Freigeben über


Konfigurieren und Überprüfen von Ausschlüssen für Microsoft Defender für Endpunkt unter Linux

Inhalt dieses Artikels:

  1. Unterstützte Ausschlussbereiche
  2. Unterstützte Ausschlusstypen
  3. Konfigurieren der Liste der Ausschlüsse
  4. Überprüfen von Ausschlusslisten mit der EICAR-Testdatei
  5. Bedrohungen zulassen

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Dieser Artikel enthält Informationen zum Definieren von Antiviren- und globalen Ausschlüssen für Microsoft Defender für Endpunkt. Antivirenausschlüsse gelten für bedarfsgesteuerte Überprüfungen, Echtzeitschutz (Real-Time Protection, RTP) und Verhaltensüberwachung (BEHAVIOR Monitoring, BM). Globale Ausschlüsse gelten für Echtzeitschutz (Real-Time Protection, RTP), Verhaltensüberwachung (BEHAVIOR Monitoring, BM) und Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR), wodurch alle zugehörigen Antivirenerkennungen, EDR-Warnungen und Sichtbarkeit für das ausgeschlossene Element beendet werden.

Wichtig

Die in diesem Artikel beschriebenen Antivirenausschlüsse gelten nur für Antivirenfunktionen und nicht für Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR). Dateien, die Sie mithilfe der in diesem Artikel beschriebenen Antivirenausschlüsse ausschließen, können weiterhin EDR-Warnungen und andere Erkennungen auslösen. Während die in diesem Abschnitt beschriebenen globalen Ausschlüsse sowohl für Antiviren- als auch Endpunkterkennungs- und -antwortfunktionen gelten, wodurch alle zugehörigen AV-Schutz-, EDR-Warnungen und -Erkennungen beendet werden. Globale Ausschlüsse sind ab Version von Defender für Endpunkt 101.23092.0012 verfügbar. Wenden Sie sich bei EDR-Ausschlüssen an den Support.

Sie können bestimmte Dateien, Ordner, Prozesse und geöffnete Dateien aus Defender für Endpunkt unter Linux ausschließen.

Ausschlüsse können nützlich sein, um falsche Erkennungen von Dateien oder Software zu vermeiden, die für Ihre Organisation eindeutig oder angepasst sind. Globale Ausschlüsse sind nützlich, um Leistungsprobleme zu beheben, die von Defender für Endpunkt unter Linux verursacht werden.

Warnung

Das Definieren von Ausschlüssen verringert den Schutz, der von Defender für Endpunkt unter Linux geboten wird. Sie sollten immer die Risiken auswerten, die mit der Implementierung von Ausschlüssen verbunden sind, und Sie sollten nur Dateien ausschließen, von denen Sie sicher sind, dass sie nicht böswillig sind.

Unterstützte Ausschlussbereiche

Wie in einem früheren Abschnitt beschrieben, unterstützen wir zwei Ausschlussbereiche: Antivirenausschlüsse (epp) und globale (global).

Antivirusausschlüsse können verwendet werden, um vertrauenswürdige Dateien und Prozesse vom Echtzeitschutz auszuschließen, während weiterhin EDR-Sichtbarkeit vorhanden ist. Globale Ausschlüsse werden auf Sensorebene und zum Stummschalten der Ereignisse angewendet, die den Ausschlussbedingungen sehr früh im Flow entsprechen, bevor eine Verarbeitung durchgeführt wird, wodurch alle EDR-Warnungen und Antivirenerkennungen beendet werden.

Hinweis

Global (global) ist ein neuer Ausschlussbereich, den wir zusätzlich zu Antivirenausschlussbereichen (epp) einführen, die bereits von Microsoft unterstützt werden.

Ausschlusskategorie Ausschlussbereich Beschreibung
Antivirusausschluss Antivirus-Engine
(Geltungsbereich: epp)
Schließt Inhalte von Antivirenscans (AV) und On-Demand-Überprüfungen aus.
Globaler Ausschluss Antiviren- und Endpunkterkennungs- und Reaktionsmodul
(Bereich: global)
Schließt Ereignisse vom Echtzeitschutz und der EDR-Sichtbarkeit aus. Gilt standardmäßig nicht für bedarfsgesteuerte Überprüfungen.

Unterstützte Ausschlusstypen

In der folgenden Tabelle sind die Von Defender für Endpunkt unter Linux unterstützten Ausschlusstypen aufgeführt.

Ausschluss Definition Beispiele
Dateierweiterung Alle Dateien mit der Erweiterung, überall auf dem Gerät (für globale Ausschlüsse nicht verfügbar) .test
File Eine bestimmte Datei, die durch den vollständigen Pfad identifiziert wird /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Ordner Alle Dateien im angegebenen Ordner (rekursiv) /var/log/
/var/*/
Prozess Ein bestimmter Prozess (entweder durch den vollständigen Pfad oder Dateinamen angegeben) und alle dateien, die von diesem geöffnet werden /bin/cat
cat
c?t

Wichtig

Die verwendeten Pfade müssen feste Links und keine symbolischen Verknüpfungen sein, um erfolgreich ausgeschlossen zu werden. Sie können überprüfen, ob ein Pfad eine symbolische Verknüpfung ist, indem Sie ausführen file <path-name>.

Datei-, Ordner- und Prozessausschlüsse unterstützen die folgenden Wildcards:

Hinweis

Beim Konfigurieren globaler Ausschlüsse werden keine Wildcards unterstützt.

Platzhalter Beschreibung Beispiele
* Entspricht einer beliebigen Anzahl beliebiger Zeichen, einschließlich keines.
(Beachten Sie, wenn dieser Wildcard nicht am Ende des Pfads verwendet wird, ersetzt er nur einen Ordner.)
/var/*/tmp enthält alle Dateien in /var/abc/tmp und ihren Unterverzeichnissen sowie /var/def/tmp und ihren Unterverzeichnissen. Oder ist nicht enthalten /var/abc/log . /var/def/log

/var/*/ schließt nur Dateien in seinen Unterverzeichnissen ein, z /var/abc/. B. , aber keine Dateien direkt in /var.

? Entspricht jedem einzelnen Zeichen file?.log enthält file1.log und file2.log, aber nichtfile123.log

Hinweis

Bei Antivirenausschlüssen wird bei Verwendung des *-Wildcards am Ende des Pfads mit allen Dateien und Unterverzeichnissen unter dem übergeordneten Element des Wildcards übereinstimmen.

Konfigurieren der Liste der Ausschlüsse

Verwenden der Verwaltungskonsole

Weitere Informationen zum Konfigurieren von Ausschlüssen von Puppet, Ansible oder einer anderen Verwaltungskonsole finden Sie unter Festlegen von Einstellungen für Defender für Endpunkt unter Linux.

Verwenden der Befehlszeile

Führen Sie den folgenden Befehl aus, um die verfügbaren Optionen für die Verwaltung von Ausschlüssen anzuzeigen:

Hinweis

--scope ist ein optionales Flag mit akzeptiertem Wert als epp oder global. Es bietet denselben Bereich, der beim Hinzufügen des Ausschlusses verwendet wird, um denselben Ausschluss zu entfernen. Wenn der Bereich im Befehlszeilenansatz nicht erwähnt wird, wird der Bereichswert auf eppfestgelegt. Ausschlüsse, die vor der Einführung des --scope Flags über die CLI hinzugefügt wurden, bleiben davon nicht betroffen, und ihr Bereich wird als betrachtet epp.

mdatp exclusion

Tipp

Wenn Sie Ausschlüsse mit Platzhaltern konfigurieren, schließen Sie den Parameter in doppelte Anführungszeichen ein, um ein Globing zu verhindern.

Beispiele:

  • Fügen Sie einen Ausschluss für eine Dateierweiterung hinzu (Erweiterungsausschluss wird für den globalen Ausschlussbereich nicht unterstützt):

    mdatp exclusion extension add --name .txt
    
    Extension exclusion configured successfully
    
    mdatp exclusion extension remove --name .txt
    
    Extension exclusion removed successfully
    
  • Hinzufügen/Entfernen eines Ausschlusses für eine Datei:

    mdatp exclusion file add --path /var/log/dummy.log --scope epp
    
    File exclusion configured successfully
    
    mdatp exclusion file remove --path /var/log/dummy.log --scope epp
    
    File exclusion removed successfully"
    
    mdatp exclusion file add --path /var/log/dummy.log --scope global
    
    File exclusion configured successfully
    
    mdatp exclusion file remove --path /var/log/dummy.log --scope global
    
    File exclusion removed successfully"
    
  • Hinzufügen/Entfernen eines Ausschlusses für einen Ordner:

    mdatp exclusion folder add --path /var/log/ --scope epp
    
    Folder exclusion configured successfully
    
    mdatp exclusion folder remove --path /var/log/ --scope epp
    
    Folder exclusion removed successfully
    
      mdatp exclusion folder add --path /var/log/ --scope global
    
    Folder exclusion configured successfully
    
    mdatp exclusion folder remove --path /var/log/ --scope global
    
    Folder exclusion removed successfully
    
  • Fügen Sie einen Ausschluss für einen zweiten Ordner hinzu:

    mdatp exclusion folder add --path /var/log/ --scope epp
    mdatp exclusion folder add --path /other/folder  --scope global
    
    Folder exclusion configured successfully
    
  • Fügen Sie einen Ausschluss für einen Ordner hinzu, in dem ein Wildcard enthalten ist:

    Hinweis

    Beim Konfigurieren globaler Ausschlüsse werden keine Wildcards unterstützt.

    mdatp exclusion folder add --path "/var/*/tmp"
    

    Hinweis

    Dadurch werden nur Pfade unter /var/*/tmp/ ausgeschlossen, aber keine Ordner, die gleichgeordnete Elemente von tmp sind. Beispiel : /var/this-subfolder/tmp, aber nicht /var/this-subfolder/log.

    mdatp exclusion folder add --path "/var/" --scope epp
    

    ODER

    mdatp exclusion folder add --path "/var/*/" --scope epp
    

    Hinweis

    Dadurch werden alle Pfade ausgeschlossen, deren übergeordnetes Element /var/; Beispiel : /var/this-unterordner/and-this-subfolder-as-well.

    Folder exclusion configured successfully
    
  • Hinzufügen eines Ausschlusses für einen Prozess:

    mdatp exclusion process add --name /usr/bin/cat --scope global 
    
    Process exclusion configured successfully
    
    mdatp exclusion process remove --name /usr/bin/cat  --scope global
    
    Process exclusion removed successfully
    
      mdatp exclusion process add --name /usr/bin/cat --scope epp 
    
    Process exclusion configured successfully
    
    mdatp exclusion process remove --name /usr/bin/cat  --scope epp
    
    Process exclusion removed successfully
    
  • Fügen Sie einen Ausschluss für einen zweiten Prozess hinzu:

    mdatp exclusion process add --name cat --scope epp
    mdatp exclusion process add --name dog --scope global
    
    Process exclusion configured successfully
    

Überprüfen von Ausschlusslisten mit der EICAR-Testdatei

Sie können überprüfen, ob Ihre Ausschlusslisten funktionieren, indem Sie zum Herunterladen einer Testdatei verwenden curl .

Ersetzen Sie test.txt im folgenden Bash-Codeausschnitt durch eine Datei, die Ihren Ausschlussregeln entspricht. Wenn Sie beispielsweise die .testing Erweiterung ausgeschlossen haben, ersetzen Sie durch test.txttest.testing. Wenn Sie einen Pfad testen, stellen Sie sicher, dass Sie den Befehl innerhalb dieses Pfads ausführen.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Wenn Defender für Endpunkt unter Linux Schadsoftware meldet, funktioniert die Regel nicht. Wenn keine Schadsoftware gemeldet wird und die heruntergeladene Datei vorhanden ist, funktioniert der Ausschluss. Sie können die Datei öffnen, um zu bestätigen, dass der Inhalt mit den auf der EICAR-Testdateiwebsite beschriebenen Inhalten übereinstimmt.

Wenn Sie keinen Internetzugriff haben, können Sie Eine eigene EICAR-Testdatei erstellen. Schreiben Sie die EICAR-Zeichenfolge mit dem folgenden Bash-Befehl in eine neue Textdatei:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Sie können die Zeichenfolge auch in eine leere Textdatei kopieren und versuchen, sie mit dem Dateinamen oder in dem Ordner zu speichern, den Sie ausschließen möchten.

Bedrohungen zulassen

Zusätzlich zum Ausschließen bestimmter Inhalte von der Überprüfung können Sie das Produkt auch so konfigurieren, dass einige Klassen von Bedrohungen (identifiziert durch den Bedrohungsnamen) nicht erkannt werden. Sie sollten bei der Verwendung dieser Funktion vorsichtig sein, da Ihr Gerät dadurch nicht geschützt werden kann.

Führen Sie den folgenden Befehl aus, um der Liste der zulässigen Bedrohungen einen Namen hinzuzufügen:

mdatp threat allowed add --name [threat-name]

Der Bedrohungsname, der einer Erkennung auf Ihrem Gerät zugeordnet ist, kann mit dem folgenden Befehl abgerufen werden:

mdatp threat list

Führen Sie z. B. den folgenden Befehl aus, um (der Bedrohungsname, der der EICAR-Erkennung zugeordnet ist) zur Liste der zulässigen Elemente hinzuzufügen EICAR-Test-File (not a virus) :

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.