي يتم شرحها بمزيد من التفصيل في الأقسام التالية.

تفضيلات محرك مكافحة الفيروسات

يتم استخدام قسم antivirusEngine في ملف تعريف التكوين لإدارة تفضيلات مكون مكافحة الفيروسات للمنتج.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح برنامج الحماية من الفيروساتEngine محرك مكافحة الفيروسات
نوع البيانات القاموس (التفضيل المتداخل) مقطع مطوي
التعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. راجع الأقسام التالية للحصول على وصف لخصائص النهج.

مستوى الإنفاذ لمحرك مكافحة الفيروسات

يحدد تفضيل فرض محرك مكافحة الفيروسات. هناك ثلاث قيم لتعيين مستوى الإنفاذ:

  • في الوقت الحقيقي (real_time): يتم تمكين الحماية في الوقت الحقيقي (فحص الملفات عند تعديلها).
  • عند الطلب (on_demand): يتم فحص الملفات فقط عند الطلب. في هذا:
    • تم إيقاف تشغيل الحماية في الوقت الحقيقي.
  • الخامل (passive): يشغل محرك مكافحة الفيروسات في الوضع السلبي. في هذا:
    • تم إيقاف تشغيل الحماية في الوقت الحقيقي: لا تتم معالجة التهديدات بواسطة برنامج الحماية من الفيروسات من Microsoft Defender.
    • تم تشغيل الفحص عند الطلب: لا يزال استخدام إمكانات الفحص على نقطة النهاية.
    • تم إيقاف تشغيل المعالجة التلقائية للمخاطر: لن يتم نقل أي ملفات ومن المتوقع أن يتخذ مسؤول الأمان الإجراء المطلوب.
    • يتم تشغيل تحديثات التحليل الذكي للأمان: ستتوفر التنبيهات على مستأجر مسؤولي الأمان.
الوصف قيمة JSON قيمة مدخل Defender
المفتاح مستوى الإنفاذ مستوى الإنفاذ
نوع البيانات سلسلة القائمة المنسدلة
القيم المحتملة real_time
on_demand
passive (افتراضي)		 لم يتم تكوينه
الوقت الحقيقي
OnDemand
سلبي (افتراضي)

ملاحظة

متوفر في Defender لنقطة النهاية الإصدار 101.10.72 أو أعلى. يتم تغيير الافتراضي من real_time إلى سلبي لإصدار نقطة النهاية 101.23062.0001 أو أعلى. يوصى أيضا باستخدام عمليات الفحص المجدولة وفقا للمتطلبات .

تمكين/تعطيل مراقبة السلوك

تحديد ما إذا كانت إمكانية مراقبة السلوك والحظر ممكنة على الجهاز أم لا.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح المراقبة السلوكية تمكين مراقبة السلوك
نوع البيانات سلسلة القائمة المنسدلة
القيم المحتملة disabled (افتراضي)

enabled

 لم يتم تكوينه
معطل (افتراضي)
تمكين

ملاحظة

متوفر في Defender لنقطة النهاية الإصدار 101.45.00 أو أعلى. تنطبق هذه الميزة فقط عند تمكين ميزة Real-Time Protection.

تشغيل فحص بعد تحديث التعريفات

يحدد ما إذا كنت تريد بدء فحص العملية بعد تنزيل تحديثات معلومات الأمان الجديدة على الجهاز. يؤدي تمكين هذا الإعداد إلى تشغيل فحص مكافحة الفيروسات على عمليات تشغيل الجهاز.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح scanAfterDefinitionUpdate تمكين الفحص بعد تحديث التعريف
نوع البيانات منطقي القائمة المنسدلة
القيم المحتملة true (افتراضي)

false

 لم يتم تكوينه
ذوي الاحتياجات الخاصه
ممكن (افتراضي)

ملاحظة

متوفر في Defender لنقطة النهاية الإصدار 101.45.00 أو أعلى. تعمل هذه الميزة فقط عند تعيين مستوى الإنفاذ إلى real-time.

مسح أرشيفات الفحص (عمليات فحص مكافحة الفيروسات عند الطلب فقط)

يحدد ما إذا كنت تريد مسح الأرشيفات ضوئيا أثناء عمليات فحص مكافحة الفيروسات عند الطلب.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح scanArchives تمكين مسح الأرشيفات ضوئيا
نوع البيانات منطقي القائمة المنسدلة
القيم المحتملة true (افتراضي)

false

 لم يتم تكوينه
ذوي الاحتياجات الخاصه
ممكن (افتراضي)

ملاحظة

متوفر في Microsoft Defender لنقطة النهاية الإصدار 101.45.00 أو أعلى. لا يتم فحص ملفات الأرشيف أبدا أثناء الحماية في الوقت الحقيقي. عند استخراج الملفات الموجودة في الأرشيف، يتم مسحها ضوئيا. يمكن استخدام خيار scanArchives لفرض مسح الأرشيف فقط أثناء الفحص عند الطلب.

درجة التوازي للمسح الضوئي عند الطلب

يحدد درجة التوازي لإجراء عمليات الفحص عند الطلب. يتوافق هذا مع عدد مؤشرات الترابط المستخدمة لإجراء الفحص ويؤثر على استخدام وحدة المعالجة المركزية، ومدة الفحص عند الطلب.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح maximumOnDemandScanThreads الحد الأقصى لرسائل تفحص مؤشرات الترابط عند الطلب
نوع البيانات العدد الصحيح تبديل تبديل & عدد صحيح
القيم المحتملة 2 (افتراضي). القيم المسموح بها هي أعداد صحيحة بين 1 و64. غير مكون (تبديل افتراضي إلى 2)
تم تكوينه (تشغيل التبديل) والأعداد الصحيحة بين 1 و64.

ملاحظة

متوفر في Microsoft Defender لنقطة النهاية الإصدار 101.45.00 أو أعلى.

نهج دمج الاستبعاد

يحدد نهج الدمج للاستبعادات. يمكن أن يكون مزيجا من الاستثناءات المعرفة من قبل المسؤول والمعرفة من قبل المستخدم (merge) أو الاستثناءات المعرفة من قبل المسؤول فقط (admin_only). يمكن استخدام هذا الإعداد لتقييد المستخدمين المحليين من تحديد استثناءاتهم.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح exclusionsMergePolicy دمج الاستثناءات
نوع البيانات سلسلة القائمة المنسدلة
القيم المحتملة merge (افتراضي)

admin_only

 لم يتم تكوينه
دمج (افتراضي)
admin_only

ملاحظة

متوفر في Defender لنقطة النهاية الإصدار 100.83.73 أو أعلى.

استثناءات الفحص

الكيانات التي تم استبعادها من الفحص. يمكن تحديد الاستثناءات بواسطة المسارات الكاملة أو الملحقات أو أسماء الملفات. (يتم تحديد الاستثناءات كصفيف من العناصر، يمكن للمسؤول تحديد العديد من العناصر حسب الضرورة، بأي ترتيب.)

الوصف قيمة JSON قيمة مدخل Defender
المفتاح الاستبعادات استثناءات الفحص
نوع البيانات القاموس (التفضيل المتداخل) قائمة الخصائص الديناميكية
التعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.
نوع الاستبعاد

يحدد نوع المحتوى المستبعد من الفحص.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح $type نوع
نوع البيانات سلسلة القائمة المنسدلة
القيم المحتملة excludedPath

excludedFileExtension

excludedFileName

 مسار
ملحق الملف
اسم العملية
المسار إلى المحتوى المستبعد

يستخدم لاستبعاد المحتوى من الفحص حسب مسار الملف الكامل.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح مسار مسار
نوع البيانات سلسلة سلسلة
القيم المحتملة مسارات صالحة مسارات صالحة
التعليقات ينطبق فقط إذا تم استبعاد $type Path تم الوصول إليه في النافذة المنبثقة "تحرير المثيل "
نوع المسار (ملف / دليل)

يشير إلى ما إذا كانت خاصية المسار تشير إلى ملف أو دليل.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح isDirectory هو الدليل
نوع البيانات منطقي القائمة المنسدلة
القيم المحتملة false (افتراضي)

true

 تمكين
ذوي الاحتياجات الخاصه
التعليقات ينطبق فقط إذا تم استبعاد $type Path تم الوصول إليه في النافذة المنبثقة "تحرير المثيل "
تم استبعاد ملحق الملف من الفحص

يستخدم لاستبعاد المحتوى من الفحص حسب ملحق الملف.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح امتداد ملحق الملف
نوع البيانات سلسلة سلسلة
القيم المحتملة ملحقات الملفات الصالحة ملحقات الملفات الصالحة
التعليقات ينطبق فقط إذا تم استبعاد $type FileExtension تم الوصول إليه في النافذة المنبثقة تكوين المثيل
العملية المستبعدة من الفحص*

تحديد عملية يتم استبعاد جميع نشاط الملف من المسح الضوئي لها. يمكن تحديد العملية إما باسمها (على سبيل المثال، cat) أو المسار الكامل (على سبيل المثال، /bin/cat).

الوصف قيمة JSON قيمة مدخل Defender
المفتاح اسم اسم الملف
نوع البيانات سلسلة سلسلة
القيم المحتملة أي سلسلة أي سلسلة
التعليقات ينطبق فقط إذا تم استبعاد $type FileName تم الوصول إليه في النافذة المنبثقة تكوين المثيل

كتم التحميلات غير Exec

يحدد سلوك RTP على نقطة التحميل التي تم وضع علامة عليها على أنها noexec. هناك قيمتان للإعداد هما:

  • إلغاء كتم (unmute): القيمة الافتراضية، يتم مسح جميع نقاط التحميل ضوئيا كجزء من RTP.
  • كتم الصوت (mute): لا يتم مسح نقاط التحميل التي تم وضع علامة عليها على أنها noexec ضوئيا كجزء من RTP، يمكن إنشاء نقطة التحميل هذه من أجل:
    • ملفات قاعدة البيانات على خوادم قاعدة البيانات للاحتفاظ بالملفات الأساسية للبيانات.
    • يمكن لخادم الملفات الاحتفاظ بنقاط تحميل ملفات البيانات مع خيار noexec.
    • يمكن للنسخ الاحتياطي الاحتفاظ بنقاط تحميل ملفات البيانات مع خيار noexec.
الوصف قيمة JSON قيمة مدخل Defender
المفتاح nonExecMountPolicy عدم تنفيذ كتم التحميل
نوع البيانات سلسلة القائمة المنسدلة
القيم المحتملة unmute (افتراضي)

mute

 لم يتم تكوينه
إلغاء كتم الصوت (افتراضي)
أخرس

ملاحظة

متوفر في Defender لنقطة النهاية الإصدار 101.85.27 أو أعلى.

أنظمة ملفات Unmonitor

تكوين أنظمة الملفات لتكون غير مراقبة/مستبعدة من الحماية في الوقت الحقيقي (RTP). يتم التحقق من صحة أنظمة الملفات التي تم تكوينها مقابل قائمة أنظمة الملفات المسموح بها من Microsoft Defender. بعد التحقق من الصحة بنجاح فقط، سيتم السماح لنظام الملفات بأن يكون غير مراقب. ستظل أنظمة الملفات غير الخاضعة للمراقبة هذه قيد الفحص بواسطة عمليات الفحص السريعة والكاملة والمخصصة.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح unmonitoredFilesystems أنظمة الملفات غير الخاضعة للمراقبة
نوع البيانات صفيف من السلاسل قائمة السلاسل الديناميكية

ملاحظة

لن تتم مراقبة نظام الملفات المكون إلا إذا كان موجودا في قائمة Microsoft الخاصة بأنظمة الملفات غير الخاضعة للمراقبة المسموح بها.

بشكل افتراضي، لا تتم مراقبة NFS و Fuse من عمليات الفحص RTP و Quick و Full. ومع ذلك، لا يزال من الممكن مسحها ضوئيا بواسطة فحص مخصص. على سبيل المثال، لإزالة NFS من قائمة أنظمة الملفات غير الخاضعة للمراقبة، قم بتحديث ملف التكوين المدار كما هو موضح أدناه. سيؤدي ذلك تلقائيا إلى إضافة NFS إلى قائمة أنظمة الملفات المراقبة ل RTP.

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["Fuse"]
  }
}

لإزالة كل من NFS و Fuse من قائمة أنظمة الملفات غير الخاضعة للمراقبة، قم بما يلي

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

ملاحظة

هنا; s القائمة الافتراضية لأنظمة الملفات المراقبة ل RTP: btrfs، ecryptfs، ext2، ext3، ext4، fuseblk، jfs، overlay، ، ramfs، ، ، reiserfs، tmpfs، ، . vfatxfs

إذا كان هناك حاجة إلى إضافة أي نظام ملفات مراقب إلى قائمة أنظمة الملفات غير الخاضعة للمراقبة، فيجب تقييمه وتمكينه بواسطة Microsoft عبر تكوين السحابة. بعد ذلك يمكن للعملاء تحديث managed_mdatp.json إلى إلغاء مراقبة نظام الملفات هذا.

تكوين ميزة حساب تجزئة الملف

تمكين ميزة حساب تجزئة الملف أو تعطيلها. عند تمكين هذه الميزة، يحسب Defender لنقطة النهاية التجزئة للملفات التي يفحصها. لاحظ أن تمكين هذه الميزة قد يؤثر على أداء الجهاز. لمزيد من التفاصيل، يرجى الرجوع إلى: إنشاء مؤشرات للملفات.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح enableFileHashComputation تمكين حساب تجزئة الملف
نوع البيانات منطقي القائمة المنسدلة
القيم المحتملة false (افتراضي)

true

 لم يتم تكوينه
معطل (افتراضي)
تمكين

ملاحظة

متوفر في Defender لنقطة النهاية الإصدار 101.85.27 أو أعلى.

التهديدات المسموح بها

قائمة التهديدات (التي تم تحديدها باسمها) التي لم يتم حظرها بواسطة المنتج ويسمح بتشغيلها بدلا من ذلك.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح التهديدات المسموح بها التهديدات المسموح بها
نوع البيانات صفيف من السلاسل قائمة السلاسل الديناميكية

إجراءات التهديد غير المسموح بها

يقيد الإجراءات التي يمكن للمستخدم المحلي للجهاز اتخاذها عند اكتشاف التهديدات. لا يتم عرض الإجراءات المضمنة في هذه القائمة في واجهة المستخدم.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح غير مسموح بهThreatActions إجراءات التهديد غير المسموح بها
نوع البيانات صفيف من السلاسل قائمة السلاسل الديناميكية
القيم المحتملة allow (يقيد المستخدمين من السماح بالتهديدات)

restore (يقيد المستخدمين من استعادة التهديدات من العزل)

 السماح (يقيد المستخدمين من السماح بالتهديدات)

استعادة (يقيد المستخدمين من استعادة التهديدات من العزل)

ملاحظة

متوفر في Defender لنقطة النهاية الإصدار 100.83.73 أو أعلى.

إعدادات نوع التهديد

يتم استخدام تفضيل threatTypeSettings في محرك مكافحة الفيروسات للتحكم في كيفية معالجة أنواع تهديدات معينة بواسطة المنتج.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح threatTypeSettings إعدادات نوع التهديد
نوع البيانات القاموس (التفضيل المتداخل) قائمة الخصائص الديناميكية
التعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. راجع الأقسام التالية للحصول على وصف للخصائص الديناميكية.
نوع التهديد

نوع التهديد الذي تم تكوين السلوك له.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح مفتاح نوع التهديد
نوع البيانات سلسلة القائمة المنسدلة
القيم المحتملة potentially_unwanted_application

archive_bomb

 potentially_unwanted_application

archive_bomb
الإجراء الذي يجب اتخاذه

الإجراء الذي يجب اتخاذه عند القدوم عبر تهديد من النوع المحدد في القسم السابق. يمكن أن يكون:

  • التدقيق: الجهاز غير محمي من هذا النوع من التهديدات، ولكن يتم تسجيل إدخال حول التهديد. (افتراضي)
  • الحظر: الجهاز محمي من هذا النوع من التهديدات ويتم إعلامك في وحدة تحكم الأمان.
  • إيقاف التشغيل: الجهاز غير محمي من هذا النوع من التهديدات ولا يتم تسجيل أي شيء.
الوصف قيمة JSON قيمة مدخل Defender
المفتاح قيمة الإجراء الذي يجب اتخاذه
نوع البيانات سلسلة القائمة المنسدلة
القيم المحتملة audit (افتراضي)

block

off

 مراجعه الحسابات

حجز

قباله

نهج دمج إعدادات نوع التهديد

يحدد نهج الدمج لإعدادات نوع التهديد. يمكن أن يكون هذا مزيجا من الإعدادات المعرفة من قبل المسؤول والمعرفة من قبل المستخدم (merge) أو الإعدادات المعرفة من قبل المسؤول فقط (admin_only). يمكن استخدام هذا الإعداد لتقييد المستخدمين المحليين من تحديد الإعدادات الخاصة بهم للأنوع المختلفة من التهديدات.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح threatTypeSettingsMergePolicy دمج إعدادات نوع التهديد
نوع البيانات سلسلة القائمة المنسدلة
القيم المحتملة دمج (افتراضي)

admin_only

 لم يتم تكوينه
دمج (افتراضي)
admin_only

ملاحظة

متوفر في Defender لنقطة النهاية الإصدار 100.83.73 أو أعلى.

استبقاء محفوظات فحص برنامج الحماية من الفيروسات (بالأيام)

حدد عدد الأيام التي يتم فيها الاحتفاظ بالنتائج في محفوظات الفحص على الجهاز. تتم إزالة نتائج الفحص القديمة من المحفوظات. الملفات المعزولة القديمة التي تتم إزالتها أيضا من القرص.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح scanResultsRetentionDays فحص استبقاء النتائج
نوع البيانات سلسلة تبديل المفتاح والرقم الصحيح
القيم المحتملة 90 (افتراضي). تتراوح القيم المسموح بها من يوم واحد إلى 180 يوما. غير مكون (إيقاف التشغيل - افتراضي لمدة 90 يوما)
تم تكوينه (تشغيل التبديل) والقيمة المسموح بها من 1 إلى 180 يوما.

ملاحظة

متوفر في Defender لنقطة النهاية الإصدار 101.04.76 أو أعلى.

الحد الأقصى لعدد العناصر في سجل فحص مكافحة الفيروسات

حدد الحد الأقصى لعدد الإدخالات التي يجب الاحتفاظ بها في محفوظات الفحص. تتضمن الإدخالات جميع عمليات الفحص عند الطلب التي تم إجراؤها في الماضي وجميع عمليات الكشف عن مكافحة الفيروسات.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح scanHistoryMaximumItems حجم محفوظات الفحص
نوع البيانات سلسلة التبديل والأعداد الصحيحة
القيم المحتملة 10000 (افتراضي). القيم المسموح بها هي من 5000 عنصر إلى 15000 عنصر. غير مكون (إيقاف التشغيل - 10000 افتراضي)
تم تكوينه (تشغيل التبديل) والقيمة المسموح بها من 5000 إلى 15000 عنصر.

ملاحظة

متوفر في Defender لنقطة النهاية الإصدار 101.04.76 أو أعلى.

خيارات الفحص المتقدمة

يمكن تكوين الإعدادات التالية لتمكين بعض ميزات الفحص المتقدمة.

ملاحظة

قد يؤثر تمكين هذه الميزات على أداء الجهاز. على هذا النحو، يوصى بالاحتفاظ بالإعدادات الافتراضية.

تكوين فحص أحداث أذونات تعديل الملف

عند تمكين هذه الميزة، سيقوم Defender لنقطة النهاية بمسح الملفات ضوئيا عند تغيير أذوناتها لتعيين بت (بتات) التنفيذ.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين الميزة enableFilePermissionEvents . لمزيد من المعلومات، راجع قسم الميزات الاختيارية المتقدمة أدناه للحصول على التفاصيل.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح scanFileModifyPermissions غير متوفر
نوع البيانات منطقي غير متوفر
القيم المحتملة خطأ (افتراضي)

صحيح

 غير متوفر

ملاحظة

متوفر في Defender لنقطة النهاية الإصدار 101.23062.0010 أو أعلى.

تكوين فحص أحداث ملكية تعديل الملف

عند تمكين هذه الميزة، سيقوم Defender لنقطة النهاية بفحص الملفات التي تغيرت الملكية لها.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين الميزة enableFileOwnershipEvents . لمزيد من المعلومات، راجع قسم الميزات الاختيارية المتقدمة أدناه للحصول على التفاصيل.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح scanFileModifyOwnership غير متوفر
نوع البيانات منطقي غير متوفر
القيم المحتملة خطأ (افتراضي)

صحيح

 غير متوفر

ملاحظة

متوفر في Defender لنقطة النهاية الإصدار 101.23062.0010 أو أعلى.

تكوين مسح ضوئي لأحداث مأخذ التوصيل الخام

عند تمكين هذه الميزة، سيقوم Defender لنقطة النهاية بفحص أحداث مأخذ توصيل الشبكة مثل إنشاء مآخذ توصيل أولية / مآخذ توصيل الحزمة، أو إعداد خيار مأخذ التوصيل.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك. تنطبق هذه الميزة فقط عند تمكين الميزة enableRawSocketEvent . لمزيد من المعلومات، راجع قسم الميزات الاختيارية المتقدمة أدناه للحصول على التفاصيل.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح scanNetworkSocketEvent غير متوفر
نوع البيانات منطقي غير متوفر
القيم المحتملة خطأ (افتراضي)

صحيح

 غير متوفر

ملاحظة

متوفر في Defender لنقطة النهاية الإصدار 101.23062.0010 أو أعلى.

تفضيلات الحماية المقدمة من السحابة

يتم استخدام إدخال cloudService في ملف تعريف التكوين لتكوين ميزة الحماية المستندة إلى السحابة للمنتج.

ملاحظة

تنطبق الحماية المقدمة من السحابة مع أي إعدادات مستوى الإنفاذ (real_time، on_demand، سلبي).

الوصف قيمة JSON قيمة مدخل Defender
المفتاح خدمة السحابة تفضيلات الحماية المقدمة من السحابة
نوع البيانات القاموس (التفضيل المتداخل) مقطع مطوي
التعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. راجع الأقسام التالية للحصول على وصف لإعدادات النهج.

تمكين / تعطيل الحماية المقدمة من السحابة

تحديد ما إذا كانت الحماية المقدمة من السحابة ممكنة على الجهاز أم لا. لتحسين أمان خدماتك، نوصي بالاحتفاظ بهذه الميزة قيد التشغيل.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح تمكين تمكين الحماية المقدمة من السحابة
نوع البيانات منطقي القائمة المنسدلة
القيم المحتملة true (افتراضي)

false

 لم يتم تكوينه
ذوي الاحتياجات الخاصه
ممكن (افتراضي)

مستوى مجموعة التشخيص

يتم استخدام البيانات التشخيصية للحفاظ على أمان Defender لنقطة النهاية وتحديثها، واكتشاف المشكلات وتشخيصها وإصلاحها، وكذلك إجراء تحسينات على المنتج. يحدد هذا الإعداد مستوى التشخيصات المرسلة من قبل المنتج إلى Microsoft. لمزيد من التفاصيل، راجع الخصوصية ل Microsoft Defender لنقطة النهاية على Linux.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح مستوى التشخيص مستوى جمع البيانات التشخيصية
نوع البيانات سلسلة القائمة المنسدلة
القيم المحتملة optional

required (افتراضي)

 لم يتم تكوينه
اختياري (افتراضي)
مطلوب

تكوين مستوى كتلة السحابة

يحدد هذا الإعداد مدى قوة Defender لنقطة النهاية في حظر الملفات المشبوهة ومسحها ضوئيا. إذا كان هذا الإعداد قيد التشغيل، يكون Defender لنقطة النهاية أكثر عدوانية عند تحديد الملفات المشبوهة لحظرها ومسحها ضوئيا؛ خلاف ذلك، فإنه أقل عدوانية، وبالتالي كتل ومسح ضوئي مع تردد أقل.

هناك خمس قيم لتعيين مستوى كتلة السحابة:

  • عادي (normal): مستوى الحظر الافتراضي.
  • معتدل (moderate): يصدر الحكم فقط للكشف عن الثقة العالية.
  • عالي (high): يحظر بشدة الملفات غير المعروفة أثناء التحسين للأداء (فرصة أكبر لحظر الملفات غير الضارة).
  • High Plus (high_plus): يحظر بشدة الملفات غير المعروفة ويطبق مقاييس حماية إضافية (قد يؤثر على أداء جهاز العميل).
  • عدم التسامح (zero_tolerance): حظر جميع البرامج غير المعروفة.
الوصف قيمة JSON قيمة مدخل Defender
المفتاح cloudBlockLevel تكوين مستوى كتلة السحابة
نوع البيانات سلسلة القائمة المنسدلة
القيم المحتملة normal (افتراضي)

moderate

high

high_plus

zero_tolerance

 لم يتم تكوينه
عادي (افتراضي)
المعتدل
عال
High_Plus
Zero_Tolerance

ملاحظة

متوفر في Defender لنقطة النهاية الإصدار 101.56.62 أو أعلى.

تمكين / تعطيل عمليات إرسال العينة التلقائية

تحديد ما إذا كانت العينات المشبوهة (التي من المحتمل أن تحتوي على تهديدات) يتم إرسالها إلى Microsoft. هناك ثلاثة مستويات للتحكم في إرسال العينة:

  • لا شيء: لا يتم إرسال أي عينات مريبة إلى Microsoft.
  • آمن: يتم إرسال العينات المشبوهة التي لا تحتوي على معلومات تعريف شخصية (PII) فقط تلقائيا. هذه هي القيمة الافتراضية لهذا الإعداد.
  • الكل: يتم إرسال جميع العينات المشبوهة إلى Microsoft.
الوصف قيمة JSON قيمة مدخل Defender
المفتاح automaticSampleSubmissionConsent تمكين عمليات إرسال العينة التلقائية
نوع البيانات سلسلة القائمة المنسدلة
القيم المحتملة none

safe (افتراضي)

all

 لم يتم تكوينه
بلا
آمن (افتراضي)
الكل

تمكين / تعطيل تحديثات التحليل الذكي للأمان التلقائي

تحديد ما إذا كانت تحديثات التحليل الذكي للأمان مثبتة تلقائيا:

الوصف قيمة JSON قيمة مدخل Defender
المفتاح automaticDefinitionUpdateEnabled تحديثات التحليل الذكي للأمان التلقائي
نوع البيانات منطقي القائمة المنسدلة
القيم المحتملة true (افتراضي)

false

 لم يتم تكوينه
ذوي الاحتياجات الخاصه
ممكن (افتراضي)

الميزات الاختيارية المتقدمة

يمكن تكوين الإعدادات التالية لتمكين ميزات متقدمة معينة.

ملاحظة

قد يؤثر تمكين هذه الميزات على أداء الجهاز. يوصى بالاحتفاظ بالإعدادات الافتراضية.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح ملامح غير متوفر
نوع البيانات القاموس (التفضيل المتداخل) غير متوفر
التعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.

ميزة تحميل الوحدة النمطية

تحديد ما إذا كانت أحداث تحميل الوحدة النمطية (أحداث فتح الملف على المكتبات المشتركة) تتم مراقبتها.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح تحميل الوحدة النمطية غير متوفر
نوع البيانات سلسلة غير متوفر
القيم المحتملة معطل (افتراضي)

تمكين

 غير متوفر
التعليقات متوفر في Defender لنقطة النهاية الإصدار 101.68.80 أو أعلى.

تكوينات المستشعر التكميلية

يمكن استخدام الإعدادات التالية لتكوين بعض ميزات المستشعر التكميلية المتقدمة.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح تكوينات التحسس التكميلية غير متوفر
نوع البيانات القاموس (التفضيل المتداخل) غير متوفر
التعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.
تكوين مراقبة أحداث أذونات تعديل الملف

تحديد ما إذا كانت أحداث أذونات تعديل الملف (chmod) تتم مراقبتها.

ملاحظة

عند تمكين هذه الميزة، سيقوم Defender لنقطة النهاية بمراقبة التغييرات على وحدات بت التنفيذ من الملفات، ولكن ليس مسح هذه الأحداث ضوئيا. لمزيد من المعلومات، راجع قسم ميزات الفحص المتقدم لمزيد من التفاصيل.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح enableFilePermissionEvents غير متوفر
نوع البيانات سلسلة غير متوفر
القيم المحتملة معطل (افتراضي)

تمكين

 غير متوفر
التعليقات متوفر في Defender لنقطة النهاية الإصدار 101.23062.0010 أو أعلى.
تكوين مراقبة أحداث ملكية تعديل الملف

تحديد ما إذا كانت أحداث تعديل الملف (chown) تتم مراقبتها.

ملاحظة

عند تمكين هذه الميزة، سيراقب Defender لنقطة النهاية التغييرات التي تطرأ على ملكية الملفات، ولكن لا يقوم بفحص هذه الأحداث. لمزيد من المعلومات، راجع قسم ميزات الفحص المتقدم لمزيد من التفاصيل.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح enableFileOwnershipEvents غير متوفر
نوع البيانات سلسلة غير متوفر
القيم المحتملة معطل (افتراضي)

تمكين

 غير متوفر
التعليقات متوفر في Defender لنقطة النهاية الإصدار 101.23062.0010 أو أعلى.
تكوين مراقبة أحداث مأخذ التوصيل الخام

تحديد ما إذا كانت أحداث مأخذ توصيل الشبكة التي تتضمن إنشاء مآخذ توصيل أولية / مآخذ توصيل الحزمة، أو إعداد خيار مأخذ التوصيل، تتم مراقبتها.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك. عند تمكين هذه الميزة، سيقوم Defender لنقطة النهاية بمراقبة أحداث مأخذ توصيل الشبكة هذه، ولكن ليس مسح هذه الأحداث ضوئيا. لمزيد من المعلومات، راجع قسم ميزات المسح المتقدم أعلاه لمزيد من التفاصيل.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح enableRawSocketEvent غير متوفر
نوع البيانات سلسلة غير متوفر
القيم المحتملة معطل (افتراضي)

تمكين

 غير متوفر
التعليقات متوفر في Defender لنقطة النهاية الإصدار 101.23062.0010 أو أعلى.
تكوين مراقبة أحداث محمل التمهيد

تحديد ما إذا كانت أحداث محمل التمهيد تتم مراقبتها ومسحها ضوئيا.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح تمكينBootLoaderCalls غير متوفر
نوع البيانات سلسلة غير متوفر
القيم المحتملة معطل (افتراضي)

تمكين

 غير متوفر
التعليقات متوفر في Defender لنقطة النهاية الإصدار 101.68.80 أو أعلى.
تكوين مراقبة أحداث ptrace

تحديد ما إذا كانت أحداث ptrace تتم مراقبتها ومسحها ضوئيا.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح تمكينProcessCalls غير متوفر
نوع البيانات سلسلة غير متوفر
القيم المحتملة معطل (افتراضي)

تمكين

 غير متوفر
التعليقات متوفر في Defender لنقطة النهاية الإصدار 101.68.80 أو أعلى.
تكوين مراقبة الأحداث الزائفة

تحديد ما إذا كانت الأحداث الزائفة تتم مراقبتها ومسحها ضوئيا.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح enablePseudofsCalls غير متوفر
نوع البيانات سلسلة غير متوفر
القيم المحتملة معطل (افتراضي)

تمكين

 غير متوفر
التعليقات متوفر في Defender لنقطة النهاية الإصدار 101.68.80 أو أعلى.
تكوين مراقبة أحداث تحميل الوحدة النمطية باستخدام eBPF

تحديد ما إذا كانت أحداث تحميل الوحدة النمطية تتم مراقبتها باستخدام eBPF ومسحها ضوئيا.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح enableEbpfModuleLoadEvents غير متوفر
نوع البيانات سلسلة غير متوفر
القيم المحتملة معطل (افتراضي)

تمكين

 غير متوفر
التعليقات متوفر في Defender لنقطة النهاية الإصدار 101.68.80 أو أعلى.

الإبلاغ عن أحداث AV المشبوهة إلى EDR

تحديد ما إذا كان يتم الإبلاغ عن الأحداث المشبوهة من برنامج مكافحة الفيروسات إلى EDR.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح sendLowfiEvents غير متوفر
نوع البيانات سلسلة غير متوفر
القيم المحتملة معطل (افتراضي)

تمكين

 غير متوفر
التعليقات متوفر في Defender لنقطة النهاية الإصدار 101.23062.0010 أو أعلى.

تكوينات حماية الشبكة

يمكن استخدام الإعدادات التالية لتكوين ميزات فحص حماية الشبكة المتقدمة للتحكم في نسبة استخدام الشبكة التي يتم فحصها بواسطة Network Protection.

ملاحظة

لكي تكون هذه فعالة، يجب تشغيل Network Protection. لمزيد من المعلومات، راجع تشغيل حماية الشبكة لنظام التشغيل Linux.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح حماية الشبكة حماية الشبكة
نوع البيانات القاموس (التفضيل المتداخل) مقطع مطوي
التعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. راجع الأقسام التالية للحصول على وصف لإعدادات النهج.

مستوى الإنفاذ

الوصف قيمة JSON قيمة مدخل Defender
المفتاح مستوى الإنفاذ مستوى الإنفاذ
نوع البيانات سلسلة القائمة المنسدلة
القيم المحتملة disabled (افتراضي)
audit
block		 لم يتم تكوينه
معطل (افتراضي)
مراجعه الحسابات
حجز

تكوين فحص ICMP

تحديد ما إذا كانت أحداث ICMP تتم مراقبتها ومسحها ضوئيا.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.

الوصف قيمة JSON قيمة مدخل Defender
المفتاح disableIcmpInspection غير متوفر
نوع البيانات منطقي غير متوفر
القيم المحتملة true (افتراضي)

false

 غير متوفر
التعليقات متوفر في Defender لنقطة النهاية الإصدار 101.23062.0010 أو أعلى.

للبدء، نوصي بملف تعريف التكوين التالي لمؤسستك للاستفادة من جميع ميزات الحماية التي يوفرها Defender لنقطة النهاية.

سيقوم ملف تعريف التكوين التالي:

  • تمكين الحماية في الوقت الحقيقي (RTP)
  • حدد كيفية معالجة أنواع التهديدات التالية:
    • يتم حظر التطبيقات غير المرغوب فيها (PUA)
    • يتم تدقيق القنابل الأرشيفية (ملف بمعدل ضغط عال) على سجلات المنتجات
  • تمكين تحديثات التحليل الذكي للأمان التلقائي
  • تمكين الحماية المقدمة من السحابة
  • تمكين إرسال العينة التلقائية على safe المستوى

نموذج ملف التعريف

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

مثال على ملف تعريف التكوين الكامل

يحتوي ملف تعريف التكوين التالي على إدخالات لجميع الإعدادات الموضحة في هذا المستند ويمكن استخدامه لسيناريوهات أكثر تقدما حيث تريد المزيد من التحكم في المنتج.

ملاحظة

لا يمكن التحكم في جميع اتصالات Microsoft Defender لنقطة النهاية باستخدام إعداد وكيل فقط في JSON هذا.

ملف التعريف الكامل

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "behaviorMonitoring": "enabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "exclusions":[
         {
            "$type":"excludedPath",
            "isDirectory":false,
            "path":"/var/log/system.log<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/run<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/home/*/git<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedFileExtension",
            "extension":".pdf<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedFileName",
            "name":"cat<EXAMPLE DO NOT USE>"
         }
      ],
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

إضافة العلامة أو معرف المجموعة إلى ملف تعريف التكوين

عند تشغيل mdatp health الأمر للمرة الأولى، ستكون قيمة العلامة ومعرف المجموعة فارغة. لإضافة العلامة mdatp_managed.json أو معرف المجموعة إلى الملف، اتبع الخطوات التالية:

  1. افتح ملف تعريف التكوين من المسار /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
  2. انتقل لأسفل إلى أسفل الملف، حيث cloudService توجد الكتلة.
  3. أضف العلامة المطلوبة أو معرف المجموعة على النحو التالي في نهاية قوس الإغلاق المتعرج ل cloudService.
  },
  "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
},
"edr": {
  "groupIds":"GroupIdExample",
  "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
}

ملاحظة

أضف الفاصلة بعد قوس الإغلاق المتعرج في نهاية cloudService الكتلة. تأكد أيضا من وجود قوسين متعرجين مغلقين بعد إضافة كتلة Tag أو Group ID (يرجى الاطلاع على المثال أعلاه). في الوقت الحالي، اسم المفتاح الوحيد المدعوم للعلامات هو GROUP.

التحقق من صحة ملف تعريف التكوين

يجب أن يكون ملف تعريف التكوين ملفا صالحا بتنسيق JSON. هناك العديد من الأدوات التي يمكن استخدامها للتحقق من ذلك. على سبيل المثال، إذا قمت python بتثبيته على جهازك:

python -m json.tool mdatp_managed.json

إذا كان JSON جيد التكوين، يقوم الأمر أعلاه بإخراجه مرة أخرى إلى المحطة الطرفية وإرجاع رمز خروج من 0. وإلا، يتم عرض خطأ يصف المشكلة ويعيد الأمر رمز خروج من 1.

التحقق من أن ملف mdatp_managed.json يعمل كما هو متوقع

للتحقق من أن /etc/opt/microsoft/mdatp/managed/mdatp_managed.json يعمل بشكل صحيح، يجب أن ترى "[managed]" بجوار هذه الإعدادات:

  • cloud_enabled
  • cloud_automatic_sample_submission_consent
  • passive_mode_enabled
  • real_time_protection_enabled
  • automatic_definition_update_enabled

ملاحظة

لا يلزم إعادة تشغيل البرنامج الخفي mdatp حتى تسري التغييرات على معظم التكوينات في mdatp_managed.json. استثناء: تتطلب التكوينات التالية إعادة تشغيل البرنامج الخفي حتى يصبح ساري المفعول:

  • تشخيص السحابة
  • معلمات استدارة السجل

توزيع ملف تعريف التكوين

بمجرد إنشاء ملف تعريف التكوين لمؤسستك، يمكنك توزيعه من خلال أداة الإدارة التي تستخدمها مؤسستك. يقرأ Defender لنقطة النهاية على Linux التكوين المدار من ملف /etc/opt/microsoft/mdatp/managed/mdatp_managed.json .

تلميح

هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.