שתף באמצעות


קביעת תצורה ואימתה של אי-הכללות עבור Microsoft Defender עבור נקודת קצה ב- Linux

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

מאמר זה מספק מידע אודות הגדרת אנטי-וירוס ופריטים שאינם נכללים Microsoft Defender עבור נקודת קצה. אי הכללות של אנטי-וירוס חלות על סריקות לפי דרישה, הגנה בזמן אמת (RTP) וניטור אופן פעולה (BM). אי-הכללות כלליות חלות על הגנה בזמן אמת (RTP), ניטור אופן פעולה (BM) וזיהוי ותגובה של נקודות קצה (EDR), ובכך מפסיקים את כל זיהויי האנטי-וירוס המשויכים, התראות EDR וניראות של הפריט שלא נכלל.

חשוב

אי-ההכללות של האנטי-וירוס המתוארות במאמר זה חלות על יכולות אנטי-וירוס בלבד ולא על זיהוי נקודות קצה ותגובה (EDR). קבצים שלא תכלול בשימוש בפריטים שאינם נכללים בתוכנת האנטי-וירוס המתוארים במאמר זה עדיין יכולים להפעיל התראות EDR וזיהויים אחרים. החריגים הכלליים המתוארים בסעיף זה חלים על יכולות זיהוי ותגובה של נקודות קצה ואנטי-וירוס, ובכך מפסיקות את כל הגנת האנטי-וירוס המשויכת, התראות EDR והזיהויים. אי-הכללות כלליות נמצאות כעת בתצוגה מקדימה ציבורית, והן זמינות בגירסת Defender for Endpoint 101.23092.0012 ואילך, בטבעות Insider איטיות וייצור. עבור אי הכללות של EDR, פנה למחלקת התמיכה.

באפשרותך לא לכלול קבצים, תיקיות, תהליכים וקבצים פתוחים בתהליך מסוימים ב- Defender for Endpoint ב- Linux.

אי הכללות יכולות להיות שימושיות כדי להימנע מזיהויים שגויים בקבצים או בתוכנות ייחודיים או מותאמים אישית לארגון שלך. אי-הכללות כלליות שימושיות לצמצום בעיות ביצועים שנגרמו על-ידי Defender for Endpoint ב- Linux.

אזהרה

הגדרת אי-הכללות מורידה את ההגנה המוצעת על-ידי Defender for Endpoint ב- Linux. עליך תמיד להעריך את הסיכונים המשויכים ליישום פריטים שאינם נכללים, ועליך לכלול רק קבצים שאתה בטוח שהם לא זדוניים.

טווחי אי-הכללה נתמכים

כפי שמתואר בסעיף מוקדם יותר, אנו תומכים בשני טווחי אי-הכללה: אנטי-וירוס (epp) ופריטים לא נכללים כלליים (global).

ניתן להשתמש בפריטים שאינם נכללים באנטי-וירוס כדי לא לכלול קבצים ותהליכים מהימנים בהגנה בזמן אמת, תוך שמירה על ניראות EDR. אי-הכללות כלליות מוחלות ברמת החיישן ולהשתק את האירועים התואמים לתנאים שאינם נכללים בשלב מוקדם מאוד בזרימה, לפני סיום העיבוד, ובכך לעצור את כל התראות EDR ואת זיהויי האנטי-וירוס.

הערה

Global (global) הוא טווח אי-הכללה חדש שאנו מציגים בנוסף לטווחי אי-הכללה של אנטי-וירוס (epp) שכבר נתמכים על-ידי Microsoft.

קטגוריית אי-הכללה טווח אי-הכללה תיאור
אי הכללה של אנטי-וירוס מנגנון אנטי-וירוס
(טווח: epp)
לא כולל תוכן בסריקה של אנטי-וירוס (AV) וסריקה לפי דרישה.
אי הכללה כללית אנטי-וירוס וזיהוי נקודות קצה ומנוע תגובה
(טווח: כללי)
לא כולל אירועים בהגנה בזמן אמת וניראות של EDR. אינו חל על סריקות לפי דרישה כברירת מחדל.

סוגי אי-הכללה נתמכים

הטבלה הבאה מציגה את סוגי ההכללה הנתמכים על-ידי Defender for Endpoint ב- Linux.

הדרה הגדרה דוגמאות
סיומת קובץ כל הקבצים עם ההרחבה, בכל מקום במכשיר (לא זמין עבור אי-הכללות כלליות) .test
קובץ קובץ ספציפי המזוהה באמצעות הנתיב המלא /var/log/test.log
/var/log/*.log
/var/log/install.?.log
תיקיה כל הקבצים תחת התיקיה שצוינה (רקורסיבית) /var/log/
/var/*/
תהליך תהליך ספציפי (שצוין על-ידי הנתיב המלא או שם הקובץ) וכל הקבצים שנפתחו על-ידיו /bin/cat
cat
c?t

חשוב

הנתיבים שבהם נעשה שימוש חייבים להיות קישורים קשיחים, ולא קישורים סמליים, כדי שלא ייכללו בהצלחה. באפשרותך לבדוק אם נתיב הוא קישור סמלי על-ידי הפעלת file <path-name>.

פריטים שאינם נכללים בקובץ, בתיקיה ובתהליך תומכים בתווים הכלליים הבאים:

הערה

נתיב הקובץ צריך להיות קיים לפני הוספה או הסרה של פריטים שאינם נכללים בקובץ עם טווחים כלליים. אין תמיכה בתווים כלליים בעת קביעת התצורה של אי-הכללות כלליות.

בתווים כלליים תיאור דוגמאות
* התאמה למספר כלשהו של תווים, כולל ללא
(שים לב אם תו כללי זה אינו נמצא בשימוש בסוף הנתיב, הוא מחליף תיקיה אחת בלבד)
/var/*/tmp כולל כל קובץ ב /var/abc/tmp - ובספריות המשנה שלו /var/def/tmp , ובספריות המשנה שלו. היא אינה כוללת /var/abc/log או /var/def/log

/var/*/ כוללת רק קבצים שנמצאים בספריות המשנה שלו, כגון /var/abc/, אך לא קבצים ישירות בתוך /var.

? התאמה לכל תו בודד file?.log כולל file1.log ו- file2.log, אך לאfile123.log

הערה

עבור אי-הכללות של אנטי-וירוס, בעת שימוש בתו הכללי * בסוף הנתיב, הוא יתאים לכל הקבצים וספריות המשנה תחת תו האב של התו הכללי.

כיצד להגדיר את רשימת הפריטים שאינם נכללים

שימוש במסוף הניהול

כדי לקבוע תצורה של פריטים שאינם נכללים ב- Puppet, Ansible או ממסוף ניהול אחר, עיין בדוגמה הבאה mdatp_managed.json.

{
   "exclusionSettings":{
     "exclusions":[
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/home/*/git<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/run<EXAMPLE DO NOT USE>",
           "scopes": [
              "global"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":false,
           "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
           "scopes": [
              "epp", "global"
           ]
        },
        {
           "$type":"excludedFileExtension",
           "extension":".pdf<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedFileName",
           "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
        }
     ],
     "mergePolicy":"admin_only"
   }
}

לקבלת מידע נוסף, ראה הגדרת העדפות עבור Defender עבור נקודת קצה ב- Linux.

שימוש בשורת הפקודה

הפעל את הפקודה הבאה כדי לראות את הבוררים הזמינים לניהול פריטים שאינם נכללים:

הערה

--scope הוא דגל אופציונלי עם ערך מקובל בתור או eppglobal. הוא מספק את אותו טווח המשמש בעת הוספת אי-הכללה כדי להסיר את אותו אי הכללה. בגישה של שורת הפקודה, אם הטווח אינו מוזכר, ערך הטווח מוגדר כ- epp. פריטים שאינם נכללים ב- CLI לפני שמבוא --scope הדגל לא יושפעו והיקף שלהם ייחשב ל- epp.

mdatp exclusion

עצה

בעת קביעת התצורה של פריטים שאינם נכללים בתווים כלליים, הקף את הפרמטר במרכאות כפולות כדי למנוע השתקלה.

דוגמאות:

  • הוספת אי הכללה עבור סיומת קובץ (אי הכללת סיומת אינה נתמכת עבור טווח אי-הכללה כללי) :

    mdatp exclusion extension add --name .txt
    
    Extension exclusion configured successfully
    
    mdatp exclusion extension remove --name .txt
    
    Extension exclusion removed successfully
    
  • הוספה/הסרה של אי הכללה עבור קובץ (נתיב הקובץ אמור להיות כבר קיים במקרה של הוספה או הסרה של אי הכללה עם טווח כללי) :

    mdatp exclusion file add --path /var/log/dummy.log --scope epp
    
    File exclusion configured successfully
    
    mdatp exclusion file remove --path /var/log/dummy.log --scope epp
    
    File exclusion removed successfully"
    
    mdatp exclusion file add --path /var/log/dummy.log --scope global
    
    File exclusion configured successfully
    
    mdatp exclusion file remove --path /var/log/dummy.log --scope global
    
    File exclusion removed successfully"
    
  • הוסף/הסר פריט שלא ייכלל עבור תיקיה:

    mdatp exclusion folder add --path /var/log/ --scope epp
    
    Folder exclusion configured successfully
    
    mdatp exclusion folder remove --path /var/log/ --scope epp
    
    Folder exclusion removed successfully
    
      mdatp exclusion folder add --path /var/log/ --scope global
    
    Folder exclusion configured successfully
    
    mdatp exclusion folder remove --path /var/log/ --scope global
    
    Folder exclusion removed successfully
    
  • הוסף פריט שלא ייכלל עבור תיקיה שניה:

    mdatp exclusion folder add --path /var/log/ --scope epp
    mdatp exclusion folder add --path /other/folder  --scope global
    
    Folder exclusion configured successfully
    
  • הוסף פריט שלא ייכלל עבור תיקיה הכוללת תו כללי:

    הערה

    אין תמיכה בתווים כלליים בעת קביעת התצורה של אי-הכללות כלליות.

    mdatp exclusion folder add --path "/var/*/tmp"
    

    הערה

    פעולה זו לא תכלול נתיבים תחת /var/*/tmp/, אך לא תיקיות שהם אחים של tmp; לדוגמה, /var/this-subfolder/tmp, אך לא /var/this-subfolder/log.

    mdatp exclusion folder add --path "/var/" --scope epp
    

    או

    mdatp exclusion folder add --path "/var/*/" --scope epp
    

    הערה

    פעולה זו לא תכלול את כל הנתיבים שהאב שלהם הוא /var/; לדוגמה, /var/this-subfolder/and-this-subfolder-as-well.

    Folder exclusion configured successfully
    
  • הוסף אי הכללה עבור תהליך:

    mdatp exclusion process add --name /usr/bin/cat --scope global 
    
    Process exclusion configured successfully
    
    mdatp exclusion process remove --name /usr/bin/cat  --scope global
    
    Process exclusion removed successfully
    
      mdatp exclusion process add --name /usr/bin/cat --scope epp 
    
    Process exclusion configured successfully
    
    mdatp exclusion process remove --name /usr/bin/cat  --scope epp
    
    Process exclusion removed successfully
    
  • הוסף אי הכללה עבור תהליך שני:

    mdatp exclusion process add --name cat --scope epp
    mdatp exclusion process add --name dog --scope global
    
    Process exclusion configured successfully
    

אימות רשימות אי-הכללות באמצעות קובץ הבדיקה של EICAR

באפשרותך לאמת שרשימות ההכללה שלך פועלות באמצעות הורדת curl קובץ בדיקה.

במקטע Bash הבא, החלף test.txt בקובץ התואם לכללי אי-ההכללה שלך. לדוגמה, אם לא כללת את ההרחבה .testing , החלף ב test.txt - test.testing. אם אתה בודק נתיב, הקפד להפעיל את הפקודה בנתיב זה.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

אם Defender for Endpoint ב- Linux מדווח על תוכנה זדונית, הכלל אינו פועל. אם אין דוח על תוכנות זדוניות, והקובץ שהורד קיים, אי-ההכללה פועלת. באפשרותך לפתוח את הקובץ כדי לאשר שהתוכן זהה למתואר באתר האינטרנט של קובץ הבדיקה של EICAR.

אם אין לך גישה לאינטרנט, באפשרותך ליצור קובץ בדיקת EICAR משלך. כתוב את מחרוזת EICAR לקובץ טקסט חדש באמצעות הפקודה הבאה של Bash:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

באפשרותך גם להעתיק את המחרוזת לקובץ טקסט ריק ונסה לשמור אותה בשם הקובץ או בתיקיה שאתה מנסה לא לכלול.

אפשר איומים

בנוסף לכך שלא מתבצעת סריקה של תוכן מסוים, באפשרותך גם לקבוע את תצורת המוצר כך שלא יזהה מחלקות מסוימות של איומים (שזוהו על-ידי שם האיום). עליך לנקוט משנה זהירות בעת שימוש בפונקציונליות זו, מכיוון שהיא יכולה להשאיר את המכשיר שלך לא מוגן.

כדי להוסיף שם איום לרשימה המותרת, בצע את הפקודה הבאה:

mdatp threat allowed add --name [threat-name]

ניתן להשיג את שם האיום המשויך לזיהוי במכשיר שלך באמצעות הפקודה הבאה:

mdatp threat list

לדוגמה, כדי להוסיף EICAR-Test-File (not a virus) (שם האיום המשויך לזיהוי EICAR) לרשימה המותרת, בצע את הפקודה הבאה:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.