Kizárások konfigurálása és érvényesítése a Linuxon futó Végponthoz készült Microsoft Defender esetében

Cikk
04/27/2024

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Ez a cikk az igény szerinti vizsgálatokra, valamint a valós idejű védelemre és monitorozásra vonatkozó kizárások meghatározásáról nyújt tájékoztatást.

Fontos

A cikkben ismertetett kizárások nem vonatkoznak a Végponthoz készült Defender linuxos képességeire, beleértve a végpontészlelést és a választ (EDR). A cikkben ismertetett módszerekkel kizárt fájlok továbbra is aktiválhatnak EDR-riasztásokat és más észleléseket. EDR-kizárások esetén forduljon az ügyfélszolgálathoz.

Kizárhat bizonyos fájlokat, mappákat, folyamatokat és folyamatmegnyitású fájlokat a Végponthoz készült Defenderből Linux-vizsgálatok során.

A kizárások hasznosak lehetnek a szervezet egyedi vagy testre szabott fájljainak vagy szoftvereinek helytelen észlelésének elkerüléséhez. A Végponthoz készült Defender által okozott teljesítményproblémák csökkentéséhez is hasznosak lehetnek Linuxon.

Figyelmeztetés

A kizárások meghatározása csökkenti a Végponthoz készült Defender által nyújtott védelmet Linuxon. Mindig értékelje ki a kizárások implementálásával járó kockázatokat, és csak olyan fájlokat zárjon ki, amelyek biztosan nem rosszindulatúak.

Támogatott kizárási típusok

Az alábbi táblázat a Végponthoz készült Defender által támogatott kizárási típusokat mutatja be Linux rendszeren.

Kizárási	Definíció	Példák
Fájlkiterjesztés	Az összes kiterjesztésű fájl, bárhol az eszközön	`.test`
Fájl	A teljes elérési út által azonosított konkrét fájl	`/var/log/test.log` `/var/log/*.log` `/var/log/install.?.log`
Mappa	A megadott mappában lévő összes fájl (rekurzív módon)	`/var/log/` `/var/*/`
Folyamat	Egy adott folyamat (amelyet a teljes elérési út vagy a fájlnév határoz meg) és az általa megnyitott összes fájl	`/bin/cat` `cat` `c?t`

Fontos

A sikeres kizáráshoz a fenti elérési utaknak nem szimbolikus, hanem rögzített hivatkozásoknak kell lenniük. Az parancs futtatásával file <path-name>ellenőrizheti, hogy az elérési út szimbolikus hivatkozás-e.

A fájl-, mappa- és folyamatkizárások a következő helyettesítő karaktereket támogatják:

Helyettesítő Leírás Példák

Tetszőleges számú karaktert tartalmaz, beleértve a egyiket sem (megjegyzés: ha ezt a helyettesítő karaktert nem használja az elérési út végén, akkor csak egy mappát helyettesít)

Helyettesítő	Leírás	Példák
*	Tetszőleges számú karaktert tartalmaz, beleértve a egyiket sem (megjegyzés: ha ezt a helyettesítő karaktert nem használja az elérési út végén, akkor csak egy mappát helyettesít)	`/var//tmp` A tartalmazza a fájlokat `/var/abc/tmp` és annak alkönyvtárait, valamint `/var/def/tmp` annak alkönyvtárait. Nem tartalmazza a `/var/abc/log` vagy a `/var/def/log` `/var//` tartalmazza a fájlokat `/var` és annak alkönyvtárait.
?	Egyetlen karakterre illeszkedik	`file?.log` tartalmazza a `file1.log` és `file2.log`a elemet, de nem`file123.log`

/var/*/tmp A tartalmazza a fájlokat /var/abc/tmp és annak alkönyvtárait, valamint /var/def/tmp annak alkönyvtárait. Nem tartalmazza a /var/abc/log vagy a /var/def/log

/var/*/ tartalmazza a fájlokat /var és annak alkönyvtárait.

? Egyetlen karakterre illeszkedik file?.log tartalmazza a file1.log és file2.loga elemet, de nemfile123.log

Megjegyzés:

Ha az elérési út végén a * helyettesítő karaktert használja, az megegyezik a helyettesítő karakter szülője alatti összes fájllal és alkönyvtáral.

A kizárások listájának konfigurálása

A felügyeleti konzolról

A Puppet, az Ansible vagy más felügyeleti konzol kizárásainak konfigurálásáról további információt a Végponthoz készült Defender beállításainak megadása Linuxon című témakörben talál.

A parancssorból

Futtassa a következő parancsot a kizárások kezeléséhez elérhető kapcsolók megtekintéséhez:

mdatp exclusion

Tipp

Ha a kizárásokat helyettesítő karakterekkel konfigurálja, a paramétert dupla idézőjelek között kell megadnia, hogy megakadályozza a globbingot.

Példák:

Fájlkiterjesztés kizárásának hozzáadása:

mdatp exclusion extension add --name .txt

Extension exclusion configured successfully

Fájl kizárásának hozzáadása:

mdatp exclusion file add --path /var/log/dummy.log

File exclusion configured successfully

Mappa kizárásának hozzáadása:

mdatp exclusion folder add --path /var/log/

Folder exclusion configured successfully

Kizárás hozzáadása egy második mappához:

mdatp exclusion folder add --path /var/log/
mdatp exclusion folder add --path /other/folder

Folder exclusion configured successfully

Kivétel hozzáadása helyettesítő karaktert tartalmazó mappához:
```
mdatp exclusion folder add --path "/var/*/tmp"
```
Megjegyzés:

Ez csak a /var/*/tmp/ alatti elérési utakat zárja ki, a tmp testvérmappáit azonban nem; például a /var/this-subfolder/tmp, de a /var/this-subfolder/log nem.
```
mdatp exclusion folder add --path "/var/"
```
VAGY
```
mdatp exclusion folder add --path "/var/*/"
```
Megjegyzés:

Ez kizárja az összes olyan elérési utat, amelynek szülője /var/; például a /var/this-subfolder/and-this-subfolder-as-well.
```
Folder exclusion configured successfully
```

Kizárás hozzáadása egy folyamathoz:

mdatp exclusion process add --name cat

Process exclusion configured successfully

Kizárás hozzáadása egy második folyamathoz:

mdatp exclusion process add --name cat
mdatp exclusion process add --name dog

Process exclusion configured successfully

Kizárási listák ellenőrzése az EICAR tesztfájllal

A tesztfájl letöltésével curl ellenőrizheti, hogy a kizárási listák működnek-e.

A következő Bash-kódrészletben cserélje le test.txt a elemet egy olyan fájlra, amely megfelel a kizárási szabályoknak. Ha például kizárta a bővítményt, cserélje le a .testing értéket a következőre test.txttest.testing: . Ha egy elérési utat tesztel, győződjön meg arról, hogy az adott elérési úton futtatja a parancsot.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Ha a Végponthoz készült Defender Linuxon kártevőt jelent, akkor a szabály nem működik. Ha nincs kártevőről szóló jelentés, és a letöltött fájl létezik, akkor a kizárás működik. A fájlt megnyitva ellenőrizheti, hogy a tartalom megegyezik-e az EICAR-tesztfájl webhelyén ismertetett tartalommal.

Ha nincs internetkapcsolata, létrehozhatja saját EICAR-tesztfájlját. Írja be az EICAR-sztringet egy új szövegfájlba a következő Bash-paranccsal:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

A sztringet egy üres szövegfájlba is másolhatja, és megpróbálhatja menteni a fájlnévvel vagy a kizárni kívánt mappában.

Fenyegetések engedélyezése

Amellett, hogy kizár bizonyos tartalmakat a vizsgálatból, konfigurálhatja azt is, hogy a termék ne észlelje a fenyegetések egyes osztályait (amelyeket a fenyegetés neve azonosít). A funkció használatakor körültekintően járjon el, mivel az eszköz védtelen marad.

Ha fenyegetésnevet szeretne hozzáadni az engedélyezett listához, hajtsa végre a következő parancsot:

mdatp threat allowed add --name [threat-name]

Az eszközön az észleléshez társított fenyegetés neve a következő paranccsal kérhető le:

mdatp threat list

Ha például az EICAR-észleléshez társított fenyegetésnevet szeretné hozzáadni EICAR-Test-File (not a virus) az engedélyezett listához, hajtsa végre a következő parancsot:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.

Megosztás a következőn keresztül: