Configuración y validación de exclusiones para Microsoft Defender para punto de conexión en Linux
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
En este artículo se proporciona información sobre cómo definir exclusiones que se aplican a los exámenes a petición y la protección y supervisión en tiempo real.
Importante
Las exclusiones descritas en este artículo no se aplican a otras funcionalidades de Defender para punto de conexión en Linux, incluida la detección y respuesta de puntos de conexión (EDR). Los archivos que se excluyen mediante los métodos descritos en este artículo todavía pueden desencadenar alertas de EDR y otras detecciones. Para exclusiones de EDR, póngase en contacto con el soporte técnico.
Puede excluir determinados archivos, carpetas, procesos y archivos abiertos por procesos de los exámenes de Defender para punto de conexión en Linux.
Las exclusiones pueden ser útiles para evitar detecciones incorrectas en archivos o software que son únicos o personalizados para su organización. También pueden ser útiles para mitigar los problemas de rendimiento causados por Defender para punto de conexión en Linux.
Advertencia
La definición de exclusiones reduce la protección que ofrece Defender para punto de conexión en Linux. Siempre debe evaluar los riesgos asociados a la implementación de exclusiones y solo debe excluir los archivos que esté seguro de que no son malintencionados.
Tipos de exclusión admitidos
En la tabla siguiente se muestran los tipos de exclusión admitidos por Defender para punto de conexión en Linux.
| Exclusión | Definición | Ejemplos |
|---|---|---|
| Extensión de archivo | Todos los archivos con la extensión, en cualquier lugar del dispositivo | .test |
| Archivo | Un archivo específico identificado por la ruta de acceso completa | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Folder | Todos los archivos de la carpeta especificada (de forma recursiva) | /var/log//var/*/ |
| Proceso | Un proceso específico (especificado por la ruta de acceso completa o el nombre de archivo) y todos los archivos abiertos por él | /bin/catcatc?t |
Importante
Las rutas de acceso anteriores deben ser vínculos duros, no vínculos simbólicos, para que se excluyan correctamente. Puede comprobar si una ruta de acceso es un vínculo simbólico mediante la ejecución de file <path-name>.
Las exclusiones de archivos, carpetas y procesos admiten los siguientes caracteres comodín:
| Carácter comodín | Descripción | Ejemplos |
|---|---|---|
| * | Coincide con cualquier número de caracteres, incluido ninguno (tenga en cuenta que si este carácter comodín no se usa al final de la ruta de acceso, sustituirá solo una carpeta). | /var/*/tmp incluye cualquier archivo en /var/abc/tmp y sus subdirectorios, y /var/def/tmp sus subdirectorios. No incluye /var/abc/log ni /var/def/log
|
| ? | Coincide con cualquier carácter único | file?.log incluye file1.log y file2.log, pero nofile123.log |
Nota:
Al usar el carácter comodín * al final de la ruta de acceso, coincidirá con todos los archivos y subdirectorios del elemento primario del carácter comodín.
Configuración de la lista de exclusiones
Desde la consola de administración
Para obtener más información sobre cómo configurar exclusiones de Puppet, Ansible u otra consola de administración, consulte Establecer preferencias para Defender para punto de conexión en Linux.
Desde la línea de comandos
Ejecute el siguiente comando para ver los modificadores disponibles para administrar exclusiones:
mdatp exclusion
Sugerencia
Al configurar exclusiones con caracteres comodín, incluya el parámetro entre comillas dobles para evitar el uso de globbing.
Ejemplos:
Agregue una exclusión para una extensión de archivo:
mdatp exclusion extension add --name .txtExtension exclusion configured successfullyAgregue una exclusión para un archivo:
mdatp exclusion file add --path /var/log/dummy.logFile exclusion configured successfullyAgregue una exclusión para una carpeta:
mdatp exclusion folder add --path /var/log/Folder exclusion configured successfullyAgregue una exclusión para una segunda carpeta:
mdatp exclusion folder add --path /var/log/ mdatp exclusion folder add --path /other/folderFolder exclusion configured successfullyAgregue una exclusión para una carpeta con un carácter comodín en ella:
mdatp exclusion folder add --path "/var/*/tmp"Nota:
Esto solo excluirá las rutas de acceso debajo de /var/*/tmp/, pero no las carpetas que son elementos del mismo nivel de tmp; por ejemplo, /var/this-subcarpeta/tmp, pero no /var/this-subcarpeta/log.
mdatp exclusion folder add --path "/var/"OR
mdatp exclusion folder add --path "/var/*/"Nota:
Esto excluirá todas las rutas de acceso cuyo elemento primario sea /var/; por ejemplo, /var/this-subcarpeta/and-this-subcarpeta-as-así.
Folder exclusion configured successfullyAgregue una exclusión para un proceso:
mdatp exclusion process add --name catProcess exclusion configured successfullyAgregue una exclusión para un segundo proceso:
mdatp exclusion process add --name cat mdatp exclusion process add --name dogProcess exclusion configured successfully
Validación de listas de exclusiones con el archivo de prueba EICAR
Puede validar que las listas de exclusión funcionan mediante curl para descargar un archivo de prueba.
En el siguiente fragmento de código de Bash, reemplace por test.txt un archivo que se ajuste a las reglas de exclusión. Por ejemplo, si ha excluido la .testing extensión, reemplace por test.txttest.testing. Si va a probar una ruta de acceso, asegúrese de ejecutar el comando dentro de esa ruta de acceso.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Si Defender para punto de conexión en Linux informa de malware, la regla no funciona. Si no hay ningún informe de malware y el archivo descargado existe, la exclusión funciona. Puede abrir el archivo para confirmar que el contenido es el mismo que el que se describe en el sitio web del archivo de prueba EICAR.
Si no tiene acceso a Internet, puede crear su propio archivo de prueba EICAR. Escriba la cadena EICAR en un nuevo archivo de texto con el siguiente comando de Bash:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
También puede copiar la cadena en un archivo de texto en blanco e intentar guardarlo con el nombre de archivo o en la carpeta que intenta excluir.
Permitir amenazas
Además de excluir cierto contenido del examen, también puede configurar el producto para que no detecte algunas clases de amenazas (identificadas por el nombre de la amenaza). Debe tener cuidado al usar esta funcionalidad, ya que puede dejar el dispositivo desprotegido.
Para agregar un nombre de amenaza a la lista permitida, ejecute el siguiente comando:
mdatp threat allowed add --name [threat-name]
El nombre de amenaza asociado a una detección en el dispositivo se puede obtener mediante el siguiente comando:
mdatp threat list
Por ejemplo, para agregar EICAR-Test-File (not a virus) (el nombre de amenaza asociado a la detección de EICAR) a la lista de permitidos, ejecute el siguiente comando:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de