Jaa

Microsoft Defender for Endpoint poissulkemisten määrittäminen ja vahvistaminen Linuxissa

  • Artikkeli

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tässä artikkelissa on tietoja virustentorjunnan ja yleisten poissulkemisten määrittämisestä Microsoft Defender for Endpoint. Virustentorjuntaan liittyvät poikkeukset koskevat pyydettäessä suoritettavaa tarkistusta, reaaliaikaista suojausta (RTP) ja toiminnan valvontaa (BM). Yleisiä poissulkemisia sovelletaan reaaliaikaiseen suojaukseen (RTP), toiminnan valvontaan (BM) sekä päätepisteiden tunnistamiseen ja vastaukseen (EDR), mikä pysäyttää kaikki siihen liittyvät virustentorjuntatunnistukset, EDR-hälytykset ja näkyvyyden pois jätetylle kohteelle.

Tärkeää

Tässä artikkelissa kuvatut virustentorjuntapoikkeukset koskevat vain virustentorjuntaominaisuuksia, eivät päätepisteiden tunnistusta ja vastausta (EDR). Tiedostot, jotka jätetään pois tässä artikkelissa kuvattujen virustentorjuntapoikkeuksia käyttämällä, voivat silti käynnistää EDR-hälytyksiä ja muita tunnistuksia. Tässä osiossa kuvatut yleiset poikkeukset koskevat virustentorjuntaa ja päätepisteiden tunnistus- ja vastausominaisuuksia, mikä pysäyttää kaikki liittyvät virustentorjuntasuojaukset, EDR-hälytykset ja tunnistukset. Yleiset poikkeukset ovat tällä hetkellä julkisessa esikatselussa, ja ne ovat käytettävissä Defender for Endpoint -versiossa 101.23092.0012 tai sitä uudemmissa Insider-versioissa Hitaissa ja tuotantorenkaissa. Jos kyseessä on EDR-poikkeukset, ota yhteyttä tukeen.

Voit jättää pois tiettyjä tiedostoja, kansioita, prosesseja ja prosessin avaamia tiedostoja Defender for Endpointista Linuxissa.

Poissulkemisista voi olla hyötyä, kun vältetään virheelliset tunnistukset tiedostoissa tai ohjelmissa, jotka ovat yksilöllisiä tai mukautettuja organisaatiollesi. Yleiset poikkeukset ovat hyödyllisiä Defender for Endpointin Linuxissa aiheuttamien suorituskykyongelmien lieventämiseen.

Varoitus

Poissulkemisten määrittäminen pienentää Defenderin Linux-päätepisteelle tarjoamaa suojausta. Sinun tulee aina arvioida poissulkemisten toteuttamiseen liittyvät riskit, ja sinun tulisi jättää pois vain tiedostot, joiden olet varma olevan haitallisia.

Tuetut poissulkemisalueet

Kuten aiemmassa osiossa kuvattiin, tuemme kahta poissulkemisaluetta: virustentorjunta (epp) ja yleisiä (global) poissulkemisia.

Virustentorjunnan poissulkemisten avulla voidaan sulkea luotetut tiedostot ja prosessit pois reaaliaikaisen suojauksen käytöstä samalla, kun EDR-näkyvyys säilyy. Yleisiä poissulkemisia sovelletaan anturitasolla ja vaimennetaan tapahtumat, jotka vastaavat poissulkemisolosuhteita hyvin varhaisessa vaiheessa työnkulkua, ennen kuin mitään käsittelyä tehdään, jolloin kaikki EDR-hälytykset ja virustentorjuntatunnistukset pysäytetään.

Huomautus

Yleinen (global) on uusi poissulkemisalue, jonka esittelemme virustentorjuntaohjelman (epp) poissulkemisalueiden lisäksi, joita Microsoft jo tukee.

Poissulkemisluokka Poissulkemisen laajuus Kuvaus
Virustentorjunta ei ole poissulkeva Virustentorjuntaohjelma
(laajuus: epp)		 Jättää pois virustentorjunnan (AV) tarkistusten ja pyydettäessä luotaisten tarkistusten sisällön.
Yleinen poissulkeminen Virustentorjunta ja päätepisteiden tunnistuksia ja vastausmoduuli
(laajuus: yleinen)		 Ei sisällä reaaliaikaista suojausta ja EDR-näkyvyyttä. Ei koske oletuksena pyydettäessä suoritettavaa tarkistusta.

Tuetut poissulkemistyypit

Seuraavassa taulukossa on esitetty Defenderin Linux-päätepisteelle tukemat poissulkemistyypit.

Poissulkeminen Määritelmä Esimerkkejä
Tiedostopääte Kaikki tiedostot, joilla on laajennus, missä tahansa laitteessa (ei käytettävissä globaaleille poissulkemisille) .test
Tiedosto Koko polun tunnistama tietty tiedosto /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Kansio Kaikki määritetyn kansion tiedostot (rekursiivisesti) /var/log/
/var/*/
Prosessi Tietty prosessi (määritetty joko koko polun tai tiedostonimen mukaan) ja kaikki sen avaamat tiedostot /bin/cat
cat
c?t

Tärkeää

Käytettyjen polkujen on oltava kovia linkkejä, eivät symbolisia linkkejä, jotta ne voidaan sulkea onnistuneesti pois. Voit tarkistaa, onko polku symbolinen linkki, suorittamalla komennon file <path-name>.

Tiedoston, kansion ja prosessin poikkeukset tukevat seuraavia yleismerkkejä:

Huomautus

Tiedostopolun on oltava olemassa, ennen kuin voit lisätä tai poistaa tiedostopoikkeuksia, joiden vaikutusalue on yleinen. Yleismerkkejä ei tueta määritettäessä yleisiä poissulkemisia.

Yleismerkki Kuvaus Esimerkkejä
* Vastaa mitä tahansa merkkien määrää, mukaan lukien ei mitään
(huomautus, jos tätä yleismerkkiä ei käytetä polun lopussa, se korvaa vain yhden kansion)		 /var/*/tmp sisältää kaikki -tiedostot /var/abc/tmp ja sen alihakemistot sekä /var/def/tmp sen alihakemistot. Se ei sisällä /var/abc/log tai /var/def/log

/var/*/ sisältää vain sen alihakemistoissa olevat tiedostot, kuten /var/abc/, mutta ei suoraan sen sisällä olevia /vartiedostoja.
? Vastaa mitä tahansa yksittäistä merkkiä file?.log sisältää file1.log ja file2.log, mutta eifile123.log

Huomautus

Jos virustentorjunta ei ole käytössä, kun käytössä on *-yleismerkki polun lopussa, se vastaa kaikkia yleismerkin ylätason tiedostoja ja alihakemistoja.

Poissulkemisten luettelon määrittäminen

Hallintakonsolin käyttäminen

Jos haluat määrittää sätkynukkeun, Ansible-konsoliin tai muuhun hallintakonsoliin liittyviä poissulkemisia, katso seuraavaa esimerkkiä mdatp_managed.json.

{
   "exclusionSettings":{
     "exclusions":[
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/home/*/git<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/run<EXAMPLE DO NOT USE>",
           "scopes": [
              "global"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":false,
           "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
           "scopes": [
              "epp", "global"
           ]
        },
        {
           "$type":"excludedFileExtension",
           "extension":".pdf<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedFileName",
           "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
        }
     ],
     "mergePolicy":"admin_only"
   }
}

Lisätietoja on kohdassa Defenderin asetusten määrittäminen Linux-päätepisteelle.

Komentorivin käyttäminen

Suorita seuraava komento, jotta näet käytettävissä olevat valitsimet poissulkemisten hallintaan:

Huomautus

--scope on valinnainen merkintä, jonka hyväksytty arvo on epp tai global. Se tarjoaa saman laajuuden kuin lisätessään poissulkemisen saman poikkeuksen poistamiseksi. Jos vaikutusaluetta ei mainita komentorivin lähestymistavassa, vaikutusalueen arvoksi eppmääritetään . Tämä ei vaikuta poissulkemisiin , jotka lisätään komentorivikäyttöliittymän --scope kautta ennen lipun käyttöönottoa , ja niiden soveltamisalaa pidetään epp.

mdatp exclusion

Vihje

Kun määrität poissulkemisia yleismerkeillä, sisällytä parametri lainausmerkeissä estääksesi ylistystoiminnon.

Esimerkkejä:

  • Lisää poikkeus tiedostotunnisteelle (tunnisteen poissulkemista ei tueta yleisessä poissulkemisalueessa) :

    mdatp exclusion extension add --name .txt

    Extension exclusion configured successfully

    mdatp exclusion extension remove --name .txt

    Extension exclusion removed successfully

  • Lisää tai poista tiedoston poissulkeminen (tiedostopolun on jo oltava olemassa, jos yleinen vaikutusalue sisältää poikkeuksen tai poistaa sen) :

    mdatp exclusion file add --path /var/log/dummy.log --scope epp

    File exclusion configured successfully

    mdatp exclusion file remove --path /var/log/dummy.log --scope epp

    File exclusion removed successfully"

    mdatp exclusion file add --path /var/log/dummy.log --scope global

    File exclusion configured successfully

    mdatp exclusion file remove --path /var/log/dummy.log --scope global

    File exclusion removed successfully"

  • Lisää tai poista kansion poikkeus:

    mdatp exclusion folder add --path /var/log/ --scope epp

    Folder exclusion configured successfully

    mdatp exclusion folder remove --path /var/log/ --scope epp

    Folder exclusion removed successfully

      mdatp exclusion folder add --path /var/log/ --scope global

    Folder exclusion configured successfully

    mdatp exclusion folder remove --path /var/log/ --scope global

    Folder exclusion removed successfully

  • Lisää toiseen kansioon poikkeus:

    mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder  --scope global

    Folder exclusion configured successfully

  • Lisää poikkeus kansiolle, jossa on yleismerkki:

    Huomautus

    Yleismerkkejä ei tueta määritettäessä yleisiä poissulkemisia.

    mdatp exclusion folder add --path "/var/*/tmp"

    Huomautus

    Tämä sulkee pois vain polut, jotka ovat kohdassa /var/*/tmp/, mutta ei kansioita, jotka ovat tmp:n rinnakkaiskohteita. esimerkiksi /var/this-subfolder/tmp, mutta ei /var/this-subfolder/log.

    mdatp exclusion folder add --path "/var/" --scope epp

    TAI

    mdatp exclusion folder add --path "/var/*/" --scope epp

    Huomautus

    Tämä sulkee pois kaikki polut, joiden pääkohde on /var/; esimerkiksi , /var/this-subfolder/and-this-subfolder-well.

    Folder exclusion configured successfully

  • Lisää poikkeuksen prosessille:

    mdatp exclusion process add --name /usr/bin/cat --scope global 

    Process exclusion configured successfully

    mdatp exclusion process remove --name /usr/bin/cat  --scope global

    Process exclusion removed successfully

      mdatp exclusion process add --name /usr/bin/cat --scope epp 

    Process exclusion configured successfully

    mdatp exclusion process remove --name /usr/bin/cat  --scope epp

    Process exclusion removed successfully

  • Lisää poikkeus toista prosessia varten:

    mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --name dog --scope global

    Process exclusion configured successfully

Vahvista poissulkemisluettelot EICAR-testitiedoston avulla

Voit varmistaa, että poissulkemisluettelot toimivat, lataamalla testitiedoston -toiminnolla curl .

Korvaa seuraavassa Bash-katkelmassa tiedostolla, test.txt joka on poissulkemissääntöjen mukainen. Jos olet esimerkiksi sulkenut laajennuksen .testing pois, korvaa test.txt kohteella test.testing. Jos testaat polkua, varmista, että suoritat komennon kyseisessä polussa.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Jos Defender for Endpoint Linuxissa raportoi haittaohjelmasta, sääntö ei toimi. Jos haittaohjelmasta ei ole raporttia ja ladattu tiedosto on olemassa, poissulkeminen toimii. Voit avata tiedoston ja vahvistaa, että sisältö on sama kuin EICAR-testitiedoston verkkosivuilla kuvatulla tavalla.

Jos sinulla ei ole Internet-yhteyttä, voit luoda oman EICAR-testitiedoston. Kirjoita EICAR-merkkijono uuteen tekstitiedostoon seuraavalla Bash-komennolla:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Voit myös kopioida merkkijonon tyhjään tekstitiedostoon ja yrittää tallentaa sen tiedostonimellä tai kansioon, jota yrität sulkea pois.

Salli uhat

Sen lisäksi, että voit sulkea pois tietyn sisällön skannaamisen, voit myös määrittää tuotteen olemaan tunnistamatta joitakin uhkien luokkia (uhan nimen tunnistama). Ole varovainen käyttäessäsi tätä toimintoa, sillä se voi jättää laitteen suojaamatta.

Voit lisätä uhkanimen sallittujen luetteloon suorittamalla seuraavan komennon:

mdatp threat allowed add --name [threat-name]

Laitteesi tunnistamiseen liittyvä uhkanimi voidaan saada käyttämällä seuraavaa komentoa:

mdatp threat list

Jos haluat esimerkiksi lisätä EICAR-Test-File (not a virus) (EICAR-tunnistamiseen liittyvän uhan nimen) sallittujen luetteloon, suorita seuraava komento:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.