Konfigurace a ověření vyloučení pro Microsoft Defender for Endpoint v Linuxu
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Tento článek obsahuje informace o tom, jak definovat vyloučení, která se vztahují na kontroly na vyžádání, a ochranu a monitorování v reálném čase.
Důležité
Vyloučení popsaná v tomto článku se nevztahují na jiné funkce Defenderu for Endpoint v Linuxu, včetně detekce a odezvy koncových bodů (EDR). Soubory, které vyloučíte pomocí metod popsaných v tomto článku, můžou přesto aktivovat upozornění EDR a další detekce. V případě vyloučení EDR se obraťte na podporu.
Některé soubory, složky, procesy a soubory otevřené procesem můžete vyloučit z kontrol Defenderu for Endpoint v Linuxu.
Vyloučení můžou být užitečná, když se chcete vyhnout nesprávné detekci souborů nebo softwaru, které jsou jedinečné nebo přizpůsobené vaší organizaci. Můžou být také užitečné při zmírnění problémů s výkonem způsobených defenderem for Endpoint v Linuxu.
Upozornění
Definováním vyloučení snížíte ochranu, kterou defender for Endpoint nabízí v Linuxu. Vždy byste měli vyhodnotit rizika spojená s implementací vyloučení a vyloučit pouze soubory, o které jste přesvědčeni, že nejsou škodlivé.
Podporované typy vyloučení
Následující tabulka uvádí typy vyloučení podporované defenderem for Endpoint v Linuxu.
Vyloučení | Vysvětlení | Příklady |
---|---|---|
Přípona souboru | Všechny soubory s příponou kdekoli na zařízení | .test |
Soubor | Konkrétní soubor identifikovaný úplnou cestou | /var/log/test.log /var/log/*.log /var/log/install.?.log |
Složka | Všechny soubory v zadané složce (rekurzivně) | /var/log/ /var/*/ |
Proces | Konkrétní proces (zadaný úplnou cestou nebo názvem souboru) a všechny soubory, které otevřel | /bin/cat cat c?t |
Důležité
Výše uvedené cesty musí být pevné, nikoli symbolické odkazy, aby byly úspěšně vyloučeny. Spuštěním příkazu můžete zkontrolovat, jestli je cesta symbolickým odkazem file <path-name>
.
Vyloučení souborů, složek a procesů podporují následující zástupné cardy:
Zástupný znak | Popis | Příklady |
---|---|---|
* | Odpovídá libovolnému počtu znaků včetně žádného (poznámka: Pokud se tento zástupný znak nepoužívá na konci cesty, nahradí pouze jednu složku). | /var/*/tmp zahrnuje všechny soubory v /var/abc/tmp podadresářích a jejich podadresářích a /var/def/tmp podadresářích. Neobsahuje /var/abc/log nebo /var/def/log
|
? | Odpovídá jakémukoli jednomu znaku. | file?.log zahrnuje file1.log a file2.log , ale nefile123.log |
Poznámka
Při použití zástupného znaku * na konci cesty bude odpovídat všem souborům a podadresářům pod nadřazeným zástupným znakem.
Postup konfigurace seznamu vyloučení
Z konzoly pro správu
Další informace o tom, jak nakonfigurovat vyloučení z Puppetu, Ansible nebo jiné konzoly pro správu, najdete v tématu Nastavení předvoleb pro Defender for Endpoint v Linuxu.
Z příkazového řádku
Spuštěním následujícího příkazu zobrazte dostupné přepínače pro správu vyloučení:
mdatp exclusion
Tip
Při konfiguraci vyloučení pomocí zástupných znaků uzavřete parametr do dvojitých uvozovek, aby se zabránilo globbingu.
Příklady:
Přidání vyloučení pro příponu souboru:
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
Přidání vyloučení souboru:
mdatp exclusion file add --path /var/log/dummy.log
File exclusion configured successfully
Přidání vyloučení pro složku:
mdatp exclusion folder add --path /var/log/
Folder exclusion configured successfully
Přidání vyloučení pro druhou složku:
mdatp exclusion folder add --path /var/log/ mdatp exclusion folder add --path /other/folder
Folder exclusion configured successfully
Přidejte vyloučení pro složku se zástupným znakem:
mdatp exclusion folder add --path "/var/*/tmp"
Poznámka
Tím se vyloučí pouze cesty pod /var/*/tmp/, ale ne složky, které jsou na stejné úrovni jako tmp; Například /var/this-podsložka/tmp, ale ne /var/this-podsložka/log.
mdatp exclusion folder add --path "/var/"
NEBO
mdatp exclusion folder add --path "/var/*/"
Poznámka
Tím se vyloučí všechny cesty, jejichž nadřazený objekt je /var/; například /var/this-podsložka/and-this-podsložka-as-well.
Folder exclusion configured successfully
Přidání vyloučení pro proces:
mdatp exclusion process add --name cat
Process exclusion configured successfully
Přidání vyloučení pro druhý proces:
mdatp exclusion process add --name cat mdatp exclusion process add --name dog
Process exclusion configured successfully
Ověření seznamů vyloučení pomocí testovacího souboru EICAR
Pomocí nástroje ke stažení testovacího souboru můžete ověřit, jestli seznamy vyloučení fungují curl
.
V následujícím fragmentu kódu Bash nahraďte test.txt
souborem, který odpovídá vašim pravidlům vyloučení. Pokud jste například vyloučili .testing
rozšíření, nahraďte test.txt
parametrem test.testing
. Pokud testujete cestu, ujistěte se, že jste v této cestě spustili příkaz.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Pokud Defender for Endpoint v Linuxu hlásí malware, pravidlo nefunguje. Pokud neexistuje žádná zpráva o malwaru a stažený soubor existuje, vyloučení funguje. Soubor můžete otevřít a ověřit, že obsah je stejný jako obsah, který je popsán na webu testovacího souboru EICAR.
Pokud nemáte přístup k internetu, můžete si vytvořit vlastní testovací soubor EICAR. Pomocí následujícího příkazu Bash zapište řetězec EICAR do nového textového souboru:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Řetězec můžete také zkopírovat do prázdného textového souboru a pokusit se ho uložit s názvem souboru nebo do složky, kterou se pokoušíte vyloučit.
Povolit hrozby
Kromě vyloučení určitého obsahu ze skenování můžete také nakonfigurovat produkt tak, aby nezjistil některé třídy hrozeb (identifikované názvem hrozby). Při používání této funkce byste měli být opatrní, protože může vaše zařízení zůstat nechráněné.
Pokud chcete přidat název hrozby do seznamu povolených, spusťte následující příkaz:
mdatp threat allowed add --name [threat-name]
Název hrozby přidružené k detekci na vašem zařízení můžete získat pomocí následujícího příkazu:
mdatp threat list
Pokud chcete například přidat EICAR-Test-File (not a virus)
(název hrozby přidružené k detekci EICAR) do seznamu povolených, spusťte následující příkaz:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro