在 Linux 上的 Microsoft Defender for Endpoint 中配置安全设置

Linux 上的Microsoft Defender for Endpoint包括防病毒、反恶意软件保护、终结点检测和响应功能。 本文总结了要配置的重要安全设置，并包含指向其他资源的链接。

用于配置安全设置的选项

若要在 Linux 上的 Defender for Endpoint 中配置安全设置，有两个主要选项：

• 使用 Microsoft Defender 门户 (Defender for Endpoint 安全设置管理)

  或

• 使用配置文件

可以使用命令行配置特定设置、收集诊断、运行扫描等。 有关详细信息，请参阅Linux资源：使用命令行进行配置。

Defender for Endpoint 安全设置管理

可以使用 Defender for Endpoint 安全设置管理在 Microsoft Defender 门户中的 Linux (https://security.microsoft.com) 配置 Defender for Endpoint。 有关详细信息，包括如何创建、编辑和验证安全策略，请参阅使用Microsoft Defender for Endpoint安全设置管理来管理Microsoft Defender防病毒。

配置文件

可以通过使用文件的配置文件在 Linux 上配置 Defender for Endpoint 中的.json设置。 设置配置文件后，可以使用所选的管理工具进行部署。 企业管理的首选项优先于设备上本地设置的首选项。

换句话说，企业中的用户无法更改通过此配置文件设置的首选项。 如果通过托管配置文件添加排除项，则只能通过托管配置文件将其删除。 命令行适用于本地添加的排除项。

本文介绍此配置文件的结构 (包括可用于开始) 的建议配置文件，以及有关如何部署配置文件的说明。

配置文件结构

配置文件是由 .json 键 (标识的条目组成的文件，它表示首选项) 的名称，后跟一个值，该值取决于首选项的性质。 值可以是简单 (例如数值) 或复杂 (例如，) 首选项的嵌套列表。

通常，使用配置管理工具将名为 mdatp_managed.json 的文件推送到位置 /etc/opt/microsoft/mdatp/managed/。

配置文件的顶层包括产品范围的首选项和产品子区域条目，后续部分将更详细地介绍这些内容。

建议的配置文件

本部分包括两个配置文件示例：

• 示例配置文件 ，可帮助你开始使用建议的设置。
• 需要更精细地控制安全设置的组织的完整配置文件示例。

若要开始，我们建议为组织使用第一个示例配置文件。 若要进行更精细的控制，可以改用 完整的配置文件示例 。

示例配置文件

以下配置文件可帮助你利用 Linux 上的 Defender for Endpoint 中的重要保护功能。 配置文件包括以下配置：

• (RTP) 启用实时保护。
• 指定如何处理以下威胁类型：
  • puA) (可能不需要的应用程序会被阻止。
  • 存档具有高压缩率) 的炸弹 (文件将审核到产品日志中。
• 启用自动安全智能更新。
• 启用云提供的保护。
• 在级别启用自动示例提交 safe 。

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

完整配置文件示例

以下配置文件包含本文中所述的所有设置的条目，可用于需要更多控制的高级方案。

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":true,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefinitionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"disabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

Linux上的 Defender for Endpoint 中的防病毒、反恶意软件和 EDR 设置

无论是使用配置文件 (.json 文件) 还是Microsoft Defender门户 (安全设置管理) ，都可以在 Linux 上的 Defender for Endpoint 中配置防病毒、反恶意软件和 EDR 设置。 以下部分介绍了在何处以及如何配置设置。

防病毒引擎首选项

配置文件的 防病毒Engine 部分管理产品的防病毒组件的首选项。

有关字典内容和策略属性的说明，请参阅以下小节。

Microsoft Defender防病毒的强制级别

指定防病毒引擎的强制首选项。 设置强制级别有三个值：

• 实时 (real_time) ：实时保护 (在启用) 修改文件时扫描这些文件。

• 按需 (on_demand) ：仅按需扫描Files：

  • 实时保护已关闭。
  • 定义更新仅在扫描开始时发生，即使在 automaticDefinitionUpdateEnabled 按需模式下设置为 true 也是如此。

• 被动 (passive) ：在被动模式下运行防病毒引擎：

  • 实时保护已关闭。 Microsoft Defender防病毒不会修正威胁。
  • 按需扫描已打开。 扫描功能在设备上仍可用。
  • 自动威胁修正已关闭。 不会移动任何文件，安全管理员应采取所需的操作。
  • 安全智能更新处于打开状态。 警报在安全管理员的组织中可用。
  • 定义更新仅在扫描开始时发生，即使 automaticDefinitionUpdateEnabled 设置为 true也是如此。
  • EDR) 打开 (终结点检测和响应 。 设备上命令的mdatp health输出针对 engine_load_version 属性显示engine not loaded。 该引擎与防病毒相关，而不是 EDR。

如果启用了 RTP，则启用或禁用行为监视 ()

指定是在设备上启用或禁用行为监视和阻止功能。

更新定义后运行扫描

指定在设备上下载新的安全智能更新后是否启动进程扫描。 启用此设置会在设备的正在运行的进程上触发防病毒扫描。

仅扫描存档 (按需防病毒扫描)

指定是否在 按需防病毒扫描期间扫描存档。

按需扫描的并行度

指定按需扫描的并行度。 此设置对应于扫描使用的处理器线程数。 此设置会影响 CPU 使用率和按需扫描的持续时间。

排除合并策略

指定是否在设备上使用用户定义的排除项。 有效值包含:

• admin_only：仅使用 Defender for Endpoint 策略配置的管理员定义的排除项。 使用此值可防止用户定义自己的排除项。
• merge：使用管理员定义的排除项和用户定义的排除项的组合。

扫描排除项

从扫描中排除的实体。 将排除项指定为项数组。 管理员可以根据需要按任意顺序指定任意数量的元素。 使用完整路径、扩展名或文件名指定排除项。

有关字典内容的说明，请参阅以下小节。

排除类型

指定从扫描中排除的内容的类型。

已排除内容的路径

按完整文件路径从扫描中排除内容。

路径类型 (文件/目录)

指定 路径 属性是引用文件还是目录。

从扫描中排除的文件扩展名

按文件扩展名从扫描中排除内容。

从扫描中排除的进程

指定从扫描中排除所有文件活动的进程。 可以按名称 (指定进程，例如， cat) 或完整路径 (/bin/cat 例如) 。

将非exec 装载设为静音

指定 RTP 在标记为 noexec的装入点上的行为。 有效值包含:

• 未静音 (unmute) ：所有装入点都作为 RTP 的一部分进行扫描。 此值为默认值。
• 已静音 (mute) ：标记为 noexec 的装入点不会作为 RTP 的一部分进行扫描。
  • 数据库服务器可以保留数据库文件。
  • 文件服务器可以保留数据文件装入点。
  • 备份可以保留数据文件装入点。

Unmonitor 文件系统

指定不在 RTP) (监视的文件系统。 Microsoft Defender防病毒中的快速扫描、完整扫描和自定义扫描仍会扫描指定的文件系统。

在未受监视的列表中添加或删除文件系统时，Microsoft验证文件系统是否有资格通过 RTP 监视 (从列表中删除) ，或者没有 RTP 监视 (添加到列表) 。

• 默认情况下，以下文件系统由 RTP 监视：

  • btrfs
  • ecryptfs
  • ext2
  • ext3
  • ext4
  • fuseblk
  • jfs
  • overlay
  • ramfs
  • reiserfs
  • tmpfs
  • vfat
  • xfs

• 默认情况下，以下文件系统不受 RTP 监视：

  • cifs^*
  • fuse
  • nfs
  • nfs4^*
  • smb^*

  这些文件系统也不受快速扫描和完全扫描的监视，但可以通过自定义扫描进行扫描。

  ^* 目前，此文件系统的 RTP 监视以预览版提供。

例如，若要从未受监视的文件系统列表中删除 nfs 和 nfs4 ， (这意味着 nfs 并在 nfs4 验证) 后由 RTP 监视，请使用以下条目更新托管配置文件：

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["cifs","fuse","smb"]
  }
}

若要从不受监视的文件系统列表中删除所有条目，请使用以下条目：

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

配置文件哈希计算功能

为 Defender for Endpoint 扫描的文件启用或禁用文件哈希计算。 启用此功能可能会影响设备性能。 有关详细信息，请参阅 为文件创建指示器。

允许的威胁

指定 Defender for Endpoint 未阻止的威胁的名称。 相反，允许运行这些威胁。

不允许的威胁操作

在检测到威胁时限制设备用户允许的操作。 此列表中包含的操作不会显示在用户界面中。

威胁类型设置

控制某些威胁类型的处理方式。

有关字典内容的说明，请参阅以下小节。

威胁类型

指定威胁的类型。

要采取的措施

指定在检测到以前指定的威胁类型时执行的操作。 有效值包含:

• 审核：设备不受此类威胁的保护，但会记录有关威胁的条目。 此值为默认值。
• 阻止：设备受到保护，免受此类威胁，并在Microsoft Defender门户中收到通知。
• 关闭：设备不受此类威胁的保护，并且不会记录任何内容。

威胁类型设置合并策略

指定是否在设备上使用用户定义的威胁类型设置。 有效值包含:

• admin_only：仅使用管理员定义的威胁类型设置。 使用此值可防止用户定义自己的威胁类型设置。
• merge：使用管理员定义和用户定义的威胁类型设置的组合。

防病毒扫描历史记录保留期 (天)

指定结果在设备上的扫描历史记录中保留的天数。 旧扫描结果将从历史记录中删除。 旧的隔离文件也会从磁盘中删除。

防病毒扫描历史记录中的最大项目数

指定要在扫描历史记录中保留的最大条目数。 条目包括所有按需扫描和所有防病毒检测。

排除设置首选项

exclusionSettings配置文件的 部分为Linux配置各种Microsoft Defender for Endpoint排除项。

有关字典内容的说明，请参阅以下部分。|

合并策略

排除合并策略

指定是否在设备上使用用户定义的排除项。 有效值包含:

• admin_only：仅使用 Defender for Endpoint 策略配置的管理员定义的排除项。 使用此值可防止用户定义自己的排除项。
• merge：使用管理员定义的排除项和用户定义的排除项的组合。

此设置适用于所有范围的排除项。

排除项

从扫描中排除的实体。 将排除项指定为项数组。 管理员可以根据需要按任意顺序指定任意数量的元素。 使用完整路径、扩展名或文件名指定排除项。 对于每个排除项，可以指定一个范围。 默认范围是 全局范围。

有关字典内容的说明，请参阅以下小节。

排除类型

指定从扫描中排除的内容的类型。

排除范围 (可选)

指定已排除内容的排除范围。 有效值包含:

• epp
• global

如果未在托管配置中指定排除范围，则使用 值 global 。

已排除内容的路径

通过完整文件路径从扫描中排除内容。

路径类型 (文件/目录)

指定 路径 属性是引用文件还是目录。

从扫描中排除的文件扩展名

按文件扩展名从扫描中排除内容。

从扫描中排除的进程

从扫描中排除进程的所有文件活动。 有效值包含:

• 进程名称。 例如，cat。
• 完整路径。 例如，/bin/cat。

高级扫描选项

可以配置以下设置以启用某些高级扫描功能。

配置文件修改权限事件的扫描

指定 Defender for Endpoint 在权限更改以设置执行位时是否扫描文件。

配置文件修改所有权事件的扫描

指定 Defender for Endpoint 是否扫描所有权已更改的文件。

配置原始套接字事件的扫描

指定 Defender for Endpoint 是否扫描网络套接字事件。 例如：

• 创建原始套接字/数据包套接字。
• 设置套接字选项。

云提供的保护首选项

配置文件中的 cloudService 条目配置云驱动的保护功能。

有关字典内容和策略设置的说明，请参阅以下小节。

启用或禁用云提供的保护

指定是否在设备上启用云提供的保护。 为了提高安全性，我们建议保持此功能处于打开状态。

诊断集合级别

指定发送到Microsoft的诊断信息级别。 有关详细信息，请参阅 Linux 上的Microsoft Defender for Endpoint隐私。

诊断数据用于保持 Defender for Endpoint 的安全和最新、检测、诊断和修复问题，以及进行产品改进。

配置云块级别

指定 Defender for Endpoint 在阻止和扫描可疑文件时的积极性。 有效值包含:

• 普通 (normal) ：默认值为 。
• 中等 (moderate) ：仅针对高置信度检测提供判决。
• 高 (high) ：在优化性能的同时积极阻止未知文件。 此值更有可能阻止不和谐的文件。
• 高加 (high_plus) ：主动阻止未知文件并应用额外的保护措施。 此值可能会影响客户端设备性能。
• 零容忍 (zero_tolerance) ：阻止所有未知程序。

如果此设置处于打开状态，则识别要阻止和扫描的可疑文件时，Defender for Endpoint 会更加主动。 否则，其攻击性较低，因此阻止和扫描的频率较低。

启用或禁用自动示例提交

指定是否将可疑样本 (可能包含威胁) 发送到Microsoft。 有效值包含:

• 无：不会向Microsoft提交可疑样本。
• 安全：仅自动提交不包含个人信息的可疑样本。 此值为默认值。
• 全部：所有可疑样本均提交到Microsoft。

启用或禁用自动安全智能更新

指定是否自动安装安全智能更新。

根据强制级别，自动安全智能更新的安装方式不同。 在 RTP 模式下，会定期安装更新。 在被动或按需模式下，每次扫描之前都会安装更新。

高级可选功能

使用以下设置启用某些高级可选功能。

有关字典内容的说明，请参阅以下小节。

模块加载功能

指定是否监视模块加载事件 (共享库上的文件打开事件) 。

修正受感染的文件功能

指定是否在 RTP 模式下修正打开或加载受感染文件的受感染进程。

补充传感器配置

使用以下设置配置某些高级补充传感器功能。

有关字典内容的说明，请参阅以下部分。

配置文件修改权限事件的监视

指定是否监视文件修改权限事件 (chmod) 。

配置文件修改所有权事件的监视

指定是否监视文件修改所有权事件 (chown) 。

配置原始套接字事件的监视

指定是否监视涉及创建原始套接字/数据包套接字或设置套接字选项的网络套接字事件。

配置启动加载程序事件的监视

指定是否监视和扫描启动加载程序事件。

配置 ptrace 事件的监视

指定是否监视和扫描 ptrace 事件。

配置伪fs 事件的监视

指定是否监视和扫描伪事件。

使用 eBPF 配置模块负载事件的监视

指定是否由 eBPF 监视和扫描模块负载事件。

使用 eBPF 配置对来自特定文件系统的打开事件的监视

指定 eBPF 是否监视 procfs 中的打开事件。

使用 eBPF 配置事件的源扩充

指定是否使用 eBPF 中源处的元数据扩充事件。

启用防病毒引擎缓存

指定是否缓存防病毒引擎扫描的事件的元数据。

向 EDR 报告可疑防病毒事件

指定是否向 EDR 报告来自防病毒的可疑事件。

网络保护配置

使用以下设置配置高级网络保护检查功能，以控制网络保护检查的流量。

有关字典内容的说明，请参阅以下小节。

强制级别

配置 ICMP 检查

指定是否监视和扫描 ICMP 事件。

将标记或组 ID 添加到配置文件

首次运行 mdatp health 命令时，标记和组 ID 值为空。 若要向文件添加标记或组 ID mdatp_managed.json ，请执行以下步骤：

1. 从路径 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json打开配置文件。

2. cloudService在文件底部的 块中，在块的右大括号cloudService末尾添加所需的标记或组 ID，如以下示例所示。

   },
   "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
   },
   "edr": {
   "groupIds":"GroupIdExample",
   "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
   }
   

   注意

   • 在块末尾 cloudService 的右大括号后面添加逗号。
   • 验证添加 tags 或 groupIds 块后是否有两个右大括号，如示例中所示。
   • 目前，标记唯一支持的键名称是 GROUP。

配置文件验证

配置文件必须是有效的 JSON 格式文件。 可以使用许多工具来验证配置文件。 例如，如果已在 python 设备上安装，请运行以下命令：

python -m json.tool mdatp_managed.json

如果文件格式正确，命令将返回退出代码 0。 否则，将显示错误，命令返回退出代码 1。

验证mdatp_managed.json文件是否按预期工作

若要验证是否 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json 正常工作，应在以下设置旁边看到 [managed] ：

• cloud_enabled
• cloud_automatic_sample_submission_consent
• passive_mode_enabled
• real_time_protection_enabled
• automatic_definition_update_enabled

配置文件部署

为组织创建配置文件后，可以使用当前的管理工具对其进行部署。 Linux 上的 Defender for Endpoint 从 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json读取托管配置。