Kizárások konfigurálása és érvényesítése a Linuxon futó Végponthoz készült Microsoft Defender esetében
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Ez a cikk az igény szerinti vizsgálatokra, valamint a valós idejű védelemre és monitorozásra vonatkozó kizárások meghatározásáról nyújt tájékoztatást.
Fontos
A cikkben ismertetett kizárások nem vonatkoznak a Végponthoz készült Defender linuxos képességeire, beleértve a végpontészlelést és a választ (EDR). A cikkben ismertetett módszerekkel kizárt fájlok továbbra is aktiválhatnak EDR-riasztásokat és más észleléseket. EDR-kizárások esetén forduljon az ügyfélszolgálathoz.
Kizárhat bizonyos fájlokat, mappákat, folyamatokat és folyamatmegnyitású fájlokat a Végponthoz készült Defenderből Linux-vizsgálatok során.
A kizárások hasznosak lehetnek a szervezet egyedi vagy testre szabott fájljainak vagy szoftvereinek helytelen észlelésének elkerüléséhez. A Végponthoz készült Defender által okozott teljesítményproblémák csökkentéséhez is hasznosak lehetnek Linuxon.
Figyelmeztetés
A kizárások meghatározása csökkenti a Végponthoz készült Defender által nyújtott védelmet Linuxon. Mindig értékelje ki a kizárások implementálásával járó kockázatokat, és csak olyan fájlokat zárjon ki, amelyek biztosan nem rosszindulatúak.
Támogatott kizárási típusok
Az alábbi táblázat a Végponthoz készült Defender által támogatott kizárási típusokat mutatja be Linux rendszeren.
Kizárási | Definíció | Példák |
---|---|---|
Fájlkiterjesztés | Az összes kiterjesztésű fájl, bárhol az eszközön | .test |
Fájl | A teljes elérési út által azonosított konkrét fájl | /var/log/test.log /var/log/*.log /var/log/install.?.log |
Mappa | A megadott mappában lévő összes fájl (rekurzív módon) | /var/log/ /var/*/ |
Folyamat | Egy adott folyamat (amelyet a teljes elérési út vagy a fájlnév határoz meg) és az általa megnyitott összes fájl | /bin/cat cat c?t |
Fontos
A sikeres kizáráshoz a fenti elérési utaknak nem szimbolikus, hanem rögzített hivatkozásoknak kell lenniük. Az parancs futtatásával file <path-name>
ellenőrizheti, hogy az elérési út szimbolikus hivatkozás-e.
A fájl-, mappa- és folyamatkizárások a következő helyettesítő karaktereket támogatják:
Helyettesítő | Leírás | Példák |
---|---|---|
* | Tetszőleges számú karaktert tartalmaz, beleértve a egyiket sem (megjegyzés: ha ezt a helyettesítő karaktert nem használja az elérési út végén, akkor csak egy mappát helyettesít) | /var/*/tmp A tartalmazza a fájlokat /var/abc/tmp és annak alkönyvtárait, valamint /var/def/tmp annak alkönyvtárait. Nem tartalmazza a /var/abc/log vagy a /var/def/log
|
? | Egyetlen karakterre illeszkedik | file?.log tartalmazza a file1.log és file2.log a elemet, de nemfile123.log |
Megjegyzés:
Ha az elérési út végén a * helyettesítő karaktert használja, az megegyezik a helyettesítő karakter szülője alatti összes fájllal és alkönyvtáral.
A kizárások listájának konfigurálása
A felügyeleti konzolról
A Puppet, az Ansible vagy más felügyeleti konzol kizárásainak konfigurálásáról további információt a Végponthoz készült Defender beállításainak megadása Linuxon című témakörben talál.
A parancssorból
Futtassa a következő parancsot a kizárások kezeléséhez elérhető kapcsolók megtekintéséhez:
mdatp exclusion
Tipp
Ha a kizárásokat helyettesítő karakterekkel konfigurálja, a paramétert dupla idézőjelek között kell megadnia, hogy megakadályozza a globbingot.
Példák:
Fájlkiterjesztés kizárásának hozzáadása:
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
Fájl kizárásának hozzáadása:
mdatp exclusion file add --path /var/log/dummy.log
File exclusion configured successfully
Mappa kizárásának hozzáadása:
mdatp exclusion folder add --path /var/log/
Folder exclusion configured successfully
Kizárás hozzáadása egy második mappához:
mdatp exclusion folder add --path /var/log/ mdatp exclusion folder add --path /other/folder
Folder exclusion configured successfully
Kivétel hozzáadása helyettesítő karaktert tartalmazó mappához:
mdatp exclusion folder add --path "/var/*/tmp"
Megjegyzés:
Ez csak a /var/*/tmp/ alatti elérési utakat zárja ki, a tmp testvérmappáit azonban nem; például a /var/this-subfolder/tmp, de a /var/this-subfolder/log nem.
mdatp exclusion folder add --path "/var/"
VAGY
mdatp exclusion folder add --path "/var/*/"
Megjegyzés:
Ez kizárja az összes olyan elérési utat, amelynek szülője /var/; például a /var/this-subfolder/and-this-subfolder-as-well.
Folder exclusion configured successfully
Kizárás hozzáadása egy folyamathoz:
mdatp exclusion process add --name cat
Process exclusion configured successfully
Kizárás hozzáadása egy második folyamathoz:
mdatp exclusion process add --name cat mdatp exclusion process add --name dog
Process exclusion configured successfully
Kizárási listák ellenőrzése az EICAR tesztfájllal
A tesztfájl letöltésével curl
ellenőrizheti, hogy a kizárási listák működnek-e.
A következő Bash-kódrészletben cserélje le test.txt
a elemet egy olyan fájlra, amely megfelel a kizárási szabályoknak. Ha például kizárta a bővítményt, cserélje le a .testing
értéket a következőre test.txt
test.testing
: . Ha egy elérési utat tesztel, győződjön meg arról, hogy az adott elérési úton futtatja a parancsot.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Ha a Végponthoz készült Defender Linuxon kártevőt jelent, akkor a szabály nem működik. Ha nincs kártevőről szóló jelentés, és a letöltött fájl létezik, akkor a kizárás működik. A fájlt megnyitva ellenőrizheti, hogy a tartalom megegyezik-e az EICAR-tesztfájl webhelyén ismertetett tartalommal.
Ha nincs internetkapcsolata, létrehozhatja saját EICAR-tesztfájlját. Írja be az EICAR-sztringet egy új szövegfájlba a következő Bash-paranccsal:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
A sztringet egy üres szövegfájlba is másolhatja, és megpróbálhatja menteni a fájlnévvel vagy a kizárni kívánt mappában.
Fenyegetések engedélyezése
Amellett, hogy kizár bizonyos tartalmakat a vizsgálatból, konfigurálhatja azt is, hogy a termék ne észlelje a fenyegetések egyes osztályait (amelyeket a fenyegetés neve azonosít). A funkció használatakor körültekintően járjon el, mivel az eszköz védtelen marad.
Ha fenyegetésnevet szeretne hozzáadni az engedélyezett listához, hajtsa végre a következő parancsot:
mdatp threat allowed add --name [threat-name]
Az eszközön az észleléshez társított fenyegetés neve a következő paranccsal kérhető le:
mdatp threat list
Ha például az EICAR-észleléshez társított fenyegetésnevet szeretné hozzáadni EICAR-Test-File (not a virus)
az engedélyezett listához, hajtsa végre a következő parancsot:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: