שתף באמצעות

קביעת תצורה ואימתה של פריטים שאינם נכללים ב- Microsoft Defender עבור נקודת קצה ב- Linux

  • מאמר

חל על:

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

מאמר זה מספק מידע על הגדרת אי-הכללות החלות על סריקות לפי דרישה, והגנה וניטור בזמן אמת.

חשוב

הפריטים שאינם נכללים במאמר זה אינם חלים על נקודות קצה אחרות של Defender עבור יכולות Linux, כולל זיהוי ותגובה של נקודות קצה (EDR). קבצים שלא תכלול בשיטות המתוארות במאמר זה עדיין יוכלו להפעיל התראות EDR וזיהויים אחרים. עבור אי הכללות של EDR, פנה למחלקת התמיכה.

באפשרותך לא לכלול קבצים, תיקיות, תהליכים וקבצים פתוחים בתהליך מסוימים ב- Defender for Endpoint בסריקה של Linux.

אי הכללות יכולות להיות שימושיות כדי להימנע מזיהויים שגויים בקבצים או בתוכנות ייחודיים או מותאמים אישית לארגון שלך. הם יכולים גם להיות שימושיים להפחתת בעיות ביצועים שנגרמו על-ידי Defender for Endpoint ב- Linux.

אזהרה

הגדרת אי-הכללות מורידה את ההגנה המוצעת על-ידי Defender for Endpoint ב- Linux. עליך תמיד להעריך את הסיכונים המשויכים ליישום פריטים שאינם נכללים, ועליך לכלול רק קבצים שאתה בטוח שהם לא זדוניים.

סוגי אי-הכללה נתמכים

הטבלה הבאה מציגה את סוגי ההכללה הנתמכים על-ידי Defender for Endpoint ב- Linux.

הדרה הגדרה דוגמאות
סיומת קובץ כל הקבצים עם ההרחבה, בכל מקום במכשיר .test
קובץ קובץ ספציפי המזוהה באמצעות הנתיב המלא /var/log/test.log
/var/log/*.log
/var/log/install.?.log
תיקיה כל הקבצים תחת התיקיה שצוינה (רקורסיבית) /var/log/
/var/*/
תהליך תהליך ספציפי (שצוין על-ידי הנתיב המלא או שם הקובץ) וכל הקבצים שנפתחו על-ידיו /bin/cat
cat
c?t

חשוב

הנתיבים לעיל חייבים להיות קישורים קשיחים, ולא קישורים סמליים, כדי שלא ייכללו בהצלחה. באפשרותך לבדוק אם נתיב הוא קישור סמלי על-ידי הפעלת file <path-name>.

פריטים שאינם נכללים בקובץ, בתיקיה ובתהליך תומכים בתווים הכלליים הבאים:

בתווים כלליים תיאור דוגמאות
* התאמה למספר כלשהו של תווים, כולל ללא (שים לב, אם תו כללי זה אינו נמצא בשימוש בסוף הנתיב, הוא יחליף תיקיה אחת בלבד) /var/*/tmp כולל כל קובץ ב /var/abc/tmp - ובספריות המשנה שלו /var/def/tmp , ובספריות המשנה שלו. היא אינה כוללת או /var/abc/log/var/def/log

/var/*/ כוללת רק קבצים שנמצאים בספריות המשנה שלו, כגון /var/abc/, אך לא קבצים ישירות בתוך /var.
? התאמה לכל תו בודד file?.log כולל file1.log ו- file2.log, אך לאfile123.log

הערה

בעת שימוש בתו הכללי * בסוף הנתיב, הוא יתאים לכל הקבצים והספריות המשנה תחת האב של התו הכללי.

כיצד להגדיר את רשימת הפריטים שאינם נכללים

ממסוף הניהול

לקבלת מידע נוסף אודות אופן קביעת התצורה של פריטים שאינם נכללים ב- Puppet, Ansible או מסוף ניהול אחר, ראה הגדרת העדפות עבור Defender for Endpoint ב- Linux.

משורת הפקודה

הפעל את הפקודה הבאה כדי לראות את הבוררים הזמינים לניהול פריטים שאינם נכללים:

mdatp exclusion

עצה

בעת קביעת התצורה של פריטים שאינם נכללים בתווים כלליים, הקף את הפרמטר במרכאות כפולות כדי למנוע השתקלה.

דוגמאות:

  • הוסף אי הכללה עבור סיומת קובץ:

    mdatp exclusion extension add --name .txt

    Extension exclusion configured successfully

  • הוסף אי הכללה עבור קובץ:

    mdatp exclusion file add --path /var/log/dummy.log

    File exclusion configured successfully

  • הוסף פריט שלא ייכלל עבור תיקיה:

    mdatp exclusion folder add --path /var/log/

    Folder exclusion configured successfully

  • הוסף פריט שלא ייכלל עבור תיקיה שניה:

    mdatp exclusion folder add --path /var/log/
mdatp exclusion folder add --path /other/folder

    Folder exclusion configured successfully

  • הוסף פריט שלא ייכלל עבור תיקיה הכוללת תו כללי:

    mdatp exclusion folder add --path "/var/*/tmp"

    הערה

    פעולה זו לא תכלול נתיבים מתחת ל- /var/*/tmp/, אך לא תיקיות האחים של tmp; לדוגמה, /var/this-subfolder/tmp, אך לא /var/this-subfolder/log.

    mdatp exclusion folder add --path "/var/"

    או

    mdatp exclusion folder add --path "/var/*/"

    הערה

    פעולה זו לא תכלול את כל הנתיבים שהאב שלהם הוא /var/; לדוגמה, /var/this-subfolder/and-this-subfolder-as-well.

    Folder exclusion configured successfully

  • הוסף אי הכללה עבור תהליך:

    mdatp exclusion process add --name cat

    Process exclusion configured successfully

  • הוסף אי הכללה עבור תהליך שני:

    mdatp exclusion process add --name cat
mdatp exclusion process add --name dog

    Process exclusion configured successfully

אימות רשימות אי-הכללות באמצעות קובץ הבדיקה של EICAR

באפשרותך לאמת שרשימות ההכללה שלך פועלות באמצעות הורדת curl קובץ בדיקה.

במקטע Bash הבא, החלף test.txt בקובץ התואם לכללי אי-ההכללה שלך. לדוגמה, אם לא כללת את ההרחבה .testing , החלף ב test.txt - test.testing. אם אתה בודק נתיב, הקפד להפעיל את הפקודה בנתיב זה.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

אם Defender for Endpoint ב- Linux מדווח על תוכנה זדונית, הכלל אינו פועל. אם אין דוח על תוכנות זדוניות, והקובץ שהורד קיים, אי-ההכללה פועלת. באפשרותך לפתוח את הקובץ כדי לאשר שהתוכן זהה למתואר באתר האינטרנט של קובץ הבדיקה של EICAR.

אם אין לך גישה לאינטרנט, באפשרותך ליצור קובץ בדיקת EICAR משלך. כתוב את מחרוזת EICAR לקובץ טקסט חדש באמצעות הפקודה הבאה של Bash:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

באפשרותך גם להעתיק את המחרוזת לקובץ טקסט ריק ונסה לשמור אותה בשם הקובץ או בתיקיה שאתה מנסה לא לכלול.

אפשר איומים

בנוסף לכך שלא מתבצעת סריקה של תוכן מסוים, באפשרותך גם לקבוע את תצורת המוצר כך שלא יזהה מחלקות מסוימות של איומים (שזוהו על-ידי שם האיום). עליך לנקוט משנה זהירות בעת שימוש בפונקציונליות זו, מכיוון שהיא יכולה להשאיר את המכשיר שלך לא מוגן.

כדי להוסיף שם איום לרשימה המותרת, בצע את הפקודה הבאה:

mdatp threat allowed add --name [threat-name]

ניתן להשיג את שם האיום המשויך לזיהוי במכשיר שלך באמצעות הפקודה הבאה:

mdatp threat list

לדוגמה, כדי להוסיף EICAR-Test-File (not a virus) (שם האיום המשויך לזיהוי EICAR) לרשימה המותרת, בצע את הפקודה הבאה:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.