تكوين الاستثناءات والتحقق من صحتها Microsoft Defender لنقطة النهاية على Linux

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2
• Microsoft Defender XDR

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

توفر هذه المقالة معلومات حول كيفية تحديد الاستثناءات التي تنطبق على عمليات الفحص عند الطلب، والحماية والمراقبة في الوقت الحقيقي.

هام

لا تنطبق الاستثناءات الموضحة في هذه المقالة على Defender for Endpoint الأخرى على قدرات Linux، بما في ذلك اكتشاف نقطة النهاية والاستجابة لها (EDR). لا يزال بإمكان الملفات التي تستبعدها باستخدام الأساليب الموضحة في هذه المقالة تشغيل تنبيهات EDR واكتشافات أخرى. للحصول على استثناءات EDR، اتصل بالدعم.

يمكنك استبعاد ملفات ومجلدات وعمليات وملفات مفتوحة معالجة معينة من Defender لنقطة النهاية على عمليات فحص Linux.

يمكن أن تكون الاستثناءات مفيدة لتجنب الاكتشافات غير الصحيحة على الملفات أو البرامج الفريدة أو المخصصة لمؤسستك. يمكن أن تكون مفيدة أيضا للتخفيف من مشكلات الأداء التي يسببها Defender لنقطة النهاية على Linux.

تحذير

يؤدي تحديد الاستثناءات إلى خفض الحماية التي يوفرها Defender لنقطة النهاية على Linux. يجب عليك دائما تقييم المخاطر المرتبطة بتنفيذ الاستثناءات، ويجب عليك فقط استبعاد الملفات التي تثق بأنها ليست ضارة.

أنواع الاستبعاد المدعومة

يعرض الجدول التالي أنواع الاستبعاد التي يدعمها Defender لنقطة النهاية على Linux.

الاستبعاد	التعريف	أمثلة
ملحق الملف	جميع الملفات ذات الملحق، في أي مكان على الجهاز	.test
ملف	ملف محدد تم تحديده بواسطة المسار الكامل	/var/log/test.log /var/log/*.log /var/log/install.?.log
المجلد	كافة الملفات ضمن المجلد المحدد (بشكل متكرر)	/var/log/ /var/*/
عمليه	عملية معينة (محددة إما بواسطة المسار الكامل أو اسم الملف) وجميع الملفات التي تم فتحها بواسطةها	/bin/cat cat c?t

هام

يجب أن تكون المسارات أعلاه روابط ثابتة، وليست ارتباطات رمزية، حتى يتم استبعادها بنجاح. يمكنك التحقق مما إذا كان المسار ارتباطا رمزيا عن طريق تشغيل file <path-name>.

تدعم استثناءات الملفات والمجلدات والعملية أحرف البدل التالية:

بدل	الوصف	أمثلة
*	يطابق أي عدد من الأحرف بما في ذلك لا شيء (لاحظ أنه إذا لم يتم استخدام حرف البدل هذا في نهاية المسار، فسيستبدل مجلدا واحدا فقط)	/var/*/tmp يتضمن أي ملف في /var/abc/tmp ودلائله الفرعية ودلائله /var/def/tmp الفرعية. لا يتضمن /var/abc/log أو /var/def/log /var/*/ يتضمن أي ملف في /var ودلائله الفرعية.
?	يطابق أي حرف واحد	file?.log يتضمن file1.log و file2.log، ولكن ليسfile123.log

ملاحظة

عند استخدام حرف البدل * في نهاية المسار، سيتطابق مع جميع الملفات والدلائل الفرعية ضمن أصل حرف البدل.

كيفية تكوين قائمة الاستثناءات

من وحدة تحكم الإدارة

لمزيد من المعلومات حول كيفية تكوين الاستثناءات من Puppet أو Ansible أو وحدة تحكم إدارة أخرى، راجع تعيين تفضيلات Defender لنقطة النهاية على Linux.

من سطر الأوامر

قم بتشغيل الأمر التالي لمشاهدة المفاتيح المتوفرة لإدارة الاستثناءات:

mdatp exclusion

تلميح

عند تكوين الاستثناءات باستخدام أحرف البدل، قم بإحاطة المعلمة بعلامات اقتباس مزدوجة لمنع الكآبة.

أمثلة:

• إضافة استثناء لملحق ملف:

  mdatp exclusion extension add --name .txt
  

  Extension exclusion configured successfully
  

• إضافة استثناء لملف:

  mdatp exclusion file add --path /var/log/dummy.log
  

  File exclusion configured successfully
  

• إضافة استثناء لمجلد:

  mdatp exclusion folder add --path /var/log/
  

  Folder exclusion configured successfully
  

• إضافة استثناء لمجلد ثان:

  mdatp exclusion folder add --path /var/log/
  mdatp exclusion folder add --path /other/folder
  

  Folder exclusion configured successfully
  

• أضف استثناء لمجلد به حرف بدل:

  mdatp exclusion folder add --path "/var/*/tmp"
  

  ملاحظة

  سيؤدي هذا إلى استبعاد المسارات أدناه /var/*/tmp/، ولكن ليس المجلدات التي هي أشقاء tmp؛ على سبيل المثال، /var/this-subfolder/tmp، ولكن ليس /var/this-subfolder/log.

  mdatp exclusion folder add --path "/var/"
  

  او

  mdatp exclusion folder add --path "/var/*/"
  

  ملاحظة

  سيؤدي ذلك إلى استبعاد جميع المسارات التي يكون الأصل فيها /var/؛ على سبيل المثال، /var/this-subfolder/and-this-subfolder-as-well.

  Folder exclusion configured successfully
  

• إضافة استثناء لعملية:

  mdatp exclusion process add --name cat
  

  Process exclusion configured successfully
  

• إضافة استثناء لعملية ثانية:

  mdatp exclusion process add --name cat
  mdatp exclusion process add --name dog
  

  Process exclusion configured successfully
  

التحقق من صحة قوائم الاستثناءات باستخدام ملف اختبار EICAR

يمكنك التحقق من أن قوائم الاستبعاد الخاصة بك تعمل باستخدام curl لتنزيل ملف اختبار.

في القصاصة البرمجية Bash التالية، استبدل test.txt بملف يتوافق مع قواعد الاستبعاد الخاصة بك. على سبيل المثال، إذا كنت قد استبعدت الملحق .testing ، فاستبدل test.txt ب test.testing. إذا كنت تختبر مسارا، فتأكد من تشغيل الأمر داخل هذا المسار.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

إذا أبلغ Defender لنقطة النهاية على Linux عن برامج ضارة، فلن تعمل القاعدة. إذا لم يكن هناك تقرير عن البرامج الضارة، وكان الملف الذي تم تنزيله موجودا، فإن الاستبعاد يعمل. يمكنك فتح الملف للتأكد من أن المحتويات هي نفسها التي تم وصفها على موقع ويب ملف اختبار EICAR.

إذا لم يكن لديك حق الوصول إلى الإنترنت، يمكنك إنشاء ملف اختبار EICAR الخاص بك. اكتب سلسلة EICAR إلى ملف نصي جديد باستخدام أمر Bash التالي:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

يمكنك أيضا نسخ السلسلة إلى ملف نصي فارغ ومحاولة حفظها باسم الملف أو في المجلد الذي تحاول استبعاده.

السماح بالتهديدات

بالإضافة إلى استبعاد محتوى معين من الفحص، يمكنك أيضا تكوين المنتج لعدم الكشف عن بعض فئات التهديدات (التي تم تحديدها بواسطة اسم التهديد). يجب توخي الحذر عند استخدام هذه الوظيفة، حيث يمكن أن تترك جهازك دون حماية.

لإضافة اسم تهديد إلى القائمة المسموح بها، قم بتنفيذ الأمر التالي:

mdatp threat allowed add --name [threat-name]

يمكن الحصول على اسم التهديد المقترن بالكشف على جهازك باستخدام الأمر التالي:

mdatp threat list

على سبيل المثال، لإضافة EICAR-Test-File (not a virus) (اسم التهديد المقترن باكتشاف EICAR) إلى القائمة المسموح بها، قم بتنفيذ الأمر التالي:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.