Linux'ta Uç Nokta için Microsoft Defender güvenlik ayarlarını yapılandırma

Güvenlik ayarlarınızı yapılandırma

Linux'ta Uç Nokta için Microsoft Defender virüsten koruma, kötü amaçlı yazılımdan koruma, uç nokta algılama ve yanıt özelliklerini içerir. Bu makalede, yapılandırmaya yönelik önemli güvenlik ayarları özetler ve diğer kaynaklara bağlantılar yer alır.

Ayarlar	Açıklama
1. Statik proxy bulmayı yapılandırın.	Statik ara sunucu yapılandırmak telemetrinin gönderilmesini sağlamaya yardımcı olur ve ağ zaman aşımlarını önlemeye yardımcı olur. Uç Nokta için Defender yüklemeniz sırasında ve sonrasında bu görevi gerçekleştirin. Daha fazla bilgi için bkz. Linux'ta statik ara sunucu bulma için Uç Nokta için Microsoft Defender yapılandırma.
2. Virüsten koruma taramalarınızı yapılandırın.	Anacron veya Crontab kullanarak otomatik virüsten koruma taramaları zamanlayabilirsiniz. Daha fazla bilgi için aşağıdaki makalelere bakın: Linux'ta Uç Nokta için Microsoft Defender virüsten koruma taraması zamanlamak için Anacron kullanma Linux'ta Uç Nokta için Microsoft Defender virüsten koruma taraması zamanlamak için Crontab kullanma
3. Güvenlik ayarlarınızı ve ilkelerinizi yapılandırın.	Linux'ta Uç Nokta için Defender'ı yapılandırmak için Microsoft Defender portalını (Uç Nokta Için Defender Güvenlik Ayarları Yönetimi) veya bir yapılandırma profilini (.jsondosya) kullanabilirsiniz. Belirli ayarları yapılandırmak için komut satırını da kullanabilirsiniz. Daha fazla bilgi için aşağıdaki makalelere bakın: Uç Nokta Güvenlik Ayarları Yönetimi için Defender Yapılandırma profili Komut satırı
4. Dışlamaları yapılandırma ve doğrulama (uygun şekilde)	Linux'ta Uç Nokta için Defender'da belirli dosyaları, klasörleri, işlemleri ve işlem tarafından açılan dosyaları dışlayabilirsiniz. Genel dışlamalar gerçek zamanlı koruma (RTP), davranış izleme (BM) ve uç nokta algılama ve yanıt (EDR) için geçerlidir; böylece tüm ilişkili virüsten koruma algılamaları, EDR uyarıları ve dışlanan öğe için görünürlük durdurulabilir. Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Microsoft Defender dışlamaları yapılandırma ve doğrulama.
5. eBPF tabanlı algılayıcıyı yapılandırın.	Linux'ta Uç Nokta için Microsoft Defender için genişletilmiş Berkeley Paket Filtresi (eBPF), aracı sürümleri 101.23082.0006 ve üzeri için varsayılan olarak tüm müşteriler için otomatik olarak etkinleştirilir. Linux işletim sistemleri için ek olay verileri sağlar ve uygulamalar arasındaki çakışma olasılığını azaltmaya yardımcı olur. Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Microsoft Defender için eBPF tabanlı algılayıcı kullanma.
6. Çevrimdışı Güvenlik Zekası Güncelleştirmesini yapılandırma (uygun şekilde)	Çevrimdışı Güvenlik Bilgileri Güncelleştirmesi, İnternet'e erişimi sınırlı olan veya hiç etkilenmeden Linux sunucuları için güvenlik bilgileri güncelleştirmelerini yapılandırmanıza olanak tanır. İmzaları indirmek için Microsoft buluta bağlanabilen bir yerel barındırma sunucusu ("yansıtma sunucusu") ayarlayabilirsiniz. Diğer Linux uç noktaları, önceden tanımlanmış bir aralıkta yansıtma sunucunuzdan güncelleştirmeleri çekebilir. Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Microsoft Defender için çevrimdışı güvenlik bilgileri güncelleştirmesini yapılandırma.
7. Güncelleştirmeleri dağıtın.	Microsoft, performansı, güvenliği geliştirmek ve yeni özellikler sunmak için düzenli olarak yazılım güncelleştirmeleri yayımlar. Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Microsoft Defender güncelleştirmelerini dağıtma.
8. Ağ korumasını yapılandırma (Önizleme)	Ağ koruması, kullanıcıların internet üzerinde kimlik avı dolandırıcılığı, açıklardan yararlanma ve diğer kötü amaçlı içeriğe ev sahipliği yapabilen tehlikeli etki alanlarına erişmek için herhangi bir uygulama kullanmasını önlemeye yardımcı olur. Daha fazla bilgi için bkz. Linux için ağ koruması.

Önemli

Birden çok güvenlik çözümlerini yan yana çalıştırmak istiyorsanız bkz. Performans, yapılandırma ve destek konuları.

Uç Nokta için Microsoft Defender eklenen cihazlar için karşılıklı güvenlik dışlamalarını zaten yapılandırmış olabilirsiniz. Çakışmaları önlemek için yine de karşılıklı dışlamalar ayarlamanız gerekiyorsa bkz. Mevcut çözümünüz için dışlama listesine Uç Nokta için Microsoft Defender ekleme.

Güvenlik ayarlarını yapılandırma seçenekleri

Linux'ta Uç Nokta için Defender'da güvenlik ayarlarınızı yapılandırmak için iki ana seçeneğiniz vardır:

• Microsoft Defender portalını kullanma (Uç Nokta Güvenlik Ayarları Yönetimi için Defender)

  veya

• Yapılandırma profili kullanma

Komut satırını kullanarak belirli ayarları yapılandırabilir, tanılama toplayabilir, tarama çalıştırabilir ve daha fazlasını yapabilirsiniz. Daha fazla bilgi için bkz . Linux kaynakları: Komut satırını kullanarak yapılandırma.

Uç Nokta Güvenlik Ayarları Yönetimi için Defender

Uç Nokta için Defender Güvenlik Ayarları Yönetimi'ni kullanarak Microsoft Defender portalında (https://security.microsoft.com) Linux'ta Uç Nokta için Defender'ı yapılandırabilirsiniz. Güvenlik ilkelerini oluşturma, düzenleme ve doğrulama gibi daha fazla bilgi için bkz. Microsoft Defender Virüsten Koruma'yı yönetmek için Güvenlik Ayarları Yönetimi'ni Uç Nokta için Microsoft Defender kullanma.

Yapılandırma profili

Linux'ta Uç Nokta için Defender'da ayarları, .json dosya kullanan bir yapılandırma profili aracılığıyla yapılandırabilirsiniz. Profilinizi ayarladıktan sonra tercih ettiğiniz yönetim aracını kullanarak dağıtabilirsiniz. Kuruluş tarafından yönetilen tercihler, cihazda yerel olarak ayarlanan tercihlerden önceliklidir.

Başka bir deyişle, kuruluşunuzdaki kullanıcılar bu yapılandırma profili aracılığıyla ayarlanan tercihleri değiştiremez. Dışlamalar yönetilen yapılandırma profili aracılığıyla eklendiyse, yalnızca yönetilen yapılandırma profili aracılığıyla kaldırılabilir. Komut satırı yerel olarak eklenen dışlamalar için çalışır.

Bu makalede, bu profilin yapısı (başlamak için kullanabileceğiniz önerilen bir profil dahil) ve profilin nasıl dağıtılacağına ilişkin yönergeler açıklanmaktadır.

Yapılandırma profili yapısı

Yapılandırma profili, bir .json anahtar tarafından tanımlanan girdilerden (tercihin adını belirtir) ve ardından tercihin doğasına bağlı olarak bir değerden oluşan bir dosyadır. Değerler basit (örneğin, sayısal bir değer) veya karmaşık (örneğin, iç içe yerleştirilmiş bir tercih listesi) olabilir.

Genellikle adlı mdatp_managed.json bir dosyayı konumuna /etc/opt/microsoft/mdatp/managed/göndermek için bir yapılandırma yönetim aracı kullanırsınız.

Yapılandırma profilinin en üst düzeyi, ürünün alt ürünleri için ürün genelindeki tercihleri ve girişleri içerir ve bunlar sonraki bölümlerde daha ayrıntılı olarak açıklanmıştır.

Önerilen yapılandırma profili

Bu bölüm iki yapılandırma profili örneği içerir:

• Önerilen ayarları kullanmaya başlamanıza yardımcı olacak örnek profil.
• Güvenlik ayarları üzerinde daha ayrıntılı denetim sahibi olmak isteyen kuruluşlar için tam yapılandırma profili örneği.

Başlamak için kuruluşunuz için ilk örnek profili kullanmanızı öneririz. Daha ayrıntılı denetim için bunun yerine tam yapılandırma profili örneğini kullanabilirsiniz.

Örnek profil

Aşağıdaki yapılandırma profili, Linux üzerinde Uç Nokta için Defender'daki önemli koruma özelliklerinden yararlanmanıza yardımcı olur. Profil aşağıdaki yapılandırmayı içerir:

• Gerçek zamanlı korumayı (RTP) etkinleştirin.
• Aşağıdaki tehdit türlerinin nasıl işleneceğini belirtin:
  • İstenmeyebilecek uygulamalar (PUA) engellenir.
  • Arşiv bombaları (yüksek sıkıştırma hızına sahip dosya) ürün günlüklerine denetleniyor.
• Otomatik güvenlik bilgileri güncelleştirmelerini etkinleştirin.
• Bulut tabanlı korumayı etkinleştirin.
• Düzeyinde otomatik örnek göndermeyi safe etkinleştirin.

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Tam yapılandırma profili örneği

Aşağıdaki yapılandırma profili, bu makalede açıklanan tüm ayarların girdilerini içerir ve daha fazla denetim istediğiniz daha gelişmiş senaryolar için kullanılabilir.

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":false,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefinitionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"diabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

Linux üzerinde Uç Nokta için Defender'da virüsten koruma, kötü amaçlı yazılımdan koruma ve EDR ayarları

İster yapılandırma profili (.json dosyası) ister Microsoft Defender portalı (Güvenlik Ayarları Yönetimi) kullanın, Linux üzerinde Uç Nokta için Defender'da virüsten koruma, kötü amaçlı yazılımdan koruma ve EDR ayarlarınızı yapılandırabilirsiniz. Aşağıdaki bölümlerde ayarlarınızın nerede ve nasıl yapılandırıldığı açıklanmaktadır.

Virüsten koruma altyapısı tercihleri

Yapılandırma profilinin antivirusEngine bölümü, ürünün virüsten koruma bileşeninin tercihlerini yönetir.

Açıklama	JSON Değeri	Defender portal değeri
Anahtar	antivirusEngine	Virüsten Koruma Altyapısı
Veri türü	Sözlük (iç içe tercih)	Daraltılmış Bölüm

Sözlük içeriğinin ve ilke özelliklerinin açıklaması için aşağıdaki alt bölümlere bakın.

Microsoft Defender Virüsten Koruma için zorlama düzeyi

Virüsten koruma altyapısının zorlama tercihini belirtir. Zorlama düzeyini ayarlamak için üç değer vardır:

• Gerçek zamanlı (real_time): Gerçek zamanlı koruma (dosyaları değiştirildiği gibi tara) etkinleştirilir.

• İsteğe bağlı (on_demand): Dosyalar yalnızca isteğe bağlı olarak taranır:

  • Gerçek zamanlı koruma kapalı.
  • Tanım güncelleştirmeleri yalnızca isteğe bağlı modda olarak ayarlanmış true olsa automaticDefinitionUpdateEnabled bile tarama başlatıldığında gerçekleşir.

• Pasif (passive): Virüsten koruma altyapısını pasif modda çalıştırır:

  • Gerçek zamanlı koruma kapalı. Microsoft Defender Virüsten Koruma tehditleri düzeltmez.
  • İsteğe bağlı tarama açık. Tarama özellikleri cihazda hala kullanılabilir.
  • Otomatik tehdit düzeltme kapalı. Hiçbir dosya taşınmaz ve güvenlik yöneticinizin gerekli eylemi gerçekleştirmesi beklenir.
  • Güvenlik bilgileri güncelleştirmeleri açık. Uyarılar güvenlik yöneticisinin kuruluşunda kullanılabilir.
  • Tanım güncelleştirmeleri, yalnızca olarak ayarlanmış trueolsa automaticDefinitionUpdateEnabled bile tarama başlatıldığında gerçekleşir.
  • Uç nokta algılama ve yanıt (EDR) açık. Cihazdaki mdatp health komutun çıkışı özelliği için engine_load_version gösterilirengine not loaded. Altyapı, EDR ile değil virüsten koruma ile ilgilidir.

Not

• Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.10.72 kullanılabilir.
• Sürüm veya sonraki sürümlerde 101.23062.0001 varsayılan değer olur passive. Önceki sürümlerde varsayılan değer şeklindeydi real_time.
• Ayrıca, gereksinime göre zamanlanmış taramalar kullanmanızı öneririz.

Davranış izlemeyi etkinleştirme veya devre dışı bırakma (RTP etkinse)

Önemli

Bu özellik yalnızca zorlama düzeyi olduğunda real-timeçalışır.

Cihazda davranış izleme ve engelleme özelliğinin etkinleştirilip etkinleştirilmediğini veya devre dışı bırakılıp bırakılmadığını belirtir.

Açıklama	JSON Değeri	Defender portal değeri
Anahtar	behaviorMonitoring	Davranış izlemeyi etkinleştirme
Veri türü	Dize	Açılan menü
Olası değerler	disabled (varsayılan) enabled	Yapılandırılmadı Devre Dışı (Varsayılan) Etkin

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.45.00 kullanılabilir.

Tanımlar güncelleştirildikten sonra tarama çalıştırma

Önemli

Bu özellik yalnızca zorlama düzeyi olarak real-timeayarlandığında çalışır.

Cihaza yeni güvenlik bilgileri güncelleştirmeleri indirildikten sonra işlem taraması başlatılıp başlatılmayacağını belirtir. Bu ayarın etkinleştirilmesi, cihazın çalışan işlemlerinde bir virüsten koruma taraması tetikler.

Açıklama	JSON Değeri	Defender portal değeri
Anahtar	scanAfterDefinitionUpdate	Tanım güncelleştirmesinin ardından Taramayı Etkinleştir
Veri türü	Boole	Açılan menü
Olası değerler	true (varsayılan) false	Not configured Disabled Enabled (Varsayılan)

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.45.00 kullanılabilir.

Arşivleri tara (yalnızca isteğe bağlı virüsten koruma taramaları)

İsteğe bağlı virüsten koruma taramaları sırasında arşivlerin taranıp taranmayacağını belirtir.

Açıklama	JSON Değeri	Defender portal değeri
Anahtar	scanArchives	Arşivlerin taranmasını etkinleştirme
Veri türü	Boole	Açılan menü
Olası değerler	true (varsayılan) false	Yapılandırılmadı Devre dışı Etkin (Varsayılan)

Not

• Uç Nokta için Microsoft Defender sürümde veya sonraki sürümlerde 101.45.00 kullanılabilir.
• Arşiv dosyaları RTP sırasında hiçbir zaman taranmaz. Arşivdeki dosyalar ayıkladıktan sonra taranır. scanArchives seçeneği yalnızca isteğe bağlı taramalar sırasında arşiv taramasını zorlar.

İsteğe bağlı taramalar için paralellik derecesi

İsteğe bağlı taramalar için paralellik derecesini belirtir. Bu ayar, tarama tarafından kullanılan işlemci iş parçacığı sayısına karşılık gelir. Bu ayar CPU kullanımını ve isteğe bağlı taramaların süresini etkiler.

Açıklama	JSON Değeri	Defender portal değeri
Anahtar	maximumOnDemandScanThreads	isteğe bağlı maksimum tarama iş parçacıkları
Veri türü	Tamsayı	Anahtar & Tamsayıyı Değiştir
Olası değerler	2 (varsayılan). İzin verilen değerler ile 64arasında 1 tamsayılardır.	Not Configured (Varsayılan iki durumlu düğme varsayılan olarak kapalıdır 2) Configured(iki durumlu düğme) ve ile 64arasında 1 tamsayı.

Not

Uç Nokta için Microsoft Defender sürümde veya sonraki sürümlerde 101.45.00 kullanılabilir.

Dışlama birleştirme ilkesi

Not

ExclusionSettings'te dışlamaları ve birleştirme ilkesini yapılandırmanızı öneririz. Bu yaklaşım, dışlamaları tek mergePolicybir ile yapılandırmanıza epp ve global kapsamanıza olanak tanır. Bu bölümdeki ayarlar, içindeki birleştirme ilkesi exclusionSettingsadmin_onlyolmadığı sürece yalnızca dışlamalar için epp geçerlidir.

Cihazda kullanıcı tanımlı dışlamaların kullanılıp kullanılmayacağını belirtir. Geçerli değerler şunlardır:

• admin_only: Yalnızca Uç Nokta için Defender ilkesi tarafından yapılandırılan yönetici tanımlı dışlamaları kullanın. Kullanıcıların kendi dışlamalarını tanımlamasını önlemek için bu değeri kullanın.
• merge: Yönetici tanımlı ve kullanıcı tanımlı dışlamaların bir birleşimini kullanın.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	exclusionsMergePolicy	Dışlama birleştirme
Veri türü	Dize	Açılan menü
Olası değerler	merge (varsayılan) admin_only	Not configured merge (Varsayılan) admin_only

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 100.83.73 kullanılabilir.

Tarama dışlamaları

Taramaların dışında tutulan varlıklar. Dışlamaları bir öğe dizisi olarak belirtirsiniz. Yöneticiler, gerektiği kadar öğeyi herhangi bir sırada belirtebilir. Tam yolları, uzantıları veya dosya adlarını kullanarak dışlamalar belirtirsiniz.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	exclusions	Tarama dışlamaları
Veri türü	Sözlük (iç içe tercih)	Dinamik Özellikler Listesi

Sözlük içeriğinin açıklaması için aşağıdaki alt bölümlere bakın.

Dışlama türü

Taramalardan dışlanan içeriğin türünü belirtir.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	$type	Tür
Veri türü	Dize	Açılan Menü
Olası değerler	excludedPath excludedFileExtension excludedFileName	Yol Dosya uzantısı İşlem adı

Dışlanan içeriğin yolu

İçeriği taramadan tam dosya yolu ile hariç tutun.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	Yolu	Yol
Veri türü	Dize	Dize
Olası değerler	geçerli yollar	geçerli yollar
Açıklamalar	Yalnızca şu durumlarda $type geçerlidir: excludedPath	Örneği düzenle açılan penceresinden erişildi

Yol türü (dosya / dizin)

path özelliğinin bir dosyaya mı yoksa dizine mi başvurduğu belirtir.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	isDirectory	Dizindir
Veri türü	Boole	Açılan menü
Olası değerler	false (varsayılan) true	Enabled Disabled
Açıklamalar	Yalnızca şu durumlarda $type geçerlidir: excludedPath	Örneği düzenle açılan penceresinden erişildi

Dosya uzantısı taramanın dışında bırakıldı

İçeriği dosya uzantısına göre taramanın dışında tutun.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	Uzantısı	Dosya uzantısı
Veri türü	Dize	Dize
Olası değerler	geçerli dosya uzantıları	geçerli dosya uzantıları
Açıklamalar	Yalnızca şu durumlarda $type geçerlidir: excludedFileExtension	Örneği yapılandır açılır penceresinde erişildi

Taramanın dışında tutulan işlem

Tüm dosya etkinliğinin taramanın dışında bırakıldığı bir işlemi belirtir. İşlemi ada (örneğin, cat) veya tam yola (örneğin, /bin/cat) göre belirtebilirsiniz.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	Adı	Dosya adı
Veri türü	Dize	Dize
Olası değerler	herhangi bir dize	herhangi bir dize
Açıklamalar	Yalnızca şu durumlarda $type geçerlidir: excludedFileName	Örneği yapılandır açılır penceresinde erişildi

Yürütme olmayan bağlamaların sesini kapatma

olarak noexecişaretlenen bağlama noktalarında RTP'nin davranışını belirtir. Geçerli değerler şunlardır:

• Değiştirilmedi (unmute): Tüm bağlama noktaları RTP'nin bir parçası olarak taranır. Bu değer varsayılan değerdir.
• Sessize (mute): olarak noexec işaretlenen bağlama noktaları RTP'nin bir parçası olarak taranmıyor.
  • Veritabanı sunucuları veritabanı dosyasını tutabilir.
  • Dosya sunucuları, veri dosyası bağlama noktalarını tutabilir.
  • Yedekleme, veri dosyası bağlama noktalarını tutabilir.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	nonExecMountPolicy	non execute mount mute
Veri türü	Dize	Açılan menü
Olası değerler	unmute (varsayılan) mute	Not configured unmute (Varsayılan) mute

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.85.27 kullanılabilir.

İfadeyi kaldırma dosya sistemleri

RTP tarafından izlenmeyen (hariç tutulan) dosya sistemlerini belirtir. Belirtilen dosya sistemleri Microsoft Defender Virüsten Koruma'da Hızlı, Tam ve özel taramalar tarafından taranır.

İzlenmeyenler listesine bir dosya sistemi eklediğinizde veya kaldırdığınızda, Microsoft rtp tarafından izleme için dosya sisteminin uygun olup olmadığını doğrular (listeden kaldırılır) veya RTP tarafından izleme (listeye eklenir).

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	unmonitoredFilesystems	İzlenmeyen Dosya Sistemleri
Veri türü	Dize dizisi	Dinamik Dize Listesi

• Varsayılan olarak, aşağıdaki dosya sistemleri RTP tarafından izlenir:

  • btrfs
  • ecryptfs
  • ext2
  • ext3
  • ext4
  • fuseblk
  • jfs
  • overlay
  • ramfs
  • reiserfs
  • tmpfs
  • vfat
  • xfs

• Varsayılan olarak, aşağıdaki dosya sistemleri RTP tarafından izlenmemiştir:

  • cifs^*
  • fuse
  • nfs
  • nfs4^*
  • smb^*

  Bu dosya sistemleri de Hızlı ve Tam taramalar tarafından izlenemez, ancak özel taramalar tarafından taranabilir.

  ^* Şu anda bu dosya sisteminin RTP izlemesi Önizleme aşamasındadır.

Örneğin, izlenmeyen dosya sistemleri listesinden ve nfs4 kaldırmak nfs için (yani nfsnfs4 ve doğrulamadan sonra RTP tarafından izlenir), yönetilen yapılandırma dosyasını aşağıdaki girişle güncelleştirin:

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["cifs","fuse","smb"]
  }
}

İzlenmeyen dosya sistemleri listesinden tüm girişleri kaldırmak için aşağıdaki girdiyi kullanın:

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

Dosya karması hesaplama özelliğini yapılandırma

Uç Nokta için Defender tarafından taranan dosyalar için dosya karması hesaplamasını etkinleştirir veya devre dışı bırakır. Bu özelliğin etkinleştirilmesi cihaz performansını etkileyebilir. Daha fazla bilgi için bkz. Dosyalar için gösterge oluşturma.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	enableFileHashComputation	Dosya karması hesaplamasını etkinleştirme
Veri türü	Boole	Açılan menü
Olası değerler	false (varsayılan) true	Not configured Disabled (varsayılan) Enabled

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.85.27 kullanılabilir.

İzin verilen tehditler

Uç Nokta için Defender tarafından engellenmeyen tehditlerin adlarını belirtir. Bunun yerine, bu tehditlerin çalıştırılmasına izin verilir.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	allowedThreats	İzin verilen tehditler
Veri türü	Dize dizisi	Dinamik Dize Listesi

İzin verilmeyen tehdit eylemleri

Tehditler algılandığında cihaz kullanıcısı tarafından izin verilen eylemleri kısıtlar. Bu listede yer alan eylemler kullanıcı arabiriminde görüntülenmez.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	disallowedThreatActions	İzin verilmeyen tehdit eylemleri
Veri türü	Dize dizisi	Dinamik Dize Listesi
Olası değerler	allow (kullanıcıların tehditlere izin vermelerini kısıtlar) restore (kullanıcıların karantinadan gelen tehditleri geri yüklemesini kısıtlar)	allow (kullanıcıların tehditlere izin vermelerini kısıtlar) restore (kullanıcıların karantinadan gelen tehditleri geri yüklemesini kısıtlar)

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 100.83.73 kullanılabilir.

Tehdit türü ayarları

Belirli tehdit türlerinin nasıl işlenmek üzere olduğunu kontrol edin.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	threatTypeSettings	Tehdit türü ayarları
Veri türü	Sözlük (iç içe tercih)	Dinamik Özellikler Listesi

Sözlük içeriğinin açıklaması için aşağıdaki alt bölümlere bakın.

Tehdit türü

Tehdit türünü belirtir.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	Anahtar	Tehdit türü
Veri türü	Dize	Açılan menü
Olası değerler	potentially_unwanted_application archive_bomb	potentially_unwanted_application archive_bomb

Gerçekleştirecek eylem

Önceden belirtilen tehdit türleri algılandığında eylemi belirtir. Geçerli değerler şunlardır:

• Denetim: Cihaz bu tür tehditlere karşı korunmaz, ancak tehditle ilgili bir giriş günlüğe kaydedilir. Bu değer Varsayılan'dır.
• Engelle: Cihaz bu tür tehditlere karşı korunur ve Microsoft Defender portalında size bildirilir.
• Kapalı: Cihaz bu tür tehditlere karşı korunmaz ve hiçbir şey günlüğe kaydedilmez.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	Değer	Gerçekleştirecek eylem
Veri türü	Dize	Açılan menü
Olası değerler	audit (varsayılan) block off	audit block kapalı

Tehdit türü ayarları birleştirme ilkesi

Cihazda kullanıcı tanımlı tehdit türü ayarlarının kullanılıp kullanılmayacağını belirtir. Geçerli değerler şunlardır:

• admin_only: Yalnızca yönetici tanımlı tehdit türü ayarlarını kullanın. Kullanıcıların kendi tehdit türü ayarlarını tanımlamasını önlemek için bu değeri kullanın.
• merge: Yönetici tanımlı ve kullanıcı tanımlı tehdit türü ayarlarının bir birleşimini kullanın.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	threatTypeSettingsMergePolicy	Tehdit türü ayarlarını birleştirme
Veri türü	Dize	Açılan menü
Olası değerler	merge (varsayılan) admin_only	Not configured merge (Varsayılan) admin_only

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 100.83.73 kullanılabilir.

Virüsten koruma tarama geçmişi saklama (gün olarak)

Sonuçların cihazdaki tarama geçmişinde tutulacağını gün sayısını belirtin. Eski tarama sonuçları geçmişten kaldırılır. Eski karantinaya alınan dosyalar da diskten kaldırılır.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	scanResultsRetentionDays	Tarama sonuçları saklama
Veri türü	Dize	Geçiş anahtarı ve Tamsayı
Olası değerler	90 (varsayılan). Geçerli değerler 1 ile 180 gündür.	Not configured (kapatma; 90 günlük varsayılan) Configured (açık) ve izin verilen değer 1 ile 180 gün arasında.

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.04.76 kullanılabilir.

Virüsten koruma tarama geçmişindeki en fazla öğe sayısı

Tarama geçmişinde tutulacak en fazla girdi sayısını belirtin. Girişler, tüm isteğe bağlı taramaları ve tüm virüsten koruma algılamalarını içerir.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	scanHistoryMaximumItems	Tarama geçmişi boyutu
Veri türü	Dize	Geçiş ve Tamsayı
Olası değerler	10000 (varsayılan). İzin verilen değerler öğelerden 5000 öğelere kadardır 15000 .	Yapılandırılmadı (kapalı - 10000 varsayılan) Configured (açık) ve 5000 ile 15000 öğe arasında izin verilen değer.

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.04.76 kullanılabilir.

Dışlama ayarı tercihleri

Not

Genel dışlamalar Uç Nokta için Defender sürümü veya sonraki sürümlerinde 101.24092.0001 kullanılabilir.

exclusionSettings Yapılandırma profilinin bölümünde Linux için Uç Nokta için Microsoft Defender için çeşitli dışlamalar yapılandırılır.

Açıklama	JSON Değeri
Anahtar	exclusionSettings
Veri türü	Sözlük (iç içe tercih)

Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın.|

Not

• Yönetilen JSON'un antivirusEngine bölümünde önceden yapılandırılmış virüsten koruma dışlamaları çalışmaya devam ediyor.
• Virüsten koruma dışlamalarını bu bölümde veya antivirusEngine) bölümünde belirtebilirsiniz. Bölüm tüm dışlama türlerini merkezi olarak barındıracak şekilde tasarlandığından exclusionSettings , bu bölüme diğer tüm dışlama türlerini eklemelisiniz.

İlkeyi birleştirme

Dışlama birleştirme ilkesi

Cihazda kullanıcı tanımlı dışlamaların kullanılıp kullanılmayacağını belirtir. Geçerli değerler şunlardır:

• admin_only: Yalnızca Uç Nokta için Defender ilkesi tarafından yapılandırılan yönetici tanımlı dışlamaları kullanın. Kullanıcıların kendi dışlamalarını tanımlamasını önlemek için bu değeri kullanın.
• merge: Yönetici tanımlı ve kullanıcı tanımlı dışlamaların bir birleşimini kullanın.

Bu ayar tüm kapsamların dışlamaları için geçerlidir.

Açıklama	JSON Değeri
Anahtar	mergePolicy
Veri türü	Dize
Olası değerler	merge (varsayılan) admin_only

Not

Uç Nokta için Defender 2023 Eylül veya sonraki sürümlerinde kullanılabilir.

Dışlamalar

Taramaların dışında tutulan varlıklar. Dışlamaları bir öğe dizisi olarak belirtirsiniz. Yöneticiler, gerektiği kadar öğeyi herhangi bir sırada belirtebilir. Tam yolları, uzantıları veya dosya adlarını kullanarak dışlamalar belirtirsiniz. Her dışlama için bir kapsam belirtebilirsiniz. Varsayılan kapsam geneldir.

Açıklama	JSON Değeri
Anahtar	exclusions
Veri türü	Sözlük (iç içe tercih)

Sözlük içeriğinin açıklaması için aşağıdaki alt bölümlere bakın.

Dışlama türü

Taramalardan dışlanan içeriğin türünü belirtir.

Açıklama	JSON Değeri
Anahtar	$type
Veri türü	Dize
Olası değerler	excludedPath excludedFileExtension excludedFileName

Dışlama kapsamı (isteğe bağlı)

Dışlanan içeriğin dışlama kapsamını belirtir. Geçerli değerler şunlardır:

• epp
• global

Yönetilen yapılandırmada bir dışlama kapsamı belirtmezseniz, değer global kullanılır.

Not

altında yönetilen JSON'da önceden yapılandırılmış virüsten koruma dışlamaları antivirusEngine , bölümünde yer aldıklarından kapsamla epp çalışmaya devam eder antivirusEngine .

Açıklama	JSON Değeri
Anahtar	Kapsam
Veri türü	Dize kümesi
Olası değerler	epp global

Not

(mdatp_managed.json) veya CLI kullanılarak önceden uygulanan dışlamalar etkilenmez. Bu dışlamaların kapsamı bölümünde olmalarıdır eppantivirusEngine .

Dışlanan içeriğin yolu

İçeriği tam dosya yoluna göre taramaların dışında tutun.

Açıklama	JSON Değeri
Anahtar	Yolu
Veri türü	Dize
Olası değerler	geçerli yollar
Açıklamalar	Yalnızca $typeexcludedPath ise geçerlidir. Dışlamanın genel kapsamı varsa joker karakterler desteklenmez.

Yol türü (dosya / dizin)

path özelliğinin bir dosyaya mı yoksa dizine mi başvurduğu belirtir.

Not

Kapsamı olan global bir dosya dışlaması eklerseniz Dosya yolu zaten mevcut olmalıdır.

Açıklama	JSON Değeri
Anahtar	isDirectory
Veri türü	Boole
Olası değerler	false (varsayılan) true
Açıklamalar	Yalnızca $typeexcludedPath ise geçerlidir. Dışlamanın genel kapsamı varsa joker karakterler desteklenmez.

Dosya uzantısı taramanın dışında bırakıldı

İçeriği dosya uzantısına göre taramaların dışında tutun.

Açıklama	JSON Değeri
Anahtar	Uzantısı
Veri türü	Dize
Olası değerler	geçerli dosya uzantıları
Açıklamalar	Yalnızca $typeexcludedFileExtension ise geçerlidir. Dışlamanın genel kapsamı varsa desteklenmez.

Taramanın dışında tutulan işlem

Bir işlem tarafından tüm dosya etkinliğini taramaların dışında tutun. Geçerli değerler şunlardır:

• İşlem adı. Örneğin, cat.
• Tam yol. Örneğin, /bin/cat.

Açıklama	JSON Değeri
Anahtar	Adı
Veri türü	Dize
Olası değerler	herhangi bir dize
Açıklamalar	Yalnızca $typeexcludedFileName olduğunda geçerlidir. Dışlamanın genel kapsamı varsa joker karakterler ve işlem adları desteklenmez. Tam yolu sağlamanız gerekir.

Gelişmiş tarama seçenekleri

Bazı gelişmiş tarama özelliklerini etkinleştirmek için aşağıdaki ayarları yapılandırabilirsiniz.

Önemli

Bu özelliklerin etkinleştirilmesi cihaz performansını etkileyebilir. Microsoft Desteği tarafından aksi belirtilmedikçe varsayılan değerleri öneririz.

Dosya değiştirme izinleri olaylarını taramayı yapılandırma

Uç Nokta için Defender'ın, yürütülen bitleri ayarlamak için izinleri değiştirildiğinde dosyaları tarayıp taramayacağını belirtir.

Not

Bu ayar yalnızca etkinleştirildiğinde enableFilePermissionEvents anlamlıdır. Daha fazla bilgi için bu makalenin devamında yer alan gelişmiş isteğe bağlı özellikler bölümüne bakın.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	scanFileModifyPermissions	Yok
Veri türü	Boole	yok
Olası değerler	false (varsayılan) true	yok

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.23062.0010 kullanılabilir.

Dosya değişiklik sahipliği olaylarını taramayı yapılandırma

Uç Nokta için Defender'ın sahipliği değiştirilmiş dosyaları tarayıp taramayacağını belirtir.

Not

Bu ayar yalnızca etkinleştirildiğinde enableFileOwnershipEvents anlamlıdır. Daha fazla bilgi için bu makalenin devamında yer alan gelişmiş isteğe bağlı özellikler bölümüne bakın.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	scanFileModifyOwnership	Yok
Veri türü	Boole	yok
Olası değerler	false (varsayılan) true	yok

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.23062.0010 kullanılabilir.

Ham yuva olaylarını taramayı yapılandırma

Uç Nokta için Defender'ın ağ yuvası olaylarını tarayıp taramayacağını belirtir. Örneğin:

• Ham yuvalar /paket yuvaları oluşturma.
• Yuva seçeneklerini ayarlama.

Not

• Bu ayar yalnızca Davranış İzleme etkinleştirildiğinde anlamlıdır.
• Bu ayar yalnızca etkinleştirildiğinde enableRawSocketEvent anlamlıdır. Daha fazla bilgi için bu makalenin devamında yer alan gelişmiş isteğe bağlı özellikler bölümüne bakın.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	scanNetworkSocketEvent	Yok
Veri türü	Boole	yok
Olası değerler	false (varsayılan) true	yok

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.23062.0010 kullanılabilir.

Bulut tabanlı koruma tercihleri

Yapılandırma profilindeki cloudService girdisi, bulut tabanlı koruma özelliğini yapılandırıyor.

Not

Bulut tabanlı koruma, herhangi bir Zorlama düzeyi ayarıyla (real_time, on_demandveya passive) geçerlidir.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	cloudService	Bulut teslimi koruma tercihleri
Veri türü	Sözlük (iç içe tercih)	Daraltılmış bölüm

Sözlük içeriğinin ve ilke ayarlarının açıklaması için aşağıdaki alt bölümlere bakın.

Bulut tarafından sağlanan korumayı etkinleştirme veya devre dışı bırakma

Cihazda bulut tabanlı korumanın etkinleştirilip etkinleştirilmediğini belirtin. Güvenliği artırmak için bu özelliği açık tutmanızı öneririz.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	enabled	Bulut tarafından sağlanan korumayı etkinleştirme
Veri türü	Boole	Açılan menü
Olası değerler	true (varsayılan) false	Yapılandırılmadı Devre dışı Etkin (Varsayılan)

Tanılama toplama düzeyi

Microsoft'a gönderilen tanılama bilgilerinin düzeyini belirtin. Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Microsoft Defender için gizlilik.

Tanılama verileri Uç Nokta için Defender'ı güvenli ve güncel tutmak, sorunları algılamak, tanılamak ve düzeltmek ve ürün geliştirmeleri yapmak için kullanılır.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	diagnosticLevel	Tanılama veri toplama düzeyi
Veri türü	Dize	Açılan menü
Olası değerler	optional required (varsayılan)	Not configured optional (Varsayılan) required

Bulut bloğu düzeyini yapılandırma

Şüpheli dosyaları engelleme ve taramada Uç Nokta için Defender'ın saldırganlığını belirtin. Geçerli değerler şunlardır:

• Normal (normal): Değer varsayılan değerdir.
• Orta (moderate): Yalnızca yüksek güvenilirlik algılamaları için karar verme.
• Yüksek (high): Performans için iyileştirme yaparken bilinmeyen dosyaları agresif bir şekilde engelleyin. Bu değerin, zararsız dosyaları engelleme olasılığı daha yüksektir.
• High Plus (high_plus): Bilinmeyen dosyaları agresif bir şekilde engelleyin ve ek koruma önlemleri uygulayın. Bu değer istemci cihaz performansını etkileyebilir.
• Sıfır Tolerans (zero_tolerance): Tüm bilinmeyen programları engelleyin.

Bu ayar açıksa, uç nokta için Defender engellenip taranacak şüpheli dosyaları tanımlarken daha agresiftir. Aksi takdirde, daha az agresiftir ve bu nedenle daha az sıklıkta bloklar ve taramalar.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	cloudBlockLevel	Bulut bloğu düzeyini yapılandırma
Veri türü	Dize	Açılan menü
Olası değerler	normal (varsayılan) moderate high high_plus zero_tolerance	Not configured Normal (varsayılan) Moderate High High_Plus Zero_Tolerance

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.56.62 kullanılabilir.

Otomatik örnek gönderimlerini etkinleştirme veya devre dışı bırakma

Şüpheli örneklerin (tehdit içerme olasılığı yüksek) Microsoft'a gönderilip gönderilmeydiğini belirtir. Geçerli değerler şunlardır:

• Hiçbiri: Microsoft'a şüpheli örnek gönderilmez.
• Güvenli: Yalnızca kişisel bilgiler içermeyen şüpheli örnekler otomatik olarak gönderilir. Bu değer varsayılan değerdir.
• Tümü: Tüm şüpheli örnekler Microsoft'a gönderilir.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	automaticSampleSubmissionConsent	Otomatik örnek gönderimlerini etkinleştirme
Veri türü	Dize	Açılan menü
Olası değerler	none safe (varsayılan) all	Not configured None Safe (Varsayılan) All

Otomatik güvenlik bilgileri güncelleştirmelerini etkinleştirme veya devre dışı bırakma

Güvenlik bilgileri güncelleştirmelerinin otomatik olarak yüklenip yüklenmediğini belirtir.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	automaticDefinitionUpdateEnabled	Otomatik güvenlik bilgileri güncelleştirmeleri
Veri türü	Boole	Açılan menü
Olası değerler	true (varsayılan) false	Not configured Disabled Enabled (Varsayılan)

Zorlama düzeyine bağlı olarak, otomatik güvenlik bilgileri güncelleştirmeleri farklı yüklenir. RTP modunda güncelleştirmeler düzenli aralıklarla yüklenir. Pasif veya İsteğe Bağlı modunda, güncelleştirmeler her taramadan önce yüklenir.

Gelişmiş isteğe bağlı özellikler

Bazı gelişmiş isteğe bağlı özellikleri etkinleştirmek için aşağıdaki ayarları kullanın.

Önemli

Bu özelliklerin etkinleştirilmesi cihaz performansını etkileyebilir. Microsoft Desteği tarafından aksi belirtilmedikçe varsayılan değerleri öneririz.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	Özellik	Kullanılamaz
Veri türü	Sözlük (iç içe tercih)	yok

Sözlük içeriğinin açıklaması için aşağıdaki alt bölümlere bakın.

Modül yükleme özelliği

Modül yükleme olaylarının (paylaşılan kitaplıklardaki dosya açma olayları) izlenip izlenmeyeceğini belirtir.

Not

Bu ayar yalnızca Davranış İzleme etkinleştirildiğinde anlamlıdır.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	moduleLoad	Kullanılamaz
Veri türü	Dize	yok
Olası değerler	disabled (varsayılan) enabled	yok

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.68.80 kullanılabilir.

Virüslü Dosyayı Düzelt özelliği

Virüslü dosyaları açan veya yükleyen virüslü işlemlerin RTP modunda düzeltilip düzeltilemeyeceğini belirtir.

Not

Bu işlemler kötü amaçlı olmadığından tehdit listesinde görünmez. THe işlemleri yalnızca tehdit dosyasını belleğe yükledikleri için sonlandırılır.

Açıklama	JSON Değeri	Defender Portal Değeri
Anahtar	remediateInfectedFile	Kullanılamaz
Veri türü	Dize	yok
Olası değerler	devre dışı (varsayılan) Etkin	yok

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.24122.0001 kullanılabilir.

Ek algılayıcı yapılandırmaları

Bazı gelişmiş tamamlayıcı algılayıcı özelliklerini yapılandırmak için aşağıdaki ayarları kullanın.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	supplementarySensorConfigurations	Kullanılamaz
Veri türü	Sözlük (iç içe tercih)	yok

Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın.

Dosya değiştirme izinleri olaylarının izlenmesini yapılandırma

Dosya değiştirme izin olaylarının (chmod) izlenip izlenmeyeceğini belirtir.

Not

Bu özellik etkinleştirildiğinde, Uç Nokta için Defender yürütülen dosya bitlerine yapılan değişiklikleri izler, ancak bu olayları taramaz. Daha fazla bilgi için Gelişmiş tarama özellikleri bölümüne bakın.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	enableFilePermissionEvents	Kullanılamaz
Veri türü	Dize	yok
Olası değerler	disabled (varsayılan) enabled	yok

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.23062.0010 kullanılabilir.

Dosya değişiklik sahipliği olaylarının izlenmesini yapılandırma

Dosyanın sahiplik olaylarının (chown) değiştirilip izlenmeyeceğini belirtir.

Not

Bu özellik etkinleştirildiğinde Uç Nokta için Defender dosyaların sahipliğini izler ancak bu olayları taramaz. Daha fazla bilgi için bkz . Gelişmiş tarama özellikleri.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	enableFileOwnershipEvents	Kullanılamaz
Veri türü	Dize	yok
Olası değerler	disabled (varsayılan) enabled	yok

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.23062.0010 kullanılabilir.

Ham yuva olaylarının izlenmesini yapılandırma

Ham yuvaların /paket yuvalarının oluşturulması veya yuva seçeneğinin ayarlanmasıyla ilgili ağ yuvası olaylarının izlenip izlenmeyeceğini belirtir.

Not

• Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir.
• Bu özellik etkinleştirildiğinde Uç Nokta için Defender bu ağ yuvası olaylarını izler ancak bu olayları taramaz. Daha fazla bilgi için gelişmiş tarama özellikleri bölümüne bakın.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	enableRawSocketEvent	Kullanılamaz
Veri türü	Dize	yok
Olası değerler	disabled (varsayılan) enabled	yok

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerinde 101.23062.0010 kullanılabilir.|

Önyükleme yükleyicisi olaylarının izlenmesini yapılandırma

Önyükleme yükleyicisi olaylarının izlenip izlenmeyeceğini ve taranıp taranmayacağını belirtir.

Not

Bu ayar yalnızca Davranış İzleme etkinleştirildiğinde anlamlıdır.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	enableBootLoaderCalls	Kullanılamaz
Veri türü	Dize	yok
Olası değerler	disabled (varsayılan) enabled	yok

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.68.80 kullanılabilir.

Ptrace olaylarının izlenmesini yapılandırma

Ptrace olaylarının izlenip izlenmeyeceğini ve taranıp taranmayacağını belirtir.

Not

Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	enableProcessCalls	Kullanılamaz
Veri türü	Dize	yok
Olası değerler	disabled (varsayılan) enabled	yok

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.68.80 kullanılabilir.

Pseudofs olaylarının izlenmesini yapılandırma

Pseudofs olaylarının izlenip izlenmeyeceğini ve taranıp taranmayacağını belirtir.

Not

Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	enablePseudofsCalls	Kullanılamaz
Veri türü	Dize	yok
Olası değerler	disabled (varsayılan) enabled	yok

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.68.80 kullanılabilir.

eBPF kullanarak modül yükleme olaylarının izlenmesini yapılandırma

Modül yükleme olaylarının eBPF tarafından izlenip izlenmeyeceğini ve taranıp taranmayacağını belirtir.

Not

Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	enableEbpfModuleLoadEvents	Kullanılamaz
Veri türü	Dize	yok
Olası değerler	disabled (varsayılan) enabled	yok

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.68.80 kullanılabilir.

eBPF kullanarak belirli dosya sistemlerinden açık olayların izlenmesini yapılandırma

Procf'lerden gelen açık olayların eBPF tarafından izlenip izlenmeyeceğini belirtir.

Not

Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	enableOtherFsOpenEvents	Kullanılamaz
Veri türü	Dize	yok
Olası değerler	disabled (varsayılan) enabled	yok

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.24072.0001 kullanılabilir.

eBPF kullanarak olayların kaynak zenginleştirmesini yapılandırma

Olayların eBPF kaynağındaki meta verilerle zenginleştirilip zenginleştirılmeyeceğini belirtir.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	enableEbpfSourceEnrichment	Kullanılamaz
Veri türü	Dize	yok
Olası değerler	disabled (varsayılan) enabled	yok

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.24072.0001 kullanılabilir.

Virüsten Koruma Altyapısı Önbelleğini Etkinleştirme

Virüsten koruma altyapısı tarafından taranan olayların meta verilerinin önbelleğe alınıp alınmayacağını belirtir.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	enableAntivirusEngineCache	Kullanılamaz
Veri türü	Dize	yok
Olası değerler	disabled (varsayılan) enabled	yok

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.24072.0001 kullanılabilir.

Şüpheli virüsten koruma olaylarını EDR'ye bildirme

Virüsten Koruma'dan gelen şüpheli olayların EDR'ye bildirilip bildirmeyeceğini belirtir.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	sendLowfiEvents	Kullanılamaz
Veri türü	Dize	yok
Olası değerler	disabled (varsayılan) enabled	yok

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.23062.0010 kullanılabilir.

Ağ koruma yapılandırmaları

Not

• Şu anda bu özellik Önizleme aşamasındadır.
• Bu ayarlar yalnızca Ağ Koruması açıkken anlamlıdır. Daha fazla bilgi için bkz . Linux için ağ korumasını açma.

Ağ Koruması tarafından denetlenen trafiği denetleyen gelişmiş Ağ Koruması inceleme özelliklerini yapılandırmak için aşağıdaki ayarları kullanın.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	networkProtection	Ağ koruması
Veri türü	Sözlük (iç içe tercih)	Daraltılmış bölüm

Sözlük içeriğinin açıklaması için aşağıdaki alt bölümlere bakın.

Zorlama Düzeyi

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	enforcementLevel	Zorlama Düzeyi
Veri türü	Dize	Açılan menü
Olası değerler	disabled (varsayılan) audit block	Not configured disabled (varsayılan) audit block

ICMP incelemeyi yapılandırma

ICMP olaylarının izlenip izlenmeyeceğini ve taranıp taranmayacağını belirtir.

Not

Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir.

Açıklama	JSON Değeri	portal değerini Microsoft Defender
Anahtar	disableIcmpInspection	Kullanılamaz
Veri türü	Boole	yok
Olası değerler	true (varsayılan) false	yok

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.23062.0010 kullanılabilir.

Yapılandırma profiline etiket veya grup kimliği ekleme

Komutu ilk kez çalıştırdığınızda mdatp health etiket ve grup kimliği değerleri boş olur. Dosyaya etiket veya grup kimliği eklemek için mdatp_managed.json şu adımları izleyin:

1. yolundan /etc/opt/microsoft/mdatp/managed/mdatp_managed.jsonyapılandırma profilini açın.

2. cloudService Dosyanın en altındaki blokta, aşağıdaki örnekte gösterildiği gibi bloğun kapanış küme ayracı cloudService sonuna gerekli etiketi veya grup kimliğini ekleyin.

   },
   "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
   },
   "edr": {
   "groupIds":"GroupIdExample",
   "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
   }
   

   Not

   • Bloğun sonuna cloudService kapanış küme ayracından sonra virgül ekleyin.
   • Örnekte gösterildiği gibi ekledikten tags veya groupIds blok ekledikten sonra iki kapatma köşeli ayracı olduğunu doğrulayın.
   • Şu anda etiketler için desteklenen tek anahtar adıdır GROUP.

Yapılandırma profili doğrulaması

Yapılandırma profili geçerli bir JSON biçimli dosya olmalıdır. Yapılandırma profilini doğrulamak için kullanabileceğiniz birçok araç vardır. Örneğin, cihazınıza yüklediyseniz python aşağıdaki komutu çalıştırın:

python -m json.tool mdatp_managed.json

Dosya doğru biçimlendirildiyse, komut çıkış kodunu 0döndürür. Aksi takdirde hatalar görüntülenir ve komut çıkış kodunu 1döndürür.

mdatp_managed.json dosyasının beklendiği gibi çalıştığını doğrulama

Düzgün çalıştığınızı /etc/opt/microsoft/mdatp/managed/mdatp_managed.json doğrulamak için şu ayarların yanında şunu görmeniz [managed] gerekir:

• cloud_enabled
• cloud_automatic_sample_submission_consent
• passive_mode_enabled
• real_time_protection_enabled
• automatic_definition_update_enabled

İpucu

içindeki mdatp_managed.jsonçoğu yapılandırma için mdatp daemon'unu yeniden başlatmanız gerekmez. Aşağıdaki yapılandırmaların etkili olması için bir daemon yeniden başlatması gerekir:

• cloud-diagnostic
• log-rotation-parameters

Yapılandırma profili dağıtımı

Kuruluşunuz için yapılandırma profilini oluşturduktan sonra, geçerli yönetim araçlarınızı kullanarak dağıtabilirsiniz. Linux'ta Uç Nokta için Defender yönetilen yapılandırmayı 'den /etc/opt/microsoft/mdatp/managed/mdatp_managed.jsonokur.