Configurer et valider des exclusions pour Microsoft Defender pour point de terminaison sur Linux
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Cet article fournit des informations sur la définition des exclusions qui s’appliquent aux analyses à la demande, ainsi que sur la protection et la surveillance en temps réel.
Importante
Les exclusions décrites dans cet article ne s’appliquent pas aux autres fonctionnalités de Defender pour point de terminaison sur Linux, notamment la détection et la réponse des points de terminaison (EDR). Les fichiers que vous excluez à l’aide des méthodes décrites dans cet article peuvent toujours déclencher des alertes EDR et d’autres détections. Pour les exclusions EDR, contactez le support.
Vous pouvez exclure certains fichiers, dossiers, processus et fichiers ouverts par processus des analyses Defender pour point de terminaison sur Linux.
Les exclusions peuvent être utiles pour éviter des détections incorrectes sur des fichiers ou des logiciels uniques ou personnalisés pour votre organization. Elles peuvent également être utiles pour atténuer les problèmes de performances causés par Defender pour point de terminaison sur Linux.
Avertissement
La définition d’exclusions réduit la protection offerte par Defender pour point de terminaison sur Linux. Vous devez toujours évaluer les risques associés à l’implémentation des exclusions, et vous devez uniquement exclure les fichiers dont vous êtes certain qu’ils ne sont pas malveillants.
Types d’exclusion pris en charge
Le tableau suivant présente les types d’exclusion pris en charge par Defender pour point de terminaison sur Linux.
Exclusion | Définition | Exemples |
---|---|---|
Extension de fichier | Tous les fichiers avec l’extension, n’importe où sur l’appareil | .test |
Fichier | Fichier spécifique identifié par le chemin d’accès complet | /var/log/test.log /var/log/*.log /var/log/install.?.log |
Folder | Tous les fichiers sous le dossier spécifié (de manière récursive) | /var/log/ /var/*/ |
Processus | Un processus spécifique (spécifié par le chemin d’accès complet ou le nom de fichier) et tous les fichiers ouverts par celui-ci | /bin/cat cat c?t |
Importante
Les chemins ci-dessus doivent être des liens physiques, et non des liens symboliques, afin d’être correctement exclus. Vous pouvez case activée si un chemin est un lien symbolique en exécutant file <path-name>
.
Les exclusions de fichiers, de dossiers et de processus prennent en charge les caractères génériques suivants :
Caractère générique | Description | Exemples |
---|---|---|
* | Correspond à n’importe quel nombre de caractères, y compris aucun (notez que si ce caractère générique n’est pas utilisé à la fin du chemin d’accès, il ne remplacera qu’un seul dossier) | /var/*/tmp inclut n’importe quel fichier dans /var/abc/tmp et ses sous-répertoires, ainsi /var/def/tmp que ses sous-répertoires. Il n’inclut /var/abc/log pas ou /var/def/log
|
? | Correspond à n’importe quel caractère unique | file?.log inclut file1.log et file2.log , mais pasfile123.log |
Remarque
Lorsque vous utilisez le caractère générique * à la fin du chemin d’accès, il correspond à tous les fichiers et sous-répertoires sous le parent du caractère générique.
Comment configurer la liste des exclusions
À partir de la console de gestion
Pour plus d’informations sur la configuration des exclusions de Puppet, d’Ansible ou d’un autre console de gestion, consultez Définir des préférences pour Defender pour point de terminaison sur Linux.
À partir de la ligne de commande
Exécutez la commande suivante pour afficher les commutateurs disponibles pour la gestion des exclusions :
mdatp exclusion
Conseil
Lorsque vous configurez des exclusions avec des caractères génériques, placez le paramètre entre guillemets doubles pour empêcher le globbing.
Exemples :
Ajoutez une exclusion pour une extension de fichier :
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
Ajoutez une exclusion pour un fichier :
mdatp exclusion file add --path /var/log/dummy.log
File exclusion configured successfully
Ajoutez une exclusion pour un dossier :
mdatp exclusion folder add --path /var/log/
Folder exclusion configured successfully
Ajoutez une exclusion pour un deuxième dossier :
mdatp exclusion folder add --path /var/log/ mdatp exclusion folder add --path /other/folder
Folder exclusion configured successfully
Ajoutez une exclusion pour un dossier contenant un caractère générique :
mdatp exclusion folder add --path "/var/*/tmp"
Remarque
Cela exclut uniquement les chemins d’accès situés sous /var/*/tmp/, mais pas les dossiers qui sont frères de tmp ; par exemple, /var/this-subfolder/tmp, mais pas /var/this-subfolder/log.
mdatp exclusion folder add --path "/var/"
OR
mdatp exclusion folder add --path "/var/*/"
Remarque
Cela exclut tous les chemins dont le parent est /var/ ; par exemple, /var/this-subfolder/and-this-subfolder-as-well.
Folder exclusion configured successfully
Ajoutez une exclusion pour un processus :
mdatp exclusion process add --name cat
Process exclusion configured successfully
Ajoutez une exclusion pour un deuxième processus :
mdatp exclusion process add --name cat mdatp exclusion process add --name dog
Process exclusion configured successfully
Valider les listes d’exclusions avec le fichier de test EICAR
Vous pouvez vérifier que vos listes d’exclusion fonctionnent en utilisant curl
pour télécharger un fichier de test.
Dans l’extrait de code Bash suivant, remplacez par test.txt
un fichier conforme à vos règles d’exclusion. Par exemple, si vous avez exclu l’extension .testing
, remplacez par test.txt
test.testing
. Si vous testez un chemin d’accès, veillez à exécuter la commande dans ce chemin.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Si Defender pour point de terminaison sur Linux signale un programme malveillant, la règle ne fonctionne pas. S’il n’existe aucun rapport de programme malveillant et que le fichier téléchargé existe, l’exclusion fonctionne. Vous pouvez ouvrir le fichier pour vérifier que le contenu est identique à ce qui est décrit sur le site web du fichier de test EICAR.
Si vous n’avez pas accès à Internet, vous pouvez créer votre propre fichier de test EICAR. Écrivez la chaîne EICAR dans un nouveau fichier texte avec la commande Bash suivante :
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Vous pouvez également copier la chaîne dans un fichier texte vide et tenter de l’enregistrer avec le nom de fichier ou dans le dossier que vous tentez d’exclure.
Autoriser les menaces
En plus d’exclure certains contenus de l’analyse, vous pouvez également configurer le produit pour ne pas détecter certaines classes de menaces (identifiées par le nom de la menace). Vous devez faire preuve de prudence lors de l’utilisation de cette fonctionnalité, car elle peut laisser votre appareil non protégé.
Pour ajouter un nom de menace à la liste autorisée, exécutez la commande suivante :
mdatp threat allowed add --name [threat-name]
Le nom de la menace associé à une détection sur votre appareil peut être obtenu à l’aide de la commande suivante :
mdatp threat list
Par exemple, pour ajouter EICAR-Test-File (not a virus)
(le nom de la menace associé à la détection EICAR) à la liste autorisée, exécutez la commande suivante :
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour