Microsoft Defender for Endpoint poissulkemisten määrittäminen ja vahvistaminen Linuxissa

Artikkeli
04/26/2024

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tässä artikkelissa on tietoja siitä, miten voit määrittää pyydettäessä tarkastuksia koskevat poikkeukset sekä reaaliaikaisen suojauksen ja seurannan.

Tärkeää

Tässä artikkelissa kuvatut poikkeukset eivät koske muita Defender for Endpoint on Linux -ominaisuuksia, mukaan lukien päätepisteiden tunnistaminen ja vastaus (EDR). Tiedostot, jotka jätetään pois tässä artikkelissa kuvattujen menetelmien avulla, voivat silti käynnistää EDR-ilmoituksia ja muita tunnistuksia. Jos kyseessä on EDR-poikkeukset, ota yhteyttä tukeen.

Voit jättää pois tiettyjä tiedostoja, kansioita, prosesseja ja prosessin avaamia tiedostoja Defender for Endpointin Linux-tarkistuksissa.

Poissulkemisista voi olla hyötyä, kun vältetään virheelliset tunnistukset tiedostoissa tai ohjelmissa, jotka ovat yksilöllisiä tai mukautettuja organisaatiollesi. Niistä voi olla hyötyä myös Defender for Endpointin Linuxissa aiheuttamien suorituskykyongelmien lieventämisessä.

Varoitus

Poissulkemisten määrittäminen pienentää Defenderin Linux-päätepisteelle tarjoamaa suojausta. Sinun tulee aina arvioida poissulkemisten toteuttamiseen liittyvät riskit, ja sinun tulisi jättää pois vain tiedostot, joiden olet varma olevan haitallisia.

Tuetut poissulkemistyypit

Seuraavassa taulukossa on esitetty Defenderin Linux-päätepisteelle tukemat poissulkemistyypit.

Syrjäytymisen	Määritelmä	Esimerkkejä
Tiedostopääte	Kaikki tiedostot, joilla on tunniste, missä tahansa laitteessa	`.test`
Tiedosto	Koko polun tunnistama tietty tiedosto	`/var/log/test.log` `/var/log/*.log` `/var/log/install.?.log`
Kansio	Kaikki määritetyn kansion tiedostot (rekursiivisesti)	`/var/log/` `/var/*/`
Prosessi	Tietty prosessi (määritetty joko koko polun tai tiedostonimen mukaan) ja kaikki sen avaamat tiedostot	`/bin/cat` `cat` `c?t`

Tärkeää

Edellä mainittujen polkujen on oltava kovia linkkejä, ei symbolisia linkkejä, jotta ne voidaan sulkea onnistuneesti pois. Voit tarkistaa, onko polku symbolinen linkki, suorittamalla komennon file <path-name>.

Tiedoston, kansion ja prosessin poikkeukset tukevat seuraavia yleismerkkejä:

Yleismerkki Kuvaus Esimerkkejä

Vastaa mitä tahansa merkkien määrää, mukaan lukien ei mitään (huomaa, että jos tätä yleismerkkiä ei käytetä polun lopussa, se korvaa vain yhden kansion)

Yleismerkki	Kuvaus	Esimerkkejä
*	Vastaa mitä tahansa merkkien määrää, mukaan lukien ei mitään (huomaa, että jos tätä yleismerkkiä ei käytetä polun lopussa, se korvaa vain yhden kansion)	`/var//tmp` sisältää kaikki -tiedostot `/var/abc/tmp` ja sen alihakemistot sekä `/var/def/tmp` sen alihakemistot. Se ei sisällä `/var/abc/log` tai `/var/def/log` `/var//` sisältää minkä tahansa -tiedoston `/var` ja sen alihakemistot.
?	Vastaa mitä tahansa yksittäistä merkkiä	`file?.log` sisältää `file1.log` ja `file2.log`, mutta ei`file123.log`

/var/*/tmp sisältää kaikki -tiedostot /var/abc/tmp ja sen alihakemistot sekä /var/def/tmp sen alihakemistot. Se ei sisällä /var/abc/log tai /var/def/log

/var/*/ sisältää minkä tahansa -tiedoston /var ja sen alihakemistot.

? Vastaa mitä tahansa yksittäistä merkkiä file?.log sisältää file1.log ja file2.log, mutta eifile123.log

Huomautus

Kun *-yleismerkkiä käytetään polun lopussa, se vastaa kaikkia yleismerkin ylätason tiedostoja ja alihakemistoja.

Poissulkemisten luettelon määrittäminen

Hallintakonsolista

Lisätietoja siitä, miten voit määrittää sätkynukkeista, ansible-konsolista tai muusta hallintakonsolista pois jäljet, on kohdassa Defender for Endpointin asetusten määrittäminen Linuxissa.

Komentoriviltä

Suorita seuraava komento, jotta näet käytettävissä olevat valitsimet poissulkemisten hallintaan:

mdatp exclusion

Vihje

Kun määrität poissulkemisia yleismerkeillä, sisällytä parametri lainausmerkeissä estääksesi ylistystoiminnon.

Esimerkkejä:

Lisää tiedostotunnisteen poisjäte:

mdatp exclusion extension add --name .txt

Extension exclusion configured successfully

Lisää tiedostolle poikkeus:

mdatp exclusion file add --path /var/log/dummy.log

File exclusion configured successfully

Lisää kansiolle poikkeus:

mdatp exclusion folder add --path /var/log/

Folder exclusion configured successfully

Lisää toiseen kansioon poikkeus:

mdatp exclusion folder add --path /var/log/
mdatp exclusion folder add --path /other/folder

Folder exclusion configured successfully

Lisää poikkeus kansiolle, jossa on yleismerkki:
```
mdatp exclusion folder add --path "/var/*/tmp"
```
Huomautus

Tämä jättää pois vain polut, jotka ovat alapuolelta /var/*/tmp/, mutta ei kansioita, jotka ovat tmp:n rinnakkaiskohteita. esimerkiksi /var/this-subfolder/tmp, mutta ei /var/this-subfolder/log.
```
mdatp exclusion folder add --path "/var/"
```
TAI
```
mdatp exclusion folder add --path "/var/*/"
```
Huomautus

Tämä sulkee pois kaikki polut, joiden pääkohde on /var/; esimerkiksi , /var/this-subfolder/and-this-subfolder-well.
```
Folder exclusion configured successfully
```

Lisää poikkeuksen prosessille:

mdatp exclusion process add --name cat

Process exclusion configured successfully

Lisää poikkeus toista prosessia varten:

mdatp exclusion process add --name cat
mdatp exclusion process add --name dog

Process exclusion configured successfully

Vahvista poissulkemisluettelot EICAR-testitiedoston avulla

Voit varmistaa, että poissulkemisluettelot toimivat, lataamalla testitiedoston -toiminnolla curl .

Korvaa seuraavassa Bash-katkelmassa tiedostolla, test.txt joka on poissulkemissääntöjen mukainen. Jos olet esimerkiksi sulkenut laajennuksen .testing pois, korvaa test.txt kohteella test.testing. Jos testaat polkua, varmista, että suoritat komennon kyseisessä polussa.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Jos Defender for Endpoint Linuxissa raportoi haittaohjelmasta, sääntö ei toimi. Jos haittaohjelmasta ei ole raporttia ja ladattu tiedosto on olemassa, poissulkeminen toimii. Voit avata tiedoston ja vahvistaa, että sisältö on sama kuin EICAR-testitiedoston verkkosivuilla kuvatulla tavalla.

Jos sinulla ei ole Internet-yhteyttä, voit luoda oman EICAR-testitiedoston. Kirjoita EICAR-merkkijono uuteen tekstitiedostoon seuraavalla Bash-komennolla:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Voit myös kopioida merkkijonon tyhjään tekstitiedostoon ja yrittää tallentaa sen tiedostonimellä tai kansioon, jota yrität sulkea pois.

Salli uhat

Sen lisäksi, että voit sulkea pois tietyn sisällön skannaamisen, voit myös määrittää tuotteen olemaan tunnistamatta joitakin uhkien luokkia (uhan nimen tunnistama). Ole varovainen käyttäessäsi tätä toimintoa, sillä se voi jättää laitteen suojaamatta.

Voit lisätä uhkanimen sallittujen luetteloon suorittamalla seuraavan komennon:

mdatp threat allowed add --name [threat-name]

Laitteesi tunnistamiseen liittyvä uhkanimi voidaan saada käyttämällä seuraavaa komentoa:

mdatp threat list

Jos haluat esimerkiksi lisätä EICAR-Test-File (not a virus) (EICAR-tunnistamiseen liittyvän uhan nimen) sallittujen luetteloon, suorita seuraava komento:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"