Share via


Konfigurer og valider utelatelser for Microsoft Defender for endepunkt på Linux

Gjelder for:

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Denne artikkelen inneholder informasjon om hvordan du definerer unntak som gjelder for behovsbetingede skanninger, og sanntidsbeskyttelse og overvåking.

Viktig

Unntakene som er beskrevet i denne artikkelen, gjelder ikke for andre Defender for Endpoint på Linux-funksjoner, inkludert endepunktgjenkjenning og svar (EDR). Filer som du utelater ved hjelp av metodene som er beskrevet i denne artikkelen, kan fortsatt utløse EDR-varsler og andre gjenkjenninger. Kontakt kundestøtte for EDR-utelukkelser.

Du kan utelate bestemte filer, mapper, prosesser og prosessåpningsfiler fra Defender for Endpoint på Linux-skanninger.

Unntak kan være nyttig for å unngå feil gjenkjenning av filer eller programvare som er unike eller tilpasset organisasjonen. De kan også være nyttige for å redusere ytelsesproblemer forårsaket av Defender for Endpoint på Linux.

Advarsel

Definering av utelukkelser reduserer beskyttelsen som tilbys av Defender for Endpoint på Linux. Du bør alltid vurdere risikoene som er knyttet til implementering av utelatelser, og du bør bare utelate filer som du er sikker på ikke er ondsinnede.

Støttede utelatelsestyper

Tabellen nedenfor viser utelatelsestypene som støttes av Defender for Endpoint på Linux.

Utelukkelse Definisjon Eksempler
Filtype Alle filer med utvidelsen, hvor som helst på enheten .test
Filen En bestemt fil identifisert av den fullstendige banen /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Mappen Alle filer under den angitte mappen (rekursivt) /var/log/
/var/*/
Prosessen En bestemt prosess (angitt enten med fullstendig bane eller filnavn) og alle filer som åpnes av den /bin/cat
cat
c?t

Viktig

Banene ovenfor må være harde koblinger, ikke symbolske koblinger, for å kunne utelukkes. Du kan kontrollere om en bane er en symbolsk kobling ved å kjøre file <path-name>.

Fil-, mappe- og prosessutelukkelse støtter følgende jokertegn:

Jokertegn Beskrivelse Eksempler
* Samsvarer med et hvilket som helst antall tegn, inkludert ingen (obs! Hvis jokertegnet ikke brukes på slutten av banen, erstatter det bare én mappe) /var/*/tmp inneholder alle filer i /var/abc/tmp og underkataloger og /var/def/tmp underkataloger. Den inkluderer ikke /var/abc/log eller /var/def/log

/var/*/ inneholder alle filer i /var og underkatalogene.

? Samsvarer med et hvilket som helst enkelttegn file?.log inkluderer file1.log og file2.log, men ikkefile123.log

Obs!

Når du bruker jokertegnet * på slutten av banen, vil det samsvare med alle filer og underkataloger under det overordnede jokertegnet.

Slik konfigurerer du listen over utelatelser

Fra administrasjonskonsollen

Hvis du vil ha mer informasjon om hvordan du konfigurerer utelatelser fra Puppet, Ansible eller en annen administrasjonskonsoll, kan du se Angi innstillinger for Defender for Endpoint på Linux.

Fra kommandolinjen

Kjør følgende kommando for å se de tilgjengelige bryterne for behandling av utelatelser:

mdatp exclusion

Tips

Når du konfigurerer utelatelser med jokertegn, setter du parameteren i doble anførselstegn for å hindre globbing.

Eksempler:

  • Legg til en utelatelse for en filtype:

    mdatp exclusion extension add --name .txt
    
    Extension exclusion configured successfully
    
  • Legg til en utelatelse for en fil:

    mdatp exclusion file add --path /var/log/dummy.log
    
    File exclusion configured successfully
    
  • Legg til en utelatelse for en mappe:

    mdatp exclusion folder add --path /var/log/
    
    Folder exclusion configured successfully
    
  • Legg til en utelatelse for en annen mappe:

    mdatp exclusion folder add --path /var/log/
    mdatp exclusion folder add --path /other/folder
    
    Folder exclusion configured successfully
    
  • Legg til en utelatelse for en mappe med et jokertegn i:

    mdatp exclusion folder add --path "/var/*/tmp"
    

    Obs!

    Dette utelukker bare baner under /var/*/tmp/, men ikke mapper som er likestilte med tmp. for eksempel /var/this-subfolder/tmp, men ikke /var/this-subfolder/log.

    mdatp exclusion folder add --path "/var/"
    

    ELLER

    mdatp exclusion folder add --path "/var/*/"
    

    Obs!

    Dette vil utelate alle baner der overordnet er /var/; for eksempel /var/this-subfolder/and-this-subfolder-as-well.

    Folder exclusion configured successfully
    
  • Legg til en utelatelse for en prosess:

    mdatp exclusion process add --name cat
    
    Process exclusion configured successfully
    
  • Legg til en utelatelse for en annen prosess:

    mdatp exclusion process add --name cat
    mdatp exclusion process add --name dog
    
    Process exclusion configured successfully
    

Valider utelatelseslister med EICAR-testfilen

Du kan validere at utelatelseslistene fungerer ved å bruke curl til å laste ned en testfil.

I følgende Bash-kodesnutt erstatter test.txt du med en fil som overholder utelukkelsesreglene. Hvis du for eksempel har utelatt .testing utvidelsen, erstatter test.txt du med test.testing. Hvis du tester en bane, må du kontrollere at du kjører kommandoen i den banen.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Hvis Defender for Endpoint på Linux rapporterer skadelig programvare, fungerer ikke regelen. Hvis det ikke finnes noen rapport om skadelig programvare, og den nedlastede filen finnes, fungerer utelukkelsen. Du kan åpne filen for å bekrefte at innholdet er det samme som det som er beskrevet på nettstedet for EICAR-testfilen.

Hvis du ikke har Internett-tilgang, kan du opprette din egen EICAR-testfil. Skriv EICAR-strengen til en ny tekstfil med følgende Bash-kommando:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Du kan også kopiere strengen til en tom tekstfil og prøve å lagre den med filnavnet eller i mappen du prøver å utelate.

Tillat trusler

I tillegg til å utelate bestemt innhold fra å bli skannet, kan du også konfigurere produktet til ikke å oppdage enkelte typer trusler (identifisert av trusselnavnet). Du bør være forsiktig når du bruker denne funksjonaliteten, da den kan la enheten være ubeskyttet.

Hvis du vil legge til et trusselnavn i den tillatte listen, utfører du følgende kommando:

mdatp threat allowed add --name [threat-name]

Trusselnavnet som er knyttet til en gjenkjenning på enheten, kan hentes ved hjelp av følgende kommando:

mdatp threat list

Hvis du for eksempel vil legge til EICAR-Test-File (not a virus) (trusselnavnet knyttet til EICAR-gjenkjenningen) i den tillatte listen, utfører du følgende kommando:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.