為 Linux 上適用於端點的 Microsoft Defender 設定喜好設定
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
重要事項
本文包含如何在企業環境中設定適用於Linux上適用於端點的Defender喜好設定的指示。 如果您有興趣從命令行在裝置上設定產品,請參閱 資源。
在企業環境中,Linux 上的適用於端點的 Defender 可以透過組態配置檔來管理。 這個設定檔是從您選擇的管理工具部署。 企業管理的喜好設定優先於裝置本機設定的喜好設定。 換句話說,您企業中的使用者無法變更透過此組態配置檔設定的喜好設定。 如果是透過Managed組態配置檔新增排除專案,則只能透過受控組態配置檔移除。 命令行適用於在本機新增的排除專案。
本文說明此設定檔的結構 (包括您可用來開始使用的建議配置檔) 以及如何部署配置檔的指示。
組態配置文件結構
組態配置檔是由 .json
索引鍵 (所識別的專案所組成,其代表喜好設定) 的名稱,後面接著值,視喜好設定的本質而定。 值可以很簡單,例如數值或複雜值,例如巢狀的喜好設定清單。
一般而言,您會使用組態管理工具,在位置/etc/opt/microsoft/mdatp/managed/
推送名稱mdatp_managed.json
為 的檔案。
組態配置檔的最上層包含產品子區域的全產品喜好設定和專案,下一節會詳細說明。
防病毒軟體引擎喜好設定
組態配置檔的 antivirusEngine 區段可用來管理產品防病毒軟體元件的喜好設定。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | antivirusEngine | 防病毒軟體引擎 |
資料類型 | 巢狀喜好設定 (字典) | 折疊區段 |
Comments | 如需字典內容的描述,請參閱下列各節。 | 如需原則屬性的描述,請參閱下列各節。 |
防病毒軟體引擎的強制層級
指定防病毒軟體引擎的強制喜好設定。 設定強制層級有三個值:
- 即時 (
real_time
) :啟用) 時,實時保護 (掃描檔案。 - 隨選 (
on_demand
) :僅視需要掃描檔案。 在這裡範例中:- 即時保護已關閉。
- 被動 (
passive
) :以被動模式執行防病毒軟體引擎。 在這裡範例中:- 實時保護已關閉:Microsoft Defender 防病毒軟體不會補救威脅。
- 隨選掃描已開啟:仍然使用端點上的掃描功能。
- 自動威脅補救已關閉:將不會移動任何檔案,而且預期安全性系統管理員會採取必要的動作。
- 安全性情報更新已開啟:安全性系統管理員租使用者上將提供警示。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | enforcementLevel | 強制層級 |
資料類型 | 字串 | 下拉式清單 |
可能值 | real_time on_demand passive (預設) |
尚未設定 即時 OnDemand 被動 (預設) |
注意事項
適用於端點的 Defender 版本或更新版本 101.10.72
中提供。 在適用於端點的 Defender 版本或更新版本中,預設值101.23062.0001
會從 real_time
passive
變更為 。
建議您也根據需求使用 排程掃描 。
啟用/停用行為監視
判斷裝置上是否啟用行為監視和封鎖功能。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | behaviorMonitoring | 啟用行為監視 |
資料類型 | 字串 | 下拉式清單 |
可能值 |
disabled (預設) |
尚未設定 停用 (預設) Enabled |
注意事項
適用於端點的 Defender 版本或更新版本 101.45.00
中提供。
只有在啟用即時保護時,這項功能才適用。
更新定義之後執行掃描
指定在裝置上下載新的安全情報更新之後,是否要啟動進程掃描。 啟用此設定會在裝置的執行中進程上觸發防病毒軟體掃描。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | scanAfterDefinitionUpdate | 在定義更新後啟用掃描 |
資料類型 | 布林值 | 下拉式清單 |
可能值 |
true (預設) |
尚未設定 已停用 啟用 (預設) |
注意事項
適用於端點的 Defender 版本或更新版本 101.45.00
中提供。
只有在強制層級設定為 real-time
時,此功能才適用。
僅掃描封存 (視需要的防病毒軟體掃描)
指定是否要在隨選防病毒軟體掃描期間掃描封存。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | scanArchives | 啟用封存掃描 |
資料類型 | 布林值 | 下拉式清單 |
可能值 |
true (預設)
|
尚未設定 已停用 啟用 (預設) |
注意事項
適用於端點的 Microsoft Defender 版本或更新版本 101.45.00
中提供。
即時保護期間永遠不會掃描封存盤案。 擷取封存中的檔案時,系統會掃描這些檔案。
scanArchives 選項只能在隨選掃描期間用來強制掃描封存。
隨選掃描的平行處理原則程度
指定隨選掃描的平行處理原則程度。 這會對應至用來執行掃描並影響 CPU 使用量的線程數目,以及隨選掃描的持續時間。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | maximumOnDemandScanThreads | 隨選掃描線程數目上限 |
資料類型 | 整數 | 切換切換 & 整數 |
可能值 | 2 (預設) 。 允許的值是介於 1 到 64 之間的整數。 | [未設定] (預設值將預設值切換為 2) 已設定 (在 1 到 64 之間的) 和整數上切換。 |
注意事項
適用於端點的 Microsoft Defender 版本或更新版本 101.45.00
中提供。
排除合併原則
指定排除項目的合併原則。 它可以是系統管理員定義和使用者定義排除項目的組合, () merge
或只有系統管理員定義的排除 () admin_only
。 系統管理員定義的 (admin_only) 是適用於端點的 Defender 原則所設定的排除專案。 此設定可用來限制本機用戶定義自己的排除範圍。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | exclusionsMergePolicy | 排除合併 |
資料類型 | 字串 | 下拉式清單 |
可能值 |
merge (預設)
|
尚未設定 合併 (預設) admin_only |
注意事項
適用於端點的 Defender 版本或更新版本 100.83.73
中提供。
也可以在 exclusionSettings 下設定排除專案
掃描排除專案
已從掃描中排除的實體。 排除專案可以透過完整路徑、擴展名或檔名來指定。 (排除專案指定為項目數位,系統管理員可以視需要指定任意數量的元素。)
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | 排除 | 掃描排除專案 |
資料類型 | 巢狀喜好設定 (字典) | 動態屬性清單 |
Comments | 如需字典內容的描述,請參閱下列各節。 |
排除類型
指定從掃描中排除的內容類型。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | $type | 類型 |
資料類型 | 字串 | 下拉式清單 |
可能值 | excludedPath
|
路徑 副檔名 處理序名稱 |
排除內容的路徑
用來依完整檔案路徑從掃描中排除內容。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | 路徑 | 路徑 |
資料類型 | 字串 | 字串 |
可能值 | 有效路徑 | 有效路徑 |
Comments | 只有在已排除 $type 時才適用 Path | 在 編輯實例 快顯中存取 |
檔案/目錄 () 路徑類型
指出 路徑 屬性是否參考檔案或目錄。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | isDirectory | 為目錄 |
資料類型 | 布林值 | 下拉式清單 |
可能值 |
false (預設)
|
Enabled 停用 |
Comments | 只有在已排除 $type 時才適用 Path | 在 編輯實例 快顯中存取 |
從掃描中排除擴展名
用來從擴展名掃描中排除內容。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | 外延 | 副檔名 |
資料類型 | 字串 | 字串 |
可能值 | 有效的擴展名 | 有效的擴展名 |
Comments | 只有在 排除$type 時才適用 FileExtension | 在設定實 例 快顯中存取 |
從掃描中排除的進程*
指定從掃描中排除所有檔案活動的程式。 進程可以透過其名稱 (指定, cat
例如,) 或完整路徑 (例如 /bin/cat
,) 。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | name | 檔案名稱 |
資料類型 | 字串 | 字串 |
可能值 | 任何字串 | 任何字串 |
Comments | 只有在已排除$typeFileName 時才適用 | 在設定實 例 快顯中存取 |
將非 exec 掛接設為靜音
指定標示為 noexec 之裝入點上的 RTP 行為。 設定有兩個值:
- 未變更 (
unmute
) :預設值,所有裝入點都會掃描為 RTP 的一部分。 - 靜音 (
mute
) :標示為 noexec 的裝入點不會掃描為 RTP 的一部分,您可以針對下列專案建立這些裝入點:- 資料庫伺服器上的資料庫檔案,用於保留數據基底檔案。
- 檔案伺服器可以使用 noexec 選項來保留資料檔案裝入點。
- 備份可以使用 noexec 選項來保留資料檔裝入點。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | nonExecMountPolicy | 非執行掛接靜音 |
資料類型 | 字串 | 下拉式清單 |
可能值 |
unmute (預設)
|
尚未設定 取消靜 (預設) 靜音 |
注意事項
適用於端點的 Defender 版本或更新版本 101.85.27
中提供。
解除監視檔案系統
將文件系統設定為未受監視/從實時保護中排除, (RTP) 。 已設定的檔案系統會根據 Microsoft Defender 允許的檔案系統清單進行驗證。 只有在驗證成功之後,才能監視文件系統。 Microsoft Defender 防病毒軟體中的快速、完整和自定義掃描仍會掃描這些設定的未受監視文件系統。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | unmonitoredFilesystems | 未受監視的文件系統 |
資料類型 | 字串陣列 | 動態字串清單 |
注意事項
只有在Microsoft允許的未受監視檔案系統清單中存在時,才會解除監視已設定的文件系統。
根據預設,NFS 和 Fuse 不會受到 RTP、快速和完整掃描的監視。 不過,自定義掃描仍然可以掃描它們。 例如,若要從未受監視的文件系統清單中移除 NFS,請更新 Managed 組態檔,如下所示。 這會自動將 NFS 新增至 RTP 的受監視檔案系統清單。
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
若要從未受監視的檔案系統清單中移除 NFS 和 Fuse,請執行下列動作
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
注意事項
以下是 RTP 受監視檔案系統的預設清單:btrfs
、ecryptfs
、ext3
ext2
、ext4
、 fuseblk
jfs
overlay
ramfs
reiserfs
tmpfs
vfat
xfs
如果需要將任何受監視的文件系統新增至未受監視的文件系統清單,則必須透過雲端設定Microsoft加以評估和啟用。之後,客戶可以更新managed_mdatp.json以解除監視該文件系統。
設定檔案哈希計算功能
啟用或停用檔案哈希計算功能。 啟用這項功能時,適用於端點的 Defender 會計算所掃描檔案的哈希。 請注意,啟用這項功能可能會影響裝置效能。 如需詳細資訊,請參閱: 建立檔案的指標。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | enableFileHashComputation | 啟用檔案哈希計算 |
資料類型 | 布林值 | 下拉式清單 |
可能值 |
false (預設)
|
尚未設定 停用 (預設) Enabled |
注意事項
適用於端點的 Defender 版本或更新版本 101.85.27
中提供。
允許的威脅
(由其名稱識別的威脅清單) ,這些威脅不會被產品封鎖,而是允許執行。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | allowedThreats | 允許的威脅 |
資料類型 | 字串陣列 | 動態字串清單 |
不允許的威脅動作
限制偵測到威脅時,裝置的本機使用者可以採取的動作。 此清單中包含的動作不會顯示在使用者介面中。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | disallowedThreatActions | 不允許的威脅動作 |
資料類型 | 字串陣列 | 動態字串清單 |
可能值 |
allow (會限制使用者允許威脅)
|
允許 (限制使用者允許威脅) 還原 (會限制使用者從隔離) 還原威脅 |
注意事項
適用於端點的 Defender 版本或更新版本 100.83.73
中提供。
威脅類型設定
防病毒軟體引擎中的 threatTypeSettings 喜好設定可用來控制產品如何處理特定威脅類型。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | threatTypeSettings | 威脅類型設定 |
資料類型 | 巢狀喜好設定 (字典) | 動態屬性清單 |
Comments | 如需字典內容的描述,請參閱下列各節。 | 如需動態屬性的描述,請參閱下列各節。 |
威脅類型
設定行為的威脅類型。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | 機碼 | 威脅類型 |
資料類型 | 字串 | 下拉式清單 |
可能值 | potentially_unwanted_application
|
potentially_unwanted_application archive_bomb |
要採取的動作
遇到上一節所指定類型的威脅時所要採取的動作。 可以是:
- 稽核:裝置不會受到這類威脅的保護,但會記錄威脅的相關專案。 (Default)
- 封鎖:裝置會受到保護,免於遭受這類威脅,而您會在安全性控制台中收到通知。
- 關閉:裝置不會受到這類威脅的保護,而且不會記錄任何專案。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | 數值 | 要採取的動作 |
資料類型 | 字串 | 下拉式清單 |
可能值 |
audit (預設)
|
審計 塊 關閉 |
威脅類型設定合併原則
指定威脅類型設定的合併原則。 這可以是系統管理員定義和使用者定義設定的組合, () merge
或只有系統管理員定義的設定 (admin_only
) 。 系統管理員定義 (admin_only) 是適用於端點的Defender原則所設定的威脅類型設定。 此設定可用來限制本機用戶針對不同的威脅類型定義自己的設定。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | threatTypeSettingsMergePolicy | 威脅類型設定合併 |
資料類型 | 字串 | 下拉式清單 |
可能值 | 合併 (預設) admin_only |
尚未設定 合併 (預設) admin_only |
注意事項
適用於端點的 Defender 版本或更新版本 100.83.73
中提供。
防病毒軟體掃描歷程記錄保留 (天數)
指定在裝置上的掃描歷程記錄中保留結果的天數。 舊的掃描結果會從歷程記錄中移除。 從磁盤中移除的舊隔離檔案。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | scanResultsRetentionDays | 掃描結果保留期 |
資料類型 | 字串 | 切換開關和整數 |
可能值 | 90 (預設) 。 允許的值是從1天到180天。 | 未設定 (關閉 - 90 天預設) 已設定 (在) 上切換,並允許值 1 到 180 天。 |
注意事項
適用於端點的 Defender 版本或更新版本 101.04.76
中提供。
防病毒軟體掃描記錄中的項目數目上限
指定要保留在掃描記錄中的項目數目上限。 專案包括過去執行的所有隨選掃描,以及所有防病毒軟體偵測。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | scanHistoryMaximumItems | 掃描歷程記錄大小 |
資料類型 | 字串 | 切換和整數 |
可能值 | 10000 (預設) 。 允許的值從 5000 個專案到 15000 個專案。 | 未設定 (關閉 - 10000 預設) 已設定 (在) 上切換,並允許從5000到15000個專案的值。 |
注意事項
適用於端點的 Defender 版本或更新版本 101.04.76
中提供。
排除設定喜好設定
外泄設定喜好設定目前為預覽狀態。
注意事項
適用於端點的 Defender 版本或更新版本 101.23092.0012
中提供,直到測試人員慢速通道為止。
組態配置檔的 exclusionSettings 區段可用來設定適用於 Linux 的 Microsoft Defender 的各種排除專案。
描述 | JSON 值 |
---|---|
索引鍵 | exclusionSettings |
資料類型 | 巢狀喜好設定 (字典) |
Comments | 如需字典內容的描述,請參閱下列各節。 |
注意事項
在受控 JSON 中 (antivirusEngine
) 下已設定的防病毒軟體排除專案,將會繼續如同 般運作,且不會有任何影響。 您可以在這個全新的區段下新增包括防病毒軟體排除專案的所有新 排除 專案, () exclusionSettings
。 本節不在 (antivirusEngine
) 標籤之外,專門用來設定未來將會出現的所有排除類型。 您也可以繼續使用 (antivirusEngine
) 來設定防病毒軟體排除專案。
合併原則
指定排除項目的合併原則。 它會指定它是否可以是系統管理員定義和用戶定義排除 () merge
的組合,或是只能是系統管理員定義的排除 (admin_only
) 。 此設定可用來限制本機用戶定義自己的排除範圍。 它適用於排除所有範圍。
描述 | JSON 值 |
---|---|
索引鍵 | mergePolicy |
資料類型 | 字串 |
可能值 | 合併 (預設) admin_only |
Comments | 適用於端點的 Defender 版本 2023 年 9 月或更高版本中提供。 |
排除項目
需要排除的實體可以透過完整路徑、擴展名或檔名來指定。 每個排除實體,也就是完整路徑、擴展名或檔名,都有可指定的選擇性範圍。 如果未指定,則本節中範圍的預設值為 全域值。 (排除專案指定為項目數位,系統管理員可以視需要指定任意數量的元素。)
描述 | JSON 值 |
---|---|
索引鍵 | 排除 |
資料類型 | 巢狀喜好設定 (字典) |
Comments | 如需字典內容的描述,請參閱下列各節。 |
排除類型
指定從掃描中排除的內容類型。
描述 | JSON 值 |
---|---|
索引鍵 | $type |
資料類型 | 字串 |
可能值 | excludedPath excludedFileExtension excludedFileName |
選擇性 (排除範圍)
指定排除之內容的一組外泄範圍。 目前支援的範圍為 epp
和 global
。
如果在 中未指定任何專案來排除 Managed 組態中的 exclusionSettings ,則 global
會視為範圍。
注意事項
先前在受控 JSON 中 (antivirusEngine
) 下設定的防病毒軟體排除專案將會繼續運作,而且其範圍會被視為 (epp
) ,因為它們已新增為防病毒軟體排除專案。
描述 | JSON 值 |
---|---|
索引鍵 | 範圍 |
資料類型 | 一組字串 |
可能值 | epp 全球 |
注意事項
先前使用 () mdatp_managed.json
或 CLI 套用的排除專案將不會受到影響。 這些排除範圍會 (epp
) ,因為它們是在 () antivirusEngine
下新增。
排除內容的路徑
用來依完整檔案路徑從掃描中排除內容。
描述 | JSON 值 |
---|---|
索引鍵 | 路徑 |
資料類型 | 字串 |
可能值 | 有效路徑 |
Comments | 只有在 excludedPath $type才適用。 如果排除範圍具有全域範圍,則不支援通配符。 |
檔案/目錄 () 路徑類型
指出 路徑 屬性是否參考檔案或目錄。
注意事項
如果新增全域範圍的檔案排除,檔案路徑必須已經存在。
描述 | JSON 值 |
---|---|
索引鍵 | isDirectory |
資料類型 | 布林值 |
可能值 | false (預設) 真 |
Comments | 只有在 excludedPath $type才適用。 如果排除範圍具有全域範圍,則不支援通配符。 |
從掃描中排除擴展名
用來從擴展名掃描中排除內容。
描述 | JSON 值 |
---|---|
索引鍵 | 外延 |
資料類型 | 字串 |
可能值 | 有效的擴展名 |
Comments | 只有在已排除 $typeFileExtension 時才適用。 如果排除範圍是全域範圍,則不支援。 |
從掃描中排除的進程*
指定從掃描中排除所有檔案活動的程式。 進程可以透過其名稱 (指定, cat
例如,) 或完整路徑 (例如 /bin/cat
,) 。
描述 | JSON 值 |
---|---|
索引鍵 | name |
資料類型 | 字串 |
可能值 | 任何字串 |
Comments | 只有在已排除 $typeFileName 時才適用。 如果排除範圍具有全域範圍,則不支援通配符和進程名稱,需要提供完整路徑。 |
進階掃描選項
下列設定可以設定為啟用特定的進階掃描功能。
注意事項
啟用這些功能可能會影響裝置效能。 因此,建議您保留預設值。
設定檔案修改許可權事件的掃描
啟用此功能時,適用於端點的Defender會在檔案的許可權變更為設定執行位 () 時掃描檔案。
注意事項
只有在啟用此功能時,才適用此 enableFilePermissionEvents
功能。 如需詳細資訊,請參閱下方 的進階選擇性功能 一節。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | scanFileModifyPermissions | 無 |
資料類型 | 布林值 | 不適用 |
可能值 | false (預設) 真 |
不適用 |
注意事項
適用於端點的 Defender 版本或更新版本 101.23062.0010
中提供。
設定檔案的掃描修改擁有權事件
啟用這項功能時,適用於端點的 Defender 會掃描擁有權已變更的檔案。
注意事項
只有在啟用此功能時,才適用此 enableFileOwnershipEvents
功能。 如需詳細資訊,請參閱下方 的進階選擇性功能 一節。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | scanFileModifyOwnership | 無 |
資料類型 | 布林值 | 不適用 |
可能值 | false (預設) 真 |
不適用 |
注意事項
適用於端點的 Defender 版本或更新版本 101.23062.0010
中提供。
設定原始套接字事件的掃描
啟用此功能時,適用於端點的 Defender 會掃描網路套接字事件,例如建立原始套接字/封包套接字,或設定套接字選項。
注意事項
只有在啟用行為監視時,這項功能才適用。
只有在啟用此功能時,才適用此 enableRawSocketEvent
功能。 如需詳細資訊,請參閱下方 的進階選擇性功能 一節。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | scanNetworkSocketEvent | 無 |
資料類型 | 布林值 | 不適用 |
可能值 | false (預設) 真 |
不適用 |
注意事項
適用於端點的 Defender 版本或更新版本 101.23062.0010
中提供。
雲端式保護喜好設定
組態配置檔中的 cloudService 專案可用來設定產品的雲端驅動保護功能。
注意事項
雲端式保護適用於任何強制層級設定, (real_time、on_demand、被動) 。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | cloudService | 雲端提供的保護喜好設定 |
資料類型 | 巢狀喜好設定 (字典) | 折疊區段 |
Comments | 如需字典內容的描述,請參閱下列各節。 | 如需原則設定的描述,請參閱下列各節。 |
啟用/停用雲端提供的保護
判斷是否已在裝置上啟用雲端式保護。 若要改善服務的安全性,建議您保持開啟此功能。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | 啟用 | 啟用雲端提供的保護 |
資料類型 | 布林值 | 下拉式清單 |
可能值 |
true (預設)
|
尚未設定 已停用 啟用 (預設) |
診斷收集層級
診斷數據可用來保護適用於端點的 Defender 安全且保持最新狀態、偵測、診斷和修正問題,以及改善產品。 此設定會決定產品傳送至 Microsoft 的診斷層級。 如需詳細資訊,請 參閱Linux上適用於端點的 Microsoft Defender 隱私權。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | diagnosticLevel | 診斷數據收集層級 |
資料類型 | 字串 | 下拉式清單 |
可能值 | optional
|
尚未設定 選擇性 (預設) 必要 |
設定雲端區塊層級
此設定會決定適用於端點的 Defender 封鎖和掃描可疑檔案的積極程度。 如果此設定已開啟,適用於端點的 Defender 在識別要封鎖和掃描的可疑檔案時會更積極;否則,它會較不積極,因此會以較少的頻率封鎖和掃描。
設定雲端區塊層級有五個值:
- 一般 (
normal
) :預設封鎖層級。 - 中等 (
moderate
) :僅針對高信賴度偵測傳遞決策。 - 高 (
high
) :在優化效能的同時積極封鎖未知的檔案 (封鎖非有害檔案) 的機率更大。 - 高加 ()
high_plus
:積極封鎖未知的檔案,並套用額外的保護措施 (可能會影響用戶端裝置效能) 。 - 零容錯 (
zero_tolerance
) :封鎖所有未知的程式。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | cloudBlockLevel | 設定雲端區塊層級 |
資料類型 | 字串 | 下拉式清單 |
可能值 |
normal (預設)
|
尚未設定 一般 (預設值) 中等 高 High_Plus Zero_Tolerance |
注意事項
適用於端點的 Defender 版本或更新版本 101.56.62
中提供。
啟用/停用自動提交範例
判斷是否將可能包含威脅) 的可疑樣本 (傳送至Microsoft。 控制範例提交有三個層級:
- 無:不會將可疑的樣本提交至Microsoft。
- 安全:只會自動提交不包含 PII) 個人標識資訊 (可疑樣本。 這是此設定的預設值。
- 全部:所有可疑的樣本都會提交至Microsoft。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | automaticSampleSubmissionConsent | 啟用自動範例提交 |
資料類型 | 字串 | 下拉式清單 |
可能值 | none
|
尚未設定 無 安全 (預設) 全部 |
啟用/停用自動安全情報更新
判斷是否自動安裝安全性情報更新:
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | automaticDefinitionUpdateEnabled | 自動安全情報更新 |
資料類型 | 布林值 | 下拉式清單 |
可能值 |
true (預設)
|
尚未設定 已停用 啟用 (預設) |
進階選擇性功能
下列設定可以設定為啟用某些進階功能。
注意事項
啟用這些功能可能會影響裝置效能。 建議您保留預設值。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | 特徵 | 無 |
資料類型 | 巢狀喜好設定 (字典) | n/a |
Comments | 如需字典內容的描述,請參閱下列各節。 |
模組載入功能
判斷是否監視共用連結庫) 上檔案開啟事件 (模組載入事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | moduleLoad | 無 |
資料類型 | 字串 | n/a |
可能值 | 已停用 (預設) 啟用 |
n/a |
Comments | 適用於端點的 Defender 版本或更新版本 101.68.80 中提供。 |
增補感測器設定
下列設定可用來設定某些進階增補感測器功能。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | supplementarySensorConfigurations | 無 |
資料類型 | 巢狀喜好設定 (字典) | n/a |
Comments | 如需字典內容的描述,請參閱下列各節。 |
設定檔案修改許可權事件的監視
判斷是否監視) (chmod
檔案修改許可權事件。
注意事項
啟用此功能時,適用於端點的 Defender 會監視檔案執行位的變更,但不會掃描這些事件。 如需詳細資訊,請參閱 進階掃描功能 一節。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | enableFilePermissionEvents | 無 |
資料類型 | 字串 | n/a |
可能值 | 已停用 (預設) 啟用 |
n/a |
Comments | 適用於端點的 Defender 版本或更新版本 101.23062.0010 中提供。 |
設定檔案修改擁有權事件的監視
判斷是否監視檔案修改擁有權事件 () 。
注意事項
啟用此功能時,適用於端點的 Defender 會監視檔案擁有權的變更,但不會掃描這些事件。 如需詳細資訊,請參閱 進階掃描功能 一節。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | enableFileOwnershipEvents | 無 |
資料類型 | 字串 | n/a |
可能值 | 已停用 (預設) 啟用 |
n/a |
Comments | 適用於端點的 Defender 版本或更新版本 101.23062.0010 中提供。 |
設定原始套接字事件的監視
判斷是否監視涉及建立原始套接字/封包套接字或設定套接字選項的網路套接字事件。
注意事項
只有在啟用行為監視時,這項功能才適用。 啟用此功能時,適用於端點的 Defender 會監視這些網路套接字事件,但不會掃描這些事件。 如需詳細資訊,請參閱上述 的進階掃描功能 一節。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | enableRawSocketEvent | 無 |
資料類型 | 字串 | n/a |
可能值 | 已停用 (預設) 啟用 |
n/a |
Comments | 適用於端點的 Defender 版本或更新版本 101.23062.0010 中提供。 |
設定開機載入器事件的監視
判斷是否監視和掃描開機載入器事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | enableBootLoaderCalls | 無 |
資料類型 | 字串 | n/a |
可能值 | 已停用 (預設) 啟用 |
n/a |
Comments | 適用於端點的 Defender 版本或更新版本 101.68.80 中提供。 |
設定 ptrace 事件的監視
判斷是否監視和掃描 ptrace 事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | enableProcessCalls | 無 |
資料類型 | 字串 | n/a |
可能值 | 已停用 (預設) 啟用 |
n/a |
Comments | 適用於端點的 Defender 版本或更新版本 101.68.80 中提供。 |
設定 pseudofs 事件的監視
判斷是否監視和掃描 pseudofs 事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | enablePseudofsCalls | 無 |
資料類型 | 字串 | n/a |
可能值 | 已停用 (預設) 啟用 |
n/a |
Comments | 適用於端點的 Defender 版本或更新版本 101.68.80 中提供。 |
使用 eBPF 設定模組載入事件的監視
判斷模組載入事件是否使用 eBPF 進行監視和掃描。
注意事項
只有在啟用行為監視時,這項功能才適用。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | enableEbpfModuleLoadEvents | 無 |
資料類型 | 字串 | n/a |
可能值 | 已停用 (預設) 啟用 |
n/a |
Comments | 適用於端點的 Defender 版本或更新版本 101.68.80 中提供。 |
向 EDR 報告 AV 可疑事件
判斷是否向 EDR 回報來自防病毒軟體的可疑事件。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | sendLowfiEvents | 無 |
資料類型 | 字串 | n/a |
可能值 | 已停用 (預設) 啟用 |
n/a |
Comments | 適用於端點的 Defender 版本或更新版本 101.23062.0010 中提供。 |
網路保護組態
下列設定可用來設定進階網路保護檢查功能,以控制網路保護檢查的流量。
注意事項
若要讓這些功能生效,必須開啟網路保護。 如需詳細資訊,請 參閱開啟Linux的網路保護。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | networkProtection | 網路保護 |
資料類型 | 巢狀喜好設定 (字典) | 折疊區段 |
Comments | 如需字典內容的描述,請參閱下列各節。 | 如需原則設定的描述,請參閱下列各節。 |
強制層級
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | enforcementLevel | 強制層級 |
資料類型 | 字串 | 下拉式清單 |
可能值 |
disabled (預設) audit block |
尚未設定 已停用 (預設) 審計 塊 |
設定ICMP檢查
判斷是否監視和掃描ICMP事件。
注意事項
只有在啟用行為監視時,這項功能才適用。
描述 | JSON 值 | Defender 入口網站值 |
---|---|---|
索引鍵 | disableIcmpInspection | 無 |
資料類型 | 布林值 | n/a |
可能值 |
true (預設)
|
n/a |
Comments | 適用於端點的 Defender 版本或更新版本 101.23062.0010 中提供。 |
建議的組態配置檔
若要開始使用,我們建議您的企業使用適用於端點的 Defender 所提供的所有保護功能,提供下列組態配置檔。
下列組態設定檔:
- 啟用 RTP) (實時保護
- 指定如何處理下列威脅類型:
- 可能不想要的應用程式 (PUA) 遭到封鎖
- 系統 會稽核具有高壓縮速率的封存 (檔案) 至產品記錄
- 啟用自動安全情報更新
- 啟用雲端式保護
- 啟用層級的自動範例提交
safe
範例配置檔
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
完整組態配置檔範例
下列組態配置檔包含本檔所述之所有設定的專案,而且可用於更進階的案例,讓您能夠更充分掌控產品。
注意事項
您無法控制所有適用於端點的 defender 通訊Microsoft此 JSON 中的 Proxy 設定。
完整配置檔
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
將標籤或群組識別元新增至組態配置檔
當您第一次執行 mdatp health
命令時,標籤和群組識別碼的值會是空白的。 若要將標記或群組標識元新增至 mdatp_managed.json
檔案,請遵循下列步驟:
從路徑
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json
開啟組態配置檔。向下移至檔案底部,區塊位於
cloudService
該處。在 的右大括號結尾處,新增必要的卷標或群組標識符,如下列範例所
cloudService
示。}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }
注意事項
在區塊結尾 cloudService
的右大括弧後面加入逗號。 此外,請確定在新增標記或群組標識符區塊之後有兩個右大括號 (請參閱上述範例) 。 目前,標籤唯一支援的索引鍵名稱是 GROUP
。
組態配置文件驗證
組態配置檔必須是有效的 JSON 格式檔案。 有許多工具可用來驗證此問題。 例如,如果您已 python
在裝置上安裝:
python -m json.tool mdatp_managed.json
如果 JSON 格式正確,上述命令會將它輸出回終端機,並傳回的 0
結束代碼。 否則,會顯示描述問題的錯誤,且命令會傳回的 1
結束代碼。
確認mdatp_managed.json檔案如預期般運作
若要確認 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json正常運作,您應該會在這些設定旁邊看到 “[managed]”:
cloud_enabled
cloud_automatic_sample_submission_consent
passive_mode_enabled
real_time_protection_enabled
automatic_definition_update_enabled
注意事項
在 中 ,大部分 組態的 mdatp_managed.json
變更都不需要重新啟動 mdatp 精靈即可生效。
例外: 下列設定需要重新啟動精靈才能生效:
cloud-diagnostic
log-rotation-parameters
組態配置檔部署
為企業建置組態配置檔之後,您可以透過企業所使用的管理工具進行部署。 Linux 上適用於端點的 Defender 會從 檔案讀取受控組態 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json
。
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。