تعيين تفضيلات Microsoft Defender لنقطة النهاية على Linux

ينطبق على:

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

هام

يحتوي هذا الموضوع على إرشادات حول كيفية تعيين تفضيلات Defender لنقطة النهاية على Linux في بيئات المؤسسة. إذا كنت مهتما بتكوين المنتج على جهاز من سطر الأوامر، فشاهد الموارد.

في بيئات المؤسسة، يمكن إدارة Defender لنقطة النهاية على Linux من خلال ملف تعريف التكوين. يتم نشر ملف التعريف هذا من أداة الإدارة التي تختارها. التفضيلات التي تديرها المؤسسة لها الأسبقية على التفضيلات التي تم تعيينها محليا على الجهاز. بمعنى آخر، لا يمكن للمستخدمين في مؤسستك تغيير التفضيلات التي تم تعيينها من خلال ملف تعريف التكوين هذا. إذا تمت إضافة استثناءات من خلال ملف تعريف التكوين المدار، يمكن إزالتها فقط من خلال ملف تعريف التكوين المدار. يعمل سطر الأوامر مع الاستثناءات التي تمت إضافتها محليا.

توضح هذه المقالة بنية ملف التعريف هذا (بما في ذلك ملف التعريف الموصى به الذي يمكنك استخدامه للبدء) وإرشادات حول كيفية نشر ملف التعريف.

بنية ملف تعريف التكوين

ملف تعريف التكوين هو ملف .json يتكون من إدخالات تم تحديدها بواسطة مفتاح (الذي يشير إلى اسم التفضيل)، متبوعا بقيمة، والتي تعتمد على طبيعة التفضيل. يمكن أن تكون القيم بسيطة، مثل قيمة رقمية، أو معقدة، مثل قائمة متداخلة من التفضيلات.

عادة، يمكنك استخدام أداة إدارة التكوين لدفع ملف بالاسم mdatp_managed.json في الموقع /etc/opt/microsoft/mdatp/managed/.

يتضمن المستوى الأعلى لملف تعريف التكوين تفضيلات وإدخالات على مستوى المنتج للمساحات الفرعية للمنتج، والتي يتم شرحها بمزيد من التفصيل في الأقسام التالية.

تفضيلات محرك مكافحة الفيروسات

يتم استخدام قسم antivirusEngine في ملف تعريف التكوين لإدارة تفضيلات مكون مكافحة الفيروسات للمنتج.

الوصف قيمه
المفتاح برنامج الحماية من الفيروساتEngine
نوع البيانات القاموس (التفضيل المتداخل)
تعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.

مستوى الإنفاذ لمحرك مكافحة الفيروسات

يحدد تفضيل فرض محرك مكافحة الفيروسات. هناك ثلاث قيم لتعيين مستوى الإنفاذ:

  • في الوقت الحقيقي (real_time): يتم تمكين الحماية في الوقت الحقيقي (فحص الملفات عند تعديلها).
  • عند الطلب (on_demand): يتم فحص الملفات فقط عند الطلب. في هذا:
    • تم إيقاف تشغيل الحماية في الوقت الحقيقي.
  • سلبي (passive): يقوم بتشغيل محرك مكافحة الفيروسات في الوضع السلبي. في هذا:
    • تم إيقاف تشغيل الحماية في الوقت الحقيقي: لا تتم معالجة التهديدات بواسطة برنامج الحماية من الفيروسات Microsoft Defender.
    • تم تشغيل الفحص عند الطلب: لا يزال استخدام إمكانات الفحص على نقطة النهاية.
    • تم إيقاف تشغيل المعالجة التلقائية للمخاطر: لن يتم نقل أي ملفات ومن المتوقع أن يتخذ مسؤول الأمان الإجراء المطلوب.
    • يتم تشغيل تحديثات التحليل الذكي للأمان: ستتوفر التنبيهات على مستأجر مسؤولي الأمان.
الوصف قيمه
المفتاح مستوى الإنفاذ
نوع البيانات سلسلة
القيم المحتملة real_time

on_demand

سلبي (افتراضي)

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.10.72 أو أعلى. يتم تغيير الافتراضي من real_time إلى سلبي لإصدار نقطة النهاية 101.23062.0001 أو أعلى.

تمكين/تعطيل مراقبة السلوك

تحديد ما إذا كانت إمكانية مراقبة السلوك والحظر ممكنة على الجهاز أم لا.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين ميزة Real-Time Protection.


الوصف قيمه
المفتاح المراقبة السلوكية
نوع البيانات سلسلة
القيم المحتملة معطل (افتراضي)

تمكين

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.45.00 أو أعلى.

تشغيل فحص بعد تحديث التعريفات

يحدد ما إذا كنت تريد بدء فحص العملية بعد تنزيل تحديثات معلومات الأمان الجديدة على الجهاز. يؤدي تمكين هذا الإعداد إلى تشغيل فحص مكافحة الفيروسات على عمليات تشغيل الجهاز.

الوصف قيمه
المفتاح scanAfterDefinitionUpdate
نوع البيانات منطقي
القيم المحتملة true (افتراضي)

كاذبه

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.45.00 أو أعلى.

مسح أرشيفات الفحص (عمليات فحص مكافحة الفيروسات عند الطلب فقط)

يحدد ما إذا كنت تريد مسح الأرشيفات ضوئيا أثناء عمليات فحص مكافحة الفيروسات عند الطلب.

ملاحظة

لا يتم فحص ملفات الأرشيف أبدا أثناء الحماية في الوقت الحقيقي. عند استخراج الملفات الموجودة في الأرشيف، يتم مسحها ضوئيا. يمكن استخدام خيار scanArchives لفرض مسح الأرشيف فقط أثناء الفحص عند الطلب.

الوصف قيمه
المفتاح scanArchives
نوع البيانات منطقي
القيم المحتملة true (افتراضي)

كاذبه

تعليقات متوفر في الإصدار Microsoft Defender لنقطة النهاية 101.45.00 أو أعلى.

درجة التوازي للمسح الضوئي عند الطلب

يحدد درجة التوازي لإجراء عمليات الفحص عند الطلب. يتوافق هذا مع عدد مؤشرات الترابط المستخدمة لإجراء الفحص ويؤثر على استخدام وحدة المعالجة المركزية، ومدة الفحص عند الطلب.

الوصف قيمه
المفتاح maximumOnDemandScanThreads
نوع البيانات صحيح
القيم المحتملة 2 (افتراضي). القيم المسموح بها هي أعداد صحيحة بين 1 و64.
تعليقات متوفر في الإصدار Microsoft Defender لنقطة النهاية 101.45.00 أو أعلى.

نهج دمج الاستبعاد

يحدد نهج الدمج للاستبعادات. يمكن أن يكون مزيجا من الاستثناءات المعرفة من قبل المسؤول والمعرفة من قبل المستخدم (merge) أو الاستثناءات المعرفة من قبل المسؤول فقط (admin_only). يمكن استخدام هذا الإعداد لتقييد المستخدمين المحليين من تحديد استثناءاتهم.

الوصف قيمه
المفتاح exclusionsMergePolicy
نوع البيانات سلسلة
القيم المحتملة دمج (افتراضي)

admin_only

تعليقات متوفر في Defender لنقطة النهاية الإصدار 100.83.73 أو أعلى.

استثناءات الفحص

الكيانات التي تم استبعادها من الفحص. يمكن تحديد الاستثناءات بواسطة المسارات الكاملة أو الملحقات أو أسماء الملفات. (يتم تحديد الاستثناءات كصفيف من العناصر، يمكن للمسؤول تحديد العديد من العناصر حسب الضرورة، بأي ترتيب.)

الوصف قيمه
المفتاح الاستبعادات
نوع البيانات القاموس (التفضيل المتداخل)
تعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.
نوع الاستبعاد

يحدد نوع المحتوى المستبعد من الفحص.

الوصف قيمه
المفتاح $type
نوع البيانات سلسلة
القيم المحتملة مسار مستبعد

excludedFileExtension

excludedFileName

المسار إلى المحتوى المستبعد

يستخدم لاستبعاد المحتوى من الفحص حسب مسار الملف الكامل.

الوصف قيمه
المفتاح مسار
نوع البيانات سلسلة
القيم المحتملة مسارات صالحة
تعليقات ينطبق فقط إذا تم استبعاد $type Path
نوع المسار (ملف / دليل)

يشير إلى ما إذا كانت خاصية المسار تشير إلى ملف أو دليل.

الوصف قيمه
المفتاح isDirectory
نوع البيانات منطقي
القيم المحتملة خطأ (افتراضي)

صحيح

تعليقات ينطبق فقط إذا تم استبعاد $type Path
تم استبعاد ملحق الملف من الفحص

يستخدم لاستبعاد المحتوى من الفحص حسب ملحق الملف.

الوصف قيمه
المفتاح ملحق
نوع البيانات سلسلة
القيم المحتملة ملحقات الملفات الصالحة
تعليقات ينطبق فقط إذا تم استبعاد $type FileExtension
العملية المستبعدة من الفحص*

تحديد عملية يتم استبعاد جميع نشاط الملف من المسح الضوئي لها. يمكن تحديد العملية إما باسمها (على سبيل المثال، cat) أو المسار الكامل (على سبيل المثال، /bin/cat).

الوصف قيمه
المفتاح اسم
نوع البيانات سلسلة
القيم المحتملة أي سلسلة
تعليقات ينطبق فقط إذا تم استبعاد $type FileName

كتم التحميلات غير Exec

يحدد سلوك RTP على نقطة التحميل التي تم وضع علامة عليها على أنها noexec. هناك قيمتان للإعداد هما:

  • إلغاء كتم (unmute): القيمة الافتراضية، يتم مسح جميع نقاط التحميل ضوئيا كجزء من RTP.
  • كتم الصوت (mute): لا يتم مسح نقاط التحميل التي تم وضع علامة عليها على أنها noexec ضوئيا كجزء من RTP، يمكن إنشاء نقطة التحميل هذه من أجل:
    • ملفات قاعدة البيانات على خوادم قاعدة البيانات للاحتفاظ بالملفات الأساسية للبيانات.
    • يمكن لخادم الملفات الاحتفاظ بنقاط تحميل ملفات البيانات مع خيار noexec.
    • يمكن للنسخ الاحتياطي الاحتفاظ بنقاط تحميل ملفات البيانات مع خيار noexec.
الوصف قيمه
المفتاح nonExecMountPolicy
نوع البيانات سلسلة
القيم المحتملة إلغاء كتم الصوت (افتراضي)

كتم

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.85.27 أو أعلى.

أنظمة ملفات Unmonitor

تكوين أنظمة الملفات لتكون غير مراقبة/مستبعدة من الحماية في الوقت الحقيقي (RTP). يتم التحقق من صحة أنظمة الملفات التي تم تكوينها مقابل قائمة أنظمة الملفات المسموح بها Microsoft Defender. بعد التحقق من الصحة بنجاح فقط، سيتم السماح لنظام الملفات بأن يكون غير مراقب. ستظل أنظمة الملفات غير الخاضعة للمراقبة هذه قيد الفحص بواسطة عمليات الفحص السريعة والكاملة والمخصصة.

الوصف قيمه
المفتاح unmonitoredFilesystems
نوع البيانات صفيف من السلاسل
تعليقات لن تتم مراقبة نظام الملفات المكون إلا إذا كان موجودا في قائمة Microsoft الخاصة بأنظمة الملفات غير الخاضعة للمراقبة المسموح بها.

بشكل افتراضي، لا تتم مراقبة NFS و Fuse من عمليات الفحص RTP و Quick و Full. ومع ذلك، لا يزال من الممكن مسحها ضوئيا بواسطة فحص مخصص. على سبيل المثال، لإزالة NFS من قائمة أنظمة الملفات غير الخاضعة للمراقبة، قم بتحديث ملف التكوين المدار كما هو موضح أدناه. سيؤدي ذلك تلقائيا إلى إضافة NFS إلى قائمة أنظمة الملفات المراقبة ل RTP.

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["Fuse"]
  }
}

لإزالة كل من NFS و Fuse من قائمة أنظمة الملفات غير الخاضعة للمراقبة، قم بما يلي

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

ملاحظة

فيما يلي القائمة الافتراضية لأجهزة الملفات المراقبة ل RTP -

[btrfs, ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, reiserfs, tmpfs, vfat, xfs]

إذا كان هناك حاجة إلى إضافة أي نظام ملفات مراقب إلى قائمة أنظمة الملفات غير الخاضعة للمراقبة، فيجب تقييمه وتمكينه بواسطة Microsoft عبر تكوين السحابة. بعد ذلك يمكن للعملاء تحديث managed_mdatp.json إلى إلغاء مراقبة نظام الملفات هذا.

تكوين ميزة حساب تجزئة الملف

تمكين ميزة حساب تجزئة الملف أو تعطيلها. عند تمكين هذه الميزة، يحسب Defender لنقطة النهاية التجزئة للملفات التي يفحصها. لاحظ أن تمكين هذه الميزة قد يؤثر على أداء الجهاز. لمزيد من التفاصيل، يرجى الرجوع إلى: إنشاء مؤشرات للملفات.

الوصف قيمه
المفتاح enableFileHashComputation
نوع البيانات منطقي
القيم المحتملة خطأ (افتراضي)

صحيح

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.85.27 أو أعلى.

التهديدات المسموح بها

قائمة التهديدات (التي تم تحديدها باسمها) التي لم يتم حظرها بواسطة المنتج ويسمح بتشغيلها بدلا من ذلك.

الوصف قيمه
المفتاح التهديدات المسموح بها
نوع البيانات صفيف من السلاسل

إجراءات التهديد غير المسموح بها

يقيد الإجراءات التي يمكن للمستخدم المحلي للجهاز اتخاذها عند اكتشاف التهديدات. لا يتم عرض الإجراءات المضمنة في هذه القائمة في واجهة المستخدم.

الوصف قيمه
المفتاح غير مسموح بهThreatActions
نوع البيانات صفيف من السلاسل
القيم المحتملة السماح (يقيد المستخدمين من السماح بالتهديدات)

استعادة (يقيد المستخدمين من استعادة التهديدات من العزل)

تعليقات متوفر في Defender لنقطة النهاية الإصدار 100.83.73 أو أعلى.

إعدادات نوع التهديد

يتم استخدام تفضيل threatTypeSettings في محرك مكافحة الفيروسات للتحكم في كيفية معالجة أنواع تهديدات معينة بواسطة المنتج.

الوصف قيمه
المفتاح threatTypeSettings
نوع البيانات القاموس (التفضيل المتداخل)
تعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.
نوع التهديد

نوع التهديد الذي تم تكوين السلوك له.

الوصف قيمه
المفتاح مفتاح
نوع البيانات سلسلة
القيم المحتملة potentially_unwanted_application

archive_bomb

الإجراء الذي يجب اتخاذه

الإجراء الذي يجب اتخاذه عند القدوم عبر تهديد من النوع المحدد في القسم السابق. يمكن أن يكون:

  • التدقيق: الجهاز غير محمي من هذا النوع من التهديدات، ولكن يتم تسجيل إدخال حول التهديد.
  • الحظر: الجهاز محمي من هذا النوع من التهديدات ويتم إعلامك في وحدة تحكم الأمان.
  • إيقاف التشغيل: الجهاز غير محمي من هذا النوع من التهديدات ولا يتم تسجيل أي شيء.
الوصف قيمه
المفتاح قيمه
نوع البيانات سلسلة
القيم المحتملة التدقيق (افتراضي)

كتله

قباله

نهج دمج إعدادات نوع التهديد

يحدد نهج الدمج لإعدادات نوع التهديد. يمكن أن يكون هذا مزيجا من الإعدادات المعرفة من قبل المسؤول والمعرفة من قبل المستخدم (merge) أو الإعدادات المعرفة من قبل المسؤول فقط (admin_only). يمكن استخدام هذا الإعداد لتقييد المستخدمين المحليين من تحديد الإعدادات الخاصة بهم للأنوع المختلفة من التهديدات.

الوصف قيمه
المفتاح threatTypeSettingsMergePolicy
نوع البيانات سلسلة
القيم المحتملة دمج (افتراضي)

admin_only

تعليقات متوفر في Defender لنقطة النهاية الإصدار 100.83.73 أو أعلى.

استبقاء محفوظات فحص برنامج الحماية من الفيروسات (بالأيام)

حدد عدد الأيام التي يتم فيها الاحتفاظ بالنتائج في محفوظات الفحص على الجهاز. تتم إزالة نتائج الفحص القديمة من المحفوظات. الملفات المعزولة القديمة التي تتم إزالتها أيضا من القرص.

الوصف قيمه
المفتاح scanResultsRetentionDays
نوع البيانات سلسلة
القيم المحتملة 90 (افتراضي). تتراوح القيم المسموح بها من يوم واحد إلى 180 يوما.
تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.04.76 أو أعلى.

الحد الأقصى لعدد العناصر في سجل فحص مكافحة الفيروسات

حدد الحد الأقصى لعدد الإدخالات التي يجب الاحتفاظ بها في محفوظات الفحص. تتضمن الإدخالات جميع عمليات الفحص عند الطلب التي تم إجراؤها في الماضي وجميع عمليات الكشف عن مكافحة الفيروسات.

الوصف قيمه
المفتاح scanHistoryMaximumItems
نوع البيانات سلسلة
القيم المحتملة 10000 (افتراضي). القيم المسموح بها هي من 5000 عنصر إلى 15000 عنصر.
تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.04.76 أو أعلى.

خيارات الفحص المتقدمة

يمكن تكوين الإعدادات التالية لتمكين بعض ميزات الفحص المتقدمة.

ملاحظة

قد يؤثر تمكين هذه الميزات على أداء الجهاز. على هذا النحو، يوصى بالاحتفاظ بالإعدادات الافتراضية.

تكوين فحص أحداث أذونات تعديل الملف

عند تمكين هذه الميزة، سيقوم Defender لنقطة النهاية بمسح الملفات ضوئيا عند تغيير أذوناتها لتعيين بت (بتات) التنفيذ.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين الميزة enableFilePermissionEvents . لمزيد من المعلومات، راجع قسم الميزات الاختيارية المتقدمة أدناه للحصول على التفاصيل.

الوصف قيمه
المفتاح scanFileModifyPermissions
نوع البيانات منطقي
القيم المحتملة خطأ (افتراضي)

صحيح

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.23062.0010 أو أعلى.
تكوين فحص أحداث ملكية تعديل الملف

عند تمكين هذه الميزة، سيقوم Defender لنقطة النهاية بفحص الملفات التي تغيرت الملكية لها.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين الميزة enableFileOwnershipEvents . لمزيد من المعلومات، راجع قسم الميزات الاختيارية المتقدمة أدناه للحصول على التفاصيل.

الوصف قيمه
المفتاح scanFileModifyOwnership
نوع البيانات منطقي
القيم المحتملة خطأ (افتراضي)

صحيح

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.23062.0010 أو أعلى.
تكوين مسح ضوئي لأحداث مأخذ التوصيل الخام

عند تمكين هذه الميزة، سيقوم Defender لنقطة النهاية بفحص أحداث مأخذ توصيل الشبكة مثل إنشاء مآخذ توصيل أولية / مآخذ توصيل الحزمة، أو إعداد خيار مأخذ التوصيل.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين الميزة enableRawSocketEvent . لمزيد من المعلومات، راجع قسم الميزات الاختيارية المتقدمة أدناه للحصول على التفاصيل.

الوصف قيمه
المفتاح scanNetworkSocketEvent
نوع البيانات منطقي
القيم المحتملة خطأ (افتراضي)

صحيح

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.23062.0010 أو أعلى.

تفضيلات الحماية المقدمة من السحابة

يتم استخدام إدخال cloudService في ملف تعريف التكوين لتكوين ميزة الحماية المستندة إلى السحابة للمنتج.

الوصف قيمه
المفتاح خدمة السحابة
نوع البيانات القاموس (التفضيل المتداخل)
تعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.

تمكين / تعطيل الحماية المقدمة من السحابة

تحديد ما إذا كانت الحماية المقدمة من السحابة ممكنة على الجهاز أم لا. لتحسين أمان خدماتك، نوصي بالاحتفاظ بهذه الميزة قيد التشغيل.

الوصف قيمه
المفتاح تمكين
نوع البيانات منطقي
القيم المحتملة true (افتراضي)

كاذبه

مستوى مجموعة التشخيص

يتم استخدام البيانات التشخيصية للحفاظ على أمان Defender لنقطة النهاية وتحديثها، واكتشاف المشكلات وتشخيصها وإصلاحها، وكذلك إجراء تحسينات على المنتج. يحدد هذا الإعداد مستوى التشخيصات المرسلة من قبل المنتج إلى Microsoft.

الوصف قيمه
المفتاح مستوى التشخيص
نوع البيانات سلسلة
القيم المحتملة الاختياري

مطلوب (افتراضي)

تكوين مستوى كتلة السحابة

يحدد هذا الإعداد مدى قوة Defender لنقطة النهاية في حظر الملفات المشبوهة ومسحها ضوئيا. إذا كان هذا الإعداد قيد التشغيل، يكون Defender لنقطة النهاية أكثر عدوانية عند تحديد الملفات المشبوهة لحظرها ومسحها ضوئيا؛ خلاف ذلك، فإنه أقل عدوانية، وبالتالي كتل ومسح ضوئي مع تردد أقل.

هناك خمس قيم لتعيين مستوى كتلة السحابة:

  • عادي (normal): مستوى الحظر الافتراضي.
  • معتدل (moderate): يصدر الحكم فقط للكشف عن الثقة العالية.
  • عالي (high): يحظر بشدة الملفات غير المعروفة أثناء التحسين للأداء (فرصة أكبر لحظر الملفات غير الضارة).
  • High Plus (high_plus): يحظر بشدة الملفات غير المعروفة ويطبق مقاييس حماية إضافية (قد يؤثر على أداء جهاز العميل).
  • عدم التسامح (zero_tolerance): حظر جميع البرامج غير المعروفة.
الوصف قيمه
المفتاح cloudBlockLevel
نوع البيانات سلسلة
القيم المحتملة عادي (افتراضي)

معتدله

عاليه

high_plus

zero_tolerance

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.56.62 أو أعلى.

تمكين / تعطيل عمليات إرسال العينة التلقائية

تحديد ما إذا كانت العينات المشبوهة (التي من المحتمل أن تحتوي على تهديدات) يتم إرسالها إلى Microsoft. هناك ثلاثة مستويات للتحكم في إرسال العينة:

  • لا شيء: لا يتم إرسال أي عينات مريبة إلى Microsoft.
  • آمن: يتم إرسال العينات المشبوهة التي لا تحتوي على معلومات تعريف شخصية (PII) فقط تلقائيا. هذه هي القيمة الافتراضية لهذا الإعداد.
  • الكل: يتم إرسال جميع العينات المشبوهة إلى Microsoft.
الوصف قيمه
المفتاح automaticSampleSubmissionConsent
نوع البيانات سلسلة
القيم المحتملة اي

آمن (افتراضي)

جميع

تمكين / تعطيل تحديثات التحليل الذكي للأمان التلقائي

تحديد ما إذا كانت تحديثات التحليل الذكي للأمان مثبتة تلقائيا:

الوصف قيمه
المفتاح automaticDefinitionUpdateEnabled
نوع البيانات منطقي
القيم المحتملة true (افتراضي)

كاذبه

الميزات الاختيارية المتقدمة

يمكن تكوين الإعدادات التالية لتمكين ميزات متقدمة معينة.

ملاحظة

قد يؤثر تمكين هذه الميزات على أداء الجهاز. يوصى بالاحتفاظ بالإعدادات الافتراضية.

الوصف قيمه
المفتاح ميزات
نوع البيانات القاموس (التفضيل المتداخل)
تعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.

ميزة تحميل الوحدة النمطية

تحديد ما إذا كانت أحداث تحميل الوحدة النمطية (أحداث فتح الملف على المكتبات المشتركة) تتم مراقبتها.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.

الوصف قيمه
المفتاح تحميل الوحدة النمطية
نوع البيانات سلسلة
القيم المحتملة معطل (افتراضي)

تمكين

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.68.80 أو أعلى.

تكوينات المستشعر التكميلية

يمكن استخدام الإعدادات التالية لتكوين بعض ميزات المستشعر التكميلية المتقدمة.

الوصف قيمه
المفتاح تكوينات التحسس التكميلية
نوع البيانات القاموس (التفضيل المتداخل)
تعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.
تكوين مراقبة أحداث أذونات تعديل الملف

تحديد ما إذا كانت أحداث أذونات تعديل الملف (chmod) تتم مراقبتها.

ملاحظة

عند تمكين هذه الميزة، سيقوم Defender لنقطة النهاية بمراقبة التغييرات على وحدات بت التنفيذ من الملفات، ولكن ليس مسح هذه الأحداث ضوئيا. لمزيد من المعلومات، راجع قسم ميزات الفحص المتقدم لمزيد من التفاصيل.

الوصف قيمه
المفتاح enableFilePermissionEvents
نوع البيانات سلسلة
القيم المحتملة معطل (افتراضي)

تمكين

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.23062.0010 أو أعلى.
تكوين مراقبة أحداث ملكية تعديل الملف

تحديد ما إذا كانت أحداث تعديل الملف (chown) تتم مراقبتها.

ملاحظة

عند تمكين هذه الميزة، سيراقب Defender لنقطة النهاية التغييرات التي تطرأ على ملكية الملفات، ولكن لا يقوم بفحص هذه الأحداث. لمزيد من المعلومات، راجع قسم ميزات الفحص المتقدم لمزيد من التفاصيل.

الوصف قيمه
المفتاح enableFileOwnershipEvents
نوع البيانات سلسلة
القيم المحتملة معطل (افتراضي)

تمكين

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.23062.0010 أو أعلى.
تكوين مراقبة أحداث مأخذ التوصيل الخام

تحديد ما إذا كانت أحداث مأخذ توصيل الشبكة التي تتضمن إنشاء مآخذ توصيل أولية / مآخذ توصيل الحزمة، أو إعداد خيار مأخذ التوصيل، تتم مراقبتها.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.

ملاحظة

عند تمكين هذه الميزة، سيقوم Defender لنقطة النهاية بمراقبة أحداث مأخذ توصيل الشبكة هذه، ولكن ليس مسح هذه الأحداث ضوئيا. لمزيد من المعلومات، راجع قسم ميزات المسح المتقدم أعلاه لمزيد من التفاصيل.

الوصف قيمه
المفتاح enableRawSocketEvent
نوع البيانات سلسلة
القيم المحتملة معطل (افتراضي)

تمكين

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.23062.0010 أو أعلى.
تكوين مراقبة أحداث محمل التمهيد

تحديد ما إذا كانت أحداث محمل التمهيد تتم مراقبتها ومسحها ضوئيا.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.

الوصف قيمه
المفتاح تمكينBootLoaderCalls
نوع البيانات سلسلة
القيم المحتملة معطل (افتراضي)

تمكين

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.68.80 أو أعلى.
تكوين مراقبة أحداث ptrace

تحديد ما إذا كانت أحداث ptrace تتم مراقبتها ومسحها ضوئيا.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.

الوصف قيمه
المفتاح تمكينProcessCalls
نوع البيانات سلسلة
القيم المحتملة معطل (افتراضي)

تمكين

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.68.80 أو أعلى.
تكوين مراقبة الأحداث الزائفة

تحديد ما إذا كانت الأحداث الزائفة تتم مراقبتها ومسحها ضوئيا.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.

الوصف قيمه
المفتاح enablePseudofsCalls
نوع البيانات سلسلة
القيم المحتملة معطل (افتراضي)

تمكين

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.68.80 أو أعلى.
تكوين مراقبة أحداث تحميل الوحدة النمطية باستخدام eBPF

تحديد ما إذا كانت أحداث تحميل الوحدة النمطية تتم مراقبتها باستخدام eBPF ومسحها ضوئيا.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.

الوصف قيمه
المفتاح enableEbpfModuleLoadEvents
نوع البيانات سلسلة
القيم المحتملة معطل (افتراضي)

تمكين

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.68.80 أو أعلى.

الإبلاغ عن أحداث AV المشبوهة إلى EDR

تحديد ما إذا كان يتم الإبلاغ عن الأحداث المشبوهة من برنامج مكافحة الفيروسات إلى EDR.

الوصف قيمه
المفتاح sendLowfiEvents
نوع البيانات سلسلة
القيم المحتملة معطل (افتراضي)

تمكين

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.23062.0010 أو أعلى.

تكوينات حماية الشبكة

يمكن استخدام الإعدادات التالية لتكوين ميزات فحص حماية الشبكة المتقدمة للتحكم في نسبة استخدام الشبكة التي يتم فحصها بواسطة Network Protection.

ملاحظة

لكي تكون هذه فعالة، يجب تشغيل Network Protection. لمزيد من المعلومات، راجع تشغيل حماية الشبكة لنظام التشغيل Linux.

الوصف قيمه
المفتاح حماية الشبكة
نوع البيانات القاموس (التفضيل المتداخل)
تعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.

تكوين فحص ICMP

تحديد ما إذا كانت أحداث ICMP تتم مراقبتها ومسحها ضوئيا.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.

الوصف قيمه
المفتاح disableIcmpInspection
نوع البيانات منطقي
القيم المحتملة true (افتراضي)

كاذبه

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.23062.0010 أو أعلى.

للبدء، نوصي بملف تعريف التكوين التالي لمؤسستك للاستفادة من جميع ميزات الحماية التي يوفرها Defender لنقطة النهاية.

سيقوم ملف تعريف التكوين التالي:

  • تمكين الحماية في الوقت الحقيقي (RTP)
  • حدد كيفية معالجة أنواع التهديدات التالية:
    • يتم حظر التطبيقات غير المرغوب فيها (PUA)
    • يتم تدقيق القنابل الأرشيفية (ملف بمعدل ضغط عال) على سجلات المنتجات
  • تمكين تحديثات التحليل الذكي للأمان التلقائي
  • تمكين الحماية المقدمة من السحابة
  • تمكين إرسال العينة التلقائية على safe المستوى

نموذج ملف التعريف

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

مثال على ملف تعريف التكوين الكامل

يحتوي ملف تعريف التكوين التالي على إدخالات لجميع الإعدادات الموضحة في هذا المستند ويمكن استخدامه لسيناريوهات أكثر تقدما حيث تريد المزيد من التحكم في المنتج.

ملاحظة

لا يمكن التحكم في جميع الاتصالات Microsoft Defender لنقطة النهاية مع إعداد وكيل فقط في JSON هذا.

ملف التعريف الكامل

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "behaviorMonitoring": "enabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "exclusions":[
         {
            "$type":"excludedPath",
            "isDirectory":false,
            "path":"/var/log/system.log<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/run<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/home/*/git<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedFileExtension",
            "extension":".pdf<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedFileName",
            "name":"cat<EXAMPLE DO NOT USE>"
         }
      ],
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

إضافة العلامة أو معرف المجموعة إلى ملف تعريف التكوين

عند تشغيل mdatp health الأمر للمرة الأولى، ستكون قيمة العلامة ومعرف المجموعة فارغة. لإضافة العلامة mdatp_managed.json أو معرف المجموعة إلى الملف، اتبع الخطوات التالية:

  1. افتح ملف تعريف التكوين من المسار /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
  2. انتقل لأسفل إلى أسفل الملف، حيث cloudService توجد الكتلة.
  3. أضف العلامة المطلوبة أو معرف المجموعة على النحو التالي في نهاية قوس الإغلاق المتعرج ل cloudService.
  },
  "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
},
"edr": {
  "groupIds":"GroupIdExample",
  "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
}

ملاحظة

أضف الفاصلة بعد قوس الإغلاق المتعرج في نهاية cloudService الكتلة. تأكد أيضا من وجود قوسين متعرجين مغلقين بعد إضافة كتلة Tag أو Group ID (يرجى الاطلاع على المثال أعلاه). في الوقت الحالي، اسم المفتاح الوحيد المدعوم للعلامات هو GROUP.