Aracılığıyla paylaş


Linux'ta Uç Nokta için Microsoft Defender tercihlerini ayarlayın

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Önemli

Bu makale, kurumsal ortamlarda Linux üzerinde Uç Nokta için Defender tercihlerini ayarlama yönergelerini içerir. Ürünü bir cihazda komut satırından yapılandırmak istiyorsanız bkz . Kaynaklar.

Kurumsal ortamlarda, Linux üzerinde Uç Nokta için Defender bir yapılandırma profili aracılığıyla yönetilebilir. Bu profil, seçtiğiniz yönetim aracından dağıtılır. Kuruluş tarafından yönetilen tercihler, cihazda yerel olarak ayarlanan tercihlerden önceliklidir. Başka bir deyişle, kuruluşunuzdaki kullanıcılar bu yapılandırma profili aracılığıyla ayarlanan tercihleri değiştiremez. Dışlamalar yönetilen yapılandırma profili aracılığıyla eklendiyse, yalnızca yönetilen yapılandırma profili aracılığıyla kaldırılabilir. Komut satırı, yerel olarak eklenen dışlamalar için çalışır.

Bu makalede, bu profilin yapısı (başlamak için kullanabileceğiniz önerilen bir profil dahil) ve profilin nasıl dağıtılacağına ilişkin yönergeler açıklanmaktadır.

Yapılandırma profili yapısı

Yapılandırma profili, bir .json anahtar tarafından tanımlanan girdilerden (tercihin adını belirtir) ve ardından tercihin doğasına bağlı olarak bir değerden oluşan bir dosyadır. Değerler, sayısal değer gibi basit veya iç içe yerleştirilmiş tercih listesi gibi karmaşık olabilir.

Genellikle, konumunda /etc/opt/microsoft/mdatp/managed/adıyla mdatp_managed.json bir dosya göndermek için bir yapılandırma yönetim aracı kullanırsınız.

Yapılandırma profilinin en üst düzeyi, ürünün alt ürünleri için ürün genelindeki tercihleri ve girişleri içerir ve bunlar sonraki bölümlerde daha ayrıntılı olarak açıklanmıştır.

Virüsten koruma altyapısı tercihleri

Yapılandırma profilinin antivirusEngine bölümü, ürünün virüsten koruma bileşeninin tercihlerini yönetmek için kullanılır.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar antivirusEngine Virüsten Koruma Altyapısı
Veri tipi Sözlük (iç içe tercih) Daraltılmış Bölüm
Açıklamalar Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın. İlke özelliklerinin açıklaması için aşağıdaki bölümlere bakın.

Virüsten koruma altyapısı için zorlama düzeyi

Virüsten koruma altyapısının zorlama tercihini belirtir. Zorlama düzeyini ayarlamak için üç değer vardır:

  • Gerçek zamanlı (real_time): Gerçek zamanlı koruma (dosyaları değiştirildiği gibi tara) etkinleştirilir.
  • İsteğe bağlı (on_demand): Dosyalar yalnızca isteğe bağlı olarak taranır. Burada:
    • Gerçek zamanlı koruma kapalıdır.
    • Tanım güncelleştirmeleri yalnızca isteğe bağlı modda olarak ayarlanmış true olsa automaticDefinitionUpdateEnabled bile tarama başlatıldığında gerçekleşir.
  • Pasif (passive): Virüsten koruma altyapısını pasif modda çalıştırır. Bu durumda, aşağıdakilerin tümü geçerlidir:
    • Gerçek zamanlı koruma kapalı: Tehditler Microsoft Defender Virüsten Koruma tarafından düzeltilmiyor.
    • İsteğe bağlı tarama açık: Uç noktadaki tarama özelliklerini kullanmaya devam edin.
    • Otomatik tehdit düzeltme kapalı: Hiçbir dosya taşınmaz ve güvenlik yöneticinizin gerekli eylemi gerçekleştirmesi beklenir.
    • Güvenlik bilgileri güncelleştirmeleri açıktır: Uyarılar güvenlik yöneticisinin kiracısında kullanılabilir.
    • Tanım güncelleştirmeleri yalnızca pasif modda olarak ayarlanmış true olsa automaticDefinitionUpdateEnabled bile tarama başlatıldığında gerçekleşir.
Açıklama JSON Değeri Defender Portal Değeri
Anahtar enforcementLevel Zorlama Düzeyi
Veri tipi Dize Açılan menü
Olası değerler real_time
on_demand
passive (varsayılan)
Yapılandırılmadı
Gerçek zamanlı
OnDemand
Pasif (Varsayılan)

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.10.72 kullanılabilir. Uç Nokta için Defender veya sonraki bir sürümde 101.23062.0001 varsayılan olarak olarak değiştirilir.real_timepassive Ayrıca, gereksinime göre zamanlanmış taramaların kullanılması önerilir.

Davranış izlemeyi etkinleştirme/devre dışı bırakma

Cihazda davranış izleme ve engelleme özelliğinin etkinleştirilip etkinleştirilmediğini belirler.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar behaviorMonitoring Davranış izlemeyi etkinleştirme
Veri tipi Dize Açılan menü
Olası değerler disabled (varsayılan)

enabled

Yapılandırılmadı
Devre Dışı (Varsayılan)
Etkin

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.45.00 kullanılabilir. Bu özellik yalnızca gerçek zamanlı koruma etkinleştirildiğinde geçerlidir.

Tanımlar güncelleştirildikten sonra tarama çalıştırma

Cihaza yeni güvenlik bilgileri güncelleştirmeleri indirildikten sonra işlem taraması başlatılıp başlatılmayacağını belirtir. Bu ayarın etkinleştirilmesi, cihazın çalışan işlemlerinde bir virüsten koruma taraması tetikler.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar scanAfterDefinitionUpdate Tanım güncelleştirmesinin ardından Taramayı Etkinleştir
Veri tipi Boole Açılan menü
Olası değerler true (varsayılan)

false

Yapılandırılmadı
Devre dışı
Etkin (Varsayılan)

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.45.00 kullanılabilir. Bu özellik yalnızca zorlama düzeyi olarak real-timeayarlandığında çalışır.

Arşivleri tara (yalnızca isteğe bağlı virüsten koruma taramaları)

İsteğe bağlı virüsten koruma taramaları sırasında arşivlerin taranıp taranmayacağını belirtir.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar scanArchives Arşivlerin taranmasını etkinleştirme
Veri tipi Boole Açılan menü
Olası değerler true (varsayılan)

false

Yapılandırılmadı
Devre dışı
Etkin (Varsayılan)

Not

Uç Nokta için Microsoft Defender sürümde veya sonraki sürümlerde 101.45.00 kullanılabilir. Arşiv dosyaları gerçek zamanlı koruma sırasında hiçbir zaman taranmaz. Arşivdeki dosyalar ayıklandığında taranır. scanArchives seçeneği yalnızca isteğe bağlı tarama sırasında arşivlerin taranmaya zorlanması için kullanılabilir.

İsteğe bağlı taramalar için paralellik derecesi

İsteğe bağlı taramalar için paralellik derecesini belirtir. Bu, taramayı gerçekleştirmek için kullanılan iş parçacığı sayısına karşılık gelir ve CPU kullanımını ve isteğe bağlı tarama süresini etkiler.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar maximumOnDemandScanThreads isteğe bağlı maksimum tarama iş parçacıkları
Veri tipi Tam sayı Anahtar & Tamsayıyı Değiştir
Olası değerler 2 (varsayılan). İzin verilen değerler 1 ile 64 arasındaki tamsayılardır. Yapılandırılmadı (Varsayılan iki durumlu düğme varsayılanları 2 olarak kapatır)
1 ile 64 arasında yapılandırılmış (açık) ve tamsayı.

Not

Uç Nokta için Microsoft Defender sürümde veya sonraki sürümlerde 101.45.00 kullanılabilir.

Dışlama birleştirme ilkesi

Dışlamalar için birleştirme ilkesini belirtir. Yönetici tanımlı ve kullanıcı tanımlı dışlamaların (merge) veya yalnızca yönetici tanımlı dışlamaların (admin_only) birleşimi olabilir. Yönetici tanımlı (admin_only), Uç Nokta için Defender ilkesi tarafından yapılandırılan dışlamalardır. Bu ayar, yerel kullanıcıların kendi dışlamalarını tanımlamasını kısıtlamak için kullanılabilir.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar exclusionsMergePolicy Dışlama birleştirme
Veri tipi Dize Açılan menü
Olası değerler merge (varsayılan)

admin_only

Yapılandırılmadı
merge (Varsayılan)
admin_only

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 100.83.73 kullanılabilir. Dışlamalar exclusionSettings altında da yapılandırılabilir

Tarama dışlamaları

Taramanın dışında tutulan varlıklar. Dışlamalar tam yollar, uzantılar veya dosya adlarıyla belirtilebilir. (Dışlamalar bir öğe dizisi olarak belirtilir, yönetici gerektiği kadar öğeyi herhangi bir sırada belirtebilir.)

Açıklama JSON Değeri Defender Portal Değeri
Anahtar Dışlamalar Tarama dışlamaları
Veri tipi Sözlük (iç içe tercih) Dinamik Özellikler Listesi
Açıklamalar Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın.
Dışlama türü

Taramanın dışında tutulan içerik türünü belirtir.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar $type Tür
Veri tipi Dize Açılan Menü
Olası değerler excludedPath

excludedFileExtension

excludedFileName

Yol
Dosya uzantısı
İşlem adı
Dışlanan içeriğin yolu

İçeriği taramadan tam dosya yolu ile dışlamak için kullanılır.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar yol Yol
Veri tipi Dize Dize
Olası değerler geçerli yollar geçerli yollar
Açıklamalar Yalnızca $typeexcludedPath olduğunda uygulanabilir Örneği düzenle açılan penceresinden erişildi
Yol türü (dosya / dizin)

yol özelliğinin bir dosyaya veya dizine başvurup başvurmadığını gösterir.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar isDirectory Dizindir
Veri tipi Boole Açılan menü
Olası değerler false (varsayılan)

true

Etkin
Devre dışı
Açıklamalar Yalnızca $typeexcludedPath olduğunda uygulanabilir Örneği düzenle açılan penceresinden erişildi
Dosya uzantısı taramanın dışında bırakıldı

İçeriği dosya uzantısına göre taramanın dışında tutmak için kullanılır.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar uzantı Dosya uzantısı
Veri tipi Dize Dize
Olası değerler geçerli dosya uzantıları geçerli dosya uzantıları
Açıklamalar Yalnızca $typeexcludedFileExtension olduğunda geçerlidir Örneği yapılandır açılır penceresinde erişildi
Taramanın dışında tutulan işlem*

Tüm dosya etkinliğinin taramanın dışında bırakıldığı bir işlemi belirtir. İşlem adıyla (örneğin, cat) veya tam yoluyla (örneğin, /bin/cat) belirtilebilir.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar ad Dosya adı
Veri tipi Dize Dize
Olası değerler herhangi bir dize herhangi bir dize
Açıklamalar Yalnızca $typeexcludedFileName olduğunda geçerlidir Örneği yapılandır açılır penceresinde erişildi

Yürütme olmayan bağlamaların sesini kapatma

Noexec olarak işaretlenmiş bağlama noktasında RTP'nin davranışını belirtir. Ayar için iki değer vardır:

  • Değiştirilmedi (unmute): Varsayılan değer olan tüm bağlama noktaları RTP'nin bir parçası olarak taranır.
  • Sesi kapatıldı (mute): Noexec olarak işaretlenen bağlama noktaları RTP'nin bir parçası olarak taranmıyor, bu bağlama noktası şunlar için oluşturulabilir:
    • Veritabanı dosyalarını tutmak için Veritabanı sunucularında veritabanı dosyaları.
    • Dosya sunucusu, veri dosyalarının bağlama noktalarını hiçbirexec seçeneği olmadan tutabilir.
    • Yedekleme, veri dosyalarının bağlama noktalarını hiçbirexec seçeneği olmadan tutabilir.
Açıklama JSON Değeri Defender Portal Değeri
Anahtar nonExecMountPolicy yürütme dışı bağlama sesini kapatma
Veri tipi Dize Açılan menü
Olası değerler unmute (varsayılan)

mute

Yapılandırılmadı
açma (Varsayılan)
dilsiz

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.85.27 kullanılabilir.

İfadeyi kaldırma dosya sistemleri

Dosya sistemlerini izlenmeyen/gerçek zamanlı korumanın (RTP) dışında tutulacak şekilde yapılandırın. Yapılandırılan dosya sistemleri, Microsoft Defender izin verilen dosya sistemleri listesinde doğrulanır. Dosya sistemleri yalnızca doğrulama başarılı olduktan sonra izlenebilir. Bu yapılandırılmış izlenmeyen dosya sistemleri Microsoft Defender Virüsten Koruma'da Hızlı, Tam ve özel taramalar tarafından taranmaya devam eder.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar unmonitoredFilesystems İzlenmeyen Dosya Sistemleri
Veri tipi Dize dizisi Dinamik Dize Listesi

Not

Yapılandırılmış dosya sistemi yalnızca Microsoft'un izin verilen izlenmeyen dosya sistemleri listesinde mevcutsa izlenemez.

Varsayılan olarak, RTP, Hızlı ve Tam taramalarda NFS ve Fuse izlenmemiştir. Ancak, özel bir tarama tarafından taranabilir. Örneğin, NFS'yi izlenmeyen dosya sistemleri listesinden kaldırmak için, yönetilen yapılandırma dosyasını aşağıda gösterildiği gibi güncelleştirin. Bu, RTP için izlenen dosya sistemleri listesine otomatik olarak NFS ekler.

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["Fuse"]
  }
}

NFS ve Fuse'ı izlenmeyen dosya sistemleri listesinden kaldırmak için aşağıdakileri yapın

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

Not

RTP için izlenen dosya sistemlerinin varsayılan listesi aşağıdadır: , , , , , ext4, fuseblk, jfs, , ramfsoverlay, reiserfstmpfs, vfatxfs. ext3ext2ecryptfsbtrfs

İzlenmeyen dosya sistemleri listesine izlenen herhangi bir dosya sisteminin eklenmesi gerekiyorsa, bulut yapılandırması aracılığıyla Microsoft tarafından değerlendirilmesi ve etkinleştirilmesi gerekir. Hangi müşterilerin managed_mdatp.json dosya sisteminin ifadesini kaldıracak şekilde güncelleştirebileceğini takip edin.

Dosya karması hesaplama özelliğini yapılandırma

Dosya karması hesaplama özelliğini etkinleştirir veya devre dışı bırakır. Bu özellik etkinleştirildiğinde, Uç Nokta için Defender taramış olduğu dosyalar için karmaları hesaplar. Bu özelliğin etkinleştirilmesi cihaz performansını etkileyebilir. Daha fazla ayrıntı için bkz. Dosyalar için gösterge oluşturma.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar enableFileHashComputation Dosya karması hesaplamasını etkinleştirme
Veri tipi Boole Açılan menü
Olası değerler false (varsayılan)

true

Yapılandırılmadı
Devre dışı (varsayılan)
Etkin

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.85.27 kullanılabilir.

İzin verilen tehditler

Ürün tarafından engellenmeyen ve bunun yerine çalışmasına izin verilen tehditlerin (adıyla tanımlanır) listesi.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar allowedThreats İzin verilen tehditler
Veri tipi Dize dizisi Dinamik Dize Listesi

İzin verilmeyen tehdit eylemleri

Bir cihazın yerel kullanıcısının tehdit algılandığında gerçekleştirebileceği eylemleri kısıtlar. Bu listede yer alan eylemler kullanıcı arabiriminde görüntülenmez.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar disallowedThreatActions İzin verilmeyen tehdit eylemleri
Veri tipi Dize dizisi Dinamik Dize Listesi
Olası değerler allow (kullanıcıların tehditlere izin vermelerini kısıtlar)

restore (kullanıcıların karantinadan gelen tehditleri geri yüklemesini kısıtlar)

allow (kullanıcıların tehditlere izin vermelerini kısıtlar)

geri yükleme (kullanıcıların karantinadan tehditleri geri yüklemesini kısıtlar)

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 100.83.73 kullanılabilir.

Tehdit türü ayarları

Virüsten koruma altyapısındaki threatTypeSettings tercihi, belirli tehdit türlerinin ürün tarafından nasıl işlenme şeklini denetlemek için kullanılır.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar threatTypeSettings Tehdit türü ayarları
Veri tipi Sözlük (iç içe tercih) Dinamik Özellikler Listesi
Açıklamalar Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın. Dinamik özelliklerin açıklaması için aşağıdaki bölümlere bakın.
Tehdit türü

Davranışın yapılandırıldığı tehdit türü.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar anahtar Tehdit türü
Veri tipi Dize Açılan menü
Olası değerler potentially_unwanted_application

archive_bomb

potentially_unwanted_application

archive_bomb

Gerçekleştirecek eylem

Önceki bölümde belirtilen türdeki bir tehditle karşılaşıldığında gerçekleştirilen eylem. Şu olabilir:

  • Denetim: Cihaz bu tür tehditlere karşı korunmaz, ancak tehditle ilgili bir giriş günlüğe kaydedilir. (Varsayılan)
  • Engelle: Cihaz bu tür tehditlere karşı korunur ve güvenlik konsolunda size bildirilir.
  • Kapalı: Cihaz bu tür tehditlere karşı korunmaz ve hiçbir şey günlüğe kaydedilmez.
Açıklama JSON Değeri Defender Portal Değeri
Anahtar değer Gerçekleştirecek eylem
Veri tipi Dize Açılan menü
Olası değerler audit (varsayılan)

block

off

denetim

blok

kapalı

Tehdit türü ayarları birleştirme ilkesi

Tehdit türü ayarları için birleştirme ilkesini belirtir. Bu, yönetici tanımlı ve kullanıcı tanımlı ayarların () veya yalnızca yönetici tanımlı ayarların (mergeadmin_only) bir birleşimi olabilir. Yönetici tanımlı (admin_only), Uç Nokta için Defender ilkesi tarafından yapılandırılan tehdit türü ayarlarıdır. Bu ayar, yerel kullanıcıların farklı tehdit türleri için kendi ayarlarını tanımlamasını kısıtlamak için kullanılabilir.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar threatTypeSettingsMergePolicy Tehdit türü ayarlarını birleştirme
Veri tipi Dize Açılan menü
Olası değerler merge (varsayılan)

admin_only

Yapılandırılmadı
merge (Varsayılan)
admin_only

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 100.83.73 kullanılabilir.

Virüsten koruma tarama geçmişi saklama (gün olarak)

Sonuçların cihazdaki tarama geçmişinde tutulacağını gün sayısını belirtin. Eski tarama sonuçları geçmişten kaldırılır. Diskten de kaldırılan eski karantinaya alınan dosyalar.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar scanResultsRetentionDays Tarama sonuçları saklama
Veri tipi Dize Geçiş anahtarı ve Tamsayı
Olası değerler 90 (varsayılan). İzin verilen değerler 1 günden 180 güne kadardır. Yapılandırılmadı (kapalı - 90 günlük varsayılan)
Yapılandırıldı (açık) ve izin verilen değer 1 ile 180 gün arasında.

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.04.76 kullanılabilir.

Virüsten koruma tarama geçmişindeki en fazla öğe sayısı

Tarama geçmişinde tutulacak en fazla girdi sayısını belirtin. Girişler, geçmişte gerçekleştirilen tüm isteğe bağlı taramaları ve tüm virüsten koruma algılamalarını içerir.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar scanHistoryMaximumItems Tarama geçmişi boyutu
Veri tipi Dize Geçiş ve Tamsayı
Olası değerler 10000 (varsayılan). İzin verilen değerler 5000 öğeden 15000 öğeye kadardır. Yapılandırılmadı (kapalı - 10000 varsayılan)
Yapılandırıldı (açık) ve izin verilen değer 5000 ile 15000 öğe arasında.

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.04.76 kullanılabilir.

Dışlama ayarı tercihleri

Yükseltme ayarı tercihleri şu anda önizleme aşamasındadır.

Not

Genel dışlamalar şu anda genel önizleme aşamasındadır ve Insider Yavaş ve Üretim halkalarında sürüm veya sonraki sürümlerden 101.23092.0012 başlayarak Uç Nokta için Defender'da kullanılabilir.

exclusionSettings Yapılandırma profilinin bölümü, Linux için Uç Nokta için Microsoft Defender çeşitli dışlamaları yapılandırmak için kullanılır.

Açıklama JSON Değeri
Anahtar exclusionSettings
Veri tipi Sözlük (iç içe tercih)
Açıklamalar Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın.

Not

Yönetilen JSON'da (antivirusEngine) altında önceden yapılandırılmış virüsten koruma dışlamaları hiçbir etkisi olmadığı gibi çalışmaya devam edecektir. Virüsten koruma dışlamaları da dahil olmak üzere tüm yeni dışlamalar bu tamamen yeni bölüm (exclusionSettings) altına eklenebilir. Bu bölüm, (antivirusEngine) etiketinin dışındadır ve yalnızca gelecekte gelecek tüm dışlama türlerini yapılandırmaya ayrılmıştır. Virüsten koruma dışlamalarını yapılandırmak için (antivirusEngine) kullanmaya da devam edebilirsiniz.

İlkeyi birleştirme

Dışlamalar için birleştirme ilkesini belirtir. Bunun yönetici tanımlı ve kullanıcı tanımlı dışlamaların () veya yalnızca yönetici tanımlı dışlamaların (mergeadmin_only) bir birleşimi olup olmadığını belirtir. Bu ayar, yerel kullanıcıların kendi dışlamalarını tanımlamasını kısıtlamak için kullanılabilir. Tüm kapsamların dışlanması için geçerlidir.

Açıklama JSON Değeri
Anahtar mergePolicy
Veri tipi Dize
Olası değerler merge (varsayılan)

admin_only

Açıklamalar Uç Nokta için Defender 2023 Eylül veya sonraki sürümlerinde kullanılabilir.

Dışlamalar

Dışlanması gereken varlıklar tam yollar, uzantılar veya dosya adlarıyla belirtilebilir. Her dışlama varlığı( tam yol, uzantı veya dosya adı) belirtilebilen isteğe bağlı bir kapsama sahiptir. Belirtilmezse, bu bölümdeki kapsamın varsayılan değeri geneldir. (Dışlamalar bir öğe dizisi olarak belirtilir, yönetici gerektiği kadar öğeyi herhangi bir sırada belirtebilir.)

Açıklama JSON Değeri
Anahtar Dışlamalar
Veri tipi Sözlük (iç içe tercih)
Açıklamalar Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın.
Dışlama türü

Taramanın dışında tutulan içerik türünü belirtir.

Açıklama JSON Değeri
Anahtar $type
Veri tipi Dize
Olası değerler excludedPath

excludedFileExtension

excludedFileName

Dışlama kapsamları (isteğe bağlı)

Dışlanan içeriğin eksluzyon kapsamları kümesini belirtir. Şu anda desteklenen kapsamlar ve global'tirepp.

Yönetilen yapılandırmada exclusionSettings altında bir dışlama için içinde hiçbir şey belirtilmezse global kapsam olarak kabul edilir.

Not

Yönetilen JSON'da () altında öncedenantivirusEngine yapılandırılmış virüsten koruma dışlamaları çalışmaya devam eder ve virüsten koruma dışlamaları olarak eklendiklerinden kapsamları (epp) olarak kabul edilir.

Açıklama JSON Değeri
Anahtar Kapsam
Veri tipi Dize kümesi
Olası değerler Epp

küresel

Not

(mdatp_managed.json) veya CLI kullanılarak önceden uygulanan dışlamalar etkilenmez. () altına eklendiklerinden bu dışlamaların kapsamı (antivirusEngine) olacaktırepp.

Dışlanan içeriğin yolu

İçeriği taramadan tam dosya yolu ile dışlamak için kullanılır.

Açıklama JSON Değeri
Anahtar yol
Veri tipi Dize
Olası değerler geçerli yollar
Açıklamalar Yalnızca $typeexcludedPath ise geçerlidir.
Dışlamanın kapsamı genel ise joker karakter desteklenmez.
Yol türü (dosya / dizin)

yol özelliğinin bir dosyaya veya dizine başvurup başvurmadığını gösterir.

Not

Genel kapsamlı dosya dışlaması ekleniyorsa dosya yolu zaten mevcut olmalıdır.

Açıklama JSON Değeri
Anahtar isDirectory
Veri tipi Boole
Olası değerler false (varsayılan)

doğru

Açıklamalar Yalnızca $typeexcludedPath ise geçerlidir.
Dışlamanın kapsamı genel ise joker karakter desteklenmez.
Dosya uzantısı taramanın dışında bırakıldı

İçeriği dosya uzantısına göre taramanın dışında tutmak için kullanılır.

Açıklama JSON Değeri
Anahtar uzantı
Veri tipi Dize
Olası değerler geçerli dosya uzantıları
Açıklamalar Yalnızca $typeexcludedFileExtension ise geçerlidir.
Dışlamanın kapsamı genelse desteklenmez.
Taramanın dışında tutulan işlem*

Tüm dosya etkinliğinin taramanın dışında bırakıldığı bir işlemi belirtir. İşlem adıyla (örneğin, cat) veya tam yoluyla (örneğin, /bin/cat) belirtilebilir.

Açıklama JSON Değeri
Anahtar ad
Veri tipi Dize
Olası değerler herhangi bir dize
Açıklamalar Yalnızca $typeexcludedFileName olduğunda geçerlidir.
Kapsam olarak genel bir dışlama varsa joker karakter ve işlem adı desteklenmez, tam yol sağlaması gerekir.

Gelişmiş tarama seçenekleri

Bazı gelişmiş tarama özelliklerini etkinleştirmek için aşağıdaki ayarlar yapılandırılabilir.

Not

Bu özelliklerin etkinleştirilmesi cihaz performansını etkileyebilir. Bu nedenle, varsayılan değerlerin tutulması önerilir.

Dosya değiştirme izinleri olaylarını taramayı yapılandırma

Bu özellik etkinleştirildiğinde, yürütme bitlerini ayarlamak için izinleri değiştirildiğinde Uç Nokta için Defender dosyaları tarar.

Not

Bu özellik yalnızca özellik etkinleştirildiğinde enableFilePermissionEvents geçerlidir. Daha fazla bilgi için, ayrıntılar için aşağıdaki Gelişmiş isteğe bağlı özellikler bölümüne bakın.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar scanFileModifyPermissions Yok
Veri tipi Boole yok
Olası değerler false (varsayılan)

doğru

yok

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.23062.0010 kullanılabilir.

Dosya değişiklik sahipliği olaylarını taramayı yapılandırma

Bu özellik etkinleştirildiğinde, Uç Nokta için Defender sahipliği değiştirilmiş dosyaları tarar.

Not

Bu özellik yalnızca özellik etkinleştirildiğinde enableFileOwnershipEvents geçerlidir. Daha fazla bilgi için, ayrıntılar için aşağıdaki Gelişmiş isteğe bağlı özellikler bölümüne bakın.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar scanFileModifyOwnership Yok
Veri tipi Boole yok
Olası değerler false (varsayılan)

doğru

yok

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.23062.0010 kullanılabilir.

Ham yuva olaylarını taramayı yapılandırma

Bu özellik etkinleştirildiğinde, Uç Nokta için Defender ham yuva /paket yuvaları oluşturma veya yuva seçeneğini ayarlama gibi ağ yuvası olaylarını tarar.

Not

Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir. Bu özellik yalnızca özellik etkinleştirildiğinde enableRawSocketEvent geçerlidir. Daha fazla bilgi için, ayrıntılar için aşağıdaki Gelişmiş isteğe bağlı özellikler bölümüne bakın.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar scanNetworkSocketEvent Yok
Veri tipi Boole yok
Olası değerler false (varsayılan)

doğru

yok

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.23062.0010 kullanılabilir.

Bulut tabanlı koruma tercihleri

Yapılandırma profilindeki cloudService girdisi, ürünün bulut tabanlı koruma özelliğini yapılandırmak için kullanılır.

Not

Bulut tabanlı koruma, tüm Zorlama düzeyi ayarlarıyla (real_time, on_demand, pasif) geçerlidir.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar cloudService Bulut teslimi koruma tercihleri
Veri tipi Sözlük (iç içe tercih) Daraltılmış bölüm
Açıklamalar Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın. İlke ayarlarının açıklaması için aşağıdaki bölümlere bakın.

Bulut teslimli korumayı etkinleştirme/devre dışı bırakma

Cihazda bulut tabanlı korumanın etkinleştirilip etkinleştirilmediğini belirler. Hizmetlerinizin güvenliğini artırmak için bu özelliği açık tutmanızı öneririz.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar Etkin Bulut tarafından sağlanan korumayı etkinleştirme
Veri tipi Boole Açılan menü
Olası değerler true (varsayılan)

false

Yapılandırılmadı
Devre dışı
Etkin (Varsayılan)

Tanılama toplama düzeyi

Tanılama verileri Uç Nokta için Defender'ı güvenli ve güncel tutmak, sorunları algılamak, tanılamak ve düzeltmek ve ürün geliştirmeleri yapmak için kullanılır. Bu ayar, ürün tarafından Microsoft'a gönderilen tanılama düzeyini belirler. Daha fazla ayrıntı için bkz. Linux'ta Uç Nokta için Microsoft Defender için gizlilik.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar diagnosticLevel Tanılama veri toplama düzeyi
Veri tipi Dize Açılan menü
Olası değerler optional

required (varsayılan)

Yapılandırılmadı
isteğe bağlı (Varsayılan)
Gerekli

Bulut bloğu düzeyini yapılandırma

Bu ayar, Uç Nokta için Defender'ın şüpheli dosyaları engelleme ve tarama konusunda ne kadar agresif olduğunu belirler. Bu ayar açıksa, uç nokta için Defender engellenip taranacak şüpheli dosyaları tanımlarken daha agresiftir; aksi takdirde, daha az agresiftir ve bu nedenle daha az sıklıkta bloklar ve taramalar.

Bulut bloğu düzeyini ayarlamak için beş değer vardır:

  • Normal (normal): Varsayılan engelleme düzeyi.
  • Orta (moderate): Yalnızca yüksek güvenilirlik algılamaları için karar verir.
  • Yüksek (high): Performansı iyileştirirken bilinmeyen dosyaları agresif bir şekilde engeller (zararlı olmayan dosyaları engelleme olasılığı daha yüksektir).
  • High Plus (high_plus): Bilinmeyen dosyaları agresif bir şekilde engeller ve ek koruma önlemleri uygular (istemci cihaz performansını etkileyebilir).
  • Sıfır Tolerans (zero_tolerance): Tüm bilinmeyen programları engeller.
Açıklama JSON Değeri Defender Portal Değeri
Anahtar cloudBlockLevel Bulut bloğu düzeyini yapılandırma
Veri tipi Dize Açılan menü
Olası değerler normal (varsayılan)

moderate

high

high_plus

zero_tolerance

Yapılandırılmadı
Normal (varsayılan)
Ilımlı
Yüksek
High_Plus
Zero_Tolerance

Not

Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.56.62 kullanılabilir.

Otomatik örnek gönderimlerini etkinleştirme/devre dışı bırakma

Şüpheli örneklerin (tehdit içerme olasılığı yüksek) Microsoft'a gönderilip gönderilmeyeceğini belirler. Örnek gönderimini denetlemek için üç düzey vardır:

  • Hiçbiri: Microsoft'a şüpheli örnek gönderilmez.
  • Güvenli: Yalnızca kişisel bilgiler (PII) içermeyen şüpheli örnekler otomatik olarak gönderilir. Bu ayar için varsayılan değer budur.
  • Tümü: Tüm şüpheli örnekler Microsoft'a gönderilir.
Açıklama JSON Değeri Defender Portal Değeri
Anahtar automaticSampleSubmissionConsent Otomatik örnek gönderimlerini etkinleştirme
Veri tipi Dize Açılan menü
Olası değerler none

safe (varsayılan)

all

Yapılandırılmadı
Hiçbiri
Güvenli (Varsayılan)
Tüm

Otomatik güvenlik bilgileri güncelleştirmelerini etkinleştirme/devre dışı bırakma

Güvenlik zekası güncelleştirmelerinin otomatik olarak yüklenip yüklenmediğini belirler:

Açıklama JSON Değeri Defender Portal Değeri
Anahtar automaticDefinitionUpdateEnabled Otomatik güvenlik bilgileri güncelleştirmeleri
Veri tipi Boole Açılan menü
Olası değerler true (varsayılan)

false

Yapılandırılmadı
Devre dışı
Etkin (Varsayılan)

Zorlama düzeyine bağlı olarak, otomatik güvenlik bilgileri güncelleştirmeleri farklı yüklenir. RTP modunda güncelleştirmeler düzenli aralıklarla yüklenir. Pasif/ İsteğe Bağlı modunda güncelleştirmeler her taramadan önce yüklenir.

Gelişmiş isteğe bağlı özellikler

Aşağıdaki ayarlar belirli gelişmiş özellikleri etkinleştirmek için yapılandırılabilir.

Not

Bu özelliklerin etkinleştirilmesi cihaz performansını etkileyebilir. Varsayılan değerlerin saklanması önerilir.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar Özellik Kullanılamaz
Veri tipi Sözlük (iç içe tercih) yok
Açıklamalar Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın.

Modül yükleme özelliği

Modül yükleme olaylarının (paylaşılan kitaplıklardaki dosya açma olayları) izlenip izlenmeyeceğini belirler.

Not

Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar moduleLoad Kullanılamaz
Veri tipi Dize yok
Olası değerler devre dışı (varsayılan)

Etkin

yok
Açıklamalar Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.68.80 kullanılabilir.

Ek algılayıcı yapılandırmaları

Bazı gelişmiş tamamlayıcı algılayıcı özelliklerini yapılandırmak için aşağıdaki ayarlar kullanılabilir.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar supplementarySensorConfigurations Kullanılamaz
Veri tipi Sözlük (iç içe tercih) yok
Açıklamalar Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın.
Dosya değiştirme izinleri olaylarının izlenmesini yapılandırma

Dosya değiştirme izin olaylarının (chmod) izlenip izlenmeyeceğini belirler.

Not

Bu özellik etkinleştirildiğinde, Uç Nokta için Defender dosyaların yürütme bitlerindeki değişiklikleri izler, ancak bu olayları taramaz. Daha fazla bilgi için gelişmiş tarama özellikleri bölümüne bakın.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar enableFilePermissionEvents Kullanılamaz
Veri tipi Dize yok
Olası değerler devre dışı (varsayılan)

Etkin

yok
Açıklamalar Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.23062.0010 kullanılabilir.
Dosya değişiklik sahipliği olaylarının izlenmesini yapılandırma

Dosya değiştirme sahipliği olaylarının (chown) izlenip izlenmeyeceğini belirler.

Not

Bu özellik etkinleştirildiğinde, Uç Nokta için Defender dosyaların sahipliğindeki değişiklikleri izler, ancak bu olayları taramaz. Daha fazla bilgi için gelişmiş tarama özellikleri bölümüne bakın.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar enableFileOwnershipEvents Kullanılamaz
Veri tipi Dize yok
Olası değerler devre dışı (varsayılan)

Etkin

yok
Açıklamalar Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.23062.0010 kullanılabilir.
Ham yuva olaylarının izlenmesini yapılandırma

Ham yuvaların/paket yuvalarının oluşturulması veya yuva seçeneğinin ayarlanmasıyla ilgili ağ yuvası olaylarının izlenip izlenmeyeceğini belirler.

Not

Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir. Bu özellik etkinleştirildiğinde Uç Nokta için Defender bu ağ yuvası olaylarını izler ancak bu olayları taramaz. Daha fazla bilgi için yukarıdaki Gelişmiş tarama özellikleri bölümüne bakın.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar enableRawSocketEvent Kullanılamaz
Veri tipi Dize yok
Olası değerler devre dışı (varsayılan)

Etkin

yok
Açıklamalar Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.23062.0010 kullanılabilir.
Önyükleme yükleyicisi olaylarının izlenmesini yapılandırma

Önyükleme yükleyicisi olaylarının izlenip izlenmeyeceğini ve taranıp taranmayacağını belirler.

Not

Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar enableBootLoaderCalls Kullanılamaz
Veri tipi Dize yok
Olası değerler devre dışı (varsayılan)

Etkin

yok
Açıklamalar Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.68.80 kullanılabilir.
Ptrace olaylarının izlenmesini yapılandırma

Ptrace olaylarının izlenip izlenmeyeceğini ve taranıp taranmayacağını belirler.

Not

Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar enableProcessCalls Kullanılamaz
Veri tipi Dize yok
Olası değerler devre dışı (varsayılan)

Etkin

yok
Açıklamalar Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.68.80 kullanılabilir.
Pseudofs olaylarının izlenmesini yapılandırma

Pseudofs olaylarının izlenip izlenmeyeceğini ve taranıp taranmayacağını belirler.

Not

Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar enablePseudofsCalls Kullanılamaz
Veri tipi Dize yok
Olası değerler devre dışı (varsayılan)

Etkin

yok
Açıklamalar Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.68.80 kullanılabilir.
eBPF kullanarak modül yükleme olaylarının izlenmesini yapılandırma

Modül yükleme olaylarının eBPF kullanılarak izlenip izlenmeyeceğini ve taranıp taranmayacağını belirler.

Not

Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar enableEbpfModuleLoadEvents Kullanılamaz
Veri tipi Dize yok
Olası değerler devre dışı (varsayılan)

Etkin

yok
Açıklamalar Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.68.80 kullanılabilir.

AV Şüpheli Olaylarını EDR'ye Bildirme

Virüsten Koruma'dan gelen şüpheli olayların EDR'ye bildirilip bildirılmeyeceğini belirler.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar sendLowfiEvents Kullanılamaz
Veri tipi Dize yok
Olası değerler devre dışı (varsayılan)

Etkin

yok
Açıklamalar Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.23062.0010 kullanılabilir.

Ağ koruma yapılandırmaları

Aşağıdaki ayarlar, Ağ Koruması tarafından hangi trafiğin denetlendiğini denetlemek için gelişmiş Ağ Koruması inceleme özelliklerini yapılandırmak için kullanılabilir.

Not

Bunların etkili olması için Ağ Koruması'nın açık olması gerekir. Daha fazla bilgi için bkz . Linux için ağ korumasını açma.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar networkProtection Ağ koruması
Veri tipi Sözlük (iç içe tercih) Daraltılmış bölüm
Açıklamalar Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın. İlke ayarlarının açıklaması için aşağıdaki bölümlere bakın.

Zorlama Düzeyi

Açıklama JSON Değeri Defender Portal Değeri
Anahtar enforcementLevel Zorlama Düzeyi
Veri tipi Dize Açılan menü
Olası değerler disabled (varsayılan)
audit
block
Yapılandırılmadı
devre dışı (varsayılan)
denetim
blok

ICMP incelemeyi yapılandırma

ICMP olaylarının izlenip izlenmeyeceğini ve taranıp taranmayacağını belirler.

Not

Bu özellik yalnızca Davranış İzleme etkinleştirildiğinde geçerlidir.

Açıklama JSON Değeri Defender Portal Değeri
Anahtar disableIcmpInspection Kullanılamaz
Veri tipi Boole yok
Olası değerler true (varsayılan)

false

yok
Açıklamalar Uç Nokta için Defender sürümü veya sonraki sürümlerde 101.23062.0010 kullanılabilir.

Başlamak için, uç nokta için Defender'ın sağladığı tüm koruma özelliklerinden yararlanması için kuruluşunuz için aşağıdaki yapılandırma profilini öneririz.

Aşağıdaki yapılandırma profili:

  • Gerçek zamanlı korumayı (RTP) etkinleştirir
  • Aşağıdaki tehdit türlerinin nasıl işlenmek üzere olduğunu belirtir:
    • İstenmeyebilecek uygulamalar (PUA) engellendi
    • Arşiv bombaları (yüksek sıkıştırma oranına sahip dosya) ürün günlükleri için denetleniyor
  • Otomatik güvenlik bilgileri güncelleştirmelerini etkinleştirir
  • Bulut tabanlı korumayı etkinleştirir
  • Düzeyinde otomatik örnek göndermeyi safe etkinleştirir

Örnek profil

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

Tam yapılandırma profili örneği

Aşağıdaki yapılandırma profili, bu belgede açıklanan tüm ayarların girdilerini içerir ve ürün üzerinde daha fazla denetime sahip olmak istediğiniz daha gelişmiş senaryolar için kullanılabilir.

Not

Bu JSON'da yalnızca bir ara sunucu ayarıyla tüm Uç Nokta için Microsoft Defender iletişimi denetlemek mümkün değildir.

Tam profil

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":false,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefintionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"diabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

Yapılandırma profiline etiket veya grup kimliği ekleme

komutu ilk kez çalıştırdığınızda mdatp health , etiket ve grup kimliği değeri boş olur. Dosyaya etiket veya grup kimliği eklemek için mdatp_managed.json aşağıdaki adımları izleyin:

  1. yolundan /etc/opt/microsoft/mdatp/managed/mdatp_managed.jsonyapılandırma profilini açın.

  2. Bloğun bulunduğu cloudService dosyanın en altına gidin.

  3. gerekli etiketi veya grup kimliğini, için kapanış küme ayracı cloudServicesonuna aşağıdaki örnek olarak ekleyin.

    },
    "cloudService": {
     "enabled": true,
     "diagnosticLevel": "optional",
     "automaticSampleSubmissionConsent": "safe",
     "automaticDefinitionUpdateEnabled": true,
     "proxy": "http://proxy.server:port/"
    },
    "edr": {
    "groupIds":"GroupIdExample",
    "tags": [
             {
             "key": "GROUP",
             "value": "Tag"
             }
           ]
       }
    }
    

Not

Bloğun sonuna cloudService kapanış küme ayracından sonra virgül ekleyin. Ayrıca Etiket veya Grup Kimliği bloğu eklendikten sonra iki kapatma köşeli ayracı olduğundan emin olun (lütfen yukarıdaki örneğe bakın). Şu anda etiketler için desteklenen tek anahtar adıdır GROUP.

Yapılandırma profili doğrulaması

Yapılandırma profili geçerli bir JSON biçimli dosya olmalıdır. Bunu doğrulamak için kullanılabilecek birçok araç vardır. Örneğin, cihazınıza yüklediyseniz python :

python -m json.tool mdatp_managed.json

JSON iyi biçimlendirilmişse, yukarıdaki komut onu Terminal'e geri gönderir ve çıkış kodunu 0döndürür. Aksi takdirde, sorunu açıklayan bir hata görüntülenir ve komutu çıkış 1kodunu döndürür.

mdatp_managed.json dosyasının beklendiği gibi çalıştığını doğrulama

/etc/opt/microsoft/mdatp/managed/mdatp_managed.json'nizin düzgün çalıştığını doğrulamak için şu ayarların yanında "[managed]" ifadesini görmeniz gerekir:

  • cloud_enabled
  • cloud_automatic_sample_submission_consent
  • passive_mode_enabled
  • real_time_protection_enabled
  • automatic_definition_update_enabled

Not

içindeki çoğu yapılandırmada yapılan değişikliklerin etkili olması için mdatp daemon'un mdatp_managed.json yeniden başlatılması gerekmez. İstisna: Aşağıdaki yapılandırmaların etkili olması için bir daemon yeniden başlatması gerekir:

  • cloud-diagnostic
  • log-rotation-parameters

Yapılandırma profili dağıtımı

Kuruluşunuz için yapılandırma profilini derledikten sonra, kuruluşunuzun kullandığı yönetim aracı aracılığıyla dağıtabilirsiniz. Linux'ta Uç Nokta için Defender, yönetilen yapılandırmayı /etc/opt/microsoft/mdatp/managed/mdatp_managed.json dosyadan okur.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.