Partager via

Configurer et valider des exclusions pour Microsoft Defender pour point de terminaison sur Linux

  • Article

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Cet article fournit des informations sur la façon de définir des exclusions globales et antivirus pour Microsoft Defender pour point de terminaison. Les exclusions antivirus s’appliquent aux analyses à la demande, à la protection en temps réel (RTP) et à la surveillance du comportement (BM). Les exclusions globales s’appliquent à la protection en temps réel (RTP), à la surveillance du comportement (BM) et à la détection et à la réponse des points de terminaison (EDR), arrêtant ainsi toutes les détections antivirus associées, les alertes EDR et la visibilité de l’élément exclu.

Importante

Les exclusions antivirus décrites dans cet article s’appliquent uniquement aux fonctionnalités antivirus et non à la détection et à la réponse des points de terminaison (EDR). Les fichiers que vous excluez à l’aide des exclusions antivirus décrites dans cet article peuvent toujours déclencher des alertes EDR et d’autres détections. Les exclusions globales décrites dans cette section s’appliquent aux fonctionnalités de détection et de réponse des antivirus et des points de terminaison, arrêtant ainsi toutes les protections antivirus, alertes EDR et détections associées. Les exclusions globales sont actuellement en préversion publique et sont disponibles dans Defender pour point de terminaison version 101.23092.0012 ou ultérieure, dans les anneaux Insiders Slow et Production. Pour les exclusions EDR, contactez le support.

Vous pouvez exclure certains fichiers, dossiers, processus et fichiers ouverts par processus de Defender pour point de terminaison sur Linux.

Les exclusions peuvent être utiles pour éviter des détections incorrectes sur des fichiers ou des logiciels uniques ou personnalisés pour votre organization. Les exclusions globales sont utiles pour atténuer les problèmes de performances causés par Defender pour point de terminaison sur Linux.

Avertissement

La définition d’exclusions réduit la protection offerte par Defender pour point de terminaison sur Linux. Vous devez toujours évaluer les risques associés à l’implémentation des exclusions, et vous devez uniquement exclure les fichiers dont vous êtes certain qu’ils ne sont pas malveillants.

Étendues d’exclusion prises en charge

Comme décrit dans une section précédente, nous prenons en charge deux étendues d’exclusion : les exclusions antivirus (epp) et globales (global).

Les exclusions antivirus peuvent être utilisées pour exclure les fichiers et les processus approuvés de la protection en temps réel tout en ayant une visibilité EDR. Les exclusions globales sont appliquées au niveau du capteur et pour désactiver le son des événements qui correspondent aux conditions d’exclusion très tôt dans le flux, avant qu’un traitement ne soit effectué, arrêtant ainsi toutes les alertes EDR et détections antivirus.

Remarque

Global (global) est une nouvelle étendue d’exclusion que nous introduisons en plus des étendues d’exclusion antivirus (epp) déjà prises en charge par Microsoft.

Catégorie d’exclusion Étendue d’exclusion Description
Exclusion de l’antivirus Moteur antivirus
(étendue : epp)		 Exclut le contenu des analyses antivirus (AV) et des analyses à la demande.
Exclusion globale Antivirus et détections de point de terminaison et moteur de réponse
(étendue : globale)		 Exclut les événements de la protection en temps réel et de la visibilité EDR. Ne s’applique pas aux analyses à la demande par défaut.

Types d’exclusion pris en charge

Le tableau suivant présente les types d’exclusion pris en charge par Defender pour point de terminaison sur Linux.

Exclusion Définition Exemples
Extension de fichier Tous les fichiers avec l’extension, n’importe où sur l’appareil (non disponibles pour les exclusions globales) .test
Fichier Fichier spécifique identifié par le chemin d’accès complet /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Folder Tous les fichiers sous le dossier spécifié (de manière récursive) /var/log/
/var/*/
Processus Un processus spécifique (spécifié par le chemin d’accès complet ou le nom de fichier) et tous les fichiers ouverts par celui-ci /bin/cat
cat
c?t

Importante

Les chemins utilisés doivent être des liens physiques, et non des liens symboliques, afin d’être correctement exclus. Vous pouvez case activée si un chemin est un lien symbolique en exécutant file <path-name>.

Les exclusions de fichiers, de dossiers et de processus prennent en charge les caractères génériques suivants :

Remarque

Le chemin d’accès au fichier doit être présent avant d’ajouter ou de supprimer des exclusions de fichiers dont l’étendue est globale. Les caractères génériques ne sont pas pris en charge lors de la configuration des exclusions globales.

Caractère générique Description Exemples
* Correspond à n’importe quel nombre de caractères, y compris aucun
(Notez que si ce caractère générique n’est pas utilisé à la fin du chemin d’accès, il ne remplace qu’un seul dossier)		 /var/*/tmp inclut n’importe quel fichier dans /var/abc/tmp et ses sous-répertoires, ainsi /var/def/tmp que ses sous-répertoires. Il n’inclut /var/abc/log pas ou /var/def/log

/var/*/ inclut uniquement les fichiers de ses sous-répertoires tels que /var/abc/, mais pas les fichiers directement dans /var.
? Correspond à n’importe quel caractère unique file?.log inclut file1.log et file2.log, mais pasfile123.log

Remarque

Pour les exclusions antivirus, lors de l’utilisation du caractère générique * à la fin du chemin d’accès, il correspond à tous les fichiers et sous-répertoires sous le parent du caractère générique.

Comment configurer la liste des exclusions

Utilisation du console de gestion

Pour configurer des exclusions de Puppet, d’Ansible ou d’un autre console de gestion, reportez-vous à l’exemple mdatp_managed.jsonsuivant.

{
   "exclusionSettings":{
     "exclusions":[
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/home/*/git<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/run<EXAMPLE DO NOT USE>",
           "scopes": [
              "global"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":false,
           "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
           "scopes": [
              "epp", "global"
           ]
        },
        {
           "$type":"excludedFileExtension",
           "extension":".pdf<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedFileName",
           "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
        }
     ],
     "mergePolicy":"admin_only"
   }
}

Pour plus d’informations, consultez Définir des préférences pour Defender pour point de terminaison sur Linux.

Utilisation de la ligne de commande

Exécutez la commande suivante pour afficher les commutateurs disponibles pour la gestion des exclusions :

Remarque

--scope est un indicateur facultatif avec la valeur acceptée comme epp ou global. Il fournit la même étendue utilisée lors de l’ajout de l’exclusion pour supprimer la même exclusion. Dans l’approche en ligne de commande, si l’étendue n’est pas mentionnée, la valeur de l’étendue est définie sur epp. Les exclusions ajoutées via l’interface CLI avant l’introduction de l’indicateur --scope restent inchangées et leur étendue est considérée comme epp.

mdatp exclusion

Conseil

Lorsque vous configurez des exclusions avec des caractères génériques, placez le paramètre entre guillemets doubles pour empêcher le globbing.

Exemples :

  • Ajoutez une exclusion pour une extension de fichier (l’exclusion d’extension n’est pas prise en charge pour l’étendue d’exclusion globale) :

    mdatp exclusion extension add --name .txt

    Extension exclusion configured successfully

    mdatp exclusion extension remove --name .txt

    Extension exclusion removed successfully

  • Ajouter/supprimer une exclusion pour un fichier (le chemin d’accès au fichier doit déjà être présent en cas d’ajout ou de suppression d’exclusion avec une étendue globale) :

    mdatp exclusion file add --path /var/log/dummy.log --scope epp

    File exclusion configured successfully

    mdatp exclusion file remove --path /var/log/dummy.log --scope epp

    File exclusion removed successfully"

    mdatp exclusion file add --path /var/log/dummy.log --scope global

    File exclusion configured successfully

    mdatp exclusion file remove --path /var/log/dummy.log --scope global

    File exclusion removed successfully"

  • Ajouter/supprimer une exclusion pour un dossier :

    mdatp exclusion folder add --path /var/log/ --scope epp

    Folder exclusion configured successfully

    mdatp exclusion folder remove --path /var/log/ --scope epp

    Folder exclusion removed successfully

      mdatp exclusion folder add --path /var/log/ --scope global

    Folder exclusion configured successfully

    mdatp exclusion folder remove --path /var/log/ --scope global

    Folder exclusion removed successfully

  • Ajoutez une exclusion pour un deuxième dossier :

    mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder  --scope global

    Folder exclusion configured successfully

  • Ajoutez une exclusion pour un dossier contenant un caractère générique :

    Remarque

    Les caractères génériques ne sont pas pris en charge lors de la configuration des exclusions globales.

    mdatp exclusion folder add --path "/var/*/tmp"

    Remarque

    Cela exclut uniquement les chemins d’accès sous /var/*/tmp/, mais pas les dossiers qui sont frères de tmp ; par exemple, /var/this-subfolder/tmp, mais pas /var/this-subfolder/log.

    mdatp exclusion folder add --path "/var/" --scope epp

    OR

    mdatp exclusion folder add --path "/var/*/" --scope epp

    Remarque

    Cela exclut tous les chemins dont le parent est /var/ ; par exemple, /var/this-subfolder/and-this-subfolder-as-well.

    Folder exclusion configured successfully

  • Ajoutez une exclusion pour un processus :

    mdatp exclusion process add --name /usr/bin/cat --scope global 

    Process exclusion configured successfully

    mdatp exclusion process remove --name /usr/bin/cat  --scope global

    Process exclusion removed successfully

      mdatp exclusion process add --name /usr/bin/cat --scope epp 

    Process exclusion configured successfully

    mdatp exclusion process remove --name /usr/bin/cat  --scope epp

    Process exclusion removed successfully

  • Ajoutez une exclusion pour un deuxième processus :

    mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --name dog --scope global

    Process exclusion configured successfully

Valider les listes d’exclusions avec le fichier de test EICAR

Vous pouvez vérifier que vos listes d’exclusion fonctionnent en utilisant curl pour télécharger un fichier de test.

Dans l’extrait de code Bash suivant, remplacez par test.txt un fichier conforme à vos règles d’exclusion. Par exemple, si vous avez exclu l’extension .testing , remplacez par test.txttest.testing. Si vous testez un chemin d’accès, veillez à exécuter la commande dans ce chemin.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Si Defender pour point de terminaison sur Linux signale un programme malveillant, la règle ne fonctionne pas. S’il n’y a aucun rapport de programme malveillant et que le fichier téléchargé existe, l’exclusion fonctionne. Vous pouvez ouvrir le fichier pour vérifier que le contenu est identique à ce qui est décrit sur le site web du fichier de test EICAR.

Si vous n’avez pas accès à Internet, vous pouvez créer votre propre fichier de test EICAR. Écrivez la chaîne EICAR dans un nouveau fichier texte avec la commande Bash suivante :

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Vous pouvez également copier la chaîne dans un fichier texte vide et tenter de l’enregistrer avec le nom de fichier ou dans le dossier que vous tentez d’exclure.

Autoriser les menaces

En plus d’exclure certains contenus de l’analyse, vous pouvez également configurer le produit pour ne pas détecter certaines classes de menaces (identifiées par le nom de la menace). Vous devez faire preuve de prudence lors de l’utilisation de cette fonctionnalité, car elle peut laisser votre appareil non protégé.

Pour ajouter un nom de menace à la liste autorisée, exécutez la commande suivante :

mdatp threat allowed add --name [threat-name]

Le nom de la menace associé à une détection sur votre appareil peut être obtenu à l’aide de la commande suivante :

mdatp threat list

Par exemple, pour ajouter EICAR-Test-File (not a virus) (le nom de la menace associé à la détection EICAR) à la liste autorisée, exécutez la commande suivante :

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.