Настройка параметров безопасности в Microsoft Defender для конечной точки в Linux

Microsoft Defender для конечной точки в Linux включает антивирусную программу, защиту от вредоносных программ, обнаружение конечных точек и возможности реагирования. В этой статье перечислены важные параметры безопасности, которые необходимо настроить, и содержатся ссылки на другие ресурсы.

Параметры	Описание
1. Настройте обнаружение статических прокси-серверов.	Настройка статического прокси-сервера помогает обеспечить отправку данных телеметрии и избежать превышения времени ожидания сети. Выполните эту задачу во время и после установки Defender для конечной точки. Дополнительные сведения см. в разделе Настройка Microsoft Defender для конечной точки в Linux для обнаружения статических прокси-серверов.
2. Настройте проверку антивирусной программы.	Вы можете запланировать автоматическое антивирусное сканирование с помощью Anacron или Crontab. Дополнительные сведения см. в следующих статьях: Использование Anacron для планирования антивирусной проверки в Microsoft Defender для конечной точки на Linux Использование Crontab для планирования антивирусной проверки в Microsoft Defender для конечной точки на Linux
3. Настройте параметры безопасности и политики.	Для настройки Defender для конечной точки в Linux можно использовать портал Microsoft Defender (управление параметрами безопасности Defender для конечной точки) или профиль конфигурации (.jsonфайл). Кроме того, можно использовать командную строку для настройки определенных параметров. Дополнительные сведения см. в следующих статьях: Управление параметрами безопасности Defender для конечной точки Профиль конфигурации Командная строка
4. Настройка и проверка исключений (при необходимости)	Некоторые файлы, папки, процессы и файлы, открытые процессом, можно исключить из Defender для конечной точки в Linux. Глобальные исключения применяются к защите в режиме реального времени ( RTP), мониторингу поведения (BM) и обнаружению и реагированию конечных точек (EDR), что позволяет остановить все связанные обнаружения антивирусной программы, оповещения EDR и видимость для исключенного элемента. Дополнительные сведения см. в статье Настройка и проверка исключений Microsoft Defender для конечной точки в Linux.
5. Настройте датчик на основе eBPF.	Расширенный фильтр пакетов Беркли (eBPF) для Microsoft Defender для конечной точки в Linux автоматически включается для всех клиентов по умолчанию для версий агента и более поздних 101.23082.0006 версий. Он предоставляет дополнительные данные о событиях для операционных систем Linux и помогает снизить вероятность конфликтов между приложениями. Дополнительные сведения см. в статье Использование датчика на основе eBPF для Microsoft Defender для конечной точки в Linux.
6. Настройка автономного обновления аналитики безопасности (при необходимости)	Автономное обновление аналитики безопасности позволяет настроить обновления аналитики безопасности для серверов Linux с ограниченным доступом к Интернету или без них. Вы можете настроить локальный сервер размещения ("сервер зеркало"), который может подключаться к облаку Майкрософт для скачивания подписей. Другие конечные точки Linux могут извлекать обновления с сервера зеркало через предопределенный интервал. Дополнительные сведения см. в статье Настройка автономного обновления аналитики безопасности для Microsoft Defender для конечной точки в Linux.
7. Развертывание обновлений.	Корпорация Майкрософт регулярно публикует обновления программного обеспечения для повышения производительности, безопасности и предоставления новых функций. Дополнительные сведения см. в статье Развертывание обновлений для Microsoft Defender для конечной точки в Linux.
8. Настройка защиты сети (предварительная версия)	Защита сети помогает запретить пользователям использовать любое приложение для доступа к опасным доменам, в которых могут размещаться фишинговые аферы, эксплойты и другое вредоносное содержимое в Интернете. Дополнительные сведения см. в разделе Защита сети для Linux.

Важно!

Если вы хотите параллельно запустить несколько решений безопасности, см. раздел Рекомендации по производительности, конфигурации и поддержке.

Возможно, вы уже настроили взаимные исключения безопасности для устройств, подключенных к Microsoft Defender для конечной точки. Если вам по-прежнему нужно настроить взаимные исключения, чтобы избежать конфликтов, см. раздел Добавление Microsoft Defender для конечной точки в список исключений для существующего решения.

Параметры настройки параметров безопасности

Чтобы настроить параметры безопасности в Defender для конечной точки в Linux, можно использовать два основных варианта:

• Использование портала Microsoft Defender (управление параметрами безопасности Defender для конечной точки)

  или

• Использование профиля конфигурации

Командную строку можно использовать для настройки определенных параметров, сбора диагностика, выполнения проверок и многого другого. Дополнительные сведения см. в разделе Ресурсы Linux: настройка с помощью командной строки.

Управление параметрами безопасности Defender для конечной точки

Вы можете настроить Defender для конечной точки в Linux на портале Microsoft Defender по адресу (https://security.microsoft.com) с помощью управления параметрами безопасности Defender для конечной точки. Дополнительные сведения, включая создание, изменение и проверку политик безопасности, см. в статье Управление параметрами безопасности Microsoft Defender для конечной точки для управления Microsoft Defender антивирусной программой.

Профиль конфигурации

Параметры в Defender для конечной точки в Linux можно настроить с помощью профиля конфигурации, использующего .json файл. После настройки профиля его можно развернуть с помощью выбранного средства управления. Предпочтения, управляемые предприятием, имеют приоритет над параметрами, заданными локально на устройстве.

Другими словами, пользователи в организации не могут изменять настройки, заданные в этом профиле конфигурации. Если исключения были добавлены с помощью профиля управляемой конфигурации, их можно удалить только с помощью профиля управляемой конфигурации. Командная строка работает для исключений, добавленных локально.

В этой статье описывается структура этого профиля (включая рекомендуемый профиль, который можно использовать для начала работы) и инструкции по развертыванию профиля.

Структура профиля конфигурации

Профиль конфигурации — это .json файл, состоящий из записей, определенных ключом (который обозначает имя предпочтения), за которым следует значение, которое зависит от характера предпочтения. Значения могут быть простыми (например, числовым значением) или сложными (например, вложенным списком настроек).

Как правило, вы используете средство управления конфигурацией для отправки файла с именем mdatp_managed.json в расположение /etc/opt/microsoft/mdatp/managed/.

Верхний уровень профиля конфигурации включает в себя настройки для всего продукта и записи для вложенных элементов продукта, которые более подробно описаны в следующих разделах.

Рекомендуемый профиль конфигурации

В этом разделе содержатся два примера профиля конфигурации:

• Пример профиля , который поможет вам приступить к работе с рекомендуемыми параметрами.
• Пример полного профиля конфигурации для организаций, которым требуется более детализированный контроль над параметрами безопасности.

Чтобы приступить к работе, рекомендуется использовать первый пример профиля для вашей организации. Для более детального управления можно использовать полный пример профиля конфигурации .

Пример профиля

Следующий профиль конфигурации поможет вам воспользоваться преимуществами важных функций защиты в Defender для конечной точки в Linux. Профиль включает следующую конфигурацию:

• Включите защиту в режиме реального времени (RTP).
• Укажите способ обработки следующих типов угроз:
  • Потенциально нежелательные приложения блокируются.
  • Архив бомбы (файл с высокой степенью сжатия) проверяются в журналах продуктов.
• Включите автоматические обновления аналитики безопасности.
• Включите облачную защиту.
• Включите автоматическую отправку примеров на safe уровне.

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Пример полного профиля конфигурации

Следующий профиль конфигурации содержит записи для всех параметров, описанных в этой статье, и может использоваться для более сложных сценариев, в которых требуется больше контроля.

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":true,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefinitionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"disabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

Параметры антивирусной программы, антивредоносного ПО и EDR в Defender для конечной точки в Linux

Независимо от того, используете ли вы профиль конфигурации (.json файл) или портал Microsoft Defender (управление параметрами безопасности), вы можете настроить параметры антивирусной программы, антивредоносного ПО и EDR в Defender для конечной точки в Linux. В следующих разделах описывается, где и как настроить параметры.

Параметры антивирусного ядра

Раздел antivirusEngine профиля конфигурации управляет параметрами антивирусного компонента продукта.

Описание	Значение JSON	Значение портала Defender
Ключ	antivirusEngine	Антивирусная подсистема
Тип данных	Словарь (вложенный параметр)	Свернутый раздел

Описание содержимого словаря и свойств политики см. в следующих подразделах.

Уровень принудительного применения для антивирусной программы Microsoft Defender

Задает параметр принудительного применения антивирусного ядра. Существует три значения для установки уровня принудительного применения:

• В режиме реального времени (real_time): включена защита в режиме реального времени (сканирование файлов по мере их изменения).

• По запросу (on_demand): Files сканируются только по запросу:

  • Защита в режиме реального времени отключена.
  • Обновления определений происходят только при запуске сканирования, даже если automaticDefinitionUpdateEnabled задано значение true в режиме по запросу.

• Пассивный (passive): запускает антивирусную программу в пассивном режиме:

  • Защита в режиме реального времени отключена. Microsoft Defender антивирусная программа не устраняет угрозы.
  • Сканирование по запросу включено. Возможности сканирования по-прежнему доступны на устройстве.
  • Автоматическое исправление угроз отключено. Файлы не перемещаются, и администратор безопасности, как ожидается, примет необходимые меры.
  • Обновления аналитики безопасности включены. Оповещения доступны в организации администратора безопасности.
  • Обновления определений происходят только при запуске сканирования, даже если automaticDefinitionUpdateEnabled задано значение true.
  • Обнаружение и ответ конечной точки (EDR) включен. Выходные mdatp health данные команды на устройстве отображаются engine not loadedengine_load_version для свойства . Подсистема связана с антивирусной программой, а не с EDR.

Примечание.

• Доступно в Defender для конечной точки или более поздней версии 101.10.72 .
• В версии 101.23062.0001 или более поздней по умолчанию используется passiveзначение . В предыдущих версиях по умолчанию использовалось real_timeзначение .
• Мы также рекомендуем использовать запланированные проверки в соответствии с требованиями.

Включение или отключение мониторинга поведения (если rtp включен)

Важно!

Эта функция работает только в том случае, если уровень принудительного применения имеет значение real-time.

Указывает, включена или отключена возможность мониторинга поведения и блокировки на устройстве.

Описание	Значение JSON	Значение портала Defender
Ключ	behaviorMonitoring	Включение мониторинга поведения
Тип данных	String	Раскрыть
Возможные значения	disabled (по умолчанию) enabled	Не настроено Отключено (по умолчанию) Включено

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.45.00 .

Запуск проверки после обновления определений

Важно!

Эта функция работает только в том случае, если для уровня принудительного применения задано значение real-time.

Указывает, следует ли запускать проверку процесса после загрузки на устройство новых обновлений аналитики безопасности. Включение этого параметра запускает антивирусную проверку запущенных процессов устройства.

Описание	Значение JSON	Значение портала Defender
Ключ	scanAfterDefinitionUpdate	Включение сканирования после обновления определения
Тип данных	Логический	Раскрыть
Возможные значения	true (по умолчанию) false	Not configured Disabled Enabled (по умолчанию)

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.45.00 .

Сканирование архивов (только антивирусная проверка по запросу)

Указывает, следует ли сканировать архивы во время проверки антивирусной программы по запросу.

Описание	Значение JSON	Значение портала Defender
Ключ	scanArchives	Включение сканирования архивов
Тип данных	Логический	Раскрыть
Возможные значения	true (по умолчанию) false	Не настроено Отключено Включено (по умолчанию)

Примечание.

• Доступно в Microsoft Defender для конечной точки версии 101.45.00 или более поздней.
• Архив файлы никогда не сканируются во время RTP. Files в архиве сканируются после их извлечения. Параметр scanArchives принудительно выполняет сканирование архивов только во время проверок по запросу.

Степень параллелизма при сканировании по запросу

Указывает степень параллелизма для проверок по запросу. Этот параметр соответствует количеству потоков процессора, используемых при проверке. Этот параметр влияет на загрузку ЦП и длительность проверок по запросу.

Описание	Значение JSON	Значение портала Defender
Ключ	maximumOnDemandScanThreads	максимальное число потоков сканирования по запросу
Тип данных	Integer	Переключение переключателя & целое число
Возможные значения	2 (по умолчанию). Допустимые значения — это целые числа между 1 и 64.	Not Configured (По умолчанию выключите значение по умолчанию в значение 2) Configured (переключатель) и целое число между 1 и 64.

Примечание.

Доступно в Microsoft Defender для конечной точки версии 101.45.00 или более поздней.

Политика слияния исключений

Примечание.

Мы рекомендуем настроить исключения и политику слияния в exclusionSettings. Такой подход позволяет настроить epp и global область исключения с помощью одного mergePolicy. Параметры в этом разделе применяются только к исключениям epp , если только политика слияния в exclusionSettings не имеет значения admin_only.

Указывает, следует ли использовать пользовательские исключения на устройстве. Допустимые значения:

• admin_only: используйте только определенные администратором исключения, настроенные политикой Defender для конечной точки. Используйте это значение, чтобы запретить пользователям определять собственные исключения.
• merge: используйте сочетание исключений, определяемых администратором и пользователем.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	exclusionsMergePolicy	Exclusions merge (Объединение исключений);
Тип данных	String	Раскрыть
Возможные значения	merge (по умолчанию) admin_only	Not configured merge (по умолчанию) admin_only

Примечание.

Доступно в Defender для конечной точки или более поздней версии 100.83.73 .

исключения сканирования;

Сущности, исключенные из проверок. Исключения указываются как массив элементов. Администраторы могут указать любое количество элементов в любом порядке. Исключения указываются с помощью полных путей, расширений или имен файлов.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	exclusions	исключения сканирования;
Тип данных	Словарь (вложенный параметр)	Динамический список свойств

Описание содержимого словаря см. в следующих подразделах.

Тип исключения

Указывает тип содержимого, исключенного из проверок.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	$type	Тип
Тип данных	String	Раскрывающийся список
Возможные значения	excludedPath excludedFileExtension excludedFileName	Path Расширение файла Имя процесса

Путь к исключенным содержимому

Исключите содержимое из сканирования по полному пути к файлу.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	path	Path
Тип данных	String	String
Возможные значения	допустимые пути	допустимые пути
Comments	Применимо только в том случае, если $type имеет значение excludedPath	Доступ к во всплывающем окне "Изменение экземпляра"

Тип пути (файл или каталог)

Указывает, относится ли свойство path к файлу или каталогу.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	isDirectory	Каталог Is
Тип данных	Логический	Раскрыть
Возможные значения	false (по умолчанию) true	Enabled Disabled
Comments	Применимо только в том случае, если $type имеет значение excludedPath	Доступ к во всплывающем окне "Изменение экземпляра"

Расширение файла, исключенное из сканирования

Исключите содержимое из расширения файла сканирования.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	Расширение	Расширение файла
Тип данных	String	String
Возможные значения	допустимые расширения файлов	допустимые расширения файлов
Comments	Применимо только в том случае, если $type имеет значение excludedFileExtension	Доступ к всплывающему окнулю "Настройка экземпляра"

Процесс, исключенный из сканирования

Указывает процесс, для которого все действия файлов исключаются из сканирования. Процесс можно указать по имени (например, cat) или по полному пути (например, /bin/cat).

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	name	Имя файла
Тип данных	String	String
Возможные значения	любая строка	любая строка
Comments	Применимо только в том случае, если $type имеет значение excludedFileName	Доступ к всплывающему окнулю "Настройка экземпляра"

Отключение неисключевых подключений

Указывает поведение RTP в точках подключения, помеченных как noexec. Допустимые значения:

• Unmuted (unmute). Все точки подключения проверяются в рамках RTP. Это значение является значением по умолчанию.
• Отключаемое (mute): точки подключения, помеченные как noexec , не сканируются как часть RTP.
  • Серверы баз данных могут хранить файлы базы данных.
  • Файловые серверы могут хранить точки подключения файлов.
  • Резервное копирование может сохранять точки подключения файлов.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	nonExecMountPolicy	non execute mount mute
Тип данных	String	Раскрыть
Возможные значения	unmute (по умолчанию) mute	Not configured unmute (по умолчанию) mute

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.85.27 .

Немониторные файловые системы

Указывает файловые системы, которые не отслеживаются (исключаются из) RTP. Указанные файловые системы по-прежнему сканируются с помощью быстрых, полных и пользовательских проверок в Microsoft Defender антивирусной программы.

При добавлении или удалении файловой системы из неустранимого списка корпорация Майкрософт проверяет право файловой системы для мониторинга с помощью RTP (удалена из списка) или без отслеживания rtp (добавлена в список).

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	unmonitoredFilesystems	Неуправляемые файловые системы
Тип данных	Массив строк	Динамический список строк

• По умолчанию RTP отслеживает следующие файловые системы:

  • btrfs
  • ecryptfs
  • ext2
  • ext3
  • ext4
  • fuseblk
  • jfs
  • overlay
  • ramfs
  • reiserfs
  • tmpfs
  • vfat
  • xfs

• По умолчанию RTP не отслеживает следующие файловые системы:

  • cifs^*
  • fuse
  • nfs
  • nfs4^*
  • smb^*

  Эти файловые системы также не отслеживаются быстрой и полной проверкой, но могут проверяться пользовательскими проверками.

  ^* В настоящее время rtp-мониторинг этой файловой системы находится в предварительной версии.

Например, чтобы удалить nfs и nfs4 из списка неустранимых файловых систем (то есть nfs и nfs4 отслеживаются RTP после проверки), обновите управляемый файл конфигурации следующей записью:

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["cifs","fuse","smb"]
  }
}

Чтобы удалить все записи из списка неустранимых файловых систем, используйте следующую запись:

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

Настройка функции вычисления хэша файлов

Включает или отключает вычисление хэша файлов для файлов, сканируемых Defender для конечной точки. Включение этой функции может повлиять на производительность устройства. Дополнительные сведения см. в разделе Создание индикаторов для файлов.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	enableFileHashComputation	Включение вычисления хэша файлов
Тип данных	Логический	Раскрыть
Возможные значения	false (по умолчанию) true	Not configured Disabled (по умолчанию) Enabled

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.85.27 .

разрешенные угрозы;

Указывает имена угроз, которые не блокируются Defender для конечной точки. Вместо этого эти угрозы могут выполняться.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	allowedThreats	разрешенные угрозы;
Тип данных	Массив строк	Динамический список строк

Disallowed threat actions (Запрещенные действия в отношении угроз);

Ограничивает разрешенные действия пользователя устройства при обнаружении угроз. Действия, включенные в этот список, не отображаются в пользовательском интерфейсе.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	disallowedThreatActions	Disallowed threat actions (Запрещенные действия в отношении угроз);
Тип данных	Массив строк	Динамический список строк
Возможные значения	allow (запрещает пользователям разрешать угрозы) restore (запрещает пользователям восстанавливать угрозы из карантина)	allow (запрещает пользователям разрешать угрозы) restore (запрещает пользователям восстанавливать угрозы из карантина)

Примечание.

Доступно в Defender для конечной точки или более поздней версии 100.83.73 .

параметры типа угрозы.

Управление способом обработки определенных типов угроз.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	threatTypeSettings	параметры типа угрозы.
Тип данных	Словарь (вложенный параметр)	Динамический список свойств

Описание содержимого словаря см. в следующих подразделах.

Тип угрозы

Указывает тип угрозы.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	ключа	Тип угрозы
Тип данных	String	Раскрыть
Возможные значения	potentially_unwanted_application archive_bomb	potentially_unwanted_application archive_bomb

Действие

Указывает действие при обнаружении ранее указанных типов угроз. Допустимые значения:

• Аудит. Устройство не защищено от этой угрозы, но запись об угрозе регистрируется. Это значение по умолчанию.
• Блокировать. Устройство защищено от угрозы этого типа, и вы получите уведомление на портале Microsoft Defender.
• Выкл. Устройство не защищено от этой угрозы, и ничего не регистрируется.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	значение	Действие
Тип данных	String	Раскрыть
Возможные значения	audit (по умолчанию) block off	audit block выключено

Политика слияния параметров типа угроз

Указывает, следует ли использовать определяемые пользователем параметры типа угроз на устройстве. Допустимые значения:

• admin_only: используйте только параметры типа угроз, определяемые администратором. Используйте это значение, чтобы запретить пользователям определять собственные параметры типа угроз.
• merge: используйте сочетание параметров типа угроз, определяемых администратором и пользователем.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	threatTypeSettingsMergePolicy	Threat type settings merge (Объединение параметров типа угроз).
Тип данных	String	Раскрыть
Возможные значения	merge (по умолчанию) admin_only	Not configured merge (по умолчанию) admin_only

Примечание.

Доступно в Defender для конечной точки или более поздней версии 100.83.73 .

Хранение журнала антивирусной проверки (в днях)

Укажите количество дней, в течение которых результаты хранятся в журнале сканирования на устройстве. Старые результаты сканирования удаляются из журнала. Старые файлы, помещенные в карантин, также удаляются с диска.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	scanResultsRetentionDays	Хранение результатов сканирования
Тип данных	String	Переключатель и целое число
Возможные значения	90 (по умолчанию). Допустимые значения: от 1 до 180 дней.	Not configured (переключение; 90 дней по умолчанию) Configured (переключатель) и разрешенное значение от 1 до 180 дней.

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.04.76 .

Максимальное число элементов в журнале антивирусной проверки

Укажите максимальное количество записей, которые будут храниться в журнале сканирования. Записи включают все проверки по запросу и все обнаружения антивирусной программы.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	scanHistoryMaximumItems	Scan history size (Размер журнала сканирования);
Тип данных	String	Переключение и целое число
Возможные значения	10000 (по умолчанию). Допустимые значения : от 5000 элементов к 15000 элементам.	Не настроено (переключение — 10000 по умолчанию) Configured (переключатель) и допустимое значение от 5000 до 15000 элементов.

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.04.76 .

Параметры параметра исключения

Примечание.

Глобальные исключения доступны в Defender для конечной точки или более поздней версии 101.24092.0001 .

Раздел exclusionSettings профиля конфигурации настраивает различные исключения для Microsoft Defender для конечной точки для Linux.

Описание	Значение JSON
Ключ	exclusionSettings
Тип данных	Словарь (вложенный параметр)

Описание содержимого словаря см. в следующих разделах.|

Примечание.

• Ранее настроенные исключения антивирусной программы в разделе antivirusEngine управляемого JSON продолжают работать.
• Исключения антивирусной программы можно указать в этом разделе или в antivirusEngineразделе ). В этом разделе следует добавить все остальные типы исключений, так как раздел предназначен для централизованного exclusionSettings размещения всех типов исключений.

Политика слияния

Политика слияния исключений

Указывает, следует ли использовать пользовательские исключения на устройстве. Допустимые значения:

• admin_only: используйте только определенные администратором исключения, настроенные политикой Defender для конечной точки. Используйте это значение, чтобы запретить пользователям определять собственные исключения.
• merge: используйте сочетание исключений, определяемых администратором и пользователем.

Этот параметр применяется к исключениям всех областей.

Описание	Значение JSON
Ключ	mergePolicy
Тип данных	String
Возможные значения	merge (по умолчанию) admin_only

Примечание.

Доступно в Defender для конечной точки версии за сентябрь 2023 г. или более поздней.

Исключения

Сущности, исключенные из проверок. Исключения указываются как массив элементов. Администраторы могут указать любое количество элементов в любом порядке. Исключения указываются с помощью полных путей, расширений или имен файлов. Для каждого исключения можно указать область. По умолчанию область является глобальным.

Описание	Значение JSON
Ключ	exclusions
Тип данных	Словарь (вложенный параметр)

Описание содержимого словаря см. в следующих подразделах.

Тип исключения

Указывает тип содержимого, исключенного из проверок.

Описание	Значение JSON
Ключ	$type
Тип данных	String
Возможные значения	excludedPath excludedFileExtension excludedFileName

Область исключения (необязательно)

Задает область исключения исключенного содержимого. Допустимые значения:

• epp
• global

Если не указать область исключения в управляемой конфигурации, используется значение global .

Примечание.

Ранее настроенные исключения антивирусной antivirusEngine программы в управляемом ФОРМАТЕ JSON продолжают работать с областьepp, так как они были в antivirusEngine разделе .

Описание	Значение JSON
Ключ	scopes
Тип данных	Набор строк
Возможные значения	epp global

Примечание.

Ранее примененные исключения с помощью (mdatp_managed.json) или CLI не затрагиваются. Область для этих исключений заключается в томepp, что они были в antivirusEngine разделе.

Путь к исключенным содержимому

Исключите содержимое из проверок по полному пути к файлу.

Описание	Значение JSON
Ключ	path
Тип данных	String
Возможные значения	допустимые пути
Comments	Применимо, только если $typeисключеныPath. Подстановочные знаки не поддерживаются, если исключение имеет глобальный область.

Тип пути (файл или каталог)

Указывает, относится ли свойство path к файлу или каталогу.

Примечание.

Путь к файлу уже должен существовать, если добавить исключение файла с global область.

Описание	Значение JSON
Ключ	isDirectory
Тип данных	Логический
Возможные значения	false (по умолчанию) true
Comments	Применимо, только если $typeисключеныPath. Подстановочные знаки не поддерживаются, если исключение имеет глобальный область.

Расширение файла, исключенное из сканирования

Исключите содержимое из проверок по расширению файла.

Описание	Значение JSON
Ключ	Расширение
Тип данных	String
Возможные значения	допустимые расширения файлов
Comments	Применимо, только если $typeисключеноFileExtension. Не поддерживается, если исключение имеет глобальный область.

Процесс, исключенный из сканирования

Исключите все действия с файлами, выполняемые процессом, из проверок. Допустимые значения:

• Имя процесса. Например, cat.
• Полный путь. Например, /bin/cat.

Описание	Значение JSON
Ключ	name
Тип данных	String
Возможные значения	любая строка
Comments	Применимо, только если $typeисключеноFileName. Подстановочные знаки и имена процессов не поддерживаются, если исключение имеет глобальный область. Необходимо указать полный путь.

Дополнительные параметры сканирования

Вы можете настроить следующие параметры, чтобы включить некоторые расширенные функции сканирования.

Важно!

Включение этих функций может повлиять на производительность устройства. Мы рекомендуем использовать значения по умолчанию, если служба поддержки Майкрософт не рекомендует иное.

Настройка проверки событий разрешений на изменение файла

Указывает, сканирует ли Defender для конечной точки файлы при изменении разрешений, чтобы задать исполняемые биты.

Примечание.

Этот параметр имеет смысл только в том случае, если enableFilePermissionEvents он включен. Дополнительные сведения см. в разделе Дополнительные необязательные функции далее в этой статье.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	scanFileModifyPermissions	Недоступно
Тип данных	Логический	н/д
Возможные значения	false (по умолчанию) true	н/д

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.23062.0010 .

Настройка сканирования событий владения изменением файла

Указывает, сканирует ли Defender для конечной точки файлы с измененным владельцем.

Примечание.

Этот параметр имеет смысл только в том случае, если enableFileOwnershipEvents он включен. Дополнительные сведения см. в разделе Дополнительные необязательные функции далее в этой статье.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	scanFileModifyOwnership	Недоступно
Тип данных	Логический	н/д
Возможные значения	false (по умолчанию) true	н/д

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.23062.0010 .

Настройка сканирования необработанных событий сокета

Указывает, сканирует ли Defender для конечной точки события сетевого сокета. Например, вы можете:

• Создание необработанных сокетов или сокетов пакетов.
• Настройка параметров сокета.

Примечание.

• Этот параметр имеет смысл только в том случае, если включен мониторинг поведения.
• Этот параметр имеет смысл только в том случае, если enableRawSocketEvent он включен. Дополнительные сведения см. в разделе Дополнительные необязательные функции далее в этой статье.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	scanNetworkSocketEvent	Недоступно
Тип данных	Логический	н/д
Возможные значения	false (по умолчанию) true	н/д

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.23062.0010 .

Параметры защиты, предоставляемые облаком

Запись cloudService в профиле конфигурации настраивает функцию защиты на основе облака.

Примечание.

Облачная защита применяется с любыми параметрами уровня принудительного применения (real_time, on_demandили passive).

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	cloudService	Параметры защиты, предоставляемые облаком
Тип данных	Словарь (вложенный параметр)	Свернутый раздел

Описание содержимого словаря и параметров политики см. в следующих подразделах.

Включение или отключение облачной защиты

Укажите, включена ли облачная защита на устройстве. Для повышения безопасности рекомендуется оставить эту функцию включенной.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	enabled	Включение облачной защиты
Тип данных	Логический	Раскрыть
Возможные значения	true (по умолчанию) false	Не настроено Отключено Включено (по умолчанию)

уровень сбора данных диагностики

Укажите уровень диагностических данных, отправляемых в корпорацию Майкрософт. Дополнительные сведения см. в разделе Конфиденциальность для Microsoft Defender для конечной точки в Linux.

Диагностические данные используются для обеспечения безопасности и актуальности Defender для конечной точки, обнаружения, диагностики и устранения проблем, а также улучшения продукта.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	diagnosticLevel	Уровень сбора диагностических данных
Тип данных	String	Раскрыть
Возможные значения	optional required (по умолчанию)	Not configured optional (по умолчанию) required

Настройка уровня облачного блока

Укажите агрессивность Defender для конечной точки при блокировке и сканировании подозрительных файлов. Допустимые значения:

• Обычный (normal): значение по умолчанию.
• Умеренный (moderate): выносить вердикты только для обнаружения с высоким уровнем достоверности.
• Высокий (high): агрессивное блокирование неизвестных файлов при оптимизации для производительности. Это значение имеет большую вероятность блокировки невредных файлов.
• Высокий плюс (high_plus): агрессивное блокирование неизвестных файлов и применение дополнительных мер защиты. Это значение может повлиять на производительность клиентского устройства.
• Нулевое отклонение (zero_tolerance): блокировка всех неизвестных программ.

Если этот параметр включен, Defender для конечной точки будет более агрессивным при обнаружении подозрительных файлов для блокировки и сканирования. В противном случае он будет менее агрессивным и, следовательно, блокирует и сканирует с меньшей частотой.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	cloudBlockLevel	Настройка уровня облачного блока
Тип данных	String	Раскрыть
Возможные значения	normal (по умолчанию) moderate high high_plus zero_tolerance	Not configured Normal (по умолчанию) Moderate High High_Plus Zero_Tolerance

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.56.62 .

Включение или отключение автоматической отправки примеров

Указывает, отправляются ли в корпорацию Майкрософт подозрительные образцы (вероятно, содержащие угрозы). Допустимые значения:

• Нет. Подозрительные примеры не отправляются в корпорацию Майкрософт.
• Безопасно: автоматически отправляются только подозрительные примеры, не содержащие личные сведения. Это значение является значением по умолчанию.
• Все. Все подозрительные примеры отправляются в корпорацию Майкрософт.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	automaticSampleSubmissionConsent	Включение автоматической отправки примеров
Тип данных	String	Раскрыть
Возможные значения	none safe (по умолчанию) all	Not configured None Safe (по умолчанию) All

Включение или отключение автоматических обновлений аналитики безопасности

Указывает, устанавливаются ли обновления аналитики безопасности автоматически.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	automaticDefinitionUpdateEnabled	Automatic security intelligence updates (Автоматические обновления механизма обнаружения угроз).
Тип данных	Логический	Раскрыть
Возможные значения	true (по умолчанию) false	Not configured Disabled Enabled (по умолчанию)

В зависимости от уровня принудительного применения автоматические обновления аналитики безопасности устанавливаются по-разному. В режиме RTP обновления устанавливаются периодически. В пассивном режиме или режиме по запросу обновления устанавливаются перед каждой проверкой.

Дополнительные необязательные функции

Используйте следующие параметры для включения некоторых дополнительных дополнительных функций.

Важно!

Включение этих функций может повлиять на производительность устройства. Мы рекомендуем использовать значения по умолчанию, если служба поддержки Майкрософт не рекомендует иное.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	Функции	Недоступно
Тип данных	Словарь (вложенный параметр)	n/a

Описание содержимого словаря см. в следующих подразделах.

Функция загрузки модуля

Указывает, отслеживаются ли события загрузки модуля (события открытия файлов в общих библиотеках).

Примечание.

Этот параметр имеет смысл только в том случае, если включен мониторинг поведения.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	moduleLoad	Недоступно
Тип данных	String	n/a
Возможные значения	disabled (по умолчанию) enabled	n/a

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.68.80 .

Исправление функции "Зараженный файл"

Указывает, будут ли исправлены зараженные процессы, которые открывают или загружают зараженные файлы, в режиме RTP.

Примечание.

Эти процессы не отображаются в списке угроз, так как они не являются вредоносными. Процессы THe завершаются только потому, что они загрузили файл угрозы в память.

Описание	Значение JSON	Значение портала Defender
Ключ	remediateInfectedFile	Недоступно
Тип данных	String	n/a
Возможные значения	отключено (по умолчанию) включено	n/a

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.24122.0001 .

Дополнительные конфигурации датчиков

Используйте следующие параметры для настройки некоторых дополнительных дополнительных функций датчика.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	supplementarySensorConfigurations	Недоступно
Тип данных	Словарь (вложенный параметр)	n/a

Описание содержимого словаря см. в следующих разделах.

Настройка мониторинга событий разрешений на изменение файла

Указывает, отслеживаются ли события разрешений на изменение файла (chmod).

Примечание.

Если эта функция включена, Defender для конечной точки отслеживает изменения в исполняемых битах файлов, но не сканирует эти события. Дополнительные сведения см. в разделе Расширенные функции сканирования .

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	enableFilePermissionEvents	Недоступно
Тип данных	String	n/a
Возможные значения	disabled (по умолчанию) enabled	n/a

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.23062.0010 .

Настройка мониторинга событий владения изменением файлов

Указывает, отслеживаются ли события владения изменением файла (chown).

Примечание.

Если эта функция включена, Defender для конечной точки отслеживает изменения владения файлами, но не сканирует эти события. Дополнительные сведения см. в разделе Расширенные функции сканирования.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	enableFileOwnershipEvents	Недоступно
Тип данных	String	n/a
Возможные значения	disabled (по умолчанию) enabled	n/a

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.23062.0010 .

Настройка мониторинга необработанных событий сокета

Указывает, отслеживаются ли события сетевого сокета, связанные с созданием необработанных сокетов или сокетов пакетов или параметром сокета.

Примечание.

• Эта функция применима только в том случае, если включен мониторинг поведения.
• Если эта функция включена, Defender для конечной точки отслеживает эти события сетевого сокета, но не сканирует эти события. Дополнительные сведения см. в разделе Расширенные функции сканирования .

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	enableRawSocketEvent	Недоступно
Тип данных	String	n/a
Возможные значения	disabled (по умолчанию) enabled	n/a

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.23062.0010 .|

Настройка мониторинга событий загрузчика

Указывает, отслеживаются ли и сканируются события загрузчика.

Примечание.

Этот параметр имеет смысл только в том случае, если включен мониторинг поведения.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	enableBootLoaderCalls	Недоступно
Тип данных	String	n/a
Возможные значения	disabled (по умолчанию) enabled	n/a

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.68.80 .

Настройка мониторинга событий ptrace

Указывает, отслеживаются ли и сканируются события ptrace.

Примечание.

Эта функция применима только в том случае, если включен мониторинг поведения.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	enableProcessCalls	Недоступно
Тип данных	String	n/a
Возможные значения	disabled (по умолчанию) enabled	n/a

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.68.80 .

Настройка мониторинга событий псевдофы

Указывает, отслеживаются ли и сканируются события псевдофов.

Примечание.

Эта функция применима только в том случае, если включен мониторинг поведения.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	enablePseudofsCalls	Недоступно
Тип данных	String	n/a
Возможные значения	disabled (по умолчанию) enabled	n/a

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.68.80 .

Настройка мониторинга событий загрузки модуля с помощью eBPF

Указывает, отслеживаются ли события загрузки модуля с помощью eBPF и сканируются.

Примечание.

Эта функция применима только в том случае, если включен мониторинг поведения.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	enableEbpfModuleLoadEvents	Недоступно
Тип данных	String	n/a
Возможные значения	disabled (по умолчанию) enabled	n/a

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.68.80 .

Настройка мониторинга открытых событий из определенных файловых систем с помощью eBPF

Указывает, отслеживаются ли открытые события из procfs с помощью eBPF.

Примечание.

Эта функция применима только в том случае, если включен мониторинг поведения.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	enableOtherFsOpenEvents	Недоступно
Тип данных	String	n/a
Возможные значения	disabled (по умолчанию) enabled	n/a

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.24072.0001 .

Настройка обогащения событий в источнике с помощью eBPF

Указывает, обогащаются ли события метаданными в источнике в eBPF.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	enableEbpfSourceEnrichment	Недоступно
Тип данных	String	n/a
Возможные значения	disabled (по умолчанию) enabled	n/a

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.24072.0001 .

Включение кэша антивирусного ядра

Указывает, кэшируются ли метаданные событий, сканируемых антивирусной программой.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	enableAntivirusEngineCache	Недоступно
Тип данных	String	n/a
Возможные значения	disabled (по умолчанию) enabled	n/a

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.24072.0001 .

Сообщение о подозрительных событиях антивирусной программы в EDR

Указывает, передаются ли подозрительные события из антивирусной программы в EDR.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	sendLowfiEvents	Недоступно
Тип данных	String	n/a
Возможные значения	disabled (по умолчанию) enabled	n/a

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.23062.0010 .

Конфигурации защиты сети

Примечание.

• В настоящее время эта функция доступна в предварительной версии.
• Эти параметры имеют смысл только в том случае, если включена защита сети. Дополнительные сведения см. в статье Включение защиты сети для Linux.

Используйте следующие параметры, чтобы настроить расширенные функции проверки защиты сети, которые управляют трафиком, проверяемым с помощью защиты сети.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	networkProtection	Защита сети
Тип данных	Словарь (вложенный параметр)	Свернутый раздел

Описание содержимого словаря см. в следующих подразделах.

Уровень принудительного применения

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	enforcementLevel	Уровень принудительного применения
Тип данных	String	Раскрыть
Возможные значения	disabled (по умолчанию) audit block	Not configured disabled (по умолчанию) audit block

Настройка проверки ICMP

Указывает, отслеживаются ли и сканируются события ICMP.

Примечание.

Эта функция применима только в том случае, если включен мониторинг поведения.

Описание	Значение JSON	значение портала Microsoft Defender
Ключ	disableIcmpInspection	Недоступно
Тип данных	Логический	n/a
Возможные значения	true (по умолчанию) false	n/a

Примечание.

Доступно в Defender для конечной точки или более поздней версии 101.23062.0010 .

Добавление тега или идентификатора группы в профиль конфигурации

При первом выполнении mdatp health команды значения тега и идентификатора группы будут пустыми. Чтобы добавить тег или идентификатор группы в mdatp_managed.json файл, выполните следующие действия:

1. Откройте профиль конфигурации из пути /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

2. В блоке cloudService в нижней части файла добавьте требуемый тег или идентификатор группы в конце закрывающей фигурной скобки cloudService для блока, как показано в следующем примере.

   },
   "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
   },
   "edr": {
   "groupIds":"GroupIdExample",
   "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
   }
   

   Примечание.

   • Добавьте запятую после закрывающей фигурной скобки в конце cloudService блока.
   • Убедитесь, что после добавления tags или groupIds блоков есть две закрывающие фигурные скобки, как показано в примере.
   • В настоящее время единственным поддерживаемым именем ключа для тегов является GROUP.

Проверка профиля конфигурации

Профиль конфигурации должен быть допустимым файлом в формате JSON. Для проверки профиля конфигурации доступно множество средств. Например, выполните следующую команду, если вы python установили на устройстве:

python -m json.tool mdatp_managed.json

Если файл отформатирован правильно, команда возвращает код 0выхода . В противном случае отображаются ошибки и команда возвращает код 1выхода .

Проверка правильности работы файла mdatp_managed.json

Чтобы убедиться, что вы /etc/opt/microsoft/mdatp/managed/mdatp_managed.json работаете правильно, вы должны увидеть [managed] рядом со следующими параметрами:

• cloud_enabled
• cloud_automatic_sample_submission_consent
• passive_mode_enabled
• real_time_protection_enabled
• automatic_definition_update_enabled

Совет

Для большинства конфигураций в mdatp_managed.jsonне требуется перезапускать управляемую программу mdatp. Для выполнения следующих конфигураций требуется перезапуск управляющей программы:

• cloud-diagnostic
• log-rotation-parameters

Развертывание профиля конфигурации

После создания профиля конфигурации для организации его можно развернуть с помощью текущих средств управления. Defender для конечной точки в Linux считывает управляемую конфигурацию из /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.