在 Linux 上設定 適用於端點的 Microsoft Defender 的安全設定

設定你的安全設定

Linux 版適用於端點的 Microsoft Defender 包含防毒、防惡意軟體防護、端點偵測及回應功能。 本文總結了需要設定的重要安全設定，並附有更多資源連結。

設定	描述
1. 配置靜態代理發現。	設定靜態代理有助於確保遙測資料被提交，並避免網路逾時。 請在安裝 Defender for Endpoint 時及之後執行此任務。 請參見「在 Linux 上配置 適用於端點的 Microsoft Defender」以了解靜態代理的發現。
2. 設定你的防毒掃描。	你可以使用 Anacron 或 Crontab 來排程自動防毒掃描。 請參閱以下文章： - 使用 Anacron 在 Linux 上的 適用於端點的 Microsoft Defender 中排程防毒掃描 - 使用 Crontab 在 Linux 上的 適用於端點的 Microsoft Defender 中排程防毒掃描
3. 設定你的安全設定與政策。	你可以使用 Defender for Endpoint 安全設定管理) (Microsoft Defender入口網站，或是設定檔 (.json 檔案) ，在 Linux 上設定 Defender for Endpoint。 或者，如果你願意，也可以用命令列來設定某些設定。 請參閱以下文章： - Defender for Endpoint 安全設定管理 - 配置配置檔 - 指令列
4. 適當配置並驗證排除 ()	你可以在 Linux 上排除某些檔案、資料夾、程序和程序開啟的檔案，從 Defender for Endpoint 中移除。 全域排除適用於即時保護 (RTP) 、BM) 行為監控 (EDR) 端點偵測與 (回應，從而停止所有相關的防毒偵測、EDR 警示及排除項目的可見性。 請參閱「配置與驗證 Linux 版 適用於端點的 Microsoft Defender 的排除事項」。
5. 配置基於eBPF的感測器。	在 Linux 上，適用於端點的 Microsoft Defender 的擴展 Berkeley 封包過濾器 (eBPF) 預設為所有客戶啟用，適用於代理版本101.23082.0006及之後版本。 它為 Linux 作業系統提供補充事件資料，並有助於降低應用程式間衝突的可能性。 請參見 Linux 版 適用於端點的 Microsoft Defender 使用 eBPF 感測器。
6. 適當配置離線安全情報更新 ()	離線安全情報更新讓您能為接觸網路有限或完全沒有網路接觸的 Linux 伺服器配置安全情報更新。 你可以架設本地主機伺服器 (「鏡像伺服器」) 連接Microsoft雲端下載簽名。 其他 Linux 端點可以依照預設的間隔從你的鏡像伺服器拉取更新。 請參見「在 Linux 上配置 適用於端點的 Microsoft Defender 離線安全智慧更新」。
7. 部署更新。	Microsoft 定期發布軟體更新，以提升效能、安全性並推出新功能。 請參閱 Linux 上 適用於端點的 Microsoft Defender 部署更新。
8. 設定網路保護 (預覽)	網路保護有助於防止員工使用任何應用程式存取可能承載釣魚詐騙、漏洞利用及其他惡意內容的危險網域。 請參見 Linux 的網路保護。

重要事項

如果你想並行運行多個安全解決方案，請參閱 效能、設定與支援的考量。

你可能已經為適用於端點的 Microsoft Defender 裝置設定了相互安全排除。 如果你仍需設定相互排除以避免衝突，請參閱「新增 適用於端點的 Microsoft Defender」到你現有解決方案的排除清單中。

設定安全設定的選項

要在 Linux 版 Defender for Endpoint 中設定安全設定，你有兩個主要選項：

• 使用 Defender for Endpoint Security Settings Management (Microsoft Defender 入口網站) ;或
• 使用設定檔

如果你偏好用命令列，可以用它來設定特定設定、收集診斷資料、執行掃描等等。 請參考 Linux 資源：使用命令列設定。

Defender for Endpoint 安全設定管理

你可以在 Linux 上的 Microsoft Defender 入口網站 (https://security.microsoft.com 透過稱為 Defender for Endpoint 安全設定管理的功能來設定 Defender for Endpoint) 。 欲了解更多資訊，包括如何建立、編輯及驗證安全政策，請參閱「Use 適用於端點的 Microsoft Defender 安全設定管理以管理 Microsoft Defender 防毒軟體」。

配置配置檔

你可以在 Linux 上的 Defender for Endpoint 透過使用 .json 檔案設定的設定檔來設定。 設定好個人檔案後，你可以使用你偏好的管理工具來部署。 企業管理的偏好優先於裝置本地設定的偏好。 換句話說，企業用戶無法更改透過此設定檔設定的偏好設定。 若排除項目是透過受管理設定檔新增，則只能透過受管理設定檔移除。 命令列適用於本地新增的排除項目。

本文說明此設定檔的結構 (包括建議的設定檔，供你開始使用) ，以及如何部署該配置檔。

配置配置檔結構

設定檔是一個 .json 由一個金鑰 (標示的條目組成的檔案，該鍵表示偏好) 的名稱，後接一個值，取決於偏好設定的性質。 數值可以很簡單，例如數值，也可以是複雜的，例如巢狀的偏好清單。

通常你會使用配置管理工具，將帶有名稱 mdatp_managed.json 的檔案推送到該位置 /etc/opt/microsoft/mdatp/managed/。

配置檔的頂層包含產品整體偏好設定及產品子領域的條目，後續章節將有更詳細說明。

推薦配置檔

本節包含兩個組態設定檔範例：

• 範例設定 檔，幫助你開始使用推薦的設定。
• 為想要更細緻控制安全設定的組織提供完整設定檔範例。

開始時，我們建議使用你組織的第一個範例設定檔。 若想更細緻地控制，可以使用 完整的設定檔範例 。

範例剖面

它幫助你善用 Defender for Endpoint 在 Linux 上提供的重要保護功能。 以下配置配置檔：

• 實現即時保護 (RTP)
• 規定如何處理以下威脅類型：
  • 潛在不想要的申請 (PUA) 會被封鎖
  • 封存 (高壓縮率) 的炸彈會被審核至產品日誌
• 啟用自動安全情報更新
• 啟用雲端保護
• 啟用自動提交樣本於關卡safe

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

完整配置檔範例

以下設定檔包含本文件中描述的所有設定條目，適用於想要更進階控制產品的情境。

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":false,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefinitionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"diabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

Linux 版 Defender for Endpoint 中的防毒、防惡意軟體及 EDR 設定

無論你是使用設定檔 (.json 檔案) ，還是Microsoft Defender入口 (安全設定管理) ，你都可以在 Linux 上的 Defender for Endpoint 中設定防毒、防惡意軟體和 EDR 設定。 以下章節說明在哪裡以及如何設定你的設定。

防毒引擎偏好

設定檔中的 防毒引擎 區段用於管理產品防毒元件的偏好設定。

描述	JSON 值	Defender portal value
機碼	antivirusEngine	防毒引擎
資料類型	字典 (巢狀偏好)	坍塌的部分
Comments	請參閱以下章節以了解字典內容的說明。	請參閱以下章節以了解保單屬性的說明。

Microsoft Defender 防毒軟體的執行層級

指定防毒引擎的執行偏好。 設定執法等級有三個數值：

• 即時 (real_time) ：啟用檔案修改 (即時保護) 掃描檔案。

• 隨需 (on_demand) ：檔案僅按需掃描。 在這段中：

  • 即時保護已關閉。
  • 定義更新僅在掃描開始時發生，即使 automaticDefinitionUpdateEnabled 已設定為 true 隨選模式。

• 被動 (passive) ：以被動模式運行防毒引擎。 在這種情況下，以下所有條件都適用：

  • 即時防護功能關閉：威脅不會被 Microsoft Defender 防毒軟體修復。
  • 按需掃描已開啟：仍可使用端點上的掃描功能。
  • 自動威脅修復已關閉：不會移動任何檔案，且你的資安管理員預期會採取必要的行動。
  • 安全情報更新已開啟：警報可在安全管理員的租戶中提供。
  • 定義更新僅在掃描開始時發生，即使 automaticDefinitionUpdateEnabled 設定為 true 被動模式。

注意事項

可在 Defender for Endpoint 版本或更高版本 101.10.72 中取得。 預設值會在 Defender for Endpoint 版本101.23062.0001或更新版本中改real_time為 。passive 建議也依需求使用 排定掃描 。

啟用或停用行為監控 (若啟用 RTP)

重要事項

此功能僅在強制等級設為 real-time時有效。

判斷裝置是否啟用行為監控與阻擋功能。

描述	JSON 值	Defender portal value
機碼	行為監控	啟用行為監控
資料類型	字串	下拉式清單
可能值	disabled (預設) enabled	尚未設定 預設 (已停用) Enabled

注意事項

可在 Defender for Endpoint 版本或更高版本 101.45.00 中取得。

定義更新後執行掃描

重要事項

此功能僅在強制等級設為 real-time時有效。

指定在裝置下載新安全情報更新後，是否啟動程序掃描。 啟用此設定會觸發對裝置執行中的程序進行防毒掃描。

描述	JSON 值	Defender portal value
機碼	scanAfterDefinitionUpdate	定義更新後啟用掃描
資料類型	布林值	下拉式清單
可能值	true (預設) false	Not configured Disabled Enabled (預設)

注意事項

可在 Defender for Endpoint 版本或更高版本 101.45.00 中取得。

掃描檔案 (按需防毒掃描)

規定是否在按需防毒掃描時掃描檔案。

描述	JSON 值	Defender portal value
機碼	scanArchives	啟用檔案掃描
資料類型	布林值	下拉式清單
可能值	true (預設) false	尚未設定 已停用 啟用 (預設)

注意事項

可支援 適用於端點的 Microsoft Defender 版本或更高版本101.45.00。 封存檔在即時保護期間絕不會被掃描。 當檔案庫中被解壓時，會被掃描。 scanArchives 選項可用於強制掃描檔案，僅在按需掃描時進行。

按需掃描的平行程度

指定按需掃描的平行程度。 這對應執行掃描所使用的執行緒數量，並會影響 CPU 使用率，以及按需掃描的持續時間。

描述	JSON 值	Defender portal value
機碼	maximumOnDemandScanThreads	最大按需掃描執行緒
資料類型	整數	整數 & 切換開關
可能值	2 (預設) 。 允許的值為介於 1 與 64之間的整數。	Not Configured (預設關閉開關為 2) Configured (在 和 64之間切換) 和 整數1。

注意事項

可支援 適用於端點的 Microsoft Defender 版本或更高版本101.45.00。

排除合併政策

規定排除合併政策。 它可以是管理員定義與使用者定義排除的組合 (merge) ，或僅管理員定義的排除選項 (admin_only) 。 管理員定義的 (admin_only) 是由 Defender for Endpoint 政策設定的排除項目。 此設定可用來限制本地使用者自行定義排除項目。

由於是 antivirusEngine 的政策，除非eppmergePolicy排除選項設定設定為 (admin_only) 。

描述	JSON 值	Microsoft Defender portal value
機碼	exclusionsMergePolicy	排除項合併
資料類型	字串	下拉式清單
可能值	merge (預設) admin_only	Not configured merge (預設) admin_only

注意事項

可在 Defender for Endpoint 版本或更高版本 100.83.73 中取得。 我們建議在 exclusionTSettings 下設定排除與合併政策，這樣你就能用eppglobal一個 mergePolicy。

掃描排除

這些實體被排除在掃描之外。 排除項目可由完整路徑、副檔名或檔案名稱來指定。 (排除項目以項目陣列指定，管理員可依需求指定任意數量的元素，順序不限 )

描述	JSON 值	Microsoft Defender portal value
機碼	exclusions	掃描排除
資料類型	字典 (巢狀偏好)	動態屬性列表
Comments	請參閱以下章節以了解字典內容的說明。

排除類型

指定掃描中排除的內容類型。

描述	JSON 值	Microsoft Defender portal value
機碼	$type	類型
資料類型	字串	下沉
可能值	excludedPath excludedFileExtension excludedFileName	路徑 副檔名 處理序名稱

通往排除內容的路徑

用來透過完整檔案路徑排除掃描內容。

描述	JSON 值	Microsoft Defender portal value
機碼	路徑	路徑
資料類型	字串	字串
可能值	有效路徑	有效路徑
Comments	僅當 $type 是 時才適用 excludedPath	存取於 編輯實例 彈窗

路徑類型 (檔案/目錄)

表示 路徑 屬性是否指向檔案或目錄。

描述	JSON 值	Microsoft Defender portal value
機碼	isDirectory	是目錄
資料類型	布林值	下拉式清單
可能值	false (預設) true	Enabled Disabled
Comments	僅適用於排除 $typePath	存取於 編輯實例 彈窗

掃描中排除檔案副檔名

用來透過檔案副檔名排除掃描內容。

描述	JSON 值	Microsoft Defender portal value
機碼	延伸	副檔名
資料類型	字串	字串
可能值	有效的檔案副檔名	有效的檔案副檔名
Comments	僅在排除 $type 時適用 FileExtension	存取於 「配置實例 彈窗」

掃描過程中排除的過程

指定一個程序，將所有檔案活動排除在掃描之外。 該程序可以用名稱來指定， (例如 cat) ，或全路徑 (/bin/cat ，例如) 。

描述	JSON 值	Microsoft Defender portal value
機碼	name	檔案名稱
資料類型	字串	字串
可能值	任何字串	任何字串
Comments	僅在排除 $type 時適用 FileName	存取於 「配置實例 彈窗」

靜音非執行坐騎

指定 RTP 在標記為 noexec的掛載點上的行為。 設定有兩個數值：

• 未靜音 (unmute) ：預設值，所有坐騎點都會作為 RTP 的一部分掃描。
• 靜音 (mute) ：標記為 noexec 的掛載點不作為 RTP 掃描的一部分，這些掛載點可建立於：
  • 資料庫檔案存放於資料庫伺服器上，用於保存資料庫檔案。
  • 檔案伺服器可以保留資料檔案掛載點，並有 noexec 選項。
  • 備份可以保留資料檔案掛載點。noexec

描述	JSON 值	Microsoft Defender portal value
機碼	nonExecMountPolicy	non execute mount mute
資料類型	字串	下拉式清單
可能值	unmute (預設) mute	Not configured unmute (預設) mute

注意事項

可在 Defender for Endpoint 版本或更高版本 101.85.27 中取得。

Unmonitor 檔案系統

設定檔案系統不被監控/排除在即時保護 (RTP) 之外。 所配置的檔案系統會依照 Microsoft Defender 允許的檔案系統清單進行驗證。 檔案系統只能在驗證成功後被監控。 這些已設定且未受監控的檔案系統仍會透過 Microsoft Defender 防毒軟體中的快速、完整及自訂掃描進行掃描。

描述	JSON 值	Microsoft Defender portal value
機碼	unmonitoredFilesystems	未監控檔案系統
資料類型	字串陣列	動態字串列表

注意事項

只有當已設定的檔案系統出現在 Microsoft 允許的未監控檔案系統清單中時，才算是未被監控。

預設情況下，cifs、 nfs4fusenfssmb和 在 RTP、快速及完整掃描中都未被監控。 不過，這些照片仍可透過自訂掃描進行掃描。 例如，要移除 nfs 並 nfs4 移除未監控檔案系統清單，請如下圖更新受管理的設定檔。 這將增加 nfs/nfs4 RTP 監控檔案系統的清單。 目前正在監控 nfs4， cifs 檔案 smb 系統正處於 RTP 模式的預覽模式。

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["cifs","fuse","smb"]
  }
}

要從未監控的檔案系統清單中移除所有條目，請使用以下摘要：

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

注意事項

以下是 RTP 預設的監控檔案系統清單：btrfs、、ecryptfsext2、 xfsvfattmpfsreiserfsoverlayfuseblkramfsext3ext4jfs。

如果需要將任何受監控的檔案系統加入未受監控的檔案系統清單，則必須由 Microsoft 透過雲端設定來評估並啟用。之後客戶可以更新managed_mdatp.json解除監控該檔案系統。

配置檔案雜湊計算功能

啟用或停用檔案雜湊計算功能。 啟用此功能後，Defender for Endpoint 會計算掃描檔案的雜湊值。 啟用此功能可能會影響裝置效能。 欲了解更多細節，請參閱： 為檔案建立指示器。

描述	JSON 值	Microsoft Defender portal value
機碼	enableFileHashComputation	啟用檔案雜湊計算
資料類型	布林值	下拉式清單
可能值	false (預設) true	Not configured Disabled (預設) Enabled

注意事項

可在 Defender for Endpoint 版本或更高版本 101.85.27 中取得。

允許的威脅

(以名稱標示的威脅清單，) 產品未封鎖，而是允許執行。

描述	JSON 值	Microsoft Defender portal value
機碼	allowedThreats	允許的威脅
資料類型	字串陣列	動態字串列表

禁止的威脅行動

限制裝置本地使用者在偵測到威脅時可採取的行動。 此清單中包含的動作並未在使用者介面中顯示。

描述	JSON 值	Microsoft Defender portal value
機碼	disallowedThreatActions	禁止的威脅行動
資料類型	字串陣列	動態字串列表
可能值	allow (限制使用者允許威脅) restore (限制使用者恢復隔離) 威脅	allow (限制使用者允許威脅) restore (限制使用者恢復隔離) 威脅

注意事項

可在 Defender for Endpoint 版本或更高版本 100.83.73 中取得。

威脅類型設定

防毒引擎中的 threatTypeSettings 偏好設定用來控制產品如何處理特定威脅類型。

描述	JSON 值	Microsoft Defender portal value
機碼	threatTypeSettings	威脅類型設定
資料類型	字典 (巢狀偏好)	動態屬性列表
Comments	請參閱以下章節以了解字典內容的說明。	關於動態性質的描述，請參見以下章節。

威脅類型

行為所設定的威脅類型。

描述	JSON 值	Microsoft Defender portal value
機碼	機碼	威脅類型
資料類型	字串	下拉式清單
可能值	potentially_unwanted_application archive_bomb	potentially_unwanted_application archive_bomb

要採取的動作

遇到前述節中所述類型威脅時應採取的行動。 可能包括：

• 審核：裝置並未受到此類威脅的保護，但會記錄有關威脅的紀錄。 (Default)
• 封鎖：裝置受到此類威脅的保護，並會在 Microsoft Defender 入口網站收到通知。
• 關閉：裝置沒有防護這種威脅，且沒有任何紀錄。

描述	JSON 值	Microsoft Defender portal value
機碼	數值	要採取的動作
資料類型	字串	下拉式清單
可能值	audit (預設) block off	audit block 關閉

威脅類型設定合併政策

指定威脅類型設定的合併策略。 這可以是管理員自訂與使用者自訂設定 (merge) ，或僅是管理員自訂設定 (admin_only) 。 管理員定義的 (admin_only) 是由 Defender for Endpoint 政策設定的威脅類型設定。 此設定可用來限制本地使用者自行定義不同威脅類型的設定。

描述	JSON 值	Microsoft Defender portal value
機碼	threatTypeSettingsMergePolicy	威脅類型設定合併
資料類型	字串	下拉式清單
可能值	merge (預設) admin_only	Not configured merge (預設) admin_only

注意事項

可在 Defender for Endpoint 版本或更高版本 100.83.73 中取得。

防毒軟體掃描歷史紀錄的保留數 (幾天)

請指定掃描紀錄中會保留結果的天數。 舊掃描結果會從歷史中移除。 舊的隔離檔案也會從硬碟中移除。

描述	JSON 值	Microsoft Defender portal value
機碼	scanResultsRetentionDays	掃描結果的保留
資料類型	字串	切換開關與整數
可能值	90 (預設) 。 允許的數值範圍從1天到180天不等。	Not configured (關閉 - 90 天預設) Configured (開啟) ，允許價值從1到180天。

注意事項

可在 Defender for Endpoint 版本或更高版本 101.04.76 中取得。

防毒掃描歷史中項目數量最大

指定掃描歷史中要保留的最大條目數量。 參展內容包括過去所有按需掃描及所有防毒偵測資料。

描述	JSON 值	Microsoft Defender portal value
機碼	scanHistoryMaximumItems	掃描歷史大小
資料類型	字串	切換與整數
可能值	10000 (預設) 。 允許的數值是從 5000 一個項目到 15000 另一個項目。	未設定 (關閉 - 10000 預設) Configured (開啟) ，允許價值從 5000 到 15000 件。

注意事項

可在 Defender for Endpoint 版本或更高版本 101.04.76 中取得。

排除設定偏好

注意事項

Defender for Endpoint 從版本 101.24092.0001 開始提供全域排除功能。

設定檔的這個exclusionSettings區段用於設定 適用於端點的 Microsoft Defender for Linux 的各種排除項目。

描述	JSON 值
機碼	exclusionSettings
資料類型	字典 (巢狀偏好)
Comments	請參閱以下章節以了解字典內容的說明。

注意事項

已設定的防毒排除在受管 JSON) (antivirusEngine 中仍能正常運作，且沒有影響。 防毒軟體排除條款可依偏好或相容性需求，在 (exclusionSettings) 節或 (antivirusEngine) 節中定義。 其他排除類型應加於 () exclusionSettings 區塊，該區塊設計用來集中管理所有排除類型。

合併政策

規定排除合併政策。 它規定了它可以是管理員定義與使用者定義排除的組合， (merge) ，或僅是管理員定義的排除， (admin_only) 。 此設定可用來限制本地使用者自行定義排除項目。 適用於所有範圍的排除。

描述	JSON 值
機碼	mergePolicy
資料類型	字串
可能值	merge (預設) admin_only
Comments	可於 2023 年 9 月或更高版本的 Defender for Endpoint 中取得。

排除項目

需要排除的實體可以透過完整路徑、副檔名或檔案名稱來指定。 每個排除實體，也就是完整路徑、副檔名或檔案名稱，都有可選的範圍可指定。 若未指定，本節的適用範圍預設值為 全域。 (排除項目以項目陣列指定，管理員可依需求指定任意數量的元素，順序不限 )

描述	JSON 值
機碼	exclusions
資料類型	字典 (巢狀偏好)
Comments	請參閱以下章節以了解字典內容的說明。

排除類型

指定掃描中排除的內容類型。

描述	JSON 值
機碼	$type
資料類型	字串
可能值	excludedPath excludedFileExtension excludedFileName

排除範圍 (可選)

規定排除內容的排除範圍。 目前支援的範圍為 epp 和 global。

如果在受管理設定的 exclusionSettings 下沒有指定排除，那麼 global 就被視為範圍。

注意事項

先前在受管理 JSON) 下設定的防毒排除 (antivirusEngine 仍然有效，且其範圍被視為 () epp ，因為它們是作為防毒排除項目加入的。

描述	JSON 值
機碼	示波器
資料類型	字串集合
可能值	epp global

注意事項

先前透過) 或 CLI 套用的排除條款 (mdatp_managed.json 將不受影響。 這些排除範圍 (epp) ，因為它們是根據 (antivirusEngine) 加入的。

通往排除內容的路徑

用來透過完整檔案路徑排除掃描內容。

描述	JSON 值
機碼	路徑
資料類型	字串
可能值	有效路徑
Comments	僅適用於排除$type路徑。 如果排除是全域範圍，則不支援萬用卡。

路徑類型 (檔案/目錄)

表示 路徑 屬性是否指向檔案或目錄。

注意事項

如果新增帶有全域範圍的檔案排除，檔案路徑必須已經存在。

描述	JSON 值
機碼	isDirectory
資料類型	布林值
可能值	false (預設) true
Comments	僅適用於排除$type路徑。 如果排除是全域範圍，則不支援萬用卡。

掃描中排除檔案副檔名

用來透過檔案副檔名排除掃描內容。

描述	JSON 值
機碼	延伸
資料類型	字串
可能值	有效的檔案副檔名
Comments	僅在排除 FileExtension$type時適用。 如果排除是全域範圍，則不支援。

掃描過程中排除的過程

指定一個程序，將所有檔案活動排除在掃描之外。 該程序可以用名稱來指定， (例如 cat) ，或全路徑 (/bin/cat ，例如) 。

描述	JSON 值
機碼	name
資料類型	字串
可能值	任何字串
Comments	僅在排除 FileName$type時適用。 如果排除是全域範圍，則不支援通配符和程序名稱，需要提供完整路徑。

進階掃描選項

以下設定可設定以啟用某些進階掃描功能。

重要事項

啟用這些功能可能會影響裝置效能。 因此，除非 Microsoft 支援服務另有建議，建議保留預設值。

配置掃描檔案修改權限事件

啟用此功能後，Defender for Endpoint 會在檔案權限更改以設定執行位元時掃描檔案。

注意事項

此功能僅在啟用時 enableFilePermissionEvents 適用。 欲了解更多資訊，請參閱下方「 進階選用功能 」章節。

描述	JSON 值	Microsoft Defender portal value
機碼	scanFileModifyPermissions	無
資料類型	布林值	不適用
可能值	false (預設) true	不適用

注意事項

可在 Defender for Endpoint 版本或更高版本 101.23062.0010 中取得。

配置掃描檔案變更所有權事件

啟用此功能後，Defender for Endpoint 會掃描所有權變更的檔案。

注意事項

此功能僅在啟用時 enableFileOwnershipEvents 適用。 欲了解更多資訊，請參閱下方「 進階選用功能 」章節。

描述	JSON 值	Microsoft Defender portal value
機碼	scanFileModifyOwnership	無
資料類型	布林值	不適用
可能值	false (預設) true	不適用

注意事項

可在 Defender for Endpoint 版本或更高版本 101.23062.0010 中取得。

配置掃描原始套接字事件

啟用此功能後，Defender for Endpoint 會掃描網路套接字事件，例如建立原始套接字/封包套接字，或設定套接字選項。

注意事項

此功能僅在啟用行為監控時適用。 此功能僅在啟用時 enableRawSocketEvent 適用。 欲了解更多資訊，請參閱下方「 進階選用功能 」章節。

描述	JSON 值	Microsoft Defender portal value
機碼	scanNetworkSocketEvent	無
資料類型	布林值	不適用
可能值	false (預設) true	不適用

注意事項

可在 Defender for Endpoint 版本或更高版本 101.23062.0010 中取得。

雲端提供的保護偏好

設定檔中的 cloudService 條目用於配置產品的雲端驅動保護功能。

注意事項

雲端提供的保護適用於任何執法層級設定 (即時、on_demand、被動) 。

描述	JSON 值	Microsoft Defender portal value
機碼	cloudService	雲端提供的保護偏好
資料類型	字典 (巢狀偏好)	坍塌段
Comments	請參閱以下章節以了解字典內容的說明。	請參閱以下章節以了解政策設定的說明。

啟用或關閉雲端提供的保護

判斷裝置是否啟用雲端保護。 為了提升服務安全性，我們建議保持此功能開啟。

描述	JSON 值	Microsoft Defender portal value
機碼	enabled	啟用雲端提供的保護
資料類型	布林值	下拉式清單
可能值	true (預設) false	尚未設定 已停用 啟用 (預設)

診斷收藏層級

診斷資料用於保持Defender for Endpoint的安全與最新，偵測、診斷及修正問題，並進行產品改進。 此設定決定產品向 Microsoft 傳送的診斷層級。 欲了解更多資訊，請參閱 Linux 上適用於端點的 Microsoft Defender 隱私條款。

描述	JSON 值	Microsoft Defender portal value
機碼	diagnosticLevel	診斷資料收集層級
資料類型	字串	下拉式清單
可能值	optional required (預設)	Not configured optional (預設) required

配置雲端區塊層級

這個設定決定了 Defender for Endpoint 在阻擋和掃描可疑檔案時的積極程度。 若開啟此設定，Defender for Endpoint 在辨識可疑檔案時會更積極阻擋並掃描;否則，它會比較不積極，因此阻擋和掃描的頻率也較低。

設定雲端區塊等級有五個數值：

• 普通 (normal) ：預設的阻擋等級。
• 中等 (moderate) ：僅對高信心偵測做出判決。
• 高 (high) ：積極封鎖未知檔案，同時優化效能 (較高機率阻擋非有害檔案) 。
• 高 Plus (high_plus) ：積極封鎖未知檔案並施加額外保護措施 (可能影響用戶端裝置效能) 。
• 零容忍 (zero_tolerance) ：封鎖所有未知程式。

描述	JSON 值	Microsoft Defender portal value
機碼	cloudBlockLevel	配置雲端區塊層級
資料類型	字串	下拉式清單
可能值	normal (預設) moderate high high_plus zero_tolerance	Not configured Normal (預設) Moderate High High_Plus Zero_Tolerance

注意事項

可在 Defender for Endpoint 版本或更高版本 101.56.62 中取得。

啟用或停用自動提交範例

判斷是否將可能包含威脅的可疑樣本 () 送交Microsoft。 樣本提交的控制分為三個層級：

• 無：沒有向 Microsoft 提交可疑樣本。
• 安全：只有不包含個人身份資訊 (PII) 的可疑樣本會自動提交。 這是這個設定的預設值。
• 所有人：所有可疑樣本都已提交給 Microsoft。

描述	JSON 值	Microsoft Defender portal value
機碼	automaticSampleSubmissionConsent	啟用自動提交範例
資料類型	字串	下拉式清單
可能值	none safe (預設) all	Not configured None Safe (預設) All

啟用或停用自動安全情報更新

判斷安全智慧更新是否自動安裝：

描述	JSON 值	Microsoft Defender portal value
機碼	automaticDefinitionUpdateEnabled	自動安全情報更新
資料類型	布林值	下拉式清單
可能值	true (預設) false	Not configured Disabled Enabled (預設)

根據執行層級，自動安全情報更新的安裝方式也不同。 在 RTP 模式下，更新會定期安裝。 在被動/隨選模式下，每次掃描前都會安裝更新。

進階選配功能

以下設定可設定以啟用某些進階功能。

重要事項

啟用這些功能可能會影響裝置效能。 除非 Microsoft 支援服務另有建議，否則建議保留預設值。

描述	JSON 值	Microsoft Defender portal value
機碼	特色	無
資料類型	字典 (巢狀偏好)	無
Comments	請參閱以下章節以了解字典內容的說明。

模組負載功能

判斷模組載入事件 (檔案開啟事件是否會被共享函式庫) 監控。

注意事項

此功能僅在啟用行為監控時適用。

描述	JSON 值	Microsoft Defender portal value
機碼	moduleLoad	無
資料類型	字串	無
可能值	disabled (預設) enabled	無
Comments	可在 Defender for Endpoint 版本或更高版本 101.68.80 中取得。

修復感染檔案功能

判斷開啟或載入任何感染檔案的感染程序是否會被修復。

注意事項

啟用後，開啟或載入任何感染檔案的程序會在 RTP 模式下進行修復。 這些程序不會出現在威脅清單中，因為它們不是惡意的，而是因為在記憶體中載入威脅檔案而被終止。

描述	JSON 值	Defender Portal 價值
機碼	remediateInfectedFile	無
資料類型	字串	無
可能值	預設 (已停用) 啟用	無
Comments	可在 Defender for Endpoint 版本或更高版本 101.24122.0001 中取得。

輔助感測器配置

以下設定可用於配置某些進階輔助感測器功能。

描述	JSON 值	Microsoft Defender portal value
機碼	supplementarySensorConfigurations	無
資料類型	字典 (巢狀偏好)	無
Comments	請參閱以下章節以了解字典內容的說明。

設定檔案修改權限事件的監控

判斷檔案修改權限事件 (chmod) 是否被監控。

注意事項

啟用此功能後，Defender for Endpoint 會監控已執行檔案的變更，但不會掃描這些事件。 欲了解更多資訊，請參閱 進階掃描功能 章節。

描述	JSON 值	Microsoft Defender portal value
機碼	enableFilePermissionEvents	無
資料類型	字串	無
可能值	disabled (預設) enabled	無
Comments	可在 Defender for Endpoint 版本或更高版本 101.23062.0010 中取得。

設定檔案修改所有權事件的監控

判斷檔案修改所有權事件 (chown) 是否被監控。

注意事項

啟用此功能後，Defender for Endpoint 會監控檔案所有權的變更，但不會掃描這些事件。 欲了解更多資訊，請參閱 進階掃描功能 章節。

描述	JSON 值	Microsoft Defender portal value
機碼	enableFileOwnershipEvents	無
資料類型	字串	無
可能值	disabled (預設) enabled	無
Comments	可在 Defender for Endpoint 版本或更高版本 101.23062.0010 中取得。

設定原始套接字事件的監控

判斷是否監控涉及建立原始套接字/封包套接字，或設定套接字選項的網路套接字事件。

注意事項

此功能僅在啟用行為監控時適用。 啟用此功能後，Defender for Endpoint 會監控這些網路插槽事件，但不會掃描這些事件。 欲了解更多資訊，請參閱上方 進階掃描功能 章節。

描述	JSON 值	Microsoft Defender portal value
機碼	enableRawSocketEvent	無
資料類型	字串	無
可能值	disabled (預設) enabled	無
Comments	可在 Defender for Endpoint 版本或更高版本 101.23062.0010 中取得。

配置啟動載入程式事件監控

判斷開機載入程式事件是否被監控與掃描。

注意事項

此功能僅在啟用行為監控時適用。

描述	JSON 值	Microsoft Defender portal value
機碼	enableBootLoaderCalls	無
資料類型	字串	無
可能值	disabled (預設) enabled	無
Comments	可在 Defender for Endpoint 版本或更高版本 101.68.80 中取得。

配置 ptrace 事件的監控

判斷 ptrace 事件是否被監控與掃描。

注意事項

此功能僅在啟用行為監控時適用。

描述	JSON 值	Microsoft Defender portal value
機碼	enableProcessCalls	無
資料類型	字串	無
可能值	disabled (預設) enabled	無
Comments	可在 Defender for Endpoint 版本或更高版本 101.68.80 中取得。

配置偽事件監控

判斷偽名事件是否被監控與掃描。

注意事項

此功能僅在啟用行為監控時適用。

描述	JSON 值	Microsoft Defender portal value
機碼	enablePseudofsCalls	無
資料類型	字串	無
可能值	disabled (預設) enabled	無
Comments	可在 Defender for Endpoint 版本或更高版本 101.68.80 中取得。

使用 eBPF 配置模組負載事件監控

判斷模組載入事件是否使用電子BPF監控並掃描。

注意事項

此功能僅在啟用行為監控時適用。

描述	JSON 值	Microsoft Defender portal value
機碼	enableEbpfModuleLoadEvents	無
資料類型	字串	無
可能值	disabled (預設) enabled	無
Comments	可在 Defender for Endpoint 版本或更高版本 101.68.80 中取得。

使用 eBPF 配置來自特定檔案系統的未開啟事件監控

判斷 eBPF 是否監控來自 procfs 的未開啟事件。

注意事項

此功能僅在啟用行為監控時適用。

描述	JSON 值	Microsoft Defender portal value
機碼	enableOtherFsOpenEvents	無
資料類型	字串	無
可能值	disabled (預設) enabled	無
Comments	可在 Defender for Endpoint 版本或更高版本 101.24072.0001 中取得。

使用 eBPF 配置事件的來源豐富化

判斷事件是否在 eBPF 的來源中被豐富元資料。

描述	JSON 值	Microsoft Defender portal value
機碼	enableEbpfSourceEnrichment	無
資料類型	字串	無
可能值	disabled (預設) enabled	無
Comments	可在 Defender for Endpoint 版本或更高版本 101.24072.0001 中取得。

啟用防毒引擎快取

判斷防毒引擎掃描事件的元資料是否被快取。

描述	JSON 值	Microsoft Defender portal value
機碼	enableAntivirusEngineCache	無
資料類型	字串	無
可能值	disabled (預設) enabled	無
Comments	可在 Defender for Endpoint 版本或更高版本 101.24072.0001 中取得。

向 EDR 回報防毒可疑事件

判斷防毒軟體中可疑事件是否會回報給 EDR。

描述	JSON 值	Microsoft Defender portal value
機碼	sendLowfiEvents	無
資料類型	字串	無
可能值	disabled (預設) enabled	無
Comments	可在 Defender for Endpoint 版本或更高版本 101.23062.0010 中取得。

網路保護配置

注意事項

這是一個預覽功能。 為了讓這些措施有效，必須開啟網路保護。 欲了解更多資訊，請參閱 「開啟 Linux 網路保護」。

以下設定可用於配置進階的網路保護檢查功能，以控制網路保護檢查的流量。

描述	JSON 值	Microsoft Defender portal value
機碼	networkProtection	網路保護
資料類型	字典 (巢狀偏好)	坍塌段
Comments	請參閱以下章節以了解字典內容的說明。	請參閱以下章節以了解政策設定的說明。

執法等級

描述	JSON 值	Microsoft Defender portal value
機碼	enforcementLevel	執法等級
資料類型	字串	下拉式清單
可能值	disabled (預設) audit block	Not configured disabled (預設) audit block

配置 ICMP 檢查

判斷 ICMP 事件是否被監控與掃描。

注意事項

此功能僅在啟用行為監控時適用。

描述	JSON 值	Microsoft Defender portal value
機碼	disableIcmpInspection	無
資料類型	布林值	無
可能值	true (預設) false	無
Comments	可在 Defender for Endpoint 版本或更高版本 101.23062.0010 中取得。

在設定檔中新增標籤或群組 ID

當你第一次執行這個 mdatp health 指令時，標籤和群組 ID 的值會是空白。 要在檔案中新增標籤或群組 ID mdatp_managed.json ，請依照以下步驟操作：

1. 從路徑 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json開啟設定檔。

2. 往檔案底部，也 cloudService 就是區塊所在的位置。

3. 請在結尾的捲括號 cloudService末端加上所需的標籤或群組識別碼，如下範例所示。

   },
   "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
   },
   "edr": {
   "groupIds":"GroupIdExample",
   "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
   }
   

   注意事項

   在區塊末尾 cloudService 的圓括號後加上逗號。 另外，請確保在加入標籤或群組 ID 區塊後，有兩個結尾的捲括號 (參考上述範例) 。 目前，唯一支援的標籤金鑰名稱是 GROUP。

配置檔驗證

設定檔必須是有效的 JSON 格式檔案。 有許多工具可以用來驗證這一點。 舉例來說，如果你在裝置上安裝 python 了：

python -m json.tool mdatp_managed.json

若 JSON 格式良好，上述指令會將其輸出回終端機並回傳一個退出碼。0 否則，會顯示描述問題的錯誤，指令回傳一個退出碼。1

確認mdatp_managed.json檔案是否正常運作

為了確認你的 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json 設定是否正常運作，你應該會在這些設定旁邊看到「[管理中]」：

• cloud_enabled
• cloud_automatic_sample_submission_consent
• passive_mode_enabled
• real_time_protection_enabled
• automatic_definition_update_enabled

注意事項

大多數配置mdatp_managed.json變更生效時，無需重啟 mdatp daemon。 例外情況： 以下配置需要守護程序重新啟動才能生效：

• cloud-diagnostic
• log-rotation-parameters

配置檔部署

一旦你建立了企業的設定檔，就可以透過企業使用的管理工具來部署它。 Linux 上的 Defender for Endpoint 會讀取 管理設定。/etc/opt/microsoft/mdatp/managed/mdatp_managed.json