Del via

Konfigurer og valider udeladelser for Microsoft Defender for Endpoint på Linux

  • Artikel

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Denne artikel indeholder oplysninger om, hvordan du definerer antivirus og globale undtagelser for Microsoft Defender for Endpoint. Antivirusudeladelser gælder for on-demand-scanninger, RTP (real-time protection) og BM (behavior monitoring). Globale undtagelser gælder for RTP (real-time protection), behavior monitoring (BM) og EDR (endpoint detection and response) og stopper dermed alle tilknyttede antivirusregistreringer, EDR-beskeder og synlighed for det udeladte element.

Vigtigt!

De antivirusudeladelser, der er beskrevet i denne artikel, gælder kun for antivirusfunktioner og ikke for EDR (endpoint detection and response). Filer, som du ekskluderer ved hjælp af de antivirusudeladelser, der er beskrevet i denne artikel, kan stadig udløse EDR-beskeder og andre registreringer. Globale undtagelser, der er beskrevet i dette afsnit, gælder for antivirus- og slutpunktsregistrerings- og svarfunktioner og stopper dermed al tilknyttet antivirusbeskyttelse, EDR-beskeder og registreringer. Globale udeladelser er i øjeblikket en offentlig prøveversion og er tilgængelige i Defender for Endpoint-versionen 101.23092.0012 eller nyere i Insiders Slow- og Production-ringene. Kontakt support for at få EDR-undtagelser.

Du kan udelade visse filer, mapper, processer og procesåbnede filer fra Defender for Endpoint på Linux.

Udeladelser kan være nyttige for at undgå forkerte registreringer af filer eller software, der er unikke eller tilpasset din organisation. Globale udeladelser er nyttige til at afhjælpe problemer med ydeevnen, der skyldes Defender for Endpoint på Linux.

Advarsel

Definition af udeladelser reducerer den beskyttelse, der tilbydes af Defender for Endpoint på Linux. Du bør altid evaluere de risici, der er forbundet med implementering af undtagelser, og du bør kun ekskludere filer, som du er sikker på ikke er skadelige.

Understøttede udeladelsesområder

Som beskrevet i et tidligere afsnit understøtter vi to undtagelser: antivirus (epp) og globale (global) undtagelser.

Antivirusudeladelser kan bruges til at udelukke filer og processer, der er tillid til, fra beskyttelse i realtid, mens du stadig har EDR-synlighed. Globale udelukkelser anvendes på sensorniveau og for at slå lyden fra for de hændelser, der matcher udelukkelsesbetingelser meget tidligt i flowet, før nogen behandling udføres, hvilket stopper alle EDR-beskeder og antivirusregistreringer.

Bemærk!

Global (global) er et nyt udeladelsesområde, som vi introducerer ud over antivirus (epp) udelukkelsesområder, der allerede understøttes af Microsoft.

Kategori for udeladelse Område for udeladelse Beskrivelse
Antivirusudeladelse Antivirusprogram
(omfang: epp)		 Udelader indhold fra antivirusscanninger (AV) og on-demand-scanninger.
Global udeladelse Antivirus- og slutpunktregistreringer og svarprogram
(omfang: global)		 Udelukker hændelser fra realtidsbeskyttelse og EDR-synlighed. Gælder ikke for scanninger efter behov som standard.

Understøttede udeladelsestyper

I følgende tabel vises de udeladelsestyper, der understøttes af Defender for Endpoint på Linux.

Eksklusion Definition Eksempler
Filtypenavn Alle filer med udvidelsen, hvor som helst på enheden (ikke tilgængelig for globale undtagelser) .test
Filer En bestemt fil, der er identificeret af den fulde sti /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Mappe Alle filer under den angivne mappe (rekursivt) /var/log/
/var/*/
Proces En bestemt proces (angivet enten af den fulde sti eller det fulde filnavn) og alle filer, der er åbnet af den /bin/cat
cat
c?t

Vigtigt!

De anvendte stier skal være hårde links, ikke symbolske links, for at kunne udelades. Du kan kontrollere, om en sti er en symbolsk kæde, ved at køre file <path-name>.

Fil-, mappe- og procesudeladelser understøtter følgende jokertegn:

Bemærk!

Filstien skal være til stede, før du tilføjer eller fjerner filudeladelser med område som global. Jokertegn understøttes ikke under konfiguration af globale udeladelser.

Wildcard Beskrivelse Eksempler
* Matcher et vilkårligt antal tegn, herunder ingen
(Bemærk, at hvis dette jokertegn ikke bruges i slutningen af stien, erstatter det kun én mappe)		 /var/*/tmp indeholder alle filer i /var/abc/tmp og dens undermapper og /var/def/tmp dens undermapper. Den indeholder /var/abc/log ikke eller /var/def/log

/var/*/ inkluderer kun filer i undermapper som /var/abc/, men ikke filer direkte i /var.
? Matcher et vilkårligt tegn file?.log omfatter file1.log og file2.log, men ikkefile123.log

Bemærk!

I forbindelse med antivirusudeladelser vil den matche alle filer og undermapper under jokertegnets overordnede, når du bruger jokertegnet * i slutningen af stien.

Sådan konfigurerer du listen over udeladelser

Brug af administrationskonsollen

Hvis du vil konfigurere udeladelser fra Puppet, Ansible eller en anden administrationskonsol, skal du se følgende eksempel mdatp_managed.json.

{
   "exclusionSettings":{
     "exclusions":[
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/home/*/git<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/run<EXAMPLE DO NOT USE>",
           "scopes": [
              "global"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":false,
           "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
           "scopes": [
              "epp", "global"
           ]
        },
        {
           "$type":"excludedFileExtension",
           "extension":".pdf<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedFileName",
           "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
        }
     ],
     "mergePolicy":"admin_only"
   }
}

Du kan finde flere oplysninger under Angiv indstillinger for Defender for Endpoint på Linux.

Brug af kommandolinjen

Kør følgende kommando for at se de tilgængelige parametre til administration af udeladelser:

Bemærk!

--scope er et valgfrit flag med den accepterede værdi som epp eller global. Det giver det samme omfang, som bruges, når du tilføjer udeladelse for at fjerne den samme udeladelse. Hvis området ikke er nævnt i kommandolinjemetoden, angives områdeværdien som epp. Undtagelser, der tilføjes via kommandolinjegrænsefladen, før flaget blev indført --scope , påvirkes ikke, og deres omfang tages i betragtning epp.

mdatp exclusion

Tip

Når du konfigurerer udeladelser med jokertegn, skal du omslutte parameteren med dobbelte anførselstegn for at forhindre globbing.

Eksempler:

  • Tilføj en udeladelse for et filtypenavn (udvidelsesudeladelse understøttes ikke i forbindelse med globalt udeladelsesområde) :

    mdatp exclusion extension add --name .txt

    Extension exclusion configured successfully

    mdatp exclusion extension remove --name .txt

    Extension exclusion removed successfully

  • Tilføj/fjern en udeladelse for en fil (Filstien bør allerede være til stede i tilfælde af tilføjelse eller fjernelse af udeladelse med globalt område) :

    mdatp exclusion file add --path /var/log/dummy.log --scope epp

    File exclusion configured successfully

    mdatp exclusion file remove --path /var/log/dummy.log --scope epp

    File exclusion removed successfully"

    mdatp exclusion file add --path /var/log/dummy.log --scope global

    File exclusion configured successfully

    mdatp exclusion file remove --path /var/log/dummy.log --scope global

    File exclusion removed successfully"

  • Tilføj/fjern en udeladelse for en mappe:

    mdatp exclusion folder add --path /var/log/ --scope epp

    Folder exclusion configured successfully

    mdatp exclusion folder remove --path /var/log/ --scope epp

    Folder exclusion removed successfully

      mdatp exclusion folder add --path /var/log/ --scope global

    Folder exclusion configured successfully

    mdatp exclusion folder remove --path /var/log/ --scope global

    Folder exclusion removed successfully

  • Tilføj en udeladelse for en anden mappe:

    mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder  --scope global

    Folder exclusion configured successfully

  • Tilføj en udeladelse for en mappe med jokertegn:

    Bemærk!

    Jokertegn understøttes ikke under konfiguration af globale udeladelser.

    mdatp exclusion folder add --path "/var/*/tmp"

    Bemærk!

    Dette udelukker kun stier under /var/*/tmp/, men ikke mapper, der er sidestillede med tmp. for eksempel /var/this-subfolder/tmp, men ikke /var/this-subfolder/log.

    mdatp exclusion folder add --path "/var/" --scope epp

    ELLER

    mdatp exclusion folder add --path "/var/*/" --scope epp

    Bemærk!

    Dette udelukker alle stier, hvis overordnede er /var/; for eksempel /var/this-subfolder/and-this-subfolder-as-well.

    Folder exclusion configured successfully

  • Tilføj en udeladelse for en proces:

    mdatp exclusion process add --name /usr/bin/cat --scope global 

    Process exclusion configured successfully

    mdatp exclusion process remove --name /usr/bin/cat  --scope global

    Process exclusion removed successfully

      mdatp exclusion process add --name /usr/bin/cat --scope epp 

    Process exclusion configured successfully

    mdatp exclusion process remove --name /usr/bin/cat  --scope epp

    Process exclusion removed successfully

  • Tilføj en udeladelse for en anden proces:

    mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --name dog --scope global

    Process exclusion configured successfully

Valider udeladelseslister med EICAR-testfilen

Du kan validere, at dine udeladelseslister fungerer, ved at bruge curl til at downloade en testfil.

I følgende Bash-kodestykke skal du erstatte test.txt med en fil, der overholder dine regler for udelukkelse. Hvis du f.eks. har udeladt filtypenavnet .testing , skal du erstatte test.txt med test.testing. Hvis du tester en sti, skal du kontrollere, at du kører kommandoen i den pågældende sti.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Hvis Defender for Endpoint på Linux rapporterer malware, fungerer reglen ikke. Hvis der ikke er nogen rapport over malware, og den downloadede fil findes, fungerer udelukkelsen. Du kan åbne filen for at bekræfte, at indholdet er det samme som det, der er beskrevet på webstedet for EICAR-testfilen.

Hvis du ikke har internetadgang, kan du oprette din egen EICAR-testfil. Skriv EICAR-strengen til en ny tekstfil med følgende Bash-kommando:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Du kan også kopiere strengen til en tom tekstfil og forsøge at gemme den med filnavnet eller i den mappe, du forsøger at udelade.

Tillad trusler

Ud over at udelukke bestemt indhold fra at blive scannet kan du også konfigurere produktet til ikke at registrere visse klasser af trusler (identificeret af trusselsnavnet). Du skal være forsigtig, når du bruger denne funktionalitet, da den kan efterlade din enhed ubeskyttet.

Hvis du vil føje et trusselsnavn til listen over tilladte, skal du udføre følgende kommando:

mdatp threat allowed add --name [threat-name]

Det trusselsnavn, der er knyttet til en registrering på din enhed, kan hentes ved hjælp af følgende kommando:

mdatp threat list

Hvis du f.eks. vil føje EICAR-Test-File (not a virus) (trusselsnavnet, der er knyttet til EICAR-registreringen) til den tilladte liste, skal du udføre følgende kommando:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.