Microsoft Defender for Endpoint poissulkemisten määrittäminen ja vahvistaminen Linuxissa
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Tässä artikkelissa on tietoja siitä, miten voit määrittää pyydettäessä tarkastuksia koskevat poikkeukset sekä reaaliaikaisen suojauksen ja seurannan.
Tärkeää
Tässä artikkelissa kuvatut poikkeukset eivät koske muita Defender for Endpoint on Linux -ominaisuuksia, mukaan lukien päätepisteiden tunnistaminen ja vastaus (EDR). Tiedostot, jotka jätetään pois tässä artikkelissa kuvattujen menetelmien avulla, voivat silti käynnistää EDR-ilmoituksia ja muita tunnistuksia. Jos kyseessä on EDR-poikkeukset, ota yhteyttä tukeen.
Voit jättää pois tiettyjä tiedostoja, kansioita, prosesseja ja prosessin avaamia tiedostoja Defender for Endpointin Linux-tarkistuksissa.
Poissulkemisista voi olla hyötyä, kun vältetään virheelliset tunnistukset tiedostoissa tai ohjelmissa, jotka ovat yksilöllisiä tai mukautettuja organisaatiollesi. Niistä voi olla hyötyä myös Defender for Endpointin Linuxissa aiheuttamien suorituskykyongelmien lieventämisessä.
Varoitus
Poissulkemisten määrittäminen pienentää Defenderin Linux-päätepisteelle tarjoamaa suojausta. Sinun tulee aina arvioida poissulkemisten toteuttamiseen liittyvät riskit, ja sinun tulisi jättää pois vain tiedostot, joiden olet varma olevan haitallisia.
Tuetut poissulkemistyypit
Seuraavassa taulukossa on esitetty Defenderin Linux-päätepisteelle tukemat poissulkemistyypit.
Syrjäytymisen | Määritelmä | Esimerkkejä |
---|---|---|
Tiedostopääte | Kaikki tiedostot, joilla on tunniste, missä tahansa laitteessa | .test |
Tiedosto | Koko polun tunnistama tietty tiedosto | /var/log/test.log /var/log/*.log /var/log/install.?.log |
Kansio | Kaikki määritetyn kansion tiedostot (rekursiivisesti) | /var/log/ /var/*/ |
Prosessi | Tietty prosessi (määritetty joko koko polun tai tiedostonimen mukaan) ja kaikki sen avaamat tiedostot | /bin/cat cat c?t |
Tärkeää
Edellä mainittujen polkujen on oltava kovia linkkejä, ei symbolisia linkkejä, jotta ne voidaan sulkea onnistuneesti pois. Voit tarkistaa, onko polku symbolinen linkki, suorittamalla komennon file <path-name>
.
Tiedoston, kansion ja prosessin poikkeukset tukevat seuraavia yleismerkkejä:
Yleismerkki | Kuvaus | Esimerkkejä |
---|---|---|
* | Vastaa mitä tahansa merkkien määrää, mukaan lukien ei mitään (huomaa, että jos tätä yleismerkkiä ei käytetä polun lopussa, se korvaa vain yhden kansion) | /var/*/tmp sisältää kaikki -tiedostot /var/abc/tmp ja sen alihakemistot sekä /var/def/tmp sen alihakemistot. Se ei sisällä /var/abc/log tai /var/def/log
|
? | Vastaa mitä tahansa yksittäistä merkkiä | file?.log sisältää file1.log ja file2.log , mutta eifile123.log |
Huomautus
Kun *-yleismerkkiä käytetään polun lopussa, se vastaa kaikkia yleismerkin ylätason tiedostoja ja alihakemistoja.
Poissulkemisten luettelon määrittäminen
Hallintakonsolista
Lisätietoja siitä, miten voit määrittää sätkynukkeista, ansible-konsolista tai muusta hallintakonsolista pois jäljet, on kohdassa Defender for Endpointin asetusten määrittäminen Linuxissa.
Komentoriviltä
Suorita seuraava komento, jotta näet käytettävissä olevat valitsimet poissulkemisten hallintaan:
mdatp exclusion
Vihje
Kun määrität poissulkemisia yleismerkeillä, sisällytä parametri lainausmerkeissä estääksesi ylistystoiminnon.
Esimerkkejä:
Lisää tiedostotunnisteen poisjäte:
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
Lisää tiedostolle poikkeus:
mdatp exclusion file add --path /var/log/dummy.log
File exclusion configured successfully
Lisää kansiolle poikkeus:
mdatp exclusion folder add --path /var/log/
Folder exclusion configured successfully
Lisää toiseen kansioon poikkeus:
mdatp exclusion folder add --path /var/log/ mdatp exclusion folder add --path /other/folder
Folder exclusion configured successfully
Lisää poikkeus kansiolle, jossa on yleismerkki:
mdatp exclusion folder add --path "/var/*/tmp"
Huomautus
Tämä jättää pois vain polut, jotka ovat alapuolelta /var/*/tmp/, mutta ei kansioita, jotka ovat tmp:n rinnakkaiskohteita. esimerkiksi /var/this-subfolder/tmp, mutta ei /var/this-subfolder/log.
mdatp exclusion folder add --path "/var/"
TAI
mdatp exclusion folder add --path "/var/*/"
Huomautus
Tämä sulkee pois kaikki polut, joiden pääkohde on /var/; esimerkiksi , /var/this-subfolder/and-this-subfolder-well.
Folder exclusion configured successfully
Lisää poikkeuksen prosessille:
mdatp exclusion process add --name cat
Process exclusion configured successfully
Lisää poikkeus toista prosessia varten:
mdatp exclusion process add --name cat mdatp exclusion process add --name dog
Process exclusion configured successfully
Vahvista poissulkemisluettelot EICAR-testitiedoston avulla
Voit varmistaa, että poissulkemisluettelot toimivat, lataamalla testitiedoston -toiminnolla curl
.
Korvaa seuraavassa Bash-katkelmassa tiedostolla, test.txt
joka on poissulkemissääntöjen mukainen. Jos olet esimerkiksi sulkenut laajennuksen .testing
pois, korvaa test.txt
kohteella test.testing
. Jos testaat polkua, varmista, että suoritat komennon kyseisessä polussa.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Jos Defender for Endpoint Linuxissa raportoi haittaohjelmasta, sääntö ei toimi. Jos haittaohjelmasta ei ole raporttia ja ladattu tiedosto on olemassa, poissulkeminen toimii. Voit avata tiedoston ja vahvistaa, että sisältö on sama kuin EICAR-testitiedoston verkkosivuilla kuvatulla tavalla.
Jos sinulla ei ole Internet-yhteyttä, voit luoda oman EICAR-testitiedoston. Kirjoita EICAR-merkkijono uuteen tekstitiedostoon seuraavalla Bash-komennolla:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Voit myös kopioida merkkijonon tyhjään tekstitiedostoon ja yrittää tallentaa sen tiedostonimellä tai kansioon, jota yrität sulkea pois.
Salli uhat
Sen lisäksi, että voit sulkea pois tietyn sisällön skannaamisen, voit myös määrittää tuotteen olemaan tunnistamatta joitakin uhkien luokkia (uhan nimen tunnistama). Ole varovainen käyttäessäsi tätä toimintoa, sillä se voi jättää laitteen suojaamatta.
Voit lisätä uhkanimen sallittujen luetteloon suorittamalla seuraavan komennon:
mdatp threat allowed add --name [threat-name]
Laitteesi tunnistamiseen liittyvä uhkanimi voidaan saada käyttämällä seuraavaa komentoa:
mdatp threat list
Jos haluat esimerkiksi lisätä EICAR-Test-File (not a virus)
(EICAR-tunnistamiseen liittyvän uhan nimen) sallittujen luetteloon, suorita seuraava komento:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle