Konfigurieren und Überprüfen von Ausschlüssen für Microsoft Defender for Endpoint unter Linux
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Dieser Artikel enthält Informationen zum Definieren von Ausschlüssen, die für bedarfsgesteuerte Überprüfungen gelten, sowie zum Echtzeitschutz und zur Überwachung.
Wichtig
Die in diesem Artikel beschriebenen Ausschlüsse gelten nicht für andere Defender für Endpunkt für Linux-Funktionen, einschließlich Endpunkterkennung und -reaktion (EDR). Dateien, die Sie mit den in diesem Artikel beschriebenen Methoden ausschließen, können weiterhin EDR-Warnungen und andere Erkennungen auslösen. Wenden Sie sich bei EDR-Ausschlüssen an den Support.
Sie können bestimmte Dateien, Ordner, Prozesse und von Prozessen geöffnete Dateien aus Defender für Endpunkt für Linux-Überprüfungen ausschließen.
Ausschlüsse können nützlich sein, um falsche Erkennungen von Dateien oder Software zu vermeiden, die eindeutig oder an Ihre organization angepasst sind. Sie können auch hilfreich sein, um Leistungsprobleme zu beheben, die von Defender für Endpunkt unter Linux verursacht werden.
Warnung
Das Definieren von Ausschlüssen verringert den Schutz, der von Defender für Endpunkt unter Linux geboten wird. Sie sollten immer die Risiken auswerten, die mit der Implementierung von Ausschlüssen verbunden sind, und Sie sollten nur Dateien ausschließen, von denen Sie sicher sind, dass sie nicht böswillig sind.
Unterstützte Ausschlusstypen
In der folgenden Tabelle sind die Von Defender für Endpunkt unter Linux unterstützten Ausschlusstypen aufgeführt.
| Ausschluss | Definition | Beispiele |
|---|---|---|
| Dateierweiterung | Alle Dateien mit der Erweiterung, überall auf dem Gerät | .test |
| File | Eine bestimmte Datei, die durch den vollständigen Pfad identifiziert wird | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Ordner | Alle Dateien im angegebenen Ordner (rekursiv) | /var/log//var/*/ |
| Prozess | Ein bestimmter Prozess (entweder durch den vollständigen Pfad oder Dateinamen angegeben) und alle dateien, die von diesem geöffnet werden | /bin/catcatc?t |
Wichtig
Die oben genannten Pfade müssen feste Links und keine symbolischen Verknüpfungen sein, um erfolgreich ausgeschlossen zu werden. Sie können überprüfen, ob ein Pfad eine symbolische Verknüpfung ist, indem Sie ausführen file <path-name>.
Datei-, Ordner- und Prozessausschlüsse unterstützen die folgenden Wildcards:
| Platzhalter | Beschreibung | Beispiele |
|---|---|---|
| * | Entspricht einer beliebigen Anzahl von Zeichen, einschließlich keines (beachten Sie, dass dieser Platzhalter nicht am Ende des Pfads verwendet wird und nur einen Ordner ersetzt). | /var/*/tmp enthält alle Dateien in /var/abc/tmp und ihren Unterverzeichnissen sowie /var/def/tmp und ihren Unterverzeichnissen. Oder ist nicht enthalten /var/abc/log . /var/def/log
|
| ? | Entspricht jedem einzelnen Zeichen | file?.log enthält file1.log und file2.log, aber nichtfile123.log |
Hinweis
Wenn Sie den * -Wildcard am Ende des Pfads verwenden, werden alle Dateien und Unterverzeichnisse unter dem übergeordneten Element des Wildcards zugeordnet.
Konfigurieren der Liste der Ausschlüsse
Aus dem Verwaltungskonsole
Weitere Informationen zum Konfigurieren von Ausschlüssen von Puppet, Ansible oder einem anderen Verwaltungskonsole finden Sie unter Festlegen von Einstellungen für Defender für Endpunkt unter Linux.
Über die Befehlszeile
Führen Sie den folgenden Befehl aus, um die verfügbaren Optionen für die Verwaltung von Ausschlüssen anzuzeigen:
mdatp exclusion
Tipp
Wenn Sie Ausschlüsse mit Platzhaltern konfigurieren, schließen Sie den Parameter in doppelte Anführungszeichen ein, um ein Globing zu verhindern.
Beispiele:
Fügen Sie einen Ausschluss für eine Dateierweiterung hinzu:
mdatp exclusion extension add --name .txtExtension exclusion configured successfullyFügen Sie einen Ausschluss für eine Datei hinzu:
mdatp exclusion file add --path /var/log/dummy.logFile exclusion configured successfullyFügen Sie einen Ausschluss für einen Ordner hinzu:
mdatp exclusion folder add --path /var/log/Folder exclusion configured successfullyFügen Sie einen Ausschluss für einen zweiten Ordner hinzu:
mdatp exclusion folder add --path /var/log/ mdatp exclusion folder add --path /other/folderFolder exclusion configured successfullyFügen Sie einen Ausschluss für einen Ordner hinzu, in dem ein Wildcard enthalten ist:
mdatp exclusion folder add --path "/var/*/tmp"Hinweis
Dadurch werden nur Pfade unter /var/*/tmp/ ausgeschlossen, aber keine Ordner, die gleichgeordnete Elemente von tmp sind; Beispiel : /var/this-subfolder/tmp, aber nicht /var/this-subfolder/log.
mdatp exclusion folder add --path "/var/"ODER
mdatp exclusion folder add --path "/var/*/"Hinweis
Dadurch werden alle Pfade ausgeschlossen, deren übergeordnetes Element /var/; Beispiel : /var/this-unterordner/and-this-subfolder-as-well.
Folder exclusion configured successfullyHinzufügen eines Ausschlusses für einen Prozess:
mdatp exclusion process add --name catProcess exclusion configured successfullyFügen Sie einen Ausschluss für einen zweiten Prozess hinzu:
mdatp exclusion process add --name cat mdatp exclusion process add --name dogProcess exclusion configured successfully
Überprüfen von Ausschlusslisten mit der EICAR-Testdatei
Sie können überprüfen, ob Ihre Ausschlusslisten funktionieren, indem Sie zum Herunterladen einer Testdatei verwenden curl .
Ersetzen Sie test.txt im folgenden Bash-Codeausschnitt durch eine Datei, die Ihren Ausschlussregeln entspricht. Wenn Sie beispielsweise die .testing Erweiterung ausgeschlossen haben, ersetzen Sie durch test.txttest.testing. Wenn Sie einen Pfad testen, stellen Sie sicher, dass Sie den Befehl innerhalb dieses Pfads ausführen.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Wenn Defender für Endpunkt unter Linux Schadsoftware meldet, funktioniert die Regel nicht. Wenn keine Schadsoftware gemeldet wird und die heruntergeladene Datei vorhanden ist, funktioniert der Ausschluss. Sie können die Datei öffnen, um zu bestätigen, dass der Inhalt mit den auf der EICAR-Testdateiwebsite beschriebenen Inhalten übereinstimmt.
Wenn Sie keinen Internetzugang haben, können Sie eine eigene EICAR-Testdatei erstellen. Schreiben Sie die EICAR-Zeichenfolge mit dem folgenden Bash-Befehl in eine neue Textdatei:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Sie können die Zeichenfolge auch in eine leere Textdatei kopieren und versuchen, sie mit dem Dateinamen oder in dem Ordner zu speichern, den Sie ausschließen möchten.
Bedrohungen zulassen
Zusätzlich zum Ausschließen bestimmter Inhalte von der Überprüfung können Sie das Produkt auch so konfigurieren, dass einige Klassen von Bedrohungen (identifiziert durch den Bedrohungsnamen) nicht erkannt werden. Sie sollten bei der Verwendung dieser Funktion vorsichtig sein, da Ihr Gerät dadurch nicht geschützt werden kann.
Führen Sie den folgenden Befehl aus, um der Liste der zulässigen Bedrohungen einen Namen hinzuzufügen:
mdatp threat allowed add --name [threat-name]
Der Bedrohungsname, der einer Erkennung auf Ihrem Gerät zugeordnet ist, kann mit dem folgenden Befehl abgerufen werden:
mdatp threat list
Führen Sie z. B. den folgenden Befehl aus, um (der Bedrohungsname, der der EICAR-Erkennung zugeordnet ist) zur Liste der zulässigen Elemente hinzuzufügen EICAR-Test-File (not a virus) :
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für