Compartir vía

Configuración y validación de exclusiones para Microsoft Defender para punto de conexión en Linux

  • Artículo

En este artículo:

  1. Ámbitos de exclusión admitidos
  2. Tipos de exclusión admitidos
  3. Configuración de la lista de exclusiones
  4. Validación de listas de exclusiones con el archivo de prueba EICAR
  5. Permitir amenazas

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

En este artículo se proporciona información sobre cómo definir antivirus y exclusiones globales para Microsoft Defender para punto de conexión. Las exclusiones antivirus se aplican a los exámenes a petición, la protección en tiempo real (RTP) y la supervisión del comportamiento (BM). Las exclusiones globales se aplican a la protección en tiempo real (RTP), la supervisión del comportamiento (BM) y la detección y respuesta de puntos de conexión (EDR), deteniendo así todas las detecciones antivirus asociadas, las alertas de EDR y la visibilidad del elemento excluido.

Importante

Las exclusiones antivirus descritas en este artículo se aplican solo a las funcionalidades antivirus y no a la detección y respuesta de puntos de conexión (EDR). Los archivos que se excluyen mediante las exclusiones de antivirus descritas en este artículo todavía pueden desencadenar alertas de EDR y otras detecciones. Mientras que las exclusiones globales descritas en esta sección se aplican a antivirus, así como a las funcionalidades de detección y respuesta de puntos de conexión, deteniendo así toda la protección antivirus asociada, las alertas de EDR y la detección. Las exclusiones globales están disponibles en la versión 101.23092.0012 de Defender para punto de conexión o posterior. Para exclusiones de EDR, póngase en contacto con el soporte técnico.

Puede excluir determinados archivos, carpetas, procesos y archivos abiertos por procesos de Defender para punto de conexión en Linux.

Las exclusiones pueden ser útiles para evitar detecciones incorrectas en archivos o software que son únicos o personalizados para su organización. Las exclusiones globales son útiles para mitigar los problemas de rendimiento causados por Defender para punto de conexión en Linux.

Advertencia

La definición de exclusiones reduce la protección que ofrece Defender para punto de conexión en Linux. Siempre debe evaluar los riesgos asociados a la implementación de exclusiones y solo debe excluir los archivos que esté seguro de que no son malintencionados.

Ámbitos de exclusión admitidos

Como se describió en una sección anterior, se admiten dos ámbitos de exclusión: exclusiones antivirus (epp) y globales (global).

Las exclusiones de antivirus se pueden usar para excluir archivos y procesos de confianza de la protección en tiempo real y, al mismo tiempo, tener visibilidad de EDR. Las exclusiones globales se aplican en el nivel de sensor y para silenciar los eventos que coinciden con las condiciones de exclusión muy pronto en el flujo, antes de que se realice cualquier procesamiento, deteniendo así todas las alertas de EDR y las detecciones antivirus.

Nota:

Global (global) es un nuevo ámbito de exclusión que estamos introduciendo además de los ámbitos de exclusión antivirus (epp) que ya son compatibles con Microsoft.

Categoría de exclusión Ámbito de exclusión Descripción
Exclusión del antivirus Motor antivirus
(ámbito: epp)		 Excluye el contenido de los exámenes antivirus (AV) y los exámenes a petición.
Exclusión global Antivirus y detecciones de puntos de conexión y motor de respuesta
(ámbito: global)		 Excluye los eventos de la protección en tiempo real y la visibilidad de EDR. No se aplica a los exámenes a petición de forma predeterminada.

Tipos de exclusión admitidos

En la tabla siguiente se muestran los tipos de exclusión admitidos por Defender para punto de conexión en Linux.

Exclusión Definición Ejemplos
Extensión de archivo Todos los archivos con la extensión, en cualquier lugar del dispositivo (no están disponibles para exclusiones globales) .test
Archivo Un archivo específico identificado por la ruta de acceso completa /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Folder Todos los archivos de la carpeta especificada (de forma recursiva) /var/log/
/var/*/
Proceso Un proceso específico (especificado por la ruta de acceso completa o el nombre de archivo) y todos los archivos abiertos por él /bin/cat
cat
c?t

Importante

Las rutas de acceso usadas deben ser vínculos duros, no vínculos simbólicos, para que se excluyan correctamente. Puede comprobar si una ruta de acceso es un vínculo simbólico mediante la ejecución de file <path-name>.

Las exclusiones de archivos, carpetas y procesos admiten los siguientes caracteres comodín:

Nota:

No se admiten caracteres comodín al configurar exclusiones globales.

Carácter comodín Descripción Ejemplos
* Coincide con cualquier número de caracteres, incluido ninguno.
(Tenga en cuenta que si este carácter comodín no se usa al final de la ruta de acceso, sustituye solo una carpeta).		 /var/*/tmp incluye cualquier archivo en /var/abc/tmp y sus subdirectorios, y /var/def/tmp sus subdirectorios. No incluye /var/abc/log ni /var/def/log

/var/*/ solo incluye los archivos de sus subdirectorios, como /var/abc/, pero no los archivos directamente dentro de /var.
? Coincide con cualquier carácter único file?.log incluye file1.log y file2.log, pero nofile123.log

Nota:

En el caso de las exclusiones antivirus, al usar el carácter comodín * al final de la ruta de acceso, coincidirá con todos los archivos y subdirectorios que se encuentran en el elemento primario del carácter comodín.

Configuración de la lista de exclusiones

Uso de la consola de administración

Para obtener más información sobre cómo configurar exclusiones de Puppet, Ansible u otra consola de administración, consulte Establecer preferencias para Defender para punto de conexión en Linux.

Uso de la línea de comandos

Ejecute el siguiente comando para ver los modificadores disponibles para administrar exclusiones:

Nota:

--scope es una marca opcional con el valor aceptado como epp o global. Proporciona el mismo ámbito que se usa al agregar la exclusión para quitar la misma exclusión. En el enfoque de línea de comandos, si no se menciona el ámbito, el valor de ámbito se establece como epp. Las exclusiones agregadas a través de la CLI antes de la introducción de --scope la marca no se ven afectadas y su ámbito se considera epp.

mdatp exclusion

Sugerencia

Al configurar exclusiones con caracteres comodín, incluya el parámetro entre comillas dobles para evitar el uso de globbing.

Ejemplos:

  • Agregue una exclusión para una extensión de archivo (no se admite la exclusión de extensiones para el ámbito de exclusión global):

    mdatp exclusion extension add --name .txt

    Extension exclusion configured successfully

    mdatp exclusion extension remove --name .txt

    Extension exclusion removed successfully

  • Agregar o quitar una exclusión para un archivo:

    mdatp exclusion file add --path /var/log/dummy.log --scope epp

    File exclusion configured successfully

    mdatp exclusion file remove --path /var/log/dummy.log --scope epp

    File exclusion removed successfully"

    mdatp exclusion file add --path /var/log/dummy.log --scope global

    File exclusion configured successfully

    mdatp exclusion file remove --path /var/log/dummy.log --scope global

    File exclusion removed successfully"

  • Agregar o quitar una exclusión para una carpeta:

    mdatp exclusion folder add --path /var/log/ --scope epp

    Folder exclusion configured successfully

    mdatp exclusion folder remove --path /var/log/ --scope epp

    Folder exclusion removed successfully

      mdatp exclusion folder add --path /var/log/ --scope global

    Folder exclusion configured successfully

    mdatp exclusion folder remove --path /var/log/ --scope global

    Folder exclusion removed successfully

  • Agregue una exclusión para una segunda carpeta:

    mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder  --scope global

    Folder exclusion configured successfully

  • Agregue una exclusión para una carpeta con un carácter comodín en ella:

    Nota:

    No se admiten caracteres comodín al configurar exclusiones globales.

    mdatp exclusion folder add --path "/var/*/tmp"

    Nota:

    Esto solo excluirá las rutas de acceso en /var/*/tmp/, pero no las carpetas que son elementos del mismo nivel de tmp; por ejemplo, /var/this-subcarpeta/tmp, pero no /var/this-subcarpeta/log.

    mdatp exclusion folder add --path "/var/" --scope epp

    OR

    mdatp exclusion folder add --path "/var/*/" --scope epp

    Nota:

    Esto excluirá todas las rutas de acceso cuyo elemento primario sea /var/; por ejemplo, /var/this-subcarpeta/and-this-subcarpeta-as-así.

    Folder exclusion configured successfully

  • Agregue una exclusión para un proceso:

    mdatp exclusion process add --name /usr/bin/cat --scope global 

    Process exclusion configured successfully

    mdatp exclusion process remove --name /usr/bin/cat  --scope global

    Process exclusion removed successfully

      mdatp exclusion process add --name /usr/bin/cat --scope epp 

    Process exclusion configured successfully

    mdatp exclusion process remove --name /usr/bin/cat  --scope epp

    Process exclusion removed successfully

  • Agregue una exclusión para un segundo proceso:

    mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --name dog --scope global

    Process exclusion configured successfully

Validación de listas de exclusiones con el archivo de prueba EICAR

Puede validar que las listas de exclusión funcionan mediante curl para descargar un archivo de prueba.

En el siguiente fragmento de código de Bash, reemplace por test.txt un archivo que se ajuste a las reglas de exclusión. Por ejemplo, si ha excluido la .testing extensión, reemplace por test.txttest.testing. Si va a probar una ruta de acceso, asegúrese de ejecutar el comando dentro de esa ruta de acceso.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Si Defender para punto de conexión en Linux notifica malware, la regla no funciona. Si no hay ningún informe de malware y el archivo descargado existe, la exclusión funciona. Puede abrir el archivo para confirmar que el contenido es el mismo que el que se describe en el sitio web del archivo de prueba EICAR.

Si no tiene acceso a Internet, puede crear su propio archivo de prueba EICAR. Escriba la cadena EICAR en un nuevo archivo de texto con el siguiente comando de Bash:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

También puede copiar la cadena en un archivo de texto en blanco e intentar guardarlo con el nombre de archivo o en la carpeta que intenta excluir.

Permitir amenazas

Además de excluir cierto contenido del examen, también puede configurar el producto para que no detecte algunas clases de amenazas (identificadas por el nombre de la amenaza). Debe tener cuidado al usar esta funcionalidad, ya que puede dejar el dispositivo desprotegido.

Para agregar un nombre de amenaza a la lista permitida, ejecute el siguiente comando:

mdatp threat allowed add --name [threat-name]

El nombre de amenaza asociado a una detección en el dispositivo se puede obtener mediante el siguiente comando:

mdatp threat list

Por ejemplo, para agregar EICAR-Test-File (not a virus) (el nombre de amenaza asociado a la detección de EICAR) a la lista de permitidos, ejecute el siguiente comando:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.