Microsoft Defender for Endpoint 计划 1
Microsoft Defender for Endpoint 计划 2
Microsoft 365 Defender
希望体验 Defender for Endpoint?
注册免费试用版
。
本主题包含有关如何在企业环境中为 Linux 上的 Defender for Endpoint 设置首选项的说明。 如果有兴趣通过命令行在设备上配置产品,请参阅
资源
。
在企业环境中,Linux 上的 Defender for Endpoint 可以通过配置文件进行管理。 此配置文件是从你选择的管理工具部署的。 企业管理的首选项优先于设备上本地设置的首选项。 换句话说,企业中的用户无法更改通过此配置文件设置的首选项。 如果通过托管配置文件添加排除项,则只能通过托管配置文件将其删除。 命令行适用于本地添加的排除项。
本文介绍此配置文件的结构 (包括可用于开始) 的建议配置文件以及如何部署配置文件的说明。
配置文件结构
配置文件是一个 .json 文件,其中包含由键 (标识的条目,该项表示首选项) 的名称,后跟一个值,该值取决于首选项的性质。 值可以是简单(例如数值),也可以是复杂值,例如首选项的嵌套列表。
通常,使用配置管理工具在 位置
/etc/opt/microsoft/mdatp/managed/
推送名称
mdatp_managed.json
为 的文件。
配置文件的顶层包括产品范围的首选项和产品子区域条目,后续部分将更详细地介绍这些内容。
防病毒引擎首选项
配置文件的
防病毒Engine
部分用于管理产品的防病毒组件的首选项。
未静音 (
unmute
) :默认值,所有装入点都作为 RTP 的一部分进行扫描。
已静音 (
mute
) :标记为 noexec 的装入点不会作为 RTP 的一部分进行扫描,可针对以下对象创建这些装入点:
-
数据库服务器上的数据库文件,用于保留数据库文件。
-
文件服务器可以使用 noexec 选项保留数据文件装入点。
-
备份可以使用 noexec 选项保留数据文件装入点。
此设置确定 Defender for Endpoint 在阻止和扫描可疑文件时的积极程度。 如果此设置处于打开状态,则 Defender for Endpoint 在识别要阻止和扫描的可疑文件时会更加主动;否则,它的攻击性较低,因此阻止和扫描的频率较低。 有五个值用于设置云块级别:
-
普通 (
normal
) :默认阻止级别。
-
中等 (
moderate
) :仅针对高置信度检测提供判决。
-
高 (
high
) :主动阻止未知文件,同时优化性能 (阻止非有害文件) 的可能性更大。
-
高加 (
high_plus
) :主动阻止未知文件并应用其他保护措施, (可能会影响客户端设备性能) 。
-
零容忍 (
zero_tolerance
) :阻止所有未知程序。
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
完整配置文件示例
以下配置文件包含本文档中所述的所有设置的条目,可用于需要对产品进行更多控制的高级方案。
无法仅使用此 JSON 中的代理设置控制所有Microsoft Defender for Endpoint通信。
完整配置文件
"antivirusEngine":{
"enforcementLevel":"real_time",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
"disallowedThreatActions":[
"allow",
"restore"
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
"key":"potentially_unwanted_application",
"value":"block"
"key":"archive_bomb",
"value":"audit"
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
将标记或组 ID 添加到配置文件
首次运行
mdatp health
命令时,标记和组 ID 的值将为空。 若要向文件添加标记或组 ID
mdatp_managed.json
,请执行以下步骤:
-
从路径
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json
打开配置文件。
-
向下转到块所在的
cloudService
文件底部。
-
在 的右大括号
cloudService
末尾添加所需的标记或组 ID,如以下示例所示。
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
"edr": {
"groupIds":"GroupIdExample",
"tags": [
"key": "GROUP",
"value": "Tag"
不要忘记在块末尾
cloudService
的右大括号后面添加逗号。 此外,请确保在添加标记或组 ID 块后有两个右大括号 (请参阅上面的示例) 。 目前,标记唯一支持的键名称是
GROUP
。
配置文件验证
配置文件必须是有效的 JSON 格式文件。 有许多工具可用于验证这一点。 例如,如果你已在
python
设备上安装:
python -m json.tool mdatp_managed.json
如果 JSON 格式正确,则上述命令将其输出回终端,并返回 的退出代码 0。 否则,将显示描述问题的错误,命令返回退出代码 1。
验证 mdatp_managed.json 文件是否按预期工作
若要验证 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json 是否正常工作,应在以下设置旁边看到“[managed]”:
cloud_enabled
cloud_automatic_sample_submission_consent
passive_mode_enabled
real_time_protection_enabled
automatic_definition_update_enabled
无需重启 mdatp 守护程序,mdatp_managed.json 中的 大多数 配置更改即可生效。
例外: 以下配置需要重启守护程序才能生效:
cloud-diagnostic
log-rotation-parameters
配置文件部署
为企业生成配置文件后,可以通过企业正在使用的管理工具来部署配置文件。 Linux 上的 Defender for Endpoint 从 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json 文件读取托管配置。
