Linux 上のMicrosoft Defender for Endpointの除外を構成して検証する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
この記事では、オンデマンド スキャンに適用される除外と、リアルタイムの保護と監視を定義する方法について説明します。
重要
この記事で説明する除外は、エンドポイント検出と応答 (EDR) など、Linux 上の他の Defender for Endpoint 機能には適用されません。 この記事で説明する方法を使用して除外するファイルは、引き続き EDR アラートやその他の検出をトリガーできます。 EDR の除外については、 サポートにお問い合わせください。
特定のファイル、フォルダー、プロセス、プロセスで開かれたファイルを、Defender for Endpoint on Linux スキャンから除外できます。
除外は、organizationに固有またはカスタマイズされたファイルまたはソフトウェアで誤った検出を回避するのに役立ちます。 また、Linux 上の Defender for Endpoint によって発生するパフォーマンスの問題を軽減するのにも役立ちます。
警告
除外を定義すると、Defender for Endpoint on Linux によって提供される保護が低下します。 除外の実装に関連するリスクを常に評価し、悪意のないと確信しているファイルのみを除外する必要があります。
サポートされている除外の種類
次の表は、Linux 上の Defender for Endpoint でサポートされる除外の種類を示しています。
| 除外 | 定義 | 例 |
|---|---|---|
| ファイル拡張子 | 拡張子を持つすべてのファイル(デバイス上の任意の場所) | .test |
| File | 完全パスで識別される特定のファイル | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| フォルダー | 指定したフォルダーの下にあるすべてのファイル (再帰的に) | /var/log//var/*/ |
| プロセス | 特定のプロセス (完全なパスまたはファイル名で指定) と、そのプロセスによって開かれたすべてのファイル | /bin/catcatc?t |
重要
正常に除外するには、上記のパスはシンボリック リンクではなくハード リンクである必要があります。 パスがシンボリック リンクの場合は、 を実行file <path-name>してチェックできます。
ファイル、フォルダー、およびプロセスの除外では、次のワイルドカードがサポートされています。
| ワイルドカード | 説明 | 例 |
|---|---|---|
| * | none を含む任意の数の文字と一致します (このワイルドカードがパスの末尾で使用されていない場合は、1 つのフォルダーのみを置き換えます) | /var/*/tmp には、 内 /var/abc/tmp のすべてのファイルとそのサブディレクトリ、 /var/def/tmp およびそのサブディレクトリが含まれます。 含まれていない /var/abc/log か、 /var/def/log
|
| ? | 任意の 1 文字に一致します | file?.logには と がfile2.log含まれますが、 は含file1.logまれませんfile123.log |
注:
パスの末尾で * ワイルドカードを使用すると、ワイルドカードの親の下にあるすべてのファイルとサブディレクトリと一致します。
除外の一覧を構成する方法
管理コンソールから
Puppet、Ansible、またはその他の管理コンソールからの除外を構成する方法の詳細については、「Linux 上の Defender for Endpoint の基本設定を設定する」を参照してください。
コマンド ラインから
次のコマンドを実行して、除外を管理するための使用可能なスイッチを確認します。
mdatp exclusion
ヒント
ワイルドカードを使用して除外を構成する場合は、パラメーターを二重引用符で囲み、グロビングを防ぎます。
例:
ファイル拡張子の除外を追加します。
mdatp exclusion extension add --name .txtExtension exclusion configured successfullyファイルの除外を追加します。
mdatp exclusion file add --path /var/log/dummy.logFile exclusion configured successfullyフォルダーの除外を追加します。
mdatp exclusion folder add --path /var/log/Folder exclusion configured successfully2 つ目のフォルダーの除外を追加します。
mdatp exclusion folder add --path /var/log/ mdatp exclusion folder add --path /other/folderFolder exclusion configured successfullyワイルドカードが含まれるフォルダーの除外を追加します。
mdatp exclusion folder add --path "/var/*/tmp"注:
これにより、 /var/*/tmp/以下のパスのみが除外されますが、 tmp の兄弟であるフォルダーは除外されません。たとえば、 /var/this-subfolder/tmp ですが、 /var/this-subfolder/log ではありません。
mdatp exclusion folder add --path "/var/"または
mdatp exclusion folder add --path "/var/*/"注:
これにより、親が /var/であるすべてのパスが除外されます。たとえば、 /var/this-subfolder/and-this-subfolder-as-well です。
Folder exclusion configured successfullyプロセスの除外を追加します。
mdatp exclusion process add --name catProcess exclusion configured successfully2 番目のプロセスの除外を追加します。
mdatp exclusion process add --name cat mdatp exclusion process add --name dogProcess exclusion configured successfully
EICAR テスト ファイルを使用して除外リストを検証する
を使用して curl テスト ファイルをダウンロードすることで、除外リストが機能していることを検証できます。
次の Bash スニペットで、 を除外規則に準拠するファイルに置き換えます test.txt 。 たとえば、拡張機能を除外した場合は、 を に.testingtest.testing置き換えますtest.txt。 パスをテストする場合は、そのパス内でコマンドを実行してください。
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Defender for Endpoint on Linux でマルウェアが報告された場合、ルールは機能していません。 マルウェアの報告がなく、ダウンロードしたファイルが存在する場合、除外は機能しています。 ファイルを開いて、 内容が EICAR テスト ファイル Web サイトで説明されているものと同じであることを確認できます。
インターネットにアクセスできない場合は、独自の EICAR テスト ファイルを作成できます。 次の Bash コマンドを使用して、EICAR 文字列を新しいテキスト ファイルに書き込みます。
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
また、空のテキスト ファイルに文字列をコピーし、ファイル名または除外しようとしているフォルダーに保存することもできます。
脅威を許可する
特定のコンテンツをスキャン対象から除外するだけでなく、一部の脅威クラス (脅威名で識別) を検出しないように製品を構成することもできます。 この機能を使用する場合は、デバイスの保護が解除される可能性があるため、注意が必要です。
許可されたリストに脅威名を追加するには、次のコマンドを実行します。
mdatp threat allowed add --name [threat-name]
デバイス上の検出に関連付けられている脅威名は、次のコマンドを使用して取得できます。
mdatp threat list
たとえば、許可されるリストに (EICAR 検出に関連付けられている脅威名) を追加 EICAR-Test-File (not a virus) するには、次のコマンドを実行します。
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示