تكوين الاستثناءات والتحقق من صحتها Microsoft Defender لنقطة النهاية على Linux
ينطبق على:
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
توفر هذه المقالة معلومات حول كيفية تحديد الاستثناءات التي تنطبق على عمليات الفحص عند الطلب، والحماية والمراقبة في الوقت الحقيقي.
هام
لا تنطبق الاستثناءات الموضحة في هذه المقالة على Defender for Endpoint الأخرى على قدرات Linux، بما في ذلك اكتشاف نقطة النهاية والاستجابة لها (EDR). لا يزال بإمكان الملفات التي تستبعدها باستخدام الأساليب الموضحة في هذه المقالة تشغيل تنبيهات EDR واكتشافات أخرى. للحصول على استثناءات EDR، اتصل بالدعم.
يمكنك استبعاد ملفات ومجلدات وعمليات وملفات مفتوحة معالجة معينة من Defender لنقطة النهاية على عمليات فحص Linux.
يمكن أن تكون الاستثناءات مفيدة لتجنب الاكتشافات غير الصحيحة على الملفات أو البرامج الفريدة أو المخصصة لمؤسستك. يمكن أن تكون مفيدة أيضا للتخفيف من مشكلات الأداء التي يسببها Defender لنقطة النهاية على Linux.
تحذير
يؤدي تحديد الاستثناءات إلى خفض الحماية التي يوفرها Defender لنقطة النهاية على Linux. يجب عليك دائما تقييم المخاطر المرتبطة بتنفيذ الاستثناءات، ويجب عليك فقط استبعاد الملفات التي تثق بأنها ليست ضارة.
أنواع الاستبعاد المدعومة
يعرض الجدول التالي أنواع الاستبعاد التي يدعمها Defender لنقطة النهاية على Linux.
الاستبعاد | التعريف | أمثلة |
---|---|---|
ملحق الملف | جميع الملفات ذات الملحق، في أي مكان على الجهاز | .test |
ملف | ملف محدد تم تحديده بواسطة المسار الكامل | /var/log/test.log /var/log/*.log /var/log/install.?.log |
المجلد | كافة الملفات ضمن المجلد المحدد (بشكل متكرر) | /var/log/ /var/*/ |
عمليه | عملية معينة (محددة إما بواسطة المسار الكامل أو اسم الملف) وجميع الملفات التي تم فتحها بواسطةها | /bin/cat cat c?t |
هام
يجب أن تكون المسارات أعلاه روابط ثابتة، وليست ارتباطات رمزية، حتى يتم استبعادها بنجاح. يمكنك التحقق مما إذا كان المسار ارتباطا رمزيا عن طريق تشغيل file <path-name>
.
تدعم استثناءات الملفات والمجلدات والعملية أحرف البدل التالية:
بدل | الوصف | أمثلة |
---|---|---|
* | يطابق أي عدد من الأحرف بما في ذلك لا شيء (لاحظ أنه إذا لم يتم استخدام حرف البدل هذا في نهاية المسار، فسيستبدل مجلدا واحدا فقط) | /var/*/tmp يتضمن أي ملف في /var/abc/tmp ودلائله الفرعية ودلائله /var/def/tmp الفرعية. لا يتضمن /var/abc/log أو /var/def/log
|
? | يطابق أي حرف واحد | file?.log يتضمن file1.log و file2.log ، ولكن ليسfile123.log |
ملاحظة
عند استخدام حرف البدل * في نهاية المسار، سيتطابق مع جميع الملفات والدلائل الفرعية ضمن أصل حرف البدل.
كيفية تكوين قائمة الاستثناءات
من وحدة تحكم الإدارة
لمزيد من المعلومات حول كيفية تكوين الاستثناءات من Puppet أو Ansible أو وحدة تحكم إدارة أخرى، راجع تعيين تفضيلات Defender لنقطة النهاية على Linux.
من سطر الأوامر
قم بتشغيل الأمر التالي لمشاهدة المفاتيح المتوفرة لإدارة الاستثناءات:
mdatp exclusion
تلميح
عند تكوين الاستثناءات باستخدام أحرف البدل، قم بإحاطة المعلمة بعلامات اقتباس مزدوجة لمنع الكآبة.
أمثلة:
إضافة استثناء لملحق ملف:
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
إضافة استثناء لملف:
mdatp exclusion file add --path /var/log/dummy.log
File exclusion configured successfully
إضافة استثناء لمجلد:
mdatp exclusion folder add --path /var/log/
Folder exclusion configured successfully
إضافة استثناء لمجلد ثان:
mdatp exclusion folder add --path /var/log/ mdatp exclusion folder add --path /other/folder
Folder exclusion configured successfully
أضف استثناء لمجلد به حرف بدل:
mdatp exclusion folder add --path "/var/*/tmp"
ملاحظة
سيؤدي هذا إلى استبعاد المسارات أدناه /var/*/tmp/، ولكن ليس المجلدات التي هي أشقاء tmp؛ على سبيل المثال، /var/this-subfolder/tmp، ولكن ليس /var/this-subfolder/log.
mdatp exclusion folder add --path "/var/"
او
mdatp exclusion folder add --path "/var/*/"
ملاحظة
سيؤدي ذلك إلى استبعاد جميع المسارات التي يكون الأصل فيها /var/؛ على سبيل المثال، /var/this-subfolder/and-this-subfolder-as-well.
Folder exclusion configured successfully
إضافة استثناء لعملية:
mdatp exclusion process add --name cat
Process exclusion configured successfully
إضافة استثناء لعملية ثانية:
mdatp exclusion process add --name cat mdatp exclusion process add --name dog
Process exclusion configured successfully
التحقق من صحة قوائم الاستثناءات باستخدام ملف اختبار EICAR
يمكنك التحقق من أن قوائم الاستبعاد الخاصة بك تعمل باستخدام curl
لتنزيل ملف اختبار.
في القصاصة البرمجية Bash التالية، استبدل test.txt
بملف يتوافق مع قواعد الاستبعاد الخاصة بك. على سبيل المثال، إذا كنت قد استبعدت الملحق .testing
، فاستبدل test.txt
ب test.testing
. إذا كنت تختبر مسارا، فتأكد من تشغيل الأمر داخل هذا المسار.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
إذا أبلغ Defender لنقطة النهاية على Linux عن برامج ضارة، فلن تعمل القاعدة. إذا لم يكن هناك تقرير عن البرامج الضارة، وكان الملف الذي تم تنزيله موجودا، فإن الاستبعاد يعمل. يمكنك فتح الملف للتأكد من أن المحتويات هي نفسها التي تم وصفها على موقع ويب ملف اختبار EICAR.
إذا لم يكن لديك حق الوصول إلى الإنترنت، يمكنك إنشاء ملف اختبار EICAR الخاص بك. اكتب سلسلة EICAR إلى ملف نصي جديد باستخدام أمر Bash التالي:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
يمكنك أيضا نسخ السلسلة إلى ملف نصي فارغ ومحاولة حفظها باسم الملف أو في المجلد الذي تحاول استبعاده.
السماح بالتهديدات
بالإضافة إلى استبعاد محتوى معين من الفحص، يمكنك أيضا تكوين المنتج لعدم الكشف عن بعض فئات التهديدات (التي تم تحديدها بواسطة اسم التهديد). يجب توخي الحذر عند استخدام هذه الوظيفة، حيث يمكن أن تترك جهازك دون حماية.
لإضافة اسم تهديد إلى القائمة المسموح بها، قم بتنفيذ الأمر التالي:
mdatp threat allowed add --name [threat-name]
يمكن الحصول على اسم التهديد المقترن بالكشف على جهازك باستخدام الأمر التالي:
mdatp threat list
على سبيل المثال، لإضافة EICAR-Test-File (not a virus)
(اسم التهديد المقترن باكتشاف EICAR) إلى القائمة المسموح بها، قم بتنفيذ الأمر التالي:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.
الملاحظات
https://aka.ms/ContentUserFeedback.
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجعإرسال الملاحظات وعرضها المتعلقة بـ