Configuración y validación de exclusiones para Microsoft Defender para punto de conexión en Linux
¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
En este artículo se proporciona información sobre cómo definir el antivirus y las exclusiones globales para Microsoft Defender para punto de conexión. Las exclusiones antivirus se aplican a los exámenes a petición, la protección en tiempo real (RTP) y la supervisión del comportamiento (BM). Las exclusiones globales se aplican a la protección en tiempo real (RTP), la supervisión del comportamiento (BM) y la detección y respuesta de puntos de conexión (EDR), deteniendo así todas las detecciones antivirus asociadas, las alertas de EDR y la visibilidad del elemento excluido.
Importante
Las exclusiones antivirus descritas en este artículo se aplican solo a las funcionalidades antivirus y no a la detección y respuesta de puntos de conexión (EDR). Los archivos que se excluyen mediante las exclusiones de antivirus descritas en este artículo todavía pueden desencadenar alertas de EDR y otras detecciones. Las exclusiones globales descritas en esta sección se aplican a las funcionalidades de detección y respuesta de antivirus y puntos de conexión, deteniendo así toda la protección antivirus asociada, las alertas de EDR y las detecciones. Las exclusiones globales están actualmente en versión preliminar pública y están disponibles en la versión 101.23092.0012
de Defender para punto de conexión o posterior, en los anillos Insiders Slow y Production. Para exclusiones de EDR, póngase en contacto con el soporte técnico.
Puede excluir determinados archivos, carpetas, procesos y archivos abiertos por procesos de Defender para punto de conexión en Linux.
Las exclusiones pueden ser útiles para evitar detecciones incorrectas en archivos o software que son únicos o personalizados para su organización. Las exclusiones globales son útiles para mitigar los problemas de rendimiento causados por Defender para punto de conexión en Linux.
Advertencia
La definición de exclusiones reduce la protección que ofrece Defender para punto de conexión en Linux. Siempre debe evaluar los riesgos asociados a la implementación de exclusiones y solo debe excluir los archivos que esté seguro de que no son malintencionados.
Ámbitos de exclusión admitidos
Como se describió en una sección anterior, se admiten dos ámbitos de exclusión: exclusiones antivirus (epp
) y globales (global
).
Las exclusiones de antivirus se pueden usar para excluir archivos y procesos de confianza de la protección en tiempo real y, al mismo tiempo, tener visibilidad de EDR. Las exclusiones globales se aplican en el nivel de sensor y para silenciar los eventos que coinciden con las condiciones de exclusión muy pronto en el flujo, antes de que se realice cualquier procesamiento, deteniendo así todas las alertas de EDR y las detecciones antivirus.
Nota:
Global (global
) es un nuevo ámbito de exclusión que estamos introduciendo además de los ámbitos de exclusión antivirus (epp
) que ya son compatibles con Microsoft.
Categoría de exclusión | Ámbito de exclusión | Descripción |
---|---|---|
Exclusión del antivirus | Motor antivirus (ámbito: epp) |
Excluye el contenido de los exámenes antivirus (AV) y los exámenes a petición. |
Exclusión global | Antivirus y detecciones de puntos de conexión y motor de respuesta (ámbito: global) |
Excluye los eventos de la protección en tiempo real y la visibilidad de EDR. No se aplica a los exámenes a petición de forma predeterminada. |
Tipos de exclusión admitidos
En la tabla siguiente se muestran los tipos de exclusión admitidos por Defender para punto de conexión en Linux.
Exclusión | Definición | Ejemplos |
---|---|---|
Extensión de archivo | Todos los archivos con la extensión, en cualquier lugar del dispositivo (no están disponibles para exclusiones globales) | .test |
Archivo | Un archivo específico identificado por la ruta de acceso completa | /var/log/test.log /var/log/*.log /var/log/install.?.log |
Folder | Todos los archivos de la carpeta especificada (de forma recursiva) | /var/log/ /var/*/ |
Proceso | Un proceso específico (especificado por la ruta de acceso completa o el nombre de archivo) y todos los archivos abiertos por él | /bin/cat cat c?t |
Importante
Las rutas de acceso usadas deben ser vínculos duros, no vínculos simbólicos, para que se excluyan correctamente. Puede comprobar si una ruta de acceso es un vínculo simbólico mediante la ejecución de file <path-name>
.
Las exclusiones de archivos, carpetas y procesos admiten los siguientes caracteres comodín:
Nota:
La ruta de acceso del archivo debe estar presente antes de agregar o quitar exclusiones de archivos con el ámbito como global. No se admiten caracteres comodín al configurar exclusiones globales.
Carácter comodín | Descripción | Ejemplos |
---|---|---|
* | Coincide con cualquier número de caracteres, incluido ninguno. (Tenga en cuenta que si este carácter comodín no se usa al final de la ruta de acceso, sustituye solo una carpeta). |
/var/*/tmp incluye cualquier archivo en /var/abc/tmp y sus subdirectorios, y /var/def/tmp sus subdirectorios. No incluye /var/abc/log ni /var/def/log
|
? | Coincide con cualquier carácter único |
file?.log incluye file1.log y file2.log , pero nofile123.log |
Nota:
En el caso de las exclusiones antivirus, al usar el carácter comodín * al final de la ruta de acceso, coincidirá con todos los archivos y subdirectorios que se encuentran en el elemento primario del carácter comodín.
Configuración de la lista de exclusiones
Uso de la consola de administración
Para configurar exclusiones de Puppet, Ansible u otra consola de administración, consulte el ejemplo mdatp_managed.json
siguiente.
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Para obtener más información, consulte Establecer preferencias para Defender para punto de conexión en Linux.
Uso de la línea de comandos
Ejecute el siguiente comando para ver los modificadores disponibles para administrar exclusiones:
Nota:
--scope
es una marca opcional con el valor aceptado como epp
o global
. Proporciona el mismo ámbito que se usa al agregar la exclusión para quitar la misma exclusión. En el enfoque de línea de comandos, si no se menciona el ámbito, el valor de ámbito se establece como epp
.
Las exclusiones agregadas a través de la CLI antes de la introducción de --scope
la marca no se ven afectadas y su ámbito se considera epp
.
mdatp exclusion
Sugerencia
Al configurar exclusiones con caracteres comodín, incluya el parámetro entre comillas dobles para evitar el uso de globbing.
Ejemplos:
Agregue una exclusión para una extensión de archivo (no se admite la exclusión de extensiones para el ámbito de exclusión global):
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully
Agregar o quitar una exclusión para un archivo (la ruta de acceso del archivo ya debe estar presente en caso de agregar o quitar la exclusión con ámbito global):
mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"
Agregar o quitar una exclusión para una carpeta:
mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully
Agregue una exclusión para una segunda carpeta:
mdatp exclusion folder add --path /var/log/ --scope epp mdatp exclusion folder add --path /other/folder --scope global
Folder exclusion configured successfully
Agregue una exclusión para una carpeta con un carácter comodín en ella:
Nota:
No se admiten caracteres comodín al configurar exclusiones globales.
mdatp exclusion folder add --path "/var/*/tmp"
Nota:
Esto solo excluirá las rutas de acceso en /var/*/tmp/, pero no las carpetas que son elementos del mismo nivel de tmp; por ejemplo, /var/this-subcarpeta/tmp, pero no /var/this-subcarpeta/log.
mdatp exclusion folder add --path "/var/" --scope epp
OR
mdatp exclusion folder add --path "/var/*/" --scope epp
Nota:
Esto excluirá todas las rutas de acceso cuyo elemento primario sea /var/; por ejemplo, /var/this-subcarpeta/and-this-subcarpeta-as-así.
Folder exclusion configured successfully
Agregue una exclusión para un proceso:
mdatp exclusion process add --name /usr/bin/cat --scope global
Process exclusion configured successfully
mdatp exclusion process remove --name /usr/bin/cat --scope global
Process exclusion removed successfully
mdatp exclusion process add --name /usr/bin/cat --scope epp
Process exclusion configured successfully
mdatp exclusion process remove --name /usr/bin/cat --scope epp
Process exclusion removed successfully
Agregue una exclusión para un segundo proceso:
mdatp exclusion process add --name cat --scope epp mdatp exclusion process add --name dog --scope global
Process exclusion configured successfully
Validación de listas de exclusiones con el archivo de prueba EICAR
Puede validar que las listas de exclusión funcionan mediante curl
para descargar un archivo de prueba.
En el siguiente fragmento de código de Bash, reemplace por test.txt
un archivo que se ajuste a las reglas de exclusión. Por ejemplo, si ha excluido la .testing
extensión, reemplace por test.txt
test.testing
. Si va a probar una ruta de acceso, asegúrese de ejecutar el comando dentro de esa ruta de acceso.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Si Defender para punto de conexión en Linux notifica malware, la regla no funciona. Si no hay ningún informe de malware y el archivo descargado existe, la exclusión funciona. Puede abrir el archivo para confirmar que el contenido es el mismo que el que se describe en el sitio web del archivo de prueba EICAR.
Si no tiene acceso a Internet, puede crear su propio archivo de prueba EICAR. Escriba la cadena EICAR en un nuevo archivo de texto con el siguiente comando de Bash:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
También puede copiar la cadena en un archivo de texto en blanco e intentar guardarlo con el nombre de archivo o en la carpeta que intenta excluir.
Permitir amenazas
Además de excluir cierto contenido del examen, también puede configurar el producto para que no detecte algunas clases de amenazas (identificadas por el nombre de la amenaza). Debe tener cuidado al usar esta funcionalidad, ya que puede dejar el dispositivo desprotegido.
Para agregar un nombre de amenaza a la lista permitida, ejecute el siguiente comando:
mdatp threat allowed add --name [threat-name]
El nombre de amenaza asociado a una detección en el dispositivo se puede obtener mediante el siguiente comando:
mdatp threat list
Por ejemplo, para agregar EICAR-Test-File (not a virus)
(el nombre de amenaza asociado a la detección de EICAR) a la lista de permitidos, ejecute el siguiente comando:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.