קביעת תצורה ואי-אימות של פריטים Microsoft Defender עבור נקודת קצה ב- Linux

מאמר זה מספק מידע אודות הגדרת אנטי-וירוס ופריטים שאינם נכללים Microsoft Defender עבור נקודת קצה. אי הכללות של אנטי-וירוס חלות על סריקות לפי דרישה, הגנה בזמן אמת (RTP) וניטור אופן פעולה (BM). אי-הכללות כלליות חלות על הגנה בזמן אמת (RTP), ניטור אופן פעולה (BM) וזיהוי ותגובה של נקודות קצה (EDR), ובכך מפסיקים את כל זיהויי האנטי-וירוס המשויכים, התראות EDR וניראות של הפריט שלא נכלל.

חשוב

אי-ההכללות של האנטי-וירוס המתוארות במאמר זה חלות רק על יכולות אנטי-וירוס, ולא על זיהוי נקודות קצה ותגובה (EDR). Files שלא תכלול באמצעות אי-ההכללה של האנטי-וירוס המתוארות במאמר זה עדיין עלולות לגרום להתראות EDR ולזיהויים אחרים. אי הכללות כלליות המתוארות בסעיף זה חלות על יכולות אנטי-וירוס ו- EDR, ובכך מפסיקות את כל הגנת האנטי-וירוס המשויכת, התראות EDR והזיהויים. אי-הכללות כלליות זמינות בייצור עבור Defender for Endpoint ב- Linux, בגירסה 101.23092.0012 ואילך. עבור אי הכללות של EDR בלבד, פנה למחלקת התמיכה.

באפשרותך לא לכלול קבצים, תיקיות, תהליכים וקבצים מסוימים שפתחת באמצעות Defender for Endpoint ב- Linux.

אי הכללות יכולות להיות שימושיות כדי להימנע מזיהויים שגויים בקבצים או בתוכנות ייחודיים או מותאמים אישית לארגון שלך. אי-הכללות כלליות שימושיות לצמצום בעיות ביצועים הנגרמים על-ידי Defender for Endpoint ב- Linux.

אזהרה

הגדרת אי-הכללות מורידה את ההגנה המוצעת על-ידי Defender for Endpoint ב- Linux. עליך תמיד להעריך את הסיכונים המשויכים ליישום פריטים שאינם נכללים, ועליך לכלול רק קבצים שאתה בטוח שהם לא זדוניים.

חשוב

אם ברצונך להפעיל פתרונות אבטחה מרובים זה לצד זה, ראה שיקולים עבור ביצועים, תצורה ותמיכה.

ייתכן שכבר הגדרת אי-הכללות של אבטחה הדדית עבור מכשירים שצורתם Microsoft Defender עבור נקודת קצה. אם עדיין עליך להגדיר אי-הכללה הדדית כדי להימנע מהתנגשויות, ראה הוספת Microsoft Defender עבור נקודת קצה לרשימת אי-ההכללה עבור הפתרון הקיים שלך.

טווחי אי-הכללה נתמכים

כפי שמתואר בסעיף מוקדם יותר, אנו תומכים בשני טווחי אי-הכללה: אנטי-וירוס (epp) ופריטים לא נכללים כלליים (global).

ניתן להשתמש בפריטים שאינם נכללים באנטי-וירוס כדי לא לכלול קבצים ותהליכים מהימנים בהגנה בזמן אמת, תוך שמירה על ניראות EDR. אי-הכללות כלליות מוחלות ברמת החיישן ולהשתק את האירועים התואמים לתנאים שאינם נכללים בשלב מוקדם של הזרימה, לפני סיום העיבוד, ובכך לעצור את כל התראות EDR ואת זיהויי האנטי-וירוס.

הערה

Global (global) הוא טווח אי-הכללה חדש שאנו מציגים בנוסף לטווחי אי-הכללה של אנטי-וירוס (epp) שכבר נתמכים על-ידי Microsoft.

קטגוריית אי-הכללה	טווח אי-הכללה	תיאור
אי הכללה של אנטי-וירוס	מנגנון אנטי-וירוס (טווח: epp)	לא כולל אירועים בסריקה לפי דרישה, הגנה בזמן אמת (RTP) וניטור אופן פעולה (BM).
אי הכללה כללית	אנטי-וירוס וזיהוי נקודות קצה ומנוע תגובה (טווח: כללי)	לא כולל אירועים בהגנה בזמן אמת וניראות של EDR. אינו חל על סריקות לפי דרישה כברירת מחדל.

חשוב

אי-הכללות כלליות אינן חלות על הגנה על הרשת, כך שהתראות שנוצרו על-ידי הגנה על הרשת עדיין יהיו גלויות. כדי לא לכלול תהליכים בהגנת רשת, השתמש mdatp network-protection exclusion

סוגי אי-הכללה נתמכים

הטבלה הבאה מציגה את סוגי ההכללה הנתמכים על-ידי Defender for Endpoint ב- Linux.

הדרה	הגדרה	דוגמאות
סיומת קובץ	כל הקבצים עם ההרחבה, בכל מקום במכשיר (לא זמין עבור אי-הכללות כלליות)	.test
קובץ	קובץ ספציפי המזוהה באמצעות הנתיב המלא	/var/log/test.log /var/log/*.log /var/log/install.?.log
התיקיה	כל הקבצים תחת התיקיה שצוינה (רקורסיבית)	/var/log/ /var/*/
תהליך	תהליך ספציפי (שצוין על-ידי הנתיב המלא או שם הקובץ) וכל הקבצים שנפתחו על-ידיו. ניתן להוסיף אי-הכללות של אנטי-וירוס באמצעות נתיב מלא או שם קובץ, אך עבור אי-הכללות כלליות, השתמש רק בנתיבי הפעלה של תהליך מלא ומהימן. בשני המקרים, מומלץ להשתמש בנתיב המלא.	/bin/cat cat c?t

חשוב

הנתיבים שבהם נעשה שימוש חייבים להיות קישורים קשיחים, ולא קישורים סמליים, כדי שלא ייכללו בהצלחה. באפשרותך לבדוק אם נתיב הוא קישור סמלי על-ידי הפעלת file <path-name>. בעת יישום אי-הכללות של תהליך כללי, אל תכלול רק את מה שנחוץ כדי להבטיח מהימנות ואבטחה של המערכת. ודא שהתהליך ידוע ומהימן, ציין את הנתיב המלא למיקום התהליך ואשר שהתהליך יופעל באופן עקבי מאותו נתיב מלא מהימן.

פריטים שאינם נכללים בקובץ, בתיקיה ובתהליך תומכים בתווים הכלליים הבאים:

בתווים כלליים	תיאור	דוגמאות
*	התאמה למספר כלשהו של תווים, כולל ללא (שים לב אם תו כללי זה אינו נמצא בשימוש בסוף הנתיב, הוא מחליף תיקיה אחת בלבד)	/var/*/tmp כולל כל קובץ ב /var/abc/tmp - ובספריות המשנה שלו /var/def/tmp , ובספריות המשנה שלו. היא אינה כוללת /var/abc/log או /var/def/log /var/*/ כוללת רק קבצים שנמצאים בספריות המשנה שלו, כגון /var/abc/, אך לא קבצים ישירות בתוך /var.
?	התאמה לכל תו בודד	file?.log כולל file1.log ו- file2.log, אך לאfile123.log

הערה

תווים כלליים אינם נתמכים בעת קביעת התצורה של אי-הכללות כלליות. עבור אי-הכללות של אנטי-וירוס, בעת שימוש בתו הכללי * בסוף הנתיב, הוא תואם לכל הקבצים וספריות המשנה תחת תו האב של התו הכללי. נתיב הקובץ צריך להיות קיים לפני הוספה או הסרה של פריטים שאינם נכללים בקובץ עם טווחים כלליים.

כיצד להגדיר את רשימת הפריטים שאינם נכללים

באפשרותך לקבוע תצורה של פריטים שאינם נכללים באמצעות תצורת JSON של ניהול, ניהול הגדרות אבטחה של Defender for Endpoint או שורת הפקודה.

שימוש במסוף הניהול

בסביבות ארגוניות, ניתן לנהל אי-הכללות גם באמצעות פרופיל תצורה. בדרך כלל, עליך להשתמש בכלי ניהול תצורה כגון Puppet, Ansible או mdatp_managed.json מסוף ניהול אחר כדי לדחוף קובץ בשם במיקום /etc/opt/microsoft/mdatp/managed/. לקבלת מידע נוסף, ראה הגדרת העדפות עבור Defender עבור נקודת קצה ב- Linux. עיין במדגם הבא של mdatp_managed.json.

{
   "exclusionSettings":{
     "exclusions":[
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/home/*/git<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/run<EXAMPLE DO NOT USE>",
           "scopes": [
              "global"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":false,
           "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
           "scopes": [
              "epp", "global"
           ]
        },
        {
           "$type":"excludedFileExtension",
           "extension":".pdf<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedFileName",
           "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
        }
     ],
     "mergePolicy":"admin_only"
   }
}

שימוש בניהול הגדרות האבטחה של Defender for Endpoint

הערה

הקפד לסקור את הדרישות המוקדמות: דרישות מוקדמות לניהול הגדרות אבטחה של נקודות קצה של Defender for Endpoint

באפשרותך להשתמש במרכז Microsoft Intune או בפורטל Microsoft Defender כדי לנהל פריטים שאינם נכללים כמדיניות אבטחה של נקודת קצה ולהקצות פריטי מדיניות אלה לקבוצות Microsoft Entra ID אלה. אם אתה משתמש בשיטה זו בפעם הראשונה, הקפד לבצע את השלבים הבאים:

1. קביעת התצורה של הדייר שלך לתמיכה בניהול הגדרות אבטחה

1. בפורטל Microsoft Defender, נווט אל טווח>>> האכיפה של ניהול תצורה של נקודות קצה שלהגדרות ולאחר מכן בחר את Linux הפלטפורמה.

2. תייג מכשירים עם MDE-Management התגית. רוב המכשירים נרשמים ומקבלים את המדיניות תוך דקות, למרות שחלק מהמכשירים עשויים להימשך עד 24 שעות. לקבלת מידע נוסף, ראה למד כיצד Intune מדיניות האבטחה של נקודות הקצה כדי לנהל Microsoft Defender עבור נקודת קצה במכשירים שאינם רשומים ל- Intune.

2. יצירת Microsoft Entra אישית

צור קבוצת Microsoft Entra דינאמית בהתבסס על סוג מערכת ההפעלה כדי להבטיח שכל המכשירים המחוברים ל- Defender for Endpoint יקבלו את המדיניות המתאימה. קבוצה דינאמית זו כוללת באופן אוטומטי מכשירים המנוהלות על-ידי Defender for Endpoint, וגורם למנהלי מערכת ליצור באופן ידני פריטי מדיניות חדשים. לקבלת מידע נוסף, עיין במאמר הבא: יצירת Microsoft Entra נוספות

3. יצירת מדיניות אבטחה של נקודת קצה

1. בפורטל Microsoft Defender, עבור אל מדיניות>> אבטחה של נקודת קצה לניהול נקודות קצה של נקודתקצה ולאחר מכן בחר צור מדיניות חדשה.

2. עבור פלטפורמה, בחר Linux.

3. בחר את תבנית אי-ההכללה הנדרשת (Microsoft defender global exclusions (AV+EDR) עבור Microsoft defender antivirus exclusions אי-הכללות כלליות ופריטים שאינם נכללים באנטי-וירוס), ולאחר מכן בחר צור מדיניות.

4. בדף יסודות , הזן שם ותיאור עבור הפרופיל ולאחר מכן בחר הבא.

5. בדף הגדרות , הרחב כל קבוצת הגדרות וקבע את התצורה של ההגדרות שברצונך לנהל עם פרופיל זה.

6. לאחר שתסיים לקבוע את התצורה של ההגדרות, בחר הבא.

7. בדף מטלות , בחר את הקבוצות המקבלות פרופיל זה. לאחר מכן בחר הבא.

8. בדף סקירה + יצירה , לאחר שתסיים, בחר שמור. הפרופיל החדש מוצג ברשימה בעת בחירת סוג המדיניות עבור הפרופיל שיצרת.

לקבלת מידע נוסף, ראה: ניהול מדיניות אבטחה של נקודות קצה ב- Microsoft Defender עבור נקודת קצה.

שימוש בשורת הפקודה

הפעל את הפקודה הבאה כדי לראות את הבוררים הזמינים לניהול פריטים שאינם נכללים:

mdatp exclusion

הערה

--scope הוא דגל אופציונלי עם ערך מקובל בתור או eppglobal. הוא מספק את אותו טווח המשמש בעת הוספת אי-הכללה כדי להסיר את אותו אי הכללה. בגישה של שורת הפקודה, אם הטווח אינו מוזכר, ערך הטווח מוגדר כ- epp. פריטים שאינם נכללים ב- CLI לפני שמבוא --scope הדגל לא יושפעו והיקף שלהם ייחשב ל- epp.

עצה

בעת קביעת התצורה של פריטים שאינם נכללים בתווים כלליים, הקף את הפרמטר במרכאות כפולות כדי למנוע השתקלה.

מקטע זה כולל כמה דוגמאות.

דוגמה 1: הוספת אי הכללה עבור סיומת קובץ

באפשרותך להוסיף אי הכללה עבור סיומת קובץ. זכור כי אי-הכללות של הרחבות אינן נתמכות עבור טווח אי-ההכללה הכללי.

mdatp exclusion extension add --name .txt

Extension exclusion configured successfully

mdatp exclusion extension remove --name .txt

Extension exclusion removed successfully

דוגמה 2: הוספה או הסרה של אי-הכללה של קובץ

באפשרותך להוסיף או להסיר אי הכללה עבור קובץ. נתיב הקובץ אמור להיות קיים כבר אם אתה מוסיף או מסיר פריט שלא ייכלל בטווח הכללי.

mdatp exclusion file add --path /var/log/dummy.log --scope epp

File exclusion configured successfully

mdatp exclusion file remove --path /var/log/dummy.log --scope epp

File exclusion removed successfully"

mdatp exclusion file add --path /var/log/dummy.log --scope global

File exclusion configured successfully

mdatp exclusion file remove --path /var/log/dummy.log --scope global

File exclusion removed successfully"

דוגמה 3: הוספה או הסרה של אי הכללה בתיקיה

באפשרותך להוסיף או להסיר פריט שלא ייכלל בתיקיה.

mdatp exclusion folder add --path /var/log/ --scope epp

Folder exclusion configured successfully

mdatp exclusion folder remove --path /var/log/ --scope epp

Folder exclusion removed successfully

mdatp exclusion folder add --path /var/log/ --scope global

Folder exclusion configured successfully

mdatp exclusion folder remove --path /var/log/ --scope global

Folder exclusion removed successfully

דוגמה 4: הוספת אי הכללה עבור תיקיה שניה

באפשרותך להוסיף אי הכללה עבור תיקיה שניה.

mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder  --scope global

Folder exclusion configured successfully

דוגמה 5: הוספת אי-הכללה של תיקיה עם תו כללי

באפשרותך להוסיף פריט שלא ייכלל עבור תיקיה עם תו כללי. זכור כי תווים כלליים אינם נתמכים בעת קביעת התצורה של אי-הכללות כלליות.

mdatp exclusion folder add --path "/var/*/tmp"

הפקודה הקודמת אינה כוללת נתיבים */var/*/tmp/*תחת , אך לא תיקיות אחים של *tmp*. לדוגמה, */var/this-subfolder/tmp* לא נכלל, אך */var/this-subfolder/log* אינו נכלל.

mdatp exclusion folder add --path "/var/" --scope epp

או

mdatp exclusion folder add --path "/var/*/" --scope epp

הפקודה הקודמת אינה כוללת את כל הנתיבים שהאב שלהם */var/*הוא , כגון */var/this-subfolder/and-this-subfolder-as-well*.

Folder exclusion configured successfully

דוגמה 6: הוספת אי הכללה עבור תהליך

באפשרותך להוסיף אי הכללה עבור תהליך.

mdatp exclusion process add --path /usr/bin/cat --scope global 

Process exclusion configured successfully

mdatp exclusion process remove --path /usr/bin/cat  --scope global

הערה

קיימת תמיכה בנתיב מלא בלבד להגדרת אי-הכללה בתהליך עם global טווח. השתמש בדגל --path בלבד

Process exclusion removed successfully

mdatp exclusion process add --name cat --scope epp 

Process exclusion configured successfully

mdatp exclusion process remove --name cat --scope epp

Process exclusion removed successfully

דוגמה 7: הוספת אי הכללה עבור תהליך שני

באפשרותך להוסיף אי הכללה עבור תהליך שני.

mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global

Process exclusion configured successfully

אימות רשימות אי-הכללות באמצעות קובץ הבדיקה של EICAR

באפשרותך לאמת שרשימות ההכללה שלך פועלות באמצעות הורדת curl קובץ בדיקה.

במקטע Bash הבא, החלף test.txt בקובץ התואם לכללי אי-ההכללה שלך. לדוגמה, אם לא כללת את ההרחבה .testing , החלף ב test.txt - test.testing. אם אתה בודק נתיב, הקפד להפעיל את הפקודה בנתיב זה.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

אם Defender for Endpoint ב- Linux מדווח על תוכנות זדוניות, הכלל אינו פועל. אם אין דוח על תוכנות זדוניות, והקובץ שהורד קיים, אי-ההכללה פועלת. באפשרותך לפתוח את הקובץ כדי לאשר שהתוכן זהה למתואר באתר האינטרנט של קובץ הבדיקה של EICAR.

אם אין לך גישה לאינטרנט, באפשרותך ליצור קובץ בדיקת EICAR משלך. כתוב את מחרוזת EICAR לקובץ טקסט חדש באמצעות הפקודה הבאה של Bash:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

באפשרותך גם להעתיק את המחרוזת לקובץ טקסט ריק ונסה לשמור אותה בשם הקובץ או בתיקיה שאתה מנסה לא לכלול.

אפשר איום

בנוסף לאי-הכללת סריקה של תוכן מסוים, באפשרותך גם לקבוע את התצורה של Defender for Endpoint ב- Linux לא לזהות מחלקות מסוימות של איומים, שזוהו על-ידי שם האיום.

אזהרה

נקוט משנה זהירות בעת שימוש בפונקציונליות זו, מכיוון שהיא יכולה להשאיר את המכשיר שלך לא מוגן.

כדי להוסיף שם איום לרשימה המותרת, הפעל את הפקודה הבאה:

mdatp threat allowed add --name [threat-name]

כדי לקבל שם של איום שזוהה, הפעל את הפקודה הבאה:

mdatp threat list

לדוגמה, כדי להוסיף EICAR-Test-File (not a virus) לרשימת היתרים, הפעל את הפקודה הבאה:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

למידע נוסף

• בעיות בביצועי Microsoft Defender עבור נקודת קצה ב- Linux
• הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- Linux