本文提供解決方案或在 Linux 上設定 適用於端點的 Microsoft Defender 的資源。 本文說明如何收集診斷資訊、記錄安裝問題,以及使用命令列在 Linux 上設定 Defender for Endpoint。 本文也說明如何在 Linux 上卸載 Defender for Endpoint。
收集診斷資訊
提示
在裝置上執行 Defender for Endpoint 用戶端分析器 ,搭配即時回應或本地執行,從 Linux 上的 Defender for Endpoint 收集診斷資訊。
如果你能重現問題,先提高日誌等級,讓系統運行一段時間,然後再把日誌等級恢復到預設值。
提高伐木層:
mdatp log level set --level debugLog level configured successfully重現問題。
執行以下指令來備份 Defender for Endpoint 的日誌。 檔案會儲存在 .zip 檔案庫中。
sudo mdatp diagnostic create此指令也會在操作成功後,列印備份的檔案路徑:
Diagnostic file created: <path to file>還原日誌等級:
mdatp log level set --level infoLog level configured successfully
日誌安裝問題
若安裝過程中發生錯誤,安裝人員只會回報一般故障。
詳細日誌會儲存在 /var/log/microsoft/mdatp/install.log。
如果您在安裝過程中遇到問題,請將此檔案寄給我們,讓我們協助診斷原因。
從命令列設定
重要任務,如控制產品設定及觸發隨需掃描,皆可由命令列完成。
全域期權
預設情況下,命令列工具會以人類可讀格式輸出結果。 此外,該工具也支援輸出結果為 JSON,這對於自動化場景非常有用。 要將輸出改成 JSON,請執行 --output json 以下任一指令。
支援命令
下表列出一些最常見情境的指令。 從終端機執行 mdatp help 即可查看完整的支援指令清單。
| Group | 案例 | 命令 |
|---|---|---|
| 組態 | 開啟/關閉即時保護 | mdatp config real-time-protection --value [enabled\|disabled] |
| 組態 | 開啟/關閉行為監控 | mdatp config behavior-monitoring --value [enabled\|disabled] |
| 組態 | 開啟/關閉雲端保護 | mdatp config cloud --value [enabled\|disabled] |
| 組態 | 開啟/關閉產品診斷 | mdatp config cloud-diagnostic --value [enabled\|disabled] |
| 組態 | 自動提交的開關 | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
| 組態 | 開啟/關閉防毒被動模式 | mdatp config passive-mode --value [enabled\|disabled] |
| 組態 | 新增或移除檔案副檔名的防毒排除 | mdatp exclusion extension [add\|remove] --name [extension] |
| 組態 | 新增或移除檔案的防毒排除 | mdatp exclusion file [add\|remove] --path [path-to-file] |
| 組態 | 新增/移除目錄的防毒排除 | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
| 組態 | 新增/移除某個程序的防毒排除 | mdatp exclusion process [add\|remove] --path [path-to-process] |
| 組態 | 新增/移除檔案的全域排除 | mdatp exclusion file [add\|remove] --path [path-to-file] --scope global |
| 組態 | 新增/移除目錄的全域排除 | mdatp exclusion folder [add\|remove] --path [path-to-directory] --scope global |
| 組態 | 新增/移除程序的全域排除 | mdatp exclusion process [add\|remove] --path [path-to-process] --scope global |
| 組態 | 列出所有防毒軟體排除項目 | mdatp exclusion list |
| 組態 | 將威脅名稱加入允許清單 | mdatp threat allowed add --name [threat-name] |
| 組態 | 從允許清單中移除威脅名稱 | mdatp threat allowed remove --name [threat-name] |
| 組態 | 列出所有允許的威脅名稱 | mdatp threat allowed list |
| 組態 | 開啟PUA保護 | mdatp threat policy set --type potentially_unwanted_application --action block |
| 組態 | 關閉PUA保護 | mdatp threat policy set --type potentially_unwanted_application --action off |
| 組態 | 開啟審核模式以保護 PUA | mdatp threat policy set --type potentially_unwanted_application --action audit |
| 組態 | 設定按需掃描的平行程度 | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| 組態 | 安全情報更新後開啟/關閉掃描 | mdatp config scan-after-definition-update --value [enabled/disabled] |
| 組態 | 啟用/關閉檔案掃描 (僅需按需掃描) | mdatp config scan-archives --value [enabled/disabled] |
| 組態 | 開啟/關閉檔案雜湊計算 | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| 診斷 | 改變對數層級 | mdatp log level set --level verbose [error|warning|info|verbose] |
| 診斷 | 產生診斷日誌 | mdatp diagnostic create --path [directory] |
| 診斷 | 保留產品日誌的大小限制 | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
| 健康情況 | 檢查產品的健康狀況 | mdatp health |
| 保護 | 掃描路徑 | mdatp scan custom --path [path] [--ignore-exclusions] |
| 保護 | 快速掃描一下 | mdatp scan quick |
| 保護 | 做個完整掃描 | mdatp scan full |
| 保護 | 取消正在進行的隨選掃描 | mdatp scan cancel |
| 保護 | 請求安全情報更新 | mdatp definitions update |
| 保護 | 回滾安全情報至原始預設集合 | mdatp definitions restore |
| 保護歷史 | 列印完整的保護歷史 | mdatp threat list |
| 保護歷史 | 取得威脅細節 | mdatp threat get --id [threat-id] |
| 檢疫管理 | 列出所有隔離檔案 | mdatp threat quarantine list |
| 檢疫管理 | 將所有檔案從隔離區移除 | mdatp threat quarantine remove-all |
| 檢疫管理 | 新增一個被偵測為威脅的檔案,進入隔離區 | mdatp threat quarantine add --id [threat-id] |
| 檢疫管理 | 將被偵測為威脅的檔案從隔離區移除 | mdatp threat quarantine remove --id [threat-id] |
| 檢疫管理 | 從隔離區還原一個檔案。 可在 Defender for Endpoint 版本中取得,早 101.23092.0012於 。 |
mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| 檢疫管理 | 從隔離區還原一個帶有威脅識別碼的檔案。 可在 Defender for Endpoint 版本或更高版本 101.23092.0012 中取得。 |
mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
| 檢疫管理 | 用 Threat Original Path 還原隔離區的檔案。 可在 Defender for Endpoint 版本或更高版本 101.23092.0012 中取得。 |
mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| 端點偵測及回應 | 預定提前預覽 | mdatp edr early-preview [enabled\|disabled] |
| 端點偵測及回應 | 集合群組識別碼 | mdatp edr group-ids --group-id [group-id] |
| 端點偵測及回應 | 設定/移除標籤,僅 GROUP 支援 |
mdatp edr tag set --name GROUP --value [tag] |
| 端點偵測及回應 | 清單排除 (根) | mdatp edr exclusion list [processes|paths|extensions|all] |
Quarantine directory for Defender for Endpoint Linux
MDATP 隔離檔案的預設目錄為 /var/opt/microsoft/mdatp/quarantine。 為了達到最佳效果,建議使用管理隔離檔案的指令 MDATP threat quarantine ,而不是直接在隔離目錄中移動或修改檔案。 不建議直接進行檔案操作——請務必使用 CLI 來安全且支援隔離管理。
在 Linux 上卸載 Defender for Endpoint
在 Linux 上有幾種方法可以卸載 Defender for Endpoint。 如果你使用像 Puppet 這類設定工具,請依照設定工具的套件卸載說明操作。
離線 Linux 裝置
為了防止退役裝置出現在您的裝置庫存中,並幫助確保更準確的安全分數評分,請為你想從 Defender for Endpoint 外接的裝置新增裝置標籤。 否則,你會在 裝置清單 中看到這些裝置,持續 180 天。
建立 一個裝置標籤,並將標籤
decommissioned命名為 。 把標籤指派給你想從 Defender for Endpoint 外接的 Linux 裝置。建立 一個裝置群組 ,並命名為類似
Decommissioned Linux。 將此標籤指派給適當的使用者群組。在 Microsoft Defender 入口網站的導覽欄裡,選擇「離線設定>」。 在 「選擇作業系統開始離職流程」中,選擇 Linux Server,然後選擇部署方式。
或者,如果你使用的是非 Microsoft 的裝置管理解決方案,請關閉與 Defender for Endpoint 的整合。
在裝置上卸載 Defender for Endpoint。
手動卸載
-
sudo yum remove mdatp適用於 RHEL 及 CentOS 和 Oracle Linux) (變體。 -
sudo zypper remove mdatp適用於SLES及其變體。 -
sudo apt-get purge mdatp適用於 Ubuntu 與 Debian 系統。 -
sudo dnf remove mdatp為了水手。
相關內容
- Linux 上適用於端點的 Microsoft Defender
- Linux 上 適用於端點的 Microsoft Defender 的 Prerequisites
- 在 Linux 上設定 適用於端點的 Microsoft Defender 的安全設定
- 在 Linux 上執行客戶端分析器
提示
想要深入了解? Engage 與 Microsoft Security 社群互動,加入我們的技術社群:適用於端點的 Microsoft Defender Defender 技術社群。