تكوين الاستثناءات والتحقق من صحتها Microsoft Defender لنقطة النهاية على Linux

توفر هذه المقالة معلومات حول كيفية تعريف الحماية من الفيروسات والاستثناءات العمومية Microsoft Defender لنقطة النهاية. تنطبق استثناءات مكافحة الفيروسات على عمليات الفحص عند الطلب والحماية في الوقت الحقيقي (RTP) ومراقبة السلوك (BM). تنطبق الاستثناءات العالمية على الحماية في الوقت الحقيقي (RTP) ومراقبة السلوك (BM) واكتشاف نقطة النهاية والاستجابة لها (EDR)، وبالتالي إيقاف جميع عمليات الكشف عن مكافحة الفيروسات المقترنة وتنبيهات EDR والرؤية للعنصر المستبعد.

هام

تنطبق استثناءات مكافحة الفيروسات الموضحة في هذه المقالة على قدرات مكافحة الفيروسات فقط، وليس على الكشف عن نقطة النهاية والاستجابة لها (EDR). لا يزال بإمكان الملفات التي تستبعدها باستخدام استثناءات مكافحة الفيروسات الموضحة في هذه المقالة أن تؤدي إلى تنبيهات EDR واكتشافات أخرى. تنطبق الاستثناءات العالمية الموضحة في هذا القسم على قدرات مكافحة الفيروسات وEDR، وبالتالي إيقاف جميع الحماية من الفيروسات وتنبيهات EDR والكشف عنها. تتوفر الاستثناءات العمومية في الإنتاج ل Defender لنقطة النهاية على Linux أو الإصدار 101.23092.0012 أو أحدث. للحصول على استثناءات EDR فقط، اتصل بالدعم.

يمكنك استبعاد ملفات ومجلدات وعمليات وملفات مفتوحة للعمليات معينة من Defender لنقطة النهاية على Linux.

يمكن أن تكون الاستثناءات مفيدة لتجنب الاكتشافات غير الصحيحة على الملفات أو البرامج الفريدة أو المخصصة لمؤسستك. الاستثناءات العمومية مفيدة للتخفيف من مشكلات الأداء التي يسببها Defender لنقطة النهاية على Linux.

تحذير

يؤدي تحديد الاستثناءات إلى خفض الحماية التي يوفرها Defender لنقطة النهاية على Linux. يجب عليك دائما تقييم المخاطر المرتبطة بتنفيذ الاستثناءات، ويجب عليك فقط استبعاد الملفات التي تثق بأنها ليست ضارة.

هام

إذا كنت ترغب في تشغيل حلول أمان متعددة جنبا إلى جنب، فشاهد اعتبارات الأداء والتكوين والدعم.

ربما تكون قد قمت بالفعل بتكوين استثناءات الأمان المتبادل للأجهزة التي تم إلحاقها Microsoft Defender لنقطة النهاية. إذا كنت لا تزال بحاجة إلى تعيين استثناءات متبادلة لتجنب التعارضات، فشاهد إضافة Microsoft Defender لنقطة النهاية إلى قائمة الاستبعاد للحل الحالي.

نطاقات الاستبعاد المدعومة

كما هو موضح في قسم سابق، ندعم نطاقي استبعاد: الحماية من الفيروسات (epp) والاستثناءات العمومية (global).

يمكن استخدام استثناءات مكافحة الفيروسات لاستبعاد الملفات والعمليات الموثوق بها من الحماية في الوقت الحقيقي مع الاستمرار في رؤية EDR. يتم تطبيق الاستثناءات العالمية على مستوى المستشعر وكتم الأحداث التي تطابق ظروف الاستبعاد في وقت مبكر من التدفق، قبل إجراء أي معالجة، وبالتالي إيقاف جميع تنبيهات EDR واكتشافات مكافحة الفيروسات.

ملاحظة

Global (global) هو نطاق استبعاد جديد نقدمه بالإضافة إلى نطاقات استبعاد مكافحة الفيروسات (epp) التي تدعمها Microsoft بالفعل.

فئة الاستبعاد	نطاق الاستبعاد	الوصف
استبعاد برنامج الحماية من الفيروسات	محرك مكافحة الفيروسات (النطاق: epp)	يستبعد الأحداث من عمليات الفحص عند الطلب والحماية في الوقت الحقيقي (RTP) ومراقبة السلوك (BM).
الاستبعاد العالمي	مكافحة الفيروسات واكتشافات نقطة النهاية ومحرك الاستجابة (النطاق: عمومي)	يستبعد الأحداث من الحماية في الوقت الحقيقي ورؤية EDR. لا ينطبق على عمليات الفحص عند الطلب بشكل افتراضي.

هام

لا تنطبق الاستثناءات العمومية على حماية الشبكة، لذلك ستظل التنبيهات التي تم إنشاؤها بواسطة حماية الشبكة مرئية. لاستبعاد العمليات من حماية الشبكة، يرجى استخدام mdatp network-protection exclusion

أنواع الاستبعاد المدعومة

يعرض الجدول التالي أنواع الاستبعاد التي يدعمها Defender لنقطة النهاية على Linux.

الاستبعاد	التعريف	أمثلة
ملحق الملف	جميع الملفات ذات الملحق، في أي مكان على الجهاز (غير متوفرة للاستبعادات العمومية)	.test
ملف	ملف محدد تم تحديده بواسطة المسار الكامل	/var/log/test.log /var/log/*.log /var/log/install.?.log
المجلد	كافة الملفات ضمن المجلد المحدد (بشكل متكرر)	/var/log/ /var/*/
عمليه	عملية معينة (محددة إما بواسطة المسار الكامل أو اسم الملف) وجميع الملفات التي فتحتها. يمكن إضافة استثناءات مكافحة الفيروسات باستخدام مسار كامل أو اسم ملف، ولكن بالنسبة للاستبعادات العمومية، استخدم مسارات تشغيل العملية الكاملة والموثوق بها فقط. في كلتا الحالتين، يوصى باستخدام المسار الكامل.	/bin/cat cat c?t

هام

يجب أن تكون المسارات المستخدمة ارتباطات ثابتة، وليست ارتباطات رمزية، حتى يتم استبعادها بنجاح. يمكنك التحقق مما إذا كان المسار ارتباطا رمزيا عن طريق تشغيل file <path-name>. عند تنفيذ استثناءات العمليات العالمية، استبعد فقط ما هو ضروري لضمان موثوقية النظام وأمانه. تحقق من أن العملية معروفة وموثوق بها، وحدد المسار الكامل إلى موقع العملية، وتأكد من أن العملية سيتم تشغيلها باستمرار من نفس المسار الكامل الموثوق به.

تدعم استثناءات الملفات والمجلدات والعملية أحرف البدل التالية:

بدل	الوصف	أمثلة
*	يطابق أي عدد من الأحرف بما في ذلك لا شيء (لاحظ أنه إذا لم يتم استخدام حرف البدل هذا في نهاية المسار، فإنه يحل محل مجلد واحد فقط)	/var/*/tmp يتضمن أي ملف في /var/abc/tmp ودلائله الفرعية ودلائله /var/def/tmp الفرعية. لا يتضمن /var/abc/log أو /var/def/log /var/*/ يتضمن فقط أي ملفات في الدلائل الفرعية الخاصة به مثل /var/abc/، ولكن ليس الملفات الموجودة مباشرة داخل /var.
?	يطابق أي حرف واحد	file?.log يتضمن file1.log و file2.log، ولكن ليسfile123.log

ملاحظة

أحرف البدل غير مدعومة أثناء تكوين الاستثناءات العمومية. بالنسبة لاستبعادات مكافحة الفيروسات، عند استخدام حرف البدل * في نهاية المسار، فإنه يطابق جميع الملفات والدلائل الفرعية ضمن أصل حرف البدل. يجب أن يكون مسار الملف موجودا قبل إضافة استثناءات الملفات أو إزالتها مع النطاق ك عمومي.

كيفية تكوين قائمة الاستثناءات

يمكنك تكوين الاستثناءات باستخدام تكوين JSON للإدارة أو إدارة إعدادات أمان Defender لنقطة النهاية أو سطر الأوامر.

استخدام وحدة تحكم الإدارة

في بيئات المؤسسة، يمكن أيضا إدارة الاستثناءات من خلال ملف تعريف التكوين. عادة، يمكنك استخدام أداة إدارة تكوين مثل Puppet أو Ansible أو وحدة تحكم إدارة أخرى لدفع ملف بالاسم mdatp_managed.json في الموقع /etc/opt/microsoft/mdatp/managed/. لمزيد من المعلومات، راجع تعيين تفضيلات Defender لنقطة النهاية على Linux. يرجى الرجوع إلى العينة التالية من mdatp_managed.json.

{
   "exclusionSettings":{
     "exclusions":[
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/home/*/git<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/run<EXAMPLE DO NOT USE>",
           "scopes": [
              "global"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":false,
           "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
           "scopes": [
              "epp", "global"
           ]
        },
        {
           "$type":"excludedFileExtension",
           "extension":".pdf<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedFileName",
           "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
        }
     ],
     "mergePolicy":"admin_only"
   }
}

استخدام إدارة إعدادات أمان Defender لنقطة النهاية

ملاحظة

تأكد من مراجعة المتطلبات الأساسية: متطلبات إدارة إعدادات أمان Defender لنقطة النهاية

يمكنك استخدام مركز إدارة Microsoft Intune أو مدخل Microsoft Defender لإدارة الاستثناءات كنهج أمان لنقطة النهاية وتعيين هذه النهج لمجموعات Microsoft Entra ID. إذا كنت تستخدم هذا الأسلوب للمرة الأولى، فتأكد من إكمال الخطوات التالية:

1. تكوين المستأجر لدعم إدارة إعدادات الأمان

1. في مدخل Microsoft Defender، انتقل إلى Settings>Endpoints>Configuration Management>Enforcement Scope، ثم حدد نظام Linux الأساسي.

2. وضع علامة على الأجهزة باستخدام العلامة MDE-Management . تسجل معظم الأجهزة النهج وتتلقىه في غضون دقائق، على الرغم من أن بعضها قد يستغرق ما يصل إلى 24 ساعة. لمزيد من المعلومات، راجع التعرف على كيفية استخدام نهج أمان نقطة النهاية Intune لإدارة Microsoft Defender لنقطة النهاية على الأجهزة غير المسجلة مع Intune.

2. إنشاء مجموعة Microsoft Entra

قم بإنشاء مجموعة Microsoft Entra ديناميكية استنادا إلى نوع نظام التشغيل للتأكد من أن جميع الأجهزة المضمنة في Defender لنقطة النهاية تتلقى النهج المناسبة. تتضمن هذه المجموعة الديناميكية تلقائيا الأجهزة التي يديرها Defender لنقطة النهاية، مما يلغي حاجة المسؤولين إلى إنشاء نهج جديدة يدويا. لمزيد من المعلومات، راجع المقالة التالية: إنشاء مجموعات Microsoft Entra

3. إنشاء نهج أمان نقطة النهاية

1. في مدخل Microsoft Defender، انتقل إلى نهجأمان نقطة النهايةلإدارة> تكوين نقاط> النهاية، ثم حدد إنشاء نهج جديد.

2. بالنسبة للنظام الأساسي، حدد Linux.

3. حدد قالب الاستبعاد المطلوب (Microsoft defender global exclusions (AV+EDR) للاستبعادات العمومية واستثناءات Microsoft defender antivirus exclusions مكافحة الفيروسات)، ثم حدد إنشاء نهج.

4. في صفحة الأساسيات ، أدخل اسما ووصفا لملف التعريف، ثم اختر التالي.

5. في صفحة الإعدادات ، قم بتوسيع كل مجموعة من الإعدادات، وقم بتكوين الإعدادات التي تريد إدارتها باستخدام ملف التعريف هذا.

6. عند الانتهاء من تكوين الإعدادات، حدد التالي.

7. في صفحة الواجبات ، حدد المجموعات التي تتلقى ملف التعريف هذا. ثم حدد التالي.

8. في صفحة Review + create ، عند الانتهاء، حدد Save. يتم عرض ملف التعريف الجديد في القائمة عند تحديد نوع النهج لملف التعريف الذي أنشأته.

لمزيد من المعلومات، راجع: إدارة نهج أمان نقطة النهاية في Microsoft Defender لنقطة النهاية.

استخدام سطر الأوامر

قم بتشغيل الأمر التالي لمشاهدة المفاتيح المتوفرة لإدارة الاستثناءات:

mdatp exclusion

ملاحظة

--scope هي علامة اختيارية بقيمة مقبولة ك epp أو global. يوفر نفس النطاق المستخدم أثناء إضافة الاستبعاد لإزالة نفس الاستبعاد. في نهج سطر الأوامر، إذا لم يذكر النطاق، يتم تعيين قيمة النطاق على أنها epp. تظل الاستثناءات المضافة من خلال CLI قبل إدخال العلامة --scope غير متأثرة ويتم اعتبار eppنطاقها .

تلميح

عند تكوين الاستثناءات باستخدام أحرف البدل، قم بإحاطة المعلمة بعلامات اقتباس مزدوجة لمنع الكآبة.

يتضمن هذا القسم عدة أمثلة.

مثال 1: إضافة استثناء لملحق ملف

يمكنك إضافة استثناء لملحق ملف. ضع في اعتبارك أن استثناءات الملحق غير مدعومة لنطاق الاستبعاد العالمي.

mdatp exclusion extension add --name .txt

Extension exclusion configured successfully

mdatp exclusion extension remove --name .txt

Extension exclusion removed successfully

مثال 2: إضافة استثناء ملف أو إزالته

يمكنك إضافة استثناء لملف أو إزالته. يجب أن يكون مسار الملف موجودا بالفعل إذا كنت تقوم بإضافة استثناء أو إزالته باستخدام النطاق العمومي.

mdatp exclusion file add --path /var/log/dummy.log --scope epp

File exclusion configured successfully

mdatp exclusion file remove --path /var/log/dummy.log --scope epp

File exclusion removed successfully"

mdatp exclusion file add --path /var/log/dummy.log --scope global

File exclusion configured successfully

mdatp exclusion file remove --path /var/log/dummy.log --scope global

File exclusion removed successfully"

مثال 3: إضافة استثناء مجلد أو إزالته

يمكنك إضافة استثناء لمجلد أو إزالته.

mdatp exclusion folder add --path /var/log/ --scope epp

Folder exclusion configured successfully

mdatp exclusion folder remove --path /var/log/ --scope epp

Folder exclusion removed successfully

mdatp exclusion folder add --path /var/log/ --scope global

Folder exclusion configured successfully

mdatp exclusion folder remove --path /var/log/ --scope global

Folder exclusion removed successfully

مثال 4: إضافة استثناء لمجلد ثان

يمكنك إضافة استثناء لمجلد ثان.

mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder  --scope global

Folder exclusion configured successfully

مثال 5: إضافة استثناء مجلد باستخدام حرف بدل

يمكنك إضافة استثناء لمجلد بحرف بدل. ضع في اعتبارك أن أحرف البدل غير مدعومة أثناء تكوين الاستثناءات العمومية.

mdatp exclusion folder add --path "/var/*/tmp"

يستبعد الأمر السابق المسارات ضمن */var/*/tmp/*، ولكن ليس المجلدات التابعة ل *tmp*. على سبيل المثال، */var/this-subfolder/tmp* مستبعد، ولكنه */var/this-subfolder/log* غير مستبعد.

mdatp exclusion folder add --path "/var/" --scope epp

او

mdatp exclusion folder add --path "/var/*/" --scope epp

يستبعد الأمر السابق جميع المسارات الأصل الخاصة بها ، */var/*مثل */var/this-subfolder/and-this-subfolder-as-well*.

Folder exclusion configured successfully

مثال 6: إضافة استثناء لعملية

يمكنك إضافة استثناء لعملية.

mdatp exclusion process add --path /usr/bin/cat --scope global 

Process exclusion configured successfully

mdatp exclusion process remove --path /usr/bin/cat  --scope global

ملاحظة

يتم دعم المسار الكامل فقط لإعداد استبعاد العملية مع global النطاق. استخدام العلامة فقط --path

Process exclusion removed successfully

mdatp exclusion process add --name cat --scope epp 

Process exclusion configured successfully

mdatp exclusion process remove --name cat --scope epp

Process exclusion removed successfully

مثال 7: إضافة استثناء لعملية ثانية

يمكنك إضافة استثناء لعملية ثانية.

mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global

Process exclusion configured successfully

التحقق من صحة قوائم الاستثناءات باستخدام ملف اختبار EICAR

يمكنك التحقق من أن قوائم الاستبعاد الخاصة بك تعمل باستخدام curl لتنزيل ملف اختبار.

في القصاصة البرمجية Bash التالية، استبدل test.txt بملف يتوافق مع قواعد الاستبعاد الخاصة بك. على سبيل المثال، إذا كنت قد استبعدت الملحق .testing ، فاستبدل test.txt ب test.testing. إذا كنت تختبر مسارا، فتأكد من تشغيل الأمر داخل هذا المسار.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

إذا أبلغ Defender لنقطة النهاية على Linux عن برامج ضارة، فلن تعمل القاعدة. إذا لم يكن هناك تقرير عن البرامج الضارة، وكان الملف الذي تم تنزيله موجودا، فإن الاستبعاد يعمل. يمكنك فتح الملف للتأكد من أن المحتويات هي نفسها التي تم وصفها على موقع ويب ملف اختبار EICAR.

إذا لم يكن لديك وصول إلى الإنترنت، يمكنك إنشاء ملف اختبار EICAR الخاص بك. اكتب سلسلة EICAR إلى ملف نصي جديد باستخدام أمر Bash التالي:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

يمكنك أيضا نسخ السلسلة إلى ملف نصي فارغ ومحاولة حفظها باسم الملف أو في المجلد الذي تحاول استبعاده.

السماح بالتهديد

بالإضافة إلى استبعاد محتوى معين من الفحص، يمكنك أيضا تكوين Defender لنقطة النهاية على Linux لعدم الكشف عن بعض فئات التهديدات، التي تم تحديدها بواسطة اسم التهديد.

تحذير

توخي الحذر عند استخدام هذه الوظيفة، حيث يمكن أن تترك جهازك دون حماية.

لإضافة اسم تهديد إلى القائمة المسموح بها، قم بتشغيل الأمر التالي:

mdatp threat allowed add --name [threat-name]

للحصول على اسم تهديد تم اكتشافه، قم بتشغيل الأمر التالي:

mdatp threat list

على سبيل المثال، لإضافة EICAR-Test-File (not a virus) إلى قائمة السماح، قم بتشغيل الأمر التالي:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

راجع أيضًا

• مشكلات الأداء في Microsoft Defender لنقطة النهاية على Linux
• تعيين تفضيلات Microsoft Defender لنقطة النهاية على Linux