在 Linux 上的適用於端點的 Microsoft Defender 中設定安全性設定，適用於端點的 Microsoft Defender

設定您的安全性設定

Linux 上的適用於端點的 Microsoft Defender 包含防病毒軟體、反惡意代碼保護、端點偵測和回應功能。 本文摘要說明要設定的重要安全性設定，並包含其他資源的連結。

配置安全性設定的選項

若要在 Linux 上的適用於端點的 Defender 中設定安全性設定，您有兩個主要選項：

• 使用適用於端點的 Defender 安全性設定管理) (Microsoft Defender 入口網站，或
• 使用配置描述檔

如果您偏好使用命令列，可以使用該指令行來設定特定設定、收集診斷、執行掃描等。 請參閱 Linux 資源：使用命令列進行設定。

適用於端點的 Defender 安全性設定管理

您可以在 Microsoft Defender Linux 上設定適用於端點的 Defender， (https://security.microsoft.com 透過稱為適用於端點的 Defender 安全性設定管理的功能來) 。 如需詳細資訊，包括如何建立、編輯和驗證安全性原則，請參閱 使用適用於端點的 Microsoft Defender 安全性設定管理來管理 Microsoft Defender 防病毒軟體。

配置設定檔

您可以透過使用 .json 檔案的組態配置檔，在適用於端點的 Linux 上的適用於端點的 Defender 中設定設定。 設定設定檔之後，您可以使用您選擇的管理工具來部署它。 企業管理的偏好設定優先於裝置上本機設定的偏好設定。 換句話說，您企業中的使用者無法變更透過此組態設定檔設定的喜好設定。 如果排除項目是透過受管理的組態描述檔新增的，則只能透過受管理的組態配置檔移除。 命令列適用於在本機新增的排除項目。

本文說明此設定檔 (結構，包括可用來開始) 的建議設定檔，以及如何部署設定檔的指示。

配置設定檔結構

配置設定檔是一個 .json 檔案，由索引鍵 (標識的條目組成，該鍵表示首選項) 的名稱，後面跟著一個值，該值取決於首選項的性質。 值可以是簡單的，例如數值，也可以是複雜的，例如巢狀喜好設定清單。

一般而言，您會使用組態管理工具來推送名稱位於 位置 /etc/opt/microsoft/mdatp/managed/的檔案mdatp_managed.json。

組態設定檔的最上層包括產品範圍的偏好設定和產品子區域的項目，這些項目將在下一節中更詳細地說明。

建議的組態設定檔

本節包含兩個組態配置檔範例：

• 範例設定檔 ，可協助您開始使用建議的設定。
• 完整的組態設定檔範例 ，適用於想要更精細控制安全性設定的組織。

若要開始使用，建議您使用組織的第一個範例設定檔。 如需更精細的控制，您可以改用 完整的組態配置檔範例 。

範例設定檔

它可協助您利用適用於端點的 Defender on Linux 提供的重要保護功能。 下列組態設定檔：

• 實現即時保護 (RTP)
• 指定如何處理下列威脅類型：
  • 封鎖 PUA) (潛在有害應用程式
  • 封存具有高壓縮率 (檔案) 會審核到產品日誌
• 啟用自動安全情報更新
• 啟用雲端交付的保護
• 啟用自動提交樣品safe

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

完整組態設定檔範例

下列組態設定檔包含本檔案中所述所有設定的專案，可用於您想要對產品進行更多控制的更進階案例。

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":false,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefinitionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"diabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

Linux 上適用於端點的 Defender 中的防病毒軟體、反惡意代碼和 EDR 設定

無論您是使用組態配置檔 (.json 檔案) ，還是使用Microsoft Defender入口網站 (安全性設定管理) ，都可以在適用於 Linux 的端點 Defender 中設定防病毒軟體、反惡意代碼和 EDR 設定。 下列各節說明設定的位置和方式。

防毒引擎偏好設定

組態設定檔的 antivirusEngine 區段可用來管理產品防毒元件的喜好設定。

Microsoft Defender 防病毒軟體的強制執行層級

指定防毒引擎的強制偏好設定。 設定強制執行層級有三個值：

• 即時 (real_time) ：即時保護 (在修改) 啟用檔案時掃描檔案。

• 隨選 (on_demand) ：僅按需掃描檔案。 在此：

  • 即時保護已關閉。
  • 只有在掃描啟動時才會發生定義更新，即使 設為true隨需應變模式也一樣automaticDefinitionUpdateEnabled。

• 被動 (passive) ：以被動模式運行防病毒引擎。 在此情況下，下列所有條件都適用：

  • 即時保護已關閉：Microsoft Defender 防病毒軟體不會補救威脅。
  • 隨選掃描已開啟：仍使用端點上的掃描功能。
  • 自動威脅補救已關閉：不會移動任何檔案，而且您的安全性管理員應該採取必要的動作。
  • 安全性情報更新已開啟：安全性系統管理員的租使用者中提供警示。
  • 只有在掃描開始時才會發生定義更新，即使設為true處於被動模式也一樣automaticDefinitionUpdateEnabled。

啟用或停用行為監控 (如果已啟用 RTP)

判斷是否在裝置上啟用行為監視和封鎖功能。

在更新定義之後執行掃描

指定是否在裝置上下載新的安全性情報更新後啟動程序掃描。 啟用此設定會觸發對裝置正在運行的進程進行防毒掃描。

掃描檔案 (僅限於選防病毒掃描)

指定是否在隨選防毒掃描期間掃描封存。

隨選掃描的平行處理度

指定隨選掃描的平行處理程度。 這對應於用來執行掃描的執行緒數目，並影響 CPU 使用率，以及隨選掃描的持續時間。

排除合併原則

指定排除項目的合併原則。 它可以是管理員定義的排除和使用者定義的排除 (merge) 的組合，也可以是僅管理員定義的排除 (admin_only) 。 系統管理員定義的 (admin_only) 是由適用於端點的 Defender 原則所設定的排除專案。 此設定可用來限制本機使用者定義自己的排除項目。

由於它位於 antivirusEngine 下，因此此原則僅適用於 epp 排除，除非 mergePolicy 在 exclusionSettings 下設定為 () admin_only 。

掃描排除

已從掃描中排除的實體。 排除項目可以由完整路徑、副檔名或檔名指定。 (排除項目指定為項目陣列，管理員可以視需要以任何順序指定任意數量的元素 ) 。

排除類型

指定從掃描中排除的內容類型。

排除內容的路徑

用於按完整檔案路徑從掃描中排除內容。

路徑類型 (檔案/目錄)

指出 路徑 屬性是否參照檔案或目錄。

從掃描中排除的副檔名

用於按副檔名從掃描中排除內容。

從掃描中排除的程序

指定從掃描中排除所有檔案活動的處理程序。 程序可以以其名稱指定，例如 (cat) 或完整路徑 (例如 /bin/cat) 。

靜音非執行型掛載

指定 RTP 在標示為 noexec的掛載點上的行為。 有兩個設定值是：

• 取消靜音 (unmute) ：預設值，所有掛接點都會作為 RTP 的一部分進行掃描。
• 靜音 (mute) ：標示為 noexec 的掛接點不會作為 RTP 的一部分進行掃描，這些掛載點可以針對：
  • 資料庫伺服器上的資料庫檔案，用於保留資料庫檔案。
  • 檔案伺服器可以使用選項保留 noexec 資料檔案掛載點。
  • 備份可以保留數據文件掛載點。noexec

取消監控檔案系統

將檔案系統設定為不受監控/排除在即時保護之外 (RTP) 。 設定的檔案系統會根據 Microsoft Defender 的允許檔案系統清單進行驗證。 檔案系統只有在驗證成功後才能監控。 這些已設定的未受監視檔案系統仍會由 Microsoft Defender 防病毒軟體中的快速、完整和自定義掃描進行掃描。

依預設，cifsRTP fusenfsnfs4smb、快速和完整掃描不會受到監視。 但是，它們仍然可以透過自訂掃描來掃描。 例如，若要從不受監控的檔案系統清單中移除 nfs 和 nfs4 ，請更新受管理的組態檔，如下所示。 這會新增至 nfs/nfs4 RTP 的受監控檔案系統清單。 目前監控 nfs4， cifs 檔案 smb 系統處於 RTP 模式的預覽模式。

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["cifs","fuse","smb"]
  }
}

若要從不受監視的檔案系統清單中移除所有項目，請使用下列程式碼片段：

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

設定檔案雜湊計算功能

啟用或停用檔案雜湊計算功能。 啟用此功能時，適用於端點的 Defender 會計算其掃描檔案的雜湊。 啟用此功能可能會影響裝置效能。 如需詳細資訊，請參閱： 建立檔案指標。

允許的威脅

威脅清單 (由其名稱識別) 這些威脅不會被產品封鎖，而是允許執行。

不允許的威脅動作

限制裝置本機使用者在偵測到威脅時可以採取的動作。 此清單中包含的動作不會顯示在使用者介面中。

威脅類型設定

防毒引擎中的 threatTypeSettings 喜好設定可用來控制產品如何處理特定威脅類型。

威脅類型

設定行為的威脅類型。

要採取的動作

遇到上一節中指定類型的威脅時要採取的動作。 可以是：

• 稽核：裝置不會受到保護，免於遭受此類威脅，但會記錄威脅的相關專案。 (Default)
• 封鎖：裝置會受到保護，免於這種類型的威脅，而且您會在 Microsoft Defender 入口網站中收到通知。
• 關閉：裝置不會受到保護，不會受到此類威脅的保護，而且不會記錄任何內容。

威脅類型設定合併原則

指定威脅類型設定的合併原則。 這可以是管理員定義和使用者定義的設定的組合 (merge) ，也可以是僅管理員定義的設定 (admin_only) 。 系統管理員定義的 (admin_only) 是由適用於端點的 Defender 原則所設定的威脅類型設定。 此設定可用來限制本機使用者針對不同的威脅類型定義自己的設定。

防毒掃描記錄保留 (天數)

指定結果在裝置上的掃描歷程中保留的天數。 舊的掃描結果會從歷程記錄中移除。 也會從磁碟中移除的舊隔離檔案。

防毒掃描歷程記錄中的項目數目上限

指定要保留在掃描歷程中的項目數目上限。 項目包括過去執行的所有隨選掃描和所有防病毒檢測。

排除設定喜好設定

組態配置檔的區exclusionSettings段可用來設定適用於 Linux 的適用於端點的 Microsoft Defender 的各種排除項目。

合併原則

指定排除項目的合併原則。 它指定它是管理員定義的排除和使用者定義的排除 (merge) 的組合，還是只能是管理員定義的排除 (admin_only) 。 此設定可用來限制本機使用者定義自己的排除項目。 它適用於所有範圍的排除。

排除項目

需要排除的實體可以透過完整路徑、副檔名或檔案名稱來指定。 每個排除實體 （亦即完整路徑、副檔名或檔名） 都有可指定的選擇性範圍。 如果未指定，則本節中範圍的預設值為 全域。 (排除項目指定為項目陣列，管理員可以視需要以任何順序指定任意數量的元素 ) 。

排除類型

指定從掃描中排除的內容類型。

可選) (排除範圍

指定排除內容的排除範圍集。 目前支援的範圍是 epp 和 global。

如果在受控組態的 exclusionSettings 下未指定任何排除項目， global 則會被視為範圍。

排除內容的路徑

用於按完整檔案路徑從掃描中排除內容。

路徑類型 (檔案/目錄)

指出 路徑 屬性是否參照檔案或目錄。

從掃描中排除的副檔名

用於按副檔名從掃描中排除內容。

從掃描中排除的程序

指定從掃描中排除所有檔案活動的處理程序。 程序可以以其名稱指定，例如 (cat) 或完整路徑 (例如 /bin/cat) 。

進階掃描選項

可以配置以下設定以啟用某些進階掃描功能。

設定檔案修改權限事件的掃描

啟用此功能時，適用於端點的 Defender 會在檔案的許可權變更時掃描檔案，以設定執行的位。

設定檔案修改擁有權事件的掃描

啟用此功能時，適用於端點的 Defender 會掃描擁有權已變更的檔案。

設定原始通訊端事件的掃描

啟用此功能時，適用於端點的 Defender 會掃描網路通訊端事件，例如建立原始通訊端/封包通訊端，或設定通訊端選項。

雲端提供的保護偏好設定

組態設定檔中的 cloudService 項目可用來設定產品的雲端驅動保護功能。

啟用或停用雲端傳遞的保護

判斷是否在裝置上啟用雲端傳遞的保護。 為了提高服務安全性，我們建議您保持開啟此功能。

診斷收集層級

診斷資料可用來讓適用於端點的 Defender 保持安全且最新、偵測、診斷和修正問題，以及進行產品改善。 此設定會決定產品傳送至 Microsoft 的診斷層級。 如需詳細資訊，請參閱 Linux 上 適用於端點的 Microsoft Defender 的隱私權。

設定雲端區塊層級

此設定會決定適用於端點的 Defender 在封鎖和掃描可疑檔案時的積極程度。 如果此設定已開啟，適用於端點的 Defender 在識別要封鎖和掃描的可疑檔案時會更積極;否則，它的攻擊性較低，因此阻塞和掃描的頻率較低。

設定雲端區塊層級有五個值：

• 正常 (normal) ：預設封鎖層級。
• 中等 (moderate) ：僅針對高信賴度偵測提供判定。
• 高 (high) ：積極阻止未知文件，同時優化性能 (阻止無害文件) 的機會更大。
• 高加 (high_plus) ：積極阻止未知檔案並應用額外的保護措施 (可能會影響客戶端設備性能) 。
• 零容忍 (zero_tolerance) ：阻止所有未知程序。

啟用或停用自動範例提交

判斷是否將可能包含威脅) 的可疑樣本 (傳送至Microsoft。 控制樣品提交有三個層級：

• 無：不會將可疑範例提交給 Microsoft。
• 安全：只有不包含個人識別資訊 (PII) 的可疑樣本才會自動提交。 這是此設定的預設值。
• 全部：所有可疑的範例都會提交給 Microsoft。

啟用或停用自動安全性情報更新

判斷是否自動安裝安全性情報更新：

根據強制執行層級，自動安全性情報更新的安裝方式會有所不同。 在 RTP 模式下，會定期安裝更新。 在被動/隨選模式下，每次掃描之前都會安裝更新。

進階選配功能

可以配置以下設定以啟用某些進階功能。

模組載入功能

決定是否監視共用程式庫上的模組載入事件 (檔案開啟事件) 。

修復受感染檔案功能

判斷是否修復開啟或載入任何受感染檔案的受感染進程。

補充感測器配置

下列設定可用來設定某些進階輔助感應器功能。

設定檔案修改權限事件的監視

決定是否監視檔案修改權限事件 (chmod) 。

設定檔案修改擁有權事件的監視

決定是否監視檔案修改擁有權事件 (chown) 。

設定原始通訊端事件的監視

判斷是否監視涉及建立原始通訊端/封包通訊端或設定通訊端選項的網路通訊端事件。

設定開機載入器事件的監控

決定是否監視和掃描開機載入器事件。

配置 ptrace 事件的監視

決定是否監視及掃描 ptrace 事件。

配置 pseudofs 事件的監視

決定是否監視及掃描 pseudofs 事件。

使用 eBPF 設定模組載入事件的監控

判斷是否使用 eBPF 監視模組載入事件並掃描。

使用 eBPF 設定對來自特定檔案系統的開啟事件的監控

判斷 eBPF 是否監視來自 procfs 的開啟事件。

使用 eBPF 設定事件的來源擴充

判斷事件是否在 eBPF 中以來源的中繼資料進行擴充。

啟用防毒引擎快取

判斷是否快取防毒引擎所掃描之事件的中繼資料。

向 EDR 報告 AV 可疑事件

判斷是否將防毒軟體的可疑事件報告給 EDR。

網路保護組態

下列設定可用來設定進階網路保護檢查功能，以控制網路保護檢查哪些流量。

執法級別

設定 ICMP 檢查

決定是否監視及掃描 ICMP 事件。

將標籤或群組 ID 新增至設定描述檔

當您第一次執行 mdatp health 命令時，標籤和群組 ID 的值將為空白。 若要將標籤或群組 ID 新增至 mdatp_managed.json 檔案，請遵循下列步驟：

1. 從路徑 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json開啟組態設定檔。

2. 向下到文件底部，即塊 cloudService 所在的位置。

3. 在 的 cloudService右大括弧結尾新增所需的標籤或群組 ID，如下列範例所示。

   },
   "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
   },
   "edr": {
   "groupIds":"GroupIdExample",
   "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
   }
   

   注意事項

   在區塊結尾 cloudService 的右大括號後面加上逗號。 此外，請確定在新增標籤或群組 ID 區塊後有兩個右大括號 (請參閱上述範例) 。 目前，標籤唯一支援的索引鍵名稱是 GROUP。

組態設定檔驗證

組態設定檔必須是有效的 JSON 格式檔案。 有許多工具可用於驗證這一點。 例如，如果您在 python 裝置上安裝了：

python -m json.tool mdatp_managed.json

如果 JSON 格式正確，上述命令會將其輸出回終端機，並傳回結束碼 0。 否則，會顯示說明問題的錯誤，且指令會傳回結束碼 1。

驗證mdatp_managed.json檔案是否如預期般運作

若要驗證您的 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json 運作是否正常，您應該會在下列設定旁邊看到「[受管理]」：

• cloud_enabled
• cloud_automatic_sample_submission_consent
• passive_mode_enabled
• real_time_protection_enabled
• automatic_definition_update_enabled

配置設定檔部署

建立企業的組態設定檔之後，您可以透過企業正在使用的管理工具進行部署。 Linux 上的適用於端點的 Defender 會從 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json讀取受控組態。