تكوين إعدادات الأمان ونهج Microsoft Defender لنقطة النهاية على Linux
ينطبق على:
- Microsoft Defender لنقطة النهاية للخوادم
- Microsoft Defender للخوادم الخطة 1 أو الخطة 2
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
نظرة عامة على الإعدادات والنهج المراد تكوينها
تتضمن Microsoft Defender لنقطة النهاية على Linux برامج الحماية من الفيروسات والحماية من البرامج الضارة واكتشاف نقطة النهاية وقدرات الاستجابة. تلخص هذه المقالة الإعدادات المهمة التي يجب تكوينها، مع ارتباطات إلى موارد إضافية.
| الإعدادات | الوصف |
|---|---|
| 1. تكوين اكتشاف الوكيل الثابت. | يساعد تكوين وكيل ثابت على ضمان إرسال بيانات تتبع الاستخدام ويساعد على تجنب مهلات الشبكة. قم بتنفيذ هذه المهمة أثناء وبعد تثبيت Defender لنقطة النهاية. راجع تكوين Microsoft Defender لنقطة النهاية على Linux لاكتشاف الوكيل الثابت. |
| 2. تكوين عمليات فحص مكافحة الفيروسات. | يمكنك جدولة عمليات فحص مكافحة الفيروسات التلقائية باستخدام Anacron أو Crontab. راجع المقالات التالية: - استخدام Anacron لجدولة فحص مكافحة الفيروسات في Microsoft Defender لنقطة النهاية على Linux - استخدام Crontab لجدولة فحص مكافحة الفيروسات في Microsoft Defender لنقطة النهاية على Linux |
| 3. تكوين إعدادات الأمان والنهج. | يمكنك استخدام مدخل Microsoft Defender (Defender for Endpoint Security Settings Management) أو ملف تعريف التكوين (.jsonملف) لتكوين Defender لنقطة النهاية على Linux. أو، إذا كنت تفضل ذلك، يمكنك استخدام سطر الأوامر لتكوين إعدادات معينة. راجع المقالات التالية: - إدارة إعدادات أمان Defender لنقطة النهاية - ملف تعريف التكوين - سطر الأوامر |
| 4. تكوين الاستبعادات والتحقق من صحتها (حسب الاقتضاء) | يمكنك استبعاد ملفات ومجلدات وعمليات وملفات مفتوحة للعمليات معينة من Defender لنقطة النهاية على Linux. تنطبق الاستثناءات العالمية على الحماية في الوقت الحقيقي (RTP) ومراقبة السلوك (BM) واكتشاف نقطة النهاية والاستجابة لها (EDR)، وبالتالي إيقاف جميع عمليات الكشف عن مكافحة الفيروسات المقترنة وتنبيهات EDR والرؤية للعنصر المستبعد. راجع تكوين الاستثناءات والتحقق من صحتها Microsoft Defender لنقطة النهاية على Linux. |
| 5. تكوين أداة الاستشعار المستندة إلى eBPF. | يتم تمكين عامل تصفية حزم Berkeley الموسع (eBPF) Microsoft Defender لنقطة النهاية على Linux تلقائيا لجميع العملاء بشكل افتراضي لإصدارات العامل والإصدارات 101.23082.0006 الأحدث. يوفر بيانات الأحداث التكميلية لأنظمة تشغيل Linux ويساعد على تقليل إمكانية التعارضات بين التطبيقات. راجع استخدام أداة الاستشعار المستندة إلى eBPF Microsoft Defender لنقطة النهاية على Linux. |
| 6. تكوين تحديث التحليل الذكي للأمان دون اتصال (حسب الاقتضاء) | يمكنك تحديث معلومات الأمان دون اتصال من تكوين تحديثات التحليل الذكي للأمان لخوادم Linux التي تحتوي على تعرض محدود أو معقطع للإنترنت. يمكنك إعداد خادم استضافة محلي ("خادم متطابق") يمكنه الاتصال بسحابة Microsoft لتنزيل التواقيع. يمكن لنقاط نهاية Linux الأخرى سحب التحديثات من الخادم المتطابق الخاص بك في فاصل زمني محدد مسبقا. راجع تكوين تحديث التحليل الذكي للأمان دون اتصال Microsoft Defender لنقطة النهاية على Linux. |
| 7. نشر التحديثات. | تنشر Microsoft تحديثات البرامج بانتظام لتحسين الأداء والأمان وتقديم ميزات جديدة. راجع توزيع التحديثات Microsoft Defender لنقطة النهاية على Linux. |
| 8. تكوين حماية الشبكة (معاينة) | تساعد حماية الشبكة على منع الموظفين من استخدام أي تطبيق للوصول إلى المجالات الخطرة التي قد تستضيف رسائل التصيد الاحتيالي والمآثر والمحتوى الضار الآخر على الإنترنت. راجع حماية الشبكة لنظام التشغيل Linux. |
خيارات لتكوين نهج الأمان وإعداداته
لتكوين نهج الأمان وإعدادات Defender لنقطة النهاية على Linux، لديك خياران رئيسيان:
- استخدم مدخل Microsoft Defender (Defender for Endpoint Security Settings Management)؛ أو
- استخدام ملف تعريف التكوين
إذا كنت تفضل استخدام سطر الأوامر لتكوين إعدادات الأمان الخاصة بك، يمكنك استخدام ذلك لتكوين إعدادات معينة، وجمع التشخيصات، وتشغيل عمليات الفحص، والمزيد. راجع الموارد.
إدارة إعدادات أمان Defender لنقطة النهاية
يمكنك تكوين Defender لنقطة النهاية على Linux في مدخل Microsoft Defender (https://security.microsoft.com) من خلال الوظائف المعروفة باسم Security Settings Management. لمزيد من المعلومات، بما في ذلك كيفية إنشاء نهج الأمان وتحريرها والتحقق منها، راجع استخدام Microsoft Defender لنقطة النهاية Security Settings Management لإدارة Microsoft Defender Antivirus.
ملف تعريف التكوين
يمكنك تكوين Defender لنقطة النهاية على Linux من خلال ملف تعريف تكوين يستخدم ملفا .json . بعد إعداد ملف التعريف الخاص بك، يمكنك توزيعه باستخدام أداة الإدارة التي تختارها. التفضيلات التي تديرها المؤسسة لها الأسبقية على التفضيلات التي تم تعيينها محليا على الجهاز. بمعنى آخر، لا يمكن للمستخدمين في مؤسستك تغيير التفضيلات التي تم تعيينها من خلال ملف تعريف التكوين هذا. إذا تمت إضافة استثناءات من خلال ملف تعريف التكوين المدار، يمكن إزالتها فقط من خلال ملف تعريف التكوين المدار. يعمل سطر الأوامر مع الاستثناءات التي تمت إضافتها محليا.
توضح هذه المقالة بنية ملف التعريف هذا (بما في ذلك ملف التعريف الموصى به الذي يمكنك استخدامه للبدء) وإرشادات حول كيفية نشر ملف التعريف.
بنية ملف تعريف التكوين
ملف تعريف التكوين هو .json ملف يتكون من إدخالات تم تحديدها بواسطة مفتاح (الذي يشير إلى اسم التفضيل)، متبوعا بقيمة، والتي تعتمد على طبيعة التفضيل. يمكن أن تكون القيم بسيطة، مثل قيمة رقمية، أو معقدة، مثل قائمة متداخلة من التفضيلات.
عادة، يمكنك استخدام أداة إدارة التكوين لدفع ملف بالاسم mdatp_managed.json في الموقع /etc/opt/microsoft/mdatp/managed/.
يتضمن المستوى الأعلى لملف تعريف التكوين تفضيلات وإدخالات على مستوى المنتج للمساحات الفرعية للمنتج، والتي يتم شرحها بمزيد من التفصيل في الأقسام التالية.
ملف تعريف التكوين الموصى به
يتضمن هذا القسم مثالين لملف تعريف التكوين:
- نموذج ملف تعريف لمساعدتك على البدء في الإعدادات الموصى بها.
- مثال ملف تعريف التكوين الكامل للمؤسسات التي تريد المزيد من التحكم الدقيق في إعدادات الأمان.
للبدء، نوصي باستخدام نموذج ملف التعريف الأول لمؤسستك. لمزيد من التحكم الدقيق، يمكنك استخدام مثال ملف تعريف التكوين الكامل بدلا من ذلك.
نموذج ملف التعريف
سيساعدك على الاستفادة من ميزات الحماية المهمة التي يوفرها Defender لنقطة النهاية على Linux. ملف تعريف التكوين التالي:
- تمكين الحماية في الوقت الحقيقي (RTP)
- يحدد كيفية معالجة أنواع التهديدات التالية:
- يتم حظر التطبيقات غير المرغوب فيها (PUA)
- يتم تدقيق الأرشيف القنابل (ملف بمعدل ضغط عال) على سجلات المنتجات
- تمكين تحديثات التحليل الذكي للأمان التلقائي
- تمكين الحماية المقدمة من السحابة
- تمكين إرسال العينة التلقائية على
safeالمستوى
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
مثال على ملف تعريف التكوين الكامل
يحتوي ملف تعريف التكوين التالي على إدخالات لجميع الإعدادات الموضحة في هذا المستند ويمكن استخدامه لسيناريوهات أكثر تقدما حيث تريد المزيد من التحكم في المنتج.
ملاحظة
لا يمكن التحكم في جميع الاتصالات Microsoft Defender لنقطة النهاية مع إعداد وكيل فقط في JSON هذا.
{
"antivirusEngine":{
"enforcementLevel":"passive",
"behaviorMonitoring": "disabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"enableFileHashComputation": false,
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
],
"scanFileModifyPermissions":false,
"scanFileModifyOwnership":false,
"scanNetworkSocketEvent":false,
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate":"disabled"
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
"definitionUpdatesInterval":28800
},
"features":{
"moduleLoad":"disabled",
"supplementarySensorConfigurations":{
"enableFilePermissionEvents":"disabled",
"enableFileOwnershipEvents":"disabled",
"enableRawSocketEvent":"disabled",
"enableBootLoaderCalls":"disabled",
"enableProcessCalls":"disabled",
"enablePseudofsCalls":"diabled",
"enableEbpfModuleLoadEvents":"disabled",
"sendLowfiEvents":"disabled"
},
"ebpfSupplementaryEventProvider":"enabled",
"offlineDefinitionUpdateVerifySig": "disabled"
},
"networkProtection":{
"enforcementLevel":"disabled",
"disableIcmpInspection":true
},
"edr":{
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
},
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
إعدادات مكافحة الفيروسات ومكافحة البرامج الضارة وEDR في Defender لنقطة النهاية على Linux
سواء كنت تستخدم ملف تعريف تكوين (ملف .json) أو مدخل Microsoft Defender (إدارة إعدادات الأمان)، يمكنك تكوين إعدادات مكافحة الفيروسات ومكافحة البرامج الضارة وEDR في Defender لنقطة النهاية على Linux. تصف الأقسام التالية مكان وكيفية تكوين الإعدادات الخاصة بك.
تفضيلات محرك مكافحة الفيروسات
يتم استخدام قسم antivirusEngine في ملف تعريف التكوين لإدارة تفضيلات مكون مكافحة الفيروسات للمنتج.
| الوصف | قيمة JSON | قيمة مدخل Defender |
|---|---|---|
| المفتاح | antivirusEngine |
محرك مكافحة الفيروسات |
| نوع البيانات | القاموس (التفضيل المتداخل) | مقطع مطوي |
| التعليقات | راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. | راجع الأقسام التالية للحصول على وصف لخصائص النهج. |
مستوى إنفاذ برنامج الحماية من الفيروسات Microsoft Defender
يحدد تفضيل فرض محرك مكافحة الفيروسات. هناك ثلاث قيم لتعيين مستوى الإنفاذ:
في الوقت الحقيقي (
real_time): يتم تمكين الحماية في الوقت الحقيقي (فحص الملفات عند تعديلها).عند الطلب (
on_demand): يتم فحص الملفات فقط عند الطلب. في هذا:- تم إيقاف تشغيل الحماية في الوقت الحقيقي.
- تحدث تحديثات التعريف فقط عند بدء الفحص، حتى إذا
automaticDefinitionUpdateEnabledتم تعيينه إلىtrueفي الوضع عند الطلب.
الخامل (
passive): يشغل محرك مكافحة الفيروسات في الوضع السلبي. في هذه الحالة، تنطبق جميع الإجراءات التالية:- تم إيقاف تشغيل الحماية في الوقت الحقيقي: لا تتم معالجة التهديدات بواسطة برنامج الحماية من الفيروسات Microsoft Defender.
- تم تشغيل الفحص عند الطلب: لا يزال استخدام إمكانات الفحص على نقطة النهاية.
- تم إيقاف تشغيل المعالجة التلقائية للمخاطر: لا يتم نقل أي ملفات ومن المتوقع أن يتخذ مسؤول الأمان الإجراء المطلوب.
- يتم تشغيل تحديثات التحليل الذكي للأمان: تتوفر التنبيهات في مستأجر مسؤول الأمان.
- تحدث تحديثات التعريف فقط عند بدء الفحص، حتى إذا
automaticDefinitionUpdateEnabledتم تعيينه إلىtrueفي الوضع السلبي.
ملاحظة
متوفر في إصدار 101.10.72 Defender لنقطة النهاية أو إصدار أحدث. يتم تغيير الافتراضي من real_time إلى passive في إصدار 101.23062.0001 Defender لنقطة النهاية أو أحدث.
يوصى أيضا باستخدام عمليات الفحص المجدولة وفقا للمتطلبات .
تمكين مراقبة السلوك أو تعطيلها (إذا تم تمكين RTP)
هام
تعمل هذه الميزة فقط عند تعيين مستوى الإنفاذ إلى real-time.
تحديد ما إذا كانت إمكانية مراقبة السلوك والحظر ممكنة على الجهاز أم لا.
| الوصف | قيمة JSON | قيمة مدخل Defender |
|---|---|---|
| المفتاح | المراقبة السلوكية | تمكين مراقبة السلوك |
| نوع البيانات | سلسلة | القائمة المنسدلة |
| القيم المحتملة |
disabled (افتراضي)enabled |
لم يتم تكوينه معطل (افتراضي) تمكين |
ملاحظة
متوفر في إصدار 101.45.00 Defender لنقطة النهاية أو إصدار أحدث.
تشغيل فحص بعد تحديث التعريفات
هام
تعمل هذه الميزة فقط عند تعيين مستوى الإنفاذ إلى real-time.
يحدد ما إذا كنت تريد بدء فحص العملية بعد تنزيل تحديثات معلومات الأمان الجديدة على الجهاز. يؤدي تمكين هذا الإعداد إلى تشغيل فحص مكافحة الفيروسات على عمليات تشغيل الجهاز.
| الوصف | قيمة JSON | قيمة مدخل Defender |
|---|---|---|
| المفتاح | scanAfterDefinitionUpdate |
تمكين الفحص بعد تحديث التعريف |
| نوع البيانات | منطقي | القائمة المنسدلة |
| القيم المحتملة |
true (افتراضي)false |
Not configuredDisabledEnabled (افتراضي) |
ملاحظة
متوفر في إصدار 101.45.00 Defender لنقطة النهاية أو إصدار أحدث.
مسح أرشيفات الفحص (عمليات فحص مكافحة الفيروسات عند الطلب فقط)
يحدد ما إذا كنت تريد مسح الأرشيفات ضوئيا أثناء عمليات فحص مكافحة الفيروسات عند الطلب.
| الوصف | قيمة JSON | قيمة مدخل Defender |
|---|---|---|
| المفتاح | scanArchives |
تمكين مسح الأرشيفات ضوئيا |
| نوع البيانات | منطقي | القائمة المنسدلة |
| القيم المحتملة |
true (افتراضي)false |
لم يتم تكوينه ذوي الاحتياجات الخاصه ممكن (افتراضي) |
ملاحظة
متوفر في إصدار 101.45.00 Microsoft Defender لنقطة النهاية أو أحدث.
لا يتم فحص ملفات الأرشيف أبدا أثناء الحماية في الوقت الحقيقي. عند استخراج الملفات الموجودة في الأرشيف، يتم مسحها ضوئيا. يمكن استخدام خيار scanArchives لفرض مسح الأرشيف فقط أثناء الفحص عند الطلب.
درجة التوازي للمسح الضوئي عند الطلب
يحدد درجة التوازي لإجراء عمليات الفحص عند الطلب. يتوافق هذا مع عدد مؤشرات الترابط المستخدمة لإجراء الفحص ويؤثر على استخدام وحدة المعالجة المركزية، ومدة الفحص عند الطلب.
| الوصف | قيمة JSON | قيمة مدخل Defender |
|---|---|---|
| المفتاح | maximumOnDemandScanThreads |
الحد الأقصى لرسائل تفحص مؤشرات الترابط عند الطلب |
| نوع البيانات | العدد الصحيح | تبديل تبديل & عدد صحيح |
| القيم المحتملة |
2 (افتراضي). القيم المسموح بها هي أعداد صحيحة بين 1 و 64. |
Not Configured (تبديل الإعدادات الافتراضية إلى 2)Configured (تشغيل) والأعداد الصحيحة بين 1 و 64. |
ملاحظة
متوفر في إصدار 101.45.00 Microsoft Defender لنقطة النهاية أو أحدث.
نهج دمج الاستبعاد
يحدد نهج الدمج للاستبعادات. يمكن أن يكون مزيجا من الاستثناءات المعرفة من قبل المسؤول والمعرفة من قبل المستخدم (merge) أو الاستثناءات المعرفة من قبل المسؤول فقط (admin_only). تعريف المسؤول (admin_only) هي استثناءات تم تكوينها بواسطة نهج Defender لنقطة النهاية. يمكن استخدام هذا الإعداد لتقييد المستخدمين المحليين من تحديد استثناءاتهم.
كما هو ضمن antivirusEngine، لا ينطبق هذا النهج إلا على epp الاستثناءات ما لم mergePolicy يتم تكوين الإعدادات ضمن exclusionSettings ك (admin_only).
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | exclusionsMergePolicy |
دمج الاستثناءات |
| نوع البيانات | سلسلة | القائمة المنسدلة |
| القيم المحتملة |
merge (افتراضي)admin_only |
Not configuredmerge (افتراضي)admin_only |
ملاحظة
متوفر في إصدار 100.83.73 Defender لنقطة النهاية أو إصدار أحدث.
نوصي بتكوين الاستثناءات ونهج الدمج ضمن exclusionSettings، والتي تمكنك من تكوين استبعاد كل epp من والنطاق global باستخدام واحد mergePolicy.
استثناءات الفحص
الكيانات التي تم استبعادها من الفحص. يمكن تحديد الاستثناءات بواسطة المسارات الكاملة أو الملحقات أو أسماء الملفات. (يتم تحديد الاستثناءات كصفيف من العناصر، يمكن للمسؤول تحديد العديد من العناصر حسب الضرورة، بأي ترتيب.)
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | exclusions |
استثناءات الفحص |
| نوع البيانات | القاموس (التفضيل المتداخل) | قائمة الخصائص الديناميكية |
| التعليقات | راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. |
نوع الاستبعاد
يحدد نوع المحتوى المستبعد من الفحص.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | $type |
نوع |
| نوع البيانات | سلسلة | القائمة المنسدلة |
| القيم المحتملة | excludedPath excludedFileExtension excludedFileName |
مسار ملحق الملف اسم العملية |
المسار إلى المحتوى المستبعد
يستخدم لاستبعاد المحتوى من الفحص حسب مسار الملف الكامل.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | مسار | مسار |
| نوع البيانات | سلسلة | سلسلة |
| القيم المحتملة | مسارات صالحة | مسارات صالحة |
| التعليقات | قابل للتطبيق فقط إذا كان $typeexcludedPath |
تم الوصول إليه في النافذة المنبثقة "تحرير المثيل " |
نوع المسار (ملف / دليل)
يشير إلى ما إذا كانت خاصية المسار تشير إلى ملف أو دليل.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | isDirectory |
هو الدليل |
| نوع البيانات | منطقي | القائمة المنسدلة |
| القيم المحتملة |
false (افتراضي)true |
EnabledDisabled |
| التعليقات | ينطبق فقط إذا تم استبعاد $type Path | تم الوصول إليه في النافذة المنبثقة "تحرير المثيل " |
تم استبعاد ملحق الملف من الفحص
يستخدم لاستبعاد المحتوى من الفحص حسب ملحق الملف.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | امتداد | ملحق الملف |
| نوع البيانات | سلسلة | سلسلة |
| القيم المحتملة | ملحقات الملفات الصالحة | ملحقات الملفات الصالحة |
| التعليقات | ينطبق فقط إذا تم استبعاد $type FileExtension | تم الوصول إليه في النافذة المنبثقة تكوين المثيل |
العملية المستبعدة من الفحص
تحديد عملية يتم استبعاد جميع نشاط الملف من المسح الضوئي لها. يمكن تحديد العملية إما باسمها (على سبيل المثال، cat) أو المسار الكامل (على سبيل المثال، /bin/cat).
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | اسم | اسم الملف |
| نوع البيانات | سلسلة | سلسلة |
| القيم المحتملة | أي سلسلة | أي سلسلة |
| التعليقات | ينطبق فقط إذا تم استبعاد $type FileName | تم الوصول إليه في النافذة المنبثقة تكوين المثيل |
كتم التحميلات غير exec
يحدد سلوك RTP على نقطة التحميل التي تم وضع علامة عليها ك noexec. هناك قيمتان للإعداد هما:
- إلغاء كتم (
unmute): القيمة الافتراضية، يتم مسح جميع نقاط التحميل ضوئيا كجزء من RTP. - كتم الصوت (
mute): نقاط التحميل التي تم وضع علامة عليها على أنهاnoexecلا يتم مسحها ضوئيا كجزء من RTP، يمكن إنشاء نقطة التحميل هذه من أجل:- ملفات قاعدة البيانات على خوادم قاعدة البيانات للاحتفاظ بملفات قاعدة البيانات.
- يمكن لخادم الملفات الاحتفاظ بنقاط تحميل ملفات البيانات مع
noexecالخيار . - يمكن للنسخ الاحتياطي الاحتفاظ بنقاط تحميل ملفات البيانات مع
noexecالخيار .
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | nonExecMountPolicy |
non execute mount mute |
| نوع البيانات | سلسلة | القائمة المنسدلة |
| القيم المحتملة |
unmute (افتراضي)mute |
Not configured unmute (افتراضي)mute |
ملاحظة
متوفر في إصدار 101.85.27 Defender لنقطة النهاية أو إصدار أحدث.
أنظمة الملفات غير المراقبة
تكوين أنظمة الملفات لتكون غير مراقبة/مستبعدة من الحماية في الوقت الحقيقي (RTP). يتم التحقق من صحة أنظمة الملفات التي تم تكوينها مقابل قائمة أنظمة الملفات المسموح بها Microsoft Defender. لا يمكن مراقبة أنظمة الملفات إلا بعد التحقق من الصحة بنجاح. لا تزال أنظمة الملفات غير الخاضعة للمراقبة هذه ممسوحة ضوئيا بواسطة عمليات الفحص السريعة والكاملة والمخصصة في برنامج الحماية من الفيروسات Microsoft Defender.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | unmonitoredFilesystems |
أنظمة الملفات غير الخاضعة للمراقبة |
| نوع البيانات | صفيف من السلاسل | قائمة السلاسل الديناميكية |
ملاحظة
لن تتم مراقبة نظام الملفات المكون إلا إذا كان موجودا في قائمة Microsoft الخاصة بأنظمة الملفات غير الخاضعة للمراقبة المسموح بها.
بشكل افتراضي، لا تتم مراقبة NFS و Fuse من عمليات الفحص RTP و Quick و Full. ومع ذلك، لا يزال من الممكن مسحها ضوئيا بواسطة فحص مخصص. على سبيل المثال، لإزالة NFS من قائمة أنظمة الملفات غير الخاضعة للمراقبة، قم بتحديث ملف التكوين المدار كما هو موضح أدناه. سيؤدي ذلك تلقائيا إلى إضافة NFS إلى قائمة أنظمة الملفات المراقبة ل RTP.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
لإزالة كل من NFS و Fuse من قائمة أنظمة الملفات غير الخاضعة للمراقبة، استخدم القصاصة البرمجية التالية:
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
ملاحظة
فيما يلي القائمة الافتراضية لأنظمة الملفات المراقبة ل RTP: btrfsو ecryptfsوvfattmpfsreiserfsext2ramfsoverlayext4ext3fuseblkjfs.xfs
إذا كان هناك حاجة إلى إضافة أي نظام ملفات مراقب إلى قائمة أنظمة الملفات غير الخاضعة للمراقبة، فيجب تقييمه وتمكينه بواسطة Microsoft عبر تكوين السحابة. بعد ذلك يمكن للعملاء تحديث managed_mdatp.json إلى إلغاء مراقبة نظام الملفات هذا.
تكوين ميزة حساب تجزئة الملف
تمكين ميزة حساب تجزئة الملف أو تعطيلها. عند تمكين هذه الميزة، يحسب Defender لنقطة النهاية التجزئة للملفات التي يفحصها. لاحظ أن تمكين هذه الميزة قد يؤثر على أداء الجهاز. لمزيد من التفاصيل، يرجى الرجوع إلى: إنشاء مؤشرات للملفات.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | enableFileHashComputation |
تمكين حساب تجزئة الملف |
| نوع البيانات | منطقي | القائمة المنسدلة |
| القيم المحتملة |
false (افتراضي)true |
Not configuredDisabled (افتراضي)Enabled |
ملاحظة
متوفر في إصدار 101.85.27 Defender لنقطة النهاية أو إصدار أحدث.
التهديدات المسموح بها
قائمة التهديدات (التي تم تحديدها باسمها) التي لم يتم حظرها بواسطة المنتج ويسمح بتشغيلها بدلا من ذلك.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | allowedThreats |
التهديدات المسموح بها |
| نوع البيانات | صفيف من السلاسل | قائمة السلاسل الديناميكية |
إجراءات التهديد غير المسموح بها
يقيد الإجراءات التي يمكن للمستخدم المحلي للجهاز اتخاذها عند اكتشاف التهديدات. لا يتم عرض الإجراءات المضمنة في هذه القائمة في واجهة المستخدم.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | disallowedThreatActions |
إجراءات التهديد غير المسموح بها |
| نوع البيانات | صفيف من السلاسل | قائمة السلاسل الديناميكية |
| القيم المحتملة |
allow (يقيد المستخدمين من السماح بالتهديدات)restore (يقيد المستخدمين من استعادة التهديدات من العزل) |
allow (يقيد المستخدمين من السماح بالتهديدات)restore (يقيد المستخدمين من استعادة التهديدات من العزل) |
ملاحظة
متوفر في إصدار 100.83.73 Defender لنقطة النهاية أو إصدار أحدث.
إعدادات نوع التهديد
يتم استخدام تفضيل threatTypeSettings في محرك مكافحة الفيروسات للتحكم في كيفية معالجة أنواع تهديدات معينة بواسطة المنتج.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | threatTypeSettings |
إعدادات نوع التهديد |
| نوع البيانات | القاموس (التفضيل المتداخل) | قائمة الخصائص الديناميكية |
| التعليقات | راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. | راجع الأقسام التالية للحصول على وصف للخصائص الديناميكية. |
نوع التهديد
نوع التهديد الذي تم تكوين السلوك له.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | مفتاح | نوع التهديد |
| نوع البيانات | سلسلة | القائمة المنسدلة |
| القيم المحتملة | potentially_unwanted_application archive_bomb |
potentially_unwanted_application archive_bomb |
الإجراء الذي يجب اتخاذه
الإجراء الذي يجب اتخاذه عند القدوم عبر تهديد من النوع المحدد في القسم السابق. يمكن أن يكون:
- التدقيق: الجهاز غير محمي من هذا النوع من التهديدات، ولكن يتم تسجيل إدخال حول التهديد. (افتراضي)
- الحظر: الجهاز محمي من هذا النوع من التهديدات ويتم إعلامك في مدخل Microsoft Defender.
- إيقاف التشغيل: الجهاز غير محمي من هذا النوع من التهديدات ولا يتم تسجيل أي شيء.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | قيمة | الإجراء الذي يجب اتخاذه |
| نوع البيانات | سلسلة | القائمة المنسدلة |
| القيم المحتملة |
audit (افتراضي)block off |
audit block قباله |
نهج دمج إعدادات نوع التهديد
يحدد نهج الدمج لإعدادات نوع التهديد. يمكن أن يكون هذا مزيجا من الإعدادات المعرفة من قبل المسؤول والمعرفة من قبل المستخدم (merge) أو الإعدادات المعرفة من قبل المسؤول فقط (admin_only). تعريف المسؤول (admin_only) هي إعدادات نوع التهديد التي تم تكوينها بواسطة نهج Defender لنقطة النهاية. يمكن استخدام هذا الإعداد لتقييد المستخدمين المحليين من تحديد الإعدادات الخاصة بهم للأنوع المختلفة من التهديدات.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | threatTypeSettingsMergePolicy |
دمج إعدادات نوع التهديد |
| نوع البيانات | سلسلة | القائمة المنسدلة |
| القيم المحتملة |
merge (افتراضي)admin_only |
Not configuredmerge (افتراضي)admin_only |
ملاحظة
متوفر في إصدار 100.83.73 Defender لنقطة النهاية أو إصدار أحدث.
استبقاء محفوظات فحص برنامج الحماية من الفيروسات (بالأيام)
حدد عدد الأيام التي يتم فيها الاحتفاظ بالنتائج في محفوظات الفحص على الجهاز. تتم إزالة نتائج الفحص القديمة من المحفوظات. الملفات المعزولة القديمة التي تتم إزالتها أيضا من القرص.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | scanResultsRetentionDays |
فحص استبقاء النتائج |
| نوع البيانات | سلسلة | تبديل المفتاح والرقم الصحيح |
| القيم المحتملة |
90 (افتراضي). تتراوح القيم المسموح بها من يوم واحد إلى 180 يوما. |
Not configured (إيقاف التشغيل - افتراضي لمدة 90 يوما)Configured (تشغيل التبديل) والقيمة المسموح بها من 1 إلى 180 يوما. |
ملاحظة
متوفر في إصدار 101.04.76 Defender لنقطة النهاية أو إصدار أحدث.
الحد الأقصى لعدد العناصر في سجل فحص مكافحة الفيروسات
حدد الحد الأقصى لعدد الإدخالات التي يجب الاحتفاظ بها في محفوظات الفحص. تتضمن الإدخالات جميع عمليات الفحص عند الطلب التي تم إجراؤها في الماضي وجميع عمليات الكشف عن مكافحة الفيروسات.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | scanHistoryMaximumItems |
حجم محفوظات الفحص |
| نوع البيانات | سلسلة | التبديل والأعداد الصحيحة |
| القيم المحتملة |
10000 (افتراضي). القيم المسموح بها هي من 5000 عناصر إلى 15000 عناصر. |
غير مكون (إيقاف التشغيل - 10000 افتراضي)Configured (تبديل) والقيمة المسموح بها من 5000 إلى 15000 عنصر. |
ملاحظة
متوفر في إصدار 101.04.76 Defender لنقطة النهاية أو إصدار أحدث.
تفضيلات إعداد الاستبعاد
تفضيلات إعداد الاستبعاد قيد المعاينة حاليا.
ملاحظة
الاستثناءات العمومية حاليا في المعاينة العامة، وهي متوفرة في Defender لنقطة النهاية بدءا من الإصدار 101.23092.0012 أو أحدث في حلقات Insider Slow and Production.
exclusionSettings يتم استخدام قسم ملف تعريف التكوين لتكوين استثناءات مختلفة Microsoft Defender لنقطة النهاية لنظام التشغيل Linux.
| الوصف | قيمة JSON |
|---|---|
| المفتاح | exclusionSettings |
| نوع البيانات | القاموس (التفضيل المتداخل) |
| التعليقات | راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. |
ملاحظة
ستستمر استثناءات مكافحة الفيروسات المكونة بالفعل ضمن (antivirusEngine) في JSON المدارة في العمل كما هو دون أي تأثير. يمكن إضافة جميع الاستثناءات الجديدة بما في ذلك استثناءات مكافحة الفيروسات ضمن هذا القسم الجديد تماما (exclusionSettings). يقع هذا القسم خارج العلامة (antivirusEngine) على أنها مخصصة فقط لتكوين جميع أنواع الاستثناءات التي ستأتي في المستقبل. يمكنك أيضا الاستمرار في استخدام (antivirusEngine) لتكوين استثناءات مكافحة الفيروسات.
نهج الدمج
يحدد نهج الدمج للاستبعادات. يحدد ما إذا كان يمكن أن يكون مزيجا من الاستثناءات المعرفة من قبل المسؤول والمعرفة من قبل المستخدم (merge) أو الاستثناءات المعرفة من قبل المسؤول فقط (admin_only). يمكن استخدام هذا الإعداد لتقييد المستخدمين المحليين من تحديد استثناءاتهم. وهو ينطبق على استثناءات جميع النطاقات.
| الوصف | قيمة JSON |
|---|---|
| المفتاح | mergePolicy |
| نوع البيانات | سلسلة |
| القيم المحتملة |
merge (افتراضي)admin_only |
| التعليقات | متوفر في إصدار Defender لنقطة النهاية سبتمبر 2023 أو أعلى. |
الاستثناءات
يمكن تحديد الكيانات التي تحتاج إلى استبعاد بواسطة المسارات الكاملة أو الملحقات أو أسماء الملفات. يحتوي كل كيان استبعاد، أي إما المسار الكامل أو الملحق أو اسم الملف على نطاق اختياري يمكن تحديده. إذا لم يتم تحديدها، تكون القيمة الافتراضية للنطاق في هذا القسم عمومية. (يتم تحديد الاستثناءات كصفيف من العناصر، يمكن للمسؤول تحديد العديد من العناصر حسب الضرورة، بأي ترتيب.)
| الوصف | قيمة JSON |
|---|---|
| المفتاح | exclusions |
| نوع البيانات | القاموس (التفضيل المتداخل) |
| التعليقات | راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. |
نوع الاستبعاد
يحدد نوع المحتوى المستبعد من الفحص.
| الوصف | قيمة JSON |
|---|---|
| المفتاح | $type |
| نوع البيانات | سلسلة |
| القيم المحتملة | excludedPathexcludedFileExtension excludedFileName |
نطاق الاستبعاد (اختياري)
يحدد مجموعة نطاقات الاستبعاد للمحتوى المستبعد. النطاقات المدعومة حاليا هي epp و global.
إذا لم يتم تحديد أي شيء في لاستبعاد ضمن exclusionSettings في التكوين المدار، اعتباره global نطاقا.
ملاحظة
ستستمر استثناءات مكافحة الفيروسات التي تم تكوينها مسبقا ضمن (antivirusEngine) في JSON المدارة في العمل ويتم اعتبار نطاقها (epp) منذ إضافتها كاستثناءات للحماية من الفيروسات.
| الوصف | قيمة JSON |
|---|---|
| المفتاح | نطاقات |
| نوع البيانات | مجموعة من السلاسل |
| القيم المحتملة | epp global |
ملاحظة
ستظل الاستثناءات المطبقة مسبقا باستخدام (mdatp_managed.json) أو بواسطة CLI غير متأثرة. وسيكون نطاق هذه الاستثناءات (epp) نظرا لإضافتها ضمن (antivirusEngine).
المسار إلى المحتوى المستبعد
يستخدم لاستبعاد المحتوى من الفحص حسب مسار الملف الكامل.
| الوصف | قيمة JSON |
|---|---|
| المفتاح | مسار |
| نوع البيانات | سلسلة |
| القيم المحتملة | مسارات صالحة |
| التعليقات | ينطبق فقط إذا تم استبعاد $type Path. حرف البدل غير مدعوم إذا كان الاستبعاد عموميا كنطاق. |
نوع المسار (ملف / دليل)
يشير إلى ما إذا كانت خاصية المسار تشير إلى ملف أو دليل.
ملاحظة
يجب أن يكون مسار الملف موجودا بالفعل في حالة إضافة استبعاد الملف مع النطاق العمومي.
| الوصف | قيمة JSON |
|---|---|
| المفتاح | isDirectory |
| نوع البيانات | منطقي |
| القيم المحتملة |
false (افتراضي)true |
| التعليقات | ينطبق فقط إذا تم استبعاد $type Path. حرف البدل غير مدعوم إذا كان الاستبعاد عموميا كنطاق. |
تم استبعاد ملحق الملف من الفحص
يستخدم لاستبعاد المحتوى من الفحص حسب ملحق الملف.
| الوصف | قيمة JSON |
|---|---|
| المفتاح | امتداد |
| نوع البيانات | سلسلة |
| القيم المحتملة | ملحقات الملفات الصالحة |
| التعليقات | ينطبق فقط إذا تم استبعاد $type FileExtension. غير مدعوم إذا كان الاستبعاد عموميا كنطاق. |
العملية المستبعدة من الفحص
تحديد عملية يتم استبعاد جميع نشاط الملف من المسح الضوئي لها. يمكن تحديد العملية إما باسمها (على سبيل المثال، cat) أو المسار الكامل (على سبيل المثال، /bin/cat).
| الوصف | قيمة JSON |
|---|---|
| المفتاح | اسم |
| نوع البيانات | سلسلة |
| القيم المحتملة | أي سلسلة |
| التعليقات | ينطبق فقط إذا تم استبعاد $type FileName. حرف البدل واسم العملية غير مدعومين إذا كان الاستبعاد عموميا كنطاق، وتحتاج إلى توفير مسار كامل. |
خيارات الفحص المتقدمة
يمكن تكوين الإعدادات التالية لتمكين بعض ميزات الفحص المتقدمة.
هام
قد يؤثر تمكين هذه الميزات على أداء الجهاز. على هذا النحو، يوصى بالاحتفاظ بالإعدادات الافتراضية ما لم يوصى بخلاف ذلك من قبل دعم Microsoft.
تكوين فحص أحداث أذونات تعديل الملف
عند تمكين هذه الميزة، سيقوم Defender لنقطة النهاية بمسح الملفات ضوئيا عند تغيير أذوناتها لتعيين بت (بتات) التنفيذ.
ملاحظة
تنطبق هذه الميزة فقط عند تمكين الميزة enableFilePermissionEvents . لمزيد من المعلومات، راجع قسم الميزات الاختيارية المتقدمة أدناه للحصول على التفاصيل.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | scanFileModifyPermissions |
غير متوفر |
| نوع البيانات | منطقي | غير متوفر |
| القيم المحتملة |
false (افتراضي)true |
غير متوفر |
ملاحظة
متوفر في إصدار 101.23062.0010 Defender لنقطة النهاية أو إصدار أحدث.
تكوين فحص أحداث ملكية تعديل الملف
عند تمكين هذه الميزة، سيقوم Defender لنقطة النهاية بفحص الملفات التي تغيرت الملكية لها.
ملاحظة
تنطبق هذه الميزة فقط عند تمكين الميزة enableFileOwnershipEvents . لمزيد من المعلومات، راجع قسم الميزات الاختيارية المتقدمة أدناه للحصول على التفاصيل.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | scanFileModifyOwnership |
غير متوفر |
| نوع البيانات | منطقي | غير متوفر |
| القيم المحتملة |
false (افتراضي)true |
غير متوفر |
ملاحظة
متوفر في إصدار 101.23062.0010 Defender لنقطة النهاية أو إصدار أحدث.
تكوين مسح ضوئي لأحداث مأخذ التوصيل الخام
عند تمكين هذه الميزة، سيقوم Defender لنقطة النهاية بفحص أحداث مأخذ توصيل الشبكة مثل إنشاء مآخذ توصيل أولية / مآخذ توصيل الحزمة، أو إعداد خيار مأخذ التوصيل.
ملاحظة
تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.
تنطبق هذه الميزة فقط عند تمكين الميزة enableRawSocketEvent . لمزيد من المعلومات، راجع قسم الميزات الاختيارية المتقدمة أدناه للحصول على التفاصيل.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | scanNetworkSocketEvent |
غير متوفر |
| نوع البيانات | منطقي | غير متوفر |
| القيم المحتملة |
false (افتراضي)true |
غير متوفر |
ملاحظة
متوفر في إصدار 101.23062.0010 Defender لنقطة النهاية أو إصدار أحدث.
تفضيلات الحماية المقدمة من السحابة
يتم استخدام إدخال cloudService في ملف تعريف التكوين لتكوين ميزة الحماية المستندة إلى السحابة للمنتج.
ملاحظة
تنطبق الحماية المقدمة من السحابة مع أي إعدادات مستوى الإنفاذ (real_time، on_demand، سلبي).
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | cloudService |
تفضيلات الحماية المقدمة من السحابة |
| نوع البيانات | القاموس (التفضيل المتداخل) | مقطع مطوي |
| التعليقات | راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. | راجع الأقسام التالية للحصول على وصف لإعدادات النهج. |
تمكين الحماية المقدمة من السحابة أو تعطيلها
تحديد ما إذا كانت الحماية المقدمة من السحابة ممكنة على الجهاز أم لا. لتحسين أمان خدماتك، نوصي بالاحتفاظ بهذه الميزة قيد التشغيل.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | enabled |
تمكين الحماية المقدمة من السحابة |
| نوع البيانات | منطقي | القائمة المنسدلة |
| القيم المحتملة |
true (افتراضي)false |
لم يتم تكوينه ذوي الاحتياجات الخاصه ممكن (افتراضي) |
مستوى مجموعة التشخيص
يتم استخدام البيانات التشخيصية للحفاظ على أمان Defender لنقطة النهاية وتحديثها، واكتشاف المشكلات وتشخيصها وإصلاحها، وكذلك إجراء تحسينات على المنتج. يحدد هذا الإعداد مستوى التشخيصات المرسلة من قبل المنتج إلى Microsoft. لمزيد من التفاصيل، راجع الخصوصية Microsoft Defender لنقطة النهاية على Linux.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | diagnosticLevel |
مستوى جمع البيانات التشخيصية |
| نوع البيانات | سلسلة | القائمة المنسدلة |
| القيم المحتملة | optional required (افتراضي) |
Not configuredoptional (افتراضي)required |
تكوين مستوى كتلة السحابة
يحدد هذا الإعداد مدى قوة Defender لنقطة النهاية في حظر الملفات المشبوهة ومسحها ضوئيا. إذا كان هذا الإعداد قيد التشغيل، يكون Defender لنقطة النهاية أكثر عدوانية عند تحديد الملفات المشبوهة لحظرها ومسحها ضوئيا؛ خلاف ذلك، فإنه أقل عدوانية، وبالتالي كتل ومسح ضوئي مع تردد أقل.
هناك خمس قيم لتعيين مستوى كتلة السحابة:
- عادي (
normal): مستوى الحظر الافتراضي. - معتدل (
moderate): يصدر الحكم فقط للكشف عن الثقة العالية. - عالي (
high): يحظر بشدة الملفات غير المعروفة أثناء التحسين للأداء (فرصة أكبر لحظر الملفات غير الضارة). - High Plus (
high_plus): يحظر بشدة الملفات غير المعروفة ويطبق مقاييس حماية إضافية (قد يؤثر على أداء جهاز العميل). - عدم التسامح (
zero_tolerance): حظر جميع البرامج غير المعروفة.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | cloudBlockLevel |
تكوين مستوى كتلة السحابة |
| نوع البيانات | سلسلة | القائمة المنسدلة |
| القيم المحتملة |
normal (افتراضي)moderate high high_plus zero_tolerance |
Not configuredNormal (افتراضي)Moderate High High_Plus Zero_Tolerance |
ملاحظة
متوفر في إصدار 101.56.62 Defender لنقطة النهاية أو إصدار أحدث.
تمكين عمليات إرسال العينة التلقائية أو تعطيلها
تحديد ما إذا كانت العينات المشبوهة (التي من المحتمل أن تحتوي على تهديدات) يتم إرسالها إلى Microsoft. هناك ثلاثة مستويات للتحكم في إرسال العينة:
- لا شيء: لا يتم إرسال أي عينات مريبة إلى Microsoft.
- آمن: يتم إرسال العينات المشبوهة التي لا تحتوي على معلومات تعريف شخصية (PII) فقط تلقائيا. هذه هي القيمة الافتراضية لهذا الإعداد.
- الكل: يتم إرسال جميع العينات المشبوهة إلى Microsoft.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | automaticSampleSubmissionConsent |
تمكين عمليات إرسال العينة التلقائية |
| نوع البيانات | سلسلة | القائمة المنسدلة |
| القيم المحتملة | none safe (افتراضي)all |
Not configuredNoneSafe (افتراضي)All |
تمكين تحديثات التحليل الذكي للأمان التلقائية أو تعطيلها
تحديد ما إذا كانت تحديثات التحليل الذكي للأمان مثبتة تلقائيا:
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | automaticDefinitionUpdateEnabled |
تحديثات التحليل الذكي للأمان التلقائي |
| نوع البيانات | منطقي | القائمة المنسدلة |
| القيم المحتملة |
true (افتراضي)false |
Not configuredDisabledEnabled (افتراضي) |
اعتمادا على مستوى الإنفاذ، يتم تثبيت تحديثات التحليل الذكي للأمان التلقائي بشكل مختلف. في وضع RTP، يتم تثبيت التحديثات بشكل دوري. في الوضع السلبي/ عند الطلب، يتم تثبيت تحديثات الوضع قبل كل فحص.
الميزات الاختيارية المتقدمة
يمكن تكوين الإعدادات التالية لتمكين ميزات متقدمة معينة.
هام
قد يؤثر تمكين هذه الميزات على أداء الجهاز. يوصى بالاحتفاظ بالإعدادات الافتراضية ما لم ينصح بدعم Microsoft بخلاف ذلك.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | ملامح | غير متوفر |
| نوع البيانات | القاموس (التفضيل المتداخل) | غير متوفر |
| التعليقات | راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. |
ميزة تحميل الوحدة النمطية
تحديد ما إذا كانت أحداث تحميل الوحدة النمطية (أحداث فتح الملف على المكتبات المشتركة) تتم مراقبتها.
ملاحظة
تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | moduleLoad |
غير متوفر |
| نوع البيانات | سلسلة | غير متوفر |
| القيم المحتملة |
disabled (افتراضي)enabled |
غير متوفر |
| التعليقات | متوفر في إصدار 101.68.80 Defender لنقطة النهاية أو إصدار أحدث. |
معالجة ميزة الملف المصاب
تحديد ما إذا كانت العمليات المصابة التي تفتح أو تحمل أي ملف مصاب سيتم معالجتها أم لا.
ملاحظة
عند التمكين، تتم معالجة العمليات التي تفتح أو تحمل أي ملف مصاب في وضع RTP. لا تظهر هذه العمليات في قائمة التهديدات لأنها ليست ضارة، ولكن يتم إنهاؤها فقط لأنها تقوم بتحميل ملف التهديد في الذاكرة.
| الوصف | قيمة JSON | قيمة مدخل Defender |
|---|---|---|
| المفتاح | remediateInfectedFile | غير متوفر |
| نوع البيانات | سلسلة | غير متوفر |
| القيم المحتملة | معطل (افتراضي) تمكين |
غير متوفر |
| التعليقات | متوفر في إصدار 101.24122.0001 Defender لنقطة النهاية أو إصدار أحدث. |
تكوينات المستشعر التكميلية
يمكن استخدام الإعدادات التالية لتكوين بعض ميزات المستشعر التكميلية المتقدمة.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | supplementarySensorConfigurations |
غير متوفر |
| نوع البيانات | القاموس (التفضيل المتداخل) | غير متوفر |
| التعليقات | راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. |
تكوين مراقبة أحداث أذونات تعديل الملف
تحديد ما إذا كانت أحداث أذونات تعديل الملف (chmod) تتم مراقبتها.
ملاحظة
عند تمكين هذه الميزة، سيقوم Defender لنقطة النهاية بمراقبة التغييرات على وحدات بت التنفيذ من الملفات، ولكن ليس مسح هذه الأحداث ضوئيا. لمزيد من المعلومات، راجع قسم ميزات الفحص المتقدم لمزيد من التفاصيل.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | enableFilePermissionEvents |
غير متوفر |
| نوع البيانات | سلسلة | غير متوفر |
| القيم المحتملة |
disabled (افتراضي)enabled |
غير متوفر |
| التعليقات | متوفر في إصدار 101.23062.0010 Defender لنقطة النهاية أو إصدار أحدث. |
تكوين مراقبة أحداث ملكية تعديل الملف
تحديد ما إذا كانت أحداث تعديل الملف (chown) تتم مراقبتها.
ملاحظة
عند تمكين هذه الميزة، سيراقب Defender لنقطة النهاية التغييرات التي تطرأ على ملكية الملفات، ولكن لا يقوم بفحص هذه الأحداث. لمزيد من المعلومات، راجع قسم ميزات الفحص المتقدم لمزيد من التفاصيل.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | enableFileOwnershipEvents |
غير متوفر |
| نوع البيانات | سلسلة | غير متوفر |
| القيم المحتملة |
disabled (افتراضي)enabled |
غير متوفر |
| التعليقات | متوفر في إصدار 101.23062.0010 Defender لنقطة النهاية أو إصدار أحدث. |
تكوين مراقبة أحداث مأخذ التوصيل الخام
تحديد ما إذا كانت أحداث مأخذ توصيل الشبكة التي تتضمن إنشاء مآخذ توصيل أولية / مآخذ توصيل الحزمة، أو إعداد خيار مأخذ التوصيل، تتم مراقبتها.
ملاحظة
تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك. عند تمكين هذه الميزة، سيقوم Defender لنقطة النهاية بمراقبة أحداث مأخذ توصيل الشبكة هذه، ولكن ليس مسح هذه الأحداث ضوئيا. لمزيد من المعلومات، راجع قسم ميزات المسح المتقدم أعلاه لمزيد من التفاصيل.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | enableRawSocketEvent |
غير متوفر |
| نوع البيانات | سلسلة | غير متوفر |
| القيم المحتملة |
disabled (افتراضي)enabled |
غير متوفر |
| التعليقات | متوفر في إصدار 101.23062.0010 Defender لنقطة النهاية أو إصدار أحدث. |
تكوين مراقبة أحداث محمل التمهيد
تحديد ما إذا كانت أحداث محمل التمهيد تتم مراقبتها ومسحها ضوئيا.
ملاحظة
تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | enableBootLoaderCalls |
غير متوفر |
| نوع البيانات | سلسلة | غير متوفر |
| القيم المحتملة |
disabled (افتراضي)enabled |
غير متوفر |
| التعليقات | متوفر في إصدار 101.68.80 Defender لنقطة النهاية أو إصدار أحدث. |
تكوين مراقبة أحداث ptrace
تحديد ما إذا كانت أحداث ptrace تتم مراقبتها ومسحها ضوئيا.
ملاحظة
تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | enableProcessCalls |
غير متوفر |
| نوع البيانات | سلسلة | غير متوفر |
| القيم المحتملة |
disabled (افتراضي)enabled |
غير متوفر |
| التعليقات | متوفر في إصدار 101.68.80 Defender لنقطة النهاية أو إصدار أحدث. |
تكوين مراقبة الأحداث الزائفة
تحديد ما إذا كانت الأحداث الزائفة تتم مراقبتها ومسحها ضوئيا.
ملاحظة
تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | enablePseudofsCalls |
غير متوفر |
| نوع البيانات | سلسلة | غير متوفر |
| القيم المحتملة |
disabled (افتراضي)enabled |
غير متوفر |
| التعليقات | متوفر في إصدار 101.68.80 Defender لنقطة النهاية أو إصدار أحدث. |
تكوين مراقبة أحداث تحميل الوحدة النمطية باستخدام eBPF
تحديد ما إذا كانت أحداث تحميل الوحدة النمطية تتم مراقبتها باستخدام eBPF ومسحها ضوئيا.
ملاحظة
تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | enableEbpfModuleLoadEvents |
غير متوفر |
| نوع البيانات | سلسلة | غير متوفر |
| القيم المحتملة |
disabled (افتراضي)enabled |
غير متوفر |
| التعليقات | متوفر في إصدار 101.68.80 Defender لنقطة النهاية أو إصدار أحدث. |
تكوين مراقبة الأحداث المفتوحة من أنظمة ملفات معينة باستخدام eBPF
تحديد ما إذا كانت الأحداث المفتوحة من procfs تتم مراقبتها بواسطة eBPF.
ملاحظة
تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | enableOtherFsOpenEvents |
غير متوفر |
| نوع البيانات | سلسلة | غير متوفر |
| القيم المحتملة |
disabled (افتراضي)enabled |
غير متوفر |
| التعليقات | متوفر في إصدار 101.24072.0001 Defender لنقطة النهاية أو إصدار أحدث. |
تكوين إثراء مصدر الأحداث باستخدام eBPF
تحديد ما إذا كان يتم إثراء الأحداث ببيانات التعريف في المصدر في eBPF.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | enableEbpfSourceEnrichment |
غير متوفر |
| نوع البيانات | سلسلة | غير متوفر |
| القيم المحتملة |
disabled (افتراضي)enabled |
غير متوفر |
| التعليقات | متوفر في إصدار 101.24072.0001 Defender لنقطة النهاية أو إصدار أحدث. |
تمكين ذاكرة التخزين المؤقت لمحرك مكافحة الفيروسات
تحديد ما إذا كانت بيانات التعريف للأحداث التي يتم مسحها ضوئيا بواسطة محرك مكافحة الفيروسات مخزنة مؤقتا أم لا.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | enableAntivirusEngineCache |
غير متوفر |
| نوع البيانات | سلسلة | غير متوفر |
| القيم المحتملة |
disabled (افتراضي)enabled |
غير متوفر |
| التعليقات | متوفر في إصدار 101.24072.0001 Defender لنقطة النهاية أو إصدار أحدث. |
الإبلاغ عن أحداث AV المشبوهة إلى EDR
تحديد ما إذا كان يتم الإبلاغ عن الأحداث المشبوهة من برنامج مكافحة الفيروسات إلى EDR.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | sendLowfiEvents |
غير متوفر |
| نوع البيانات | سلسلة | غير متوفر |
| القيم المحتملة |
disabled (افتراضي)enabled |
غير متوفر |
| التعليقات | متوفر في إصدار 101.23062.0010 Defender لنقطة النهاية أو إصدار أحدث. |
تكوينات حماية الشبكة
ملاحظة
هذه ميزة معاينة. لكي تكون هذه فعالة، يجب تشغيل Network Protection. لمزيد من المعلومات، راجع تشغيل حماية الشبكة لنظام التشغيل Linux.
يمكن استخدام الإعدادات التالية لتكوين ميزات فحص حماية الشبكة المتقدمة للتحكم في نسبة استخدام الشبكة التي يتم فحصها بواسطة Network Protection.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | networkProtection |
حماية الشبكة |
| نوع البيانات | القاموس (التفضيل المتداخل) | مقطع مطوي |
| التعليقات | راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. | راجع الأقسام التالية للحصول على وصف لإعدادات النهج. |
مستوى الإنفاذ
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | enforcementLevel |
مستوى الإنفاذ |
| نوع البيانات | سلسلة | القائمة المنسدلة |
| القيم المحتملة |
disabled (افتراضي)audit block |
Not configureddisabled (افتراضي)auditblock |
تكوين فحص ICMP
تحديد ما إذا كانت أحداث ICMP تتم مراقبتها ومسحها ضوئيا.
ملاحظة
تنطبق هذه الميزة فقط عند تمكين مراقبة السلوك.
| الوصف | قيمة JSON | قيمة مدخل Microsoft Defender |
|---|---|---|
| المفتاح | disableIcmpInspection |
غير متوفر |
| نوع البيانات | منطقي | غير متوفر |
| القيم المحتملة |
true (افتراضي)false |
غير متوفر |
| التعليقات | متوفر في إصدار 101.23062.0010 Defender لنقطة النهاية أو إصدار أحدث. |
إضافة العلامة أو معرف المجموعة إلى ملف تعريف التكوين
عند تشغيل mdatp health الأمر للمرة الأولى، ستكون قيمة العلامة ومعرف المجموعة فارغة. لإضافة العلامة mdatp_managed.json أو معرف المجموعة إلى الملف، اتبع الخطوات التالية:
افتح ملف تعريف التكوين من المسار
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json.انتقل لأسفل إلى أسفل الملف، حيث
cloudServiceتوجد الكتلة.أضف العلامة المطلوبة أو معرف المجموعة على النحو التالي في نهاية قوس الإغلاق المتعرج ل
cloudService.}, "cloudService": { "enabled": true, "diagnosticLevel": "optional", "automaticSampleSubmissionConsent": "safe", "automaticDefinitionUpdateEnabled": true, "proxy": "http://proxy.server:port/" }, "edr": { "groupIds":"GroupIdExample", "tags": [ { "key": "GROUP", "value": "Tag" } ] } }ملاحظة
أضف الفاصلة بعد قوس الإغلاق المتعرج في نهاية
cloudServiceالكتلة. تأكد أيضا من وجود قوسين متعرجين مغلقين بعد إضافة كتلة Tag أو Group ID (يرجى الاطلاع على المثال أعلاه). في الوقت الحالي، اسم المفتاح الوحيد المدعوم للعلامات هوGROUP.
التحقق من صحة ملف تعريف التكوين
يجب أن يكون ملف تعريف التكوين ملفا صالحا بتنسيق JSON. هناك العديد من الأدوات التي يمكن استخدامها للتحقق من ذلك. على سبيل المثال، إذا قمت python بتثبيته على جهازك:
python -m json.tool mdatp_managed.json
إذا كان JSON جيد التكوين، يقوم الأمر أعلاه بإخراجه مرة أخرى إلى المحطة الطرفية وإرجاع رمز خروج من 0. وإلا، يتم عرض خطأ يصف المشكلة ويعيد الأمر رمز خروج من 1.
التحقق من أن ملف mdatp_managed.json يعمل كما هو متوقع
للتحقق من أن عملك /etc/opt/microsoft/mdatp/managed/mdatp_managed.json يعمل بشكل صحيح، يجب أن ترى "[مدار]" بجوار هذه الإعدادات:
cloud_enabledcloud_automatic_sample_submission_consentpassive_mode_enabledreal_time_protection_enabledautomatic_definition_update_enabled
ملاحظة
لا يلزم إعادة تشغيل البرنامج الخفي mdatp حتى تسري التغييرات على معظم التكوينات mdatp_managed.json .
استثناء: تتطلب التكوينات التالية إعادة تشغيل البرنامج الخفي حتى يصبح ساري المفعول:
cloud-diagnosticlog-rotation-parameters
توزيع ملف تعريف التكوين
بمجرد إنشاء ملف تعريف التكوين لمؤسستك، يمكنك توزيعه من خلال أداة الإدارة التي تستخدمها مؤسستك. يقرأ Defender لنقطة النهاية على Linux التكوين المدار من /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.