共用方式為


為 Linux 上適用於端點的 Microsoft Defender 設定喜好設定

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

重要事項

本文包含如何在企業環境中設定適用於Linux上適用於端點的Defender喜好設定的指示。 如果您有興趣從命令行在裝置上設定產品,請參閱 資源

在企業環境中,Linux 上的適用於端點的 Defender 可以透過組態配置檔來管理。 這個設定檔是從您選擇的管理工具部署。 企業管理的喜好設定優先於裝置本機設定的喜好設定。 換句話說,您企業中的使用者無法變更透過此組態配置檔設定的喜好設定。 如果是透過Managed組態配置檔新增排除專案,則只能透過受控組態配置檔移除。 命令行適用於在本機新增的排除專案。

本文說明此設定檔的結構 (包括您可用來開始使用的建議配置檔) 以及如何部署配置檔的指示。

組態配置文件結構

組態配置檔是.json檔,由索引鍵 (所識別的項目組成,該索引鍵 (代表喜好設定) 的名稱,後面接著值,視喜好設定的本質而定。 值可以很簡單,例如數值或複雜值,例如巢狀的喜好設定清單。

一般而言,您會使用組態管理工具,在位置/etc/opt/microsoft/mdatp/managed/推送名稱mdatp_managed.json為 的檔案。

組態配置檔的最上層包含產品子區域的全產品喜好設定和專案,下一節會詳細說明。

防病毒軟體引擎喜好設定

組態配置檔的 antivirusEngine 區段可用來管理產品防病毒軟體元件的喜好設定。

描述 JSON 值 Defender 入口網站值
索引鍵 antivirusEngine 防病毒軟體引擎
資料類型 巢狀喜好設定 (字典) 折疊區段
Comments 如需字典內容的描述,請參閱下列各節。 如需原則屬性的描述,請參閱下列各節。

防病毒軟體引擎的強制層級

指定防病毒軟體引擎的強制喜好設定。 設定強制層級有三個值:

  • 即時 (real_time) :啟用) 時,實時保護 (掃描檔案。
  • 隨選 (on_demand) :僅視需要掃描檔案。 在這裡範例中:
    • 即時保護已關閉。
  • 被動 (passive) :以被動模式執行防病毒軟體引擎。 在這裡範例中:
    • 實時保護已關閉:Microsoft Defender 防病毒軟體不會補救威脅。
    • 隨選掃描已開啟:仍然使用端點上的掃描功能。
    • 自動威脅補救已關閉:將不會移動任何檔案,而且預期安全性系統管理員會採取必要的動作。
    • 安全性情報更新已開啟:安全性系統管理員租使用者上將提供警示。
描述 JSON 值 Defender 入口網站值
索引鍵 enforcementLevel 強制層級
資料類型 字串 下拉式清單
可能值 real_time
on_demand
passive (預設)
尚未設定
即時
OnDemand
被動 (預設)

注意事項

適用於端點的 Defender 101.10.72 版或更新版本中提供。 端點版本 101.23062.0001 或更新版本的預設值從real_time變更為被動。 建議您也根據需求使用 排程掃描

啟用/停用行為監視

判斷裝置上是否啟用行為監視和封鎖功能。

描述 JSON 值 Defender 入口網站值
索引鍵 behaviorMonitoring 啟用行為監視
資料類型 字串 下拉式清單
可能值 disabled (預設)

enabled

尚未設定
停用 (預設)
Enabled

注意事項

適用於端點的 Defender 101.45.00 版或更新版本中提供。 只有在啟用 Real-Time 保護功能時,才適用此功能。

更新定義之後執行掃描

指定在裝置上下載新的安全情報更新之後,是否要啟動進程掃描。 啟用此設定會在裝置的執行中進程上觸發防病毒軟體掃描。

描述 JSON 值 Defender 入口網站值
索引鍵 scanAfterDefinitionUpdate 在定義更新後啟用掃描
資料類型 布林值 下拉式清單
可能值 true (預設)

false

尚未設定
已停用
啟用 (預設)

注意事項

適用於端點的 Defender 101.45.00 版或更新版本中提供。 只有在強制層級設定為 real-time時,此功能才適用。

僅掃描封存 (視需要的防病毒軟體掃描)

指定是否要在隨選防病毒軟體掃描期間掃描封存。

描述 JSON 值 Defender 入口網站值
索引鍵 scanArchives 啟用封存掃描
資料類型 布林值 下拉式清單
可能值 true (預設)

false

尚未設定
已停用
啟用 (預設)

注意事項

適用於端點的 Microsoft Defender 版本 101.45.00 或更新版本中提供。 即時保護期間永遠不會掃描封存盤案。 擷取封存中的檔案時,系統會掃描這些檔案。 scanArchives 選項只能在隨選掃描期間用來強制掃描封存。

隨選掃描的平行處理原則程度

指定隨選掃描的平行處理原則程度。 這會對應至用來執行掃描並影響 CPU 使用量的線程數目,以及隨選掃描的持續時間。

描述 JSON 值 Defender 入口網站值
索引鍵 maximumOnDemandScanThreads 隨選掃描線程數目上限
資料類型 整數 切換切換 & 整數
可能值 2 (預設) 。 允許的值是介於 1 到 64 之間的整數。 [未設定] (預設值將預設值切換為 2)
已設定 (在 1 到 64 之間的) 和整數上切換。

注意事項

適用於端點的 Microsoft Defender 版本 101.45.00 或更新版本中提供。

排除合併原則

指定排除項目的合併原則。 它可以是系統管理員定義和使用者定義排除項目的組合, () merge 或只有系統管理員定義的排除 () admin_only 。 此設定可用來限制本機用戶定義自己的排除範圍。

描述 JSON 值 Defender 入口網站值
索引鍵 exclusionsMergePolicy 排除合併
資料類型 字串 下拉式清單
可能值 merge (預設)

admin_only

尚未設定
合併 (預設)
admin_only

注意事項

適用於端點的 Defender 100.83.73 版或更新版本中提供。

掃描排除專案

已從掃描中排除的實體。 排除專案可以透過完整路徑、擴展名或檔名來指定。 (排除專案指定為項目數位,系統管理員可以視需要指定任意數量的元素。)

描述 JSON 值 Defender 入口網站值
索引鍵 排除 掃描排除專案
資料類型 巢狀喜好設定 (字典) 動態屬性清單
Comments 如需字典內容的描述,請參閱下列各節。
排除類型

指定從掃描中排除的內容類型。

描述 JSON 值 Defender 入口網站值
索引鍵 $type 類型
資料類型 字串 下拉式清單
可能值 excludedPath

excludedFileExtension

excludedFileName

路徑
副檔名
處理序名稱
排除內容的路徑

用來依完整檔案路徑從掃描中排除內容。

描述 JSON 值 Defender 入口網站值
索引鍵 路徑 路徑
資料類型 字串 字串
可能值 有效路徑 有效路徑
Comments 只有在已排除 $type 時才適用 Path 編輯實例 快顯中存取
檔案/目錄 () 路徑類型

指出 路徑 屬性是否參考檔案或目錄。

描述 JSON 值 Defender 入口網站值
索引鍵 isDirectory 為目錄
資料類型 布林值 下拉式清單
可能值 false (預設)

true

Enabled
停用
Comments 只有在已排除 $type 時才適用 Path 編輯實例 快顯中存取
從掃描中排除擴展名

用來從擴展名掃描中排除內容。

描述 JSON 值 Defender 入口網站值
索引鍵 外延 副檔名
資料類型 字串 字串
可能值 有效的擴展名 有效的擴展名
Comments 只有在 排除$type 時才適用 FileExtension 在設定實 快顯中存取
從掃描中排除的進程*

指定從掃描中排除所有檔案活動的程式。 進程可以透過其名稱 (指定, cat 例如,) 或完整路徑 (例如 /bin/cat ,) 。

描述 JSON 值 Defender 入口網站值
索引鍵 name 檔案名稱
資料類型 字串 字串
可能值 任何字串 任何字串
Comments 只有在已排除$typeFileName 時才適用 在設定實 快顯中存取

將非 Exec 掛接設為靜音

指定標示為 noexec 之裝入點上的 RTP 行為。 設定有兩個值:

  • 未變更 (unmute) :預設值,所有裝入點都會掃描為 RTP 的一部分。
  • 靜音 (mute) :標示為 noexec 的裝入點不會掃描為 RTP 的一部分,您可以針對下列專案建立這些裝入點:
    • 資料庫伺服器上的資料庫檔案,用於保留數據基底檔案。
    • 檔案伺服器可以使用 noexec 選項來保留資料檔案裝入點。
    • 備份可以使用 noexec 選項來保留資料檔裝入點。
描述 JSON 值 Defender 入口網站值
索引鍵 nonExecMountPolicy 非執行掛接靜音
資料類型 字串 下拉式清單
可能值 unmute (預設)

mute

尚未設定
取消靜 (預設)
靜音

注意事項

適用於端點的 Defender 101.85.27 版或更新版本中提供。

解除監視檔案系統

將文件系統設定為未受監視/從實時保護中排除 (RTP) 。 已設定的檔案系統會根據 Microsoft Defender 允許的檔案系統清單進行驗證。 只有在驗證成功之後,才會允許將文件系統解除監視。 這些設定的未受監視文件系統仍會透過快速、完整和自定義掃描進行掃描。

描述 JSON 值 Defender 入口網站值
索引鍵 unmonitoredFilesystems 未受監視的文件系統
資料類型 字串陣列 動態字串清單

注意事項

只有在Microsoft允許的未受監視檔案系統清單中存在時,才會解除監視已設定的文件系統。

根據預設,NFS 和 Fuse 不會受到 RTP、快速和完整掃描的監視。 不過,自定義掃描仍然可以掃描它們。 例如,若要從未受監視的文件系統清單中移除 NFS,請更新 Managed 組態檔,如下所示。 這會自動將 NFS 新增至 RTP 的受監視檔案系統清單。

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["Fuse"]
  }
}

若要從未受監視的檔案系統清單中移除 NFS 和 Fuse,請執行下列動作

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

注意事項

這裡;RTP 受監視檔案系統的預設清單:btrfs、、、ecryptfsext2ext3、、ext4fuseblkoverlayjfsramfsreiserfs、、 vfattmpfsxfs

如果需要將任何受監視的文件系統新增至未受監視的文件系統清單,則必須透過雲端設定Microsoft加以評估和啟用。之後,客戶可以更新managed_mdatp.json以解除監視該文件系統。

設定檔案哈希計算功能

啟用或停用檔案哈希計算功能。 啟用這項功能時,適用於端點的 Defender 會計算所掃描檔案的哈希。 請注意,啟用這項功能可能會影響裝置效能。 如需詳細資訊,請參閱: 建立檔案的指標

描述 JSON 值 Defender 入口網站值
索引鍵 enableFileHashComputation 啟用檔案哈希計算
資料類型 布林值 下拉式清單
可能值 false (預設)

true

尚未設定
停用 (預設)
Enabled

注意事項

適用於端點的 Defender 101.85.27 版或更新版本中提供。

允許的威脅

(由其名稱識別的威脅清單) ,這些威脅不會被產品封鎖,而是允許執行。

描述 JSON 值 Defender 入口網站值
索引鍵 allowedThreats 允許的威脅
資料類型 字串陣列 動態字串清單

不允許的威脅動作

限制偵測到威脅時,裝置的本機使用者可以採取的動作。 此清單中包含的動作不會顯示在使用者介面中。

描述 JSON 值 Defender 入口網站值
索引鍵 disallowedThreatActions 不允許的威脅動作
資料類型 字串陣列 動態字串清單
可能值 allow (會限制使用者允許威脅)

restore (會限制使用者從隔離) 還原威脅

允許 (限制使用者允許威脅)

還原 (會限制使用者從隔離) 還原威脅

注意事項

適用於端點的 Defender 100.83.73 版或更新版本中提供。

威脅類型設定

防病毒軟體引擎中的 threatTypeSettings 喜好設定可用來控制產品如何處理特定威脅類型。

描述 JSON 值 Defender 入口網站值
索引鍵 threatTypeSettings 威脅類型設定
資料類型 巢狀喜好設定 (字典) 動態屬性清單
Comments 如需字典內容的描述,請參閱下列各節。 如需動態屬性的描述,請參閱下列各節。
威脅類型

設定行為的威脅類型。

描述 JSON 值 Defender 入口網站值
索引鍵 機碼 威脅類型
資料類型 字串 下拉式清單
可能值 potentially_unwanted_application

archive_bomb

potentially_unwanted_application

archive_bomb

要採取的動作

遇到上一節所指定類型的威脅時所要採取的動作。 可以是:

  • 稽核:裝置不會受到這類威脅的保護,但會記錄威脅的相關專案。 (Default)
  • 封鎖:裝置會受到保護,免於遭受這類威脅,而您會在安全性控制台中收到通知。
  • 關閉:裝置不會受到這類威脅的保護,而且不會記錄任何專案。
描述 JSON 值 Defender 入口網站值
索引鍵 數值 要採取的動作
資料類型 字串 下拉式清單
可能值 audit (預設)

block

off

審計

關閉

威脅類型設定合併原則

指定威脅類型設定的合併原則。 這可以是系統管理員定義和使用者定義設定的組合, () merge 或只有系統管理員定義的設定 (admin_only) 。 此設定可用來限制本機用戶針對不同的威脅類型定義自己的設定。

描述 JSON 值 Defender 入口網站值
索引鍵 threatTypeSettingsMergePolicy 威脅類型設定合併
資料類型 字串 下拉式清單
可能值 合併 (預設)

admin_only

尚未設定
合併 (預設)
admin_only

注意事項

適用於端點的 Defender 100.83.73 版或更新版本中提供。

防病毒軟體掃描歷程記錄保留 (天數)

指定在裝置上的掃描歷程記錄中保留結果的天數。 舊的掃描結果會從歷程記錄中移除。 從磁盤中移除的舊隔離檔案。

描述 JSON 值 Defender 入口網站值
索引鍵 scanResultsRetentionDays 掃描結果保留期
資料類型 字串 切換開關和整數
可能值 90 (預設) 。 允許的值是從1天到180天。 未設定 (關閉 - 90 天預設)
已設定 (在) 上切換,並允許值 1 到 180 天。

注意事項

適用於端點的 Defender 101.04.76 版或更新版本中提供。

防病毒軟體掃描記錄中的項目數目上限

指定要保留在掃描記錄中的項目數目上限。 專案包括過去執行的所有隨選掃描,以及所有防病毒軟體偵測。

描述 JSON 值 Defender 入口網站值
索引鍵 scanHistoryMaximumItems 掃描歷程記錄大小
資料類型 字串 切換和整數
可能值 10000 (預設) 。 允許的值從 5000 個專案到 15000 個專案。 未設定 (關閉 - 10000 預設)
已設定 (在) 上切換,並允許從5000到15000個專案的值。

注意事項

適用於端點的 Defender 101.04.76 版或更新版本中提供。

進階掃描選項

下列設定可以設定為啟用特定的進階掃描功能。

注意事項

啟用這些功能可能會影響裝置效能。 因此,建議您保留預設值。

設定檔案修改許可權事件的掃描

啟用此功能時,適用於端點的Defender會在檔案的許可權變更為設定執行位 () 時掃描檔案。

注意事項

只有在啟用此功能時,才適用此 enableFilePermissionEvents 功能。 如需詳細資訊,請參閱下方 的進階選擇性功能 一節。

描述 JSON 值 Defender 入口網站值
索引鍵 scanFileModifyPermissions
資料類型 布林值 不適用
可能值 false (預設)

不適用

注意事項

適用於端點的Defender版本101.23062.0010或更新版本中提供。

設定檔案的掃描修改擁有權事件

啟用這項功能時,適用於端點的 Defender 會掃描擁有權已變更的檔案。

注意事項

只有在啟用此功能時,才適用此 enableFileOwnershipEvents 功能。 如需詳細資訊,請參閱下方 的進階選擇性功能 一節。

描述 JSON 值 Defender 入口網站值
索引鍵 scanFileModifyOwnership
資料類型 布林值 不適用
可能值 false (預設)

不適用

注意事項

適用於端點的Defender版本101.23062.0010或更新版本中提供。

設定原始套接字事件的掃描

啟用此功能時,適用於端點的 Defender 會掃描網路套接字事件,例如建立原始套接字/封包套接字,或設定套接字選項。

注意事項

只有在啟用行為監視時,這項功能才適用。 只有在啟用此功能時,才適用此 enableRawSocketEvent 功能。 如需詳細資訊,請參閱下方 的進階選擇性功能 一節。

描述 JSON 值 Defender 入口網站值
索引鍵 scanNetworkSocketEvent
資料類型 布林值 不適用
可能值 false (預設)

不適用

注意事項

適用於端點的Defender版本101.23062.0010或更新版本中提供。

雲端式保護喜好設定

組態配置檔中的 cloudService 專案可用來設定產品的雲端驅動保護功能。

注意事項

雲端式保護適用於任何強制層級設定, (real_time、on_demand、被動) 。

描述 JSON 值 Defender 入口網站值
索引鍵 cloudService 雲端提供的保護喜好設定
資料類型 巢狀喜好設定 (字典) 折疊區段
Comments 如需字典內容的描述,請參閱下列各節。 如需原則設定的描述,請參閱下列各節。

啟用/停用雲端提供的保護

判斷是否已在裝置上啟用雲端式保護。 若要改善服務的安全性,建議您保持開啟此功能。

描述 JSON 值 Defender 入口網站值
索引鍵 啟用 啟用雲端提供的保護
資料類型 布林值 下拉式清單
可能值 true (預設)

false

尚未設定
已停用
啟用 (預設)

診斷收集層級

診斷數據可用來保護適用於端點的 Defender 安全且保持最新狀態、偵測、診斷和修正問題,以及改善產品。 此設定會決定產品傳送至 Microsoft 的診斷層級。 如需詳細資訊,請 參閱Linux上適用於端點的 Microsoft Defender 隱私權。

描述 JSON 值 Defender 入口網站值
索引鍵 diagnosticLevel 診斷數據收集層級
資料類型 字串 下拉式清單
可能值 optional

required (預設)

尚未設定
選擇性 (預設)
必要

設定雲端區塊層級

此設定會決定適用於端點的 Defender 封鎖和掃描可疑檔案的積極程度。 如果此設定已開啟,適用於端點的 Defender 在識別要封鎖和掃描的可疑檔案時會更積極;否則,它會較不積極,因此會以較少的頻率封鎖和掃描。

設定雲端區塊層級有五個值:

  • 一般 (normal) :預設封鎖層級。
  • 中等 (moderate) :僅針對高信賴度偵測傳遞決策。
  • 高 (high) :在優化效能的同時積極封鎖未知的檔案 (封鎖非有害檔案) 的機率更大。
  • 高加 () high_plus :積極封鎖未知的檔案,並套用額外的保護措施 (可能會影響用戶端裝置效能) 。
  • 零容錯 (zero_tolerance) :封鎖所有未知的程式。
描述 JSON 值 Defender 入口網站值
索引鍵 cloudBlockLevel 設定雲端區塊層級
資料類型 字串 下拉式清單
可能值 normal (預設)

moderate

high

high_plus

zero_tolerance

尚未設定
一般 (預設值)
中等

High_Plus
Zero_Tolerance

注意事項

適用於端點的 Defender 101.56.62 版或更新版本中提供。

啟用/停用自動提交範例

判斷是否將可能包含威脅) 的可疑樣本 (傳送至Microsoft。 控制範例提交有三個層級:

  • :不會將可疑的樣本提交至Microsoft。
  • 安全:只會自動提交不包含 PII) 個人標識資訊 (可疑樣本。 這是此設定的預設值。
  • 全部:所有可疑的樣本都會提交至Microsoft。
描述 JSON 值 Defender 入口網站值
索引鍵 automaticSampleSubmissionConsent 啟用自動範例提交
資料類型 字串 下拉式清單
可能值 none

safe (預設)

all

尚未設定

安全 (預設)
全部

啟用/停用自動安全情報更新

判斷是否自動安裝安全性情報更新:

描述 JSON 值 Defender 入口網站值
索引鍵 automaticDefinitionUpdateEnabled 自動安全情報更新
資料類型 布林值 下拉式清單
可能值 true (預設)

false

尚未設定
已停用
啟用 (預設)

進階選擇性功能

下列設定可以設定為啟用某些進階功能。

注意事項

啟用這些功能可能會影響裝置效能。 建議您保留預設值。

描述 JSON 值 Defender 入口網站值
索引鍵 特徵
資料類型 巢狀喜好設定 (字典) 不適用
Comments 如需字典內容的描述,請參閱下列各節。

模組載入功能

判斷是否監視共用連結庫) 上檔案開啟事件 (模組載入事件。

注意事項

只有在啟用行為監視時,這項功能才適用。

描述 JSON 值 Defender 入口網站值
索引鍵 moduleLoad
資料類型 字串 不適用
可能值 已停用 (預設)

啟用

不適用
Comments 適用於端點的 Defender 101.68.80 版或更新版本中提供。

增補感測器設定

下列設定可用來設定某些進階增補感測器功能。

描述 JSON 值 Defender 入口網站值
索引鍵 supplementarySensorConfigurations
資料類型 巢狀喜好設定 (字典) 不適用
Comments 如需字典內容的描述,請參閱下列各節。
設定檔案修改許可權事件的監視

判斷是否監視) (chmod 檔案修改許可權事件。

注意事項

啟用此功能時,適用於端點的 Defender 會監視檔案執行位的變更,但不會掃描這些事件。 如需詳細資訊,請參閱 進階掃描功能 一節。

描述 JSON 值 Defender 入口網站值
索引鍵 enableFilePermissionEvents
資料類型 字串 不適用
可能值 已停用 (預設)

啟用

不適用
Comments 適用於端點的Defender版本101.23062.0010或更新版本中提供。
設定檔案修改擁有權事件的監視

判斷是否監視檔案修改擁有權事件 () 。

注意事項

啟用此功能時,適用於端點的 Defender 會監視檔案擁有權的變更,但不會掃描這些事件。 如需詳細資訊,請參閱 進階掃描功能 一節。

描述 JSON 值 Defender 入口網站值
索引鍵 enableFileOwnershipEvents
資料類型 字串 不適用
可能值 已停用 (預設)

啟用

不適用
Comments 適用於端點的Defender版本101.23062.0010或更新版本中提供。
設定原始套接字事件的監視

判斷是否監視涉及建立原始套接字/封包套接字或設定套接字選項的網路套接字事件。

注意事項

只有在啟用行為監視時,這項功能才適用。 啟用此功能時,適用於端點的 Defender 會監視這些網路套接字事件,但不會掃描這些事件。 如需詳細資訊,請參閱上述 的進階掃描功能 一節。

描述 JSON 值 Defender 入口網站值
索引鍵 enableRawSocketEvent
資料類型 字串 不適用
可能值 已停用 (預設)

啟用

不適用
Comments 適用於端點的Defender版本101.23062.0010或更新版本中提供。
設定開機載入器事件的監視

判斷是否監視和掃描開機載入器事件。

注意事項

只有在啟用行為監視時,這項功能才適用。

描述 JSON 值 Defender 入口網站值
索引鍵 enableBootLoaderCalls
資料類型 字串 不適用
可能值 已停用 (預設)

啟用

不適用
Comments 適用於端點的 Defender 101.68.80 版或更新版本中提供。
設定 ptrace 事件的監視

判斷是否監視和掃描 ptrace 事件。

注意事項

只有在啟用行為監視時,這項功能才適用。

描述 JSON 值 Defender 入口網站值
索引鍵 enableProcessCalls
資料類型 字串 不適用
可能值 已停用 (預設)

啟用

不適用
Comments 適用於端點的 Defender 101.68.80 版或更新版本中提供。
設定 pseudofs 事件的監視

判斷是否監視和掃描 pseudofs 事件。

注意事項

只有在啟用行為監視時,這項功能才適用。

描述 JSON 值 Defender 入口網站值
索引鍵 enablePseudofsCalls
資料類型 字串 不適用
可能值 已停用 (預設)

啟用

不適用
Comments 適用於端點的 Defender 101.68.80 版或更新版本中提供。
使用 eBPF 設定模組載入事件的監視

判斷模組載入事件是否使用 eBPF 進行監視和掃描。

注意事項

只有在啟用行為監視時,這項功能才適用。

描述 JSON 值 Defender 入口網站值
索引鍵 enableEbpfModuleLoadEvents
資料類型 字串 不適用
可能值 已停用 (預設)

啟用

不適用
Comments 適用於端點的 Defender 101.68.80 版或更新版本中提供。

向 EDR 報告 AV 可疑事件

判斷是否向 EDR 回報來自防病毒軟體的可疑事件。

描述 JSON 值 Defender 入口網站值
索引鍵 sendLowfiEvents
資料類型 字串 不適用
可能值 已停用 (預設)

啟用

不適用
Comments 適用於端點的Defender版本101.23062.0010或更新版本中提供。

網路保護組態

下列設定可用來設定進階網路保護檢查功能,以控制網路保護檢查的流量。

注意事項

若要讓這些功能生效,必須開啟網路保護。 如需詳細資訊,請 參閱開啟Linux的網路保護

描述 JSON 值 Defender 入口網站值
索引鍵 networkProtection 網路保護
資料類型 巢狀喜好設定 (字典) 折疊區段
Comments 如需字典內容的描述,請參閱下列各節。 如需原則設定的描述,請參閱下列各節。

強制層級

描述 JSON 值 Defender 入口網站值
索引鍵 enforcementLevel 強制層級
資料類型 字串 下拉式清單
可能值 disabled (預設)
audit
block
尚未設定
已停用 (預設)
審計

設定ICMP檢查

判斷是否監視和掃描ICMP事件。

注意事項

只有在啟用行為監視時,這項功能才適用。

描述 JSON 值 Defender 入口網站值
索引鍵 disableIcmpInspection
資料類型 布林值 不適用
可能值 true (預設)

false

不適用
Comments 適用於端點的Defender版本101.23062.0010或更新版本中提供。

若要開始使用,我們建議您的企業使用適用於端點的 Defender 所提供的所有保護功能,提供下列組態配置檔。

下列組態設定檔將會:

  • 啟用即時保護 (RTP)
  • 指定如何處理下列威脅類型:
    • 可能不想要的應用程式 (PUA) 遭到封鎖
    • 系統 會稽核具有高壓縮速率的封存 (檔案) 至產品記錄
  • 啟用自動安全性情報更新
  • 啟動雲端提供的保護
  • 在層級啟 safe 用自動提交範例

範例配置檔

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

完整組態配置檔範例

下列組態配置檔包含本檔所述之所有設定的專案,而且可用於更進階的案例,讓您能夠更充分掌控產品。

注意事項

您無法控制所有適用於端點的 defender 通訊Microsoft此 JSON 中的 Proxy 設定。

完整配置檔

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "behaviorMonitoring": "enabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "exclusions":[
         {
            "$type":"excludedPath",
            "isDirectory":false,
            "path":"/var/log/system.log<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/run<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/home/*/git<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedFileExtension",
            "extension":".pdf<EXAMPLE DO NOT USE>"
         },
         {
            "$type":"excludedFileName",
            "name":"cat<EXAMPLE DO NOT USE>"
         }
      ],
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

將標籤或群組識別元新增至組態配置檔

當您第一次執行 mdatp health 命令時,標籤和群組識別碼的值會是空白的。 若要將標記或群組標識元新增至 mdatp_managed.json 檔案,請遵循下列步驟:

  1. 從路徑 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json開啟組態配置檔。
  2. 向下移至檔案底部,區塊位於 cloudService 該處。
  3. 在 的右大括號結尾處,新增必要的卷標或群組標識符,如下列範例所 cloudService示。
  },
  "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
},
"edr": {
  "groupIds":"GroupIdExample",
  "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
}

注意事項

在區塊結尾 cloudService 的右大括弧後面加入逗號。 此外,請確定在新增標記或群組標識符區塊之後有兩個右大括號 (請參閱上述範例) 。 目前,標籤唯一支援的索引鍵名稱是 GROUP

組態配置文件驗證

組態配置檔必須是有效的 JSON 格式檔案。 有許多工具可用來驗證此問題。 例如,如果您已 python 在裝置上安裝:

python -m json.tool mdatp_managed.json

如果 JSON 格式正確,上述命令會將它輸出回終端機,並傳回的 0結束代碼。 否則,會顯示描述問題的錯誤,且命令會傳回的 1結束代碼。

確認mdatp_managed.json檔案如預期般運作

若要確認 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json正常運作,您應該會在這些設定旁邊看到 “[managed]”:

  • cloud_enabled
  • cloud_automatic_sample_submission_consent
  • passive_mode_enabled
  • real_time_protection_enabled
  • automatic_definition_update_enabled

注意事項

若要讓mdatp_managed.json中 大部分 組態的變更生效,就不需要重新啟動 mdatp 精靈。 例外: 下列設定需要重新啟動精靈才能生效:

  • cloud-diagnostic
  • log-rotation-parameters

組態配置檔部署

為企業建置組態配置檔之後,您可以透過企業所使用的管理工具進行部署。 Linux 上適用於端點的 Defender 會從 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json 檔案讀取受控組態。

提示

想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。