Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Denne artikkelen inneholder informasjon om hvordan du definerer antivirus og globale utelatelser for Microsoft Defender for endepunkt. Antivirusutelukkelse gjelder for behovsbetingede skanninger, sanntidsbeskyttelse (RTP) og overvåking av virkemåte (BM). Globale utelatelser gjelder for sanntidsbeskyttelse (RTP), overvåking av virkemåte (BM) og gjenkjenning og respons for endepunkt (EDR), og dermed stopper alle tilknyttede antivirusgjenkjenninger, EDR-varsler og synlighet for det ekskluderte elementet.
Viktig
Antivirusutelukkelsene som er beskrevet i denne artikkelen, gjelder bare antivirusfunksjoner og ikke endepunktregistrering og -svar (EDR). Filer som du utelater ved hjelp av antivirusutelukkelsene som er beskrevet i denne artikkelen, kan fortsatt resultere i EDR-varsler og andre gjenkjenninger. Globale utelatelser som er beskrevet i denne delen, gjelder for antivirus- og EDR-funksjoner, og stopper dermed all tilknyttet antivirusbeskyttelse, EDR-varsler og -gjenkjenninger. Globale utelatelser er tilgjengelige i produksjon for Defender for Endpoint på Linux, versjon 101.23092.0012 eller nyere. Kontakt kundestøtte for utelukkelser som bare gjelder EDR.
Du kan utelate bestemte filer, mapper, prosesser og prosessåpningsfiler fra Defender for Endpoint på Linux.
Unntak kan være nyttig for å unngå feil gjenkjenning av filer eller programvare som er unike eller tilpasset organisasjonen. Globale utelatelser er nyttige for å redusere ytelsesproblemer forårsaket av Defender for Endpoint på Linux.
Advarsel
Definering av utelukkelser reduserer beskyttelsen som tilbys av Defender for Endpoint på Linux. Du bør alltid vurdere risikoene som er knyttet til implementering av utelatelser, og du bør bare utelate filer som du er sikker på ikke er skadelige.
Viktig
Hvis du vil kjøre flere sikkerhetsløsninger side ved side, kan du se Vurderinger for ytelse, konfigurasjon og støtte.
Du har kanskje allerede konfigurert gjensidige sikkerhetsutelukker for enheter som er pålastet til Microsoft Defender for endepunkt. Hvis du fortsatt trenger å angi gjensidige utelatelser for å unngå konflikter, kan du se Legge til Microsoft Defender for endepunkt i utelatelseslisten for den eksisterende løsningen.
Støttede utelatelsesomfang
Som beskrevet i en tidligere del, støtter vi to utelatelsesomfang: antivirus (epp) og globale (global) utelukkelser.
Antivirusutelukkelser kan brukes til å utelate klarerte filer og prosesser fra sanntidsbeskyttelse, samtidig som det har EDR-synlighet. Globale utelatelser brukes på sensornivå og for å dempe hendelser som samsvarer med utelukkelsesbetingelsene tidlig i flyten, før en behandling utføres, og dermed stoppe alle EDR-varsler og antivirusgjenkjenninger.
Obs!
Global (global) er et nytt utelukkelsesomfang som vi introduserer i tillegg til antivirus (epp) utelatelsesomfang som allerede støttes av Microsoft.
| Utelatelseskategori | Utelukkelsesomfang | Beskrivelse |
|---|---|---|
| Antivirusutelukkelse | Antivirusmotor (omfang: epp) |
Utelukker hendelser fra behovsbetingede skanninger, sanntidsbeskyttelse (RTP) og overvåking av virkemåte (BM). |
| Global utelukkelse | Antivirus- og endepunktregistreringer og responsmotor (omfang: global) |
Utelukker hendelser fra sanntidsbeskyttelse og EDR-synlighet. Gjelder ikke for behovsbetingede skanninger som standard. |
Viktig
Globale utelatelser gjelder ikke for nettverksbeskyttelse, så varsler som genereres av nettverksbeskyttelse, vil fortsatt være synlige.
Hvis du vil utelate prosesser fra nettverksbeskyttelse, kan du bruke mdatp network-protection exclusion
Støttede utelatelsestyper
Tabellen nedenfor viser utelatelsestypene som støttes av Defender for Endpoint på Linux.
| Utelukkelse | Definisjon | Eksempler |
|---|---|---|
| Filtype | Alle filer med filtypen, hvor som helst på enheten (ikke tilgjengelig for globale utelatelser) | .test |
| Fil | En bestemt fil identifisert av den fullstendige banen | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Mappe | Alle filer under den angitte mappen (rekursivt) | /var/log//var/*/ |
| Prosess | En bestemt prosess (angitt enten med den fullstendige banen eller filnavnet) og alle filer som åpnes av den. Antivirusutelukker kan legges til ved hjelp av en fullstendig bane eller et fullstendig filnavn, men for globale utelatelser kan du bare bruke fullstendige og klarerte prosessstartbaner. I begge tilfellene anbefales det å bruke den fullstendige banen. |
/bin/catcatc?t |
Viktig
Banene som brukes må være harde koblinger, ikke symbolske koblinger, for å kunne utelukkes. Du kan kontrollere om en bane er en symbolsk kobling ved å kjøre file <path-name>. Når du implementerer globale prosessutelukker, må du bare utelukke det som er nødvendig for å sikre systempålitelighet og sikkerhet. Kontroller at prosessen er kjent og klarert, angi den fullstendige banen til prosessplasseringen, og bekreft at prosessen konsekvent vil starte fra den samme klarerte fullstendige banen.
Fil-, mappe- og prosessutelukkelse støtter følgende jokertegn:
| Jokertegn | Beskrivelse | Eksempler |
|---|---|---|
| * | Samsvarer med et hvilket som helst antall tegn, inkludert ingen (Merk at hvis dette jokertegnet ikke brukes på slutten av banen, erstatter det bare én mappe) |
/var/*/tmp inneholder alle filer i /var/abc/tmp og underkataloger og /var/def/tmp underkataloger. Den inkluderer /var/abc/log ikke eller /var/def/log
|
| ? | Samsvarer med et hvilket som helst enkelttegn |
file?.log inkluderer file1.log og file2.log, men ikkefile123.log |
Obs!
Jokertegn støttes ikke når du konfigurerer globale utelatelser. Når det gjelder antivirusutelukker når du bruker jokertegnet * på slutten av banen, samsvarer det med alle filer og underkataloger under det overordnede jokertegnet. Filbanen må være til stede før du legger til eller fjerner filutelukkelser med omfang som global.
Slik konfigurerer du listen over utelatelser
Du kan konfigurere utelatelser ved hjelp av en JSON-konfigurasjon for administrasjon, Defender for behandling av sikkerhetsinnstillinger for endepunkt eller kommandolinjen.
Bruke administrasjonskonsollen
I bedriftsmiljøer kan utelukkelser også administreres gjennom en konfigurasjonsprofil. Vanligvis bruker du et konfigurasjonsbehandlingsverktøy som Marionett, Ansible eller en annen administrasjonskonsoll for å sende en fil med navnet mdatp_managed.json på plasseringen /etc/opt/microsoft/mdatp/managed/. Hvis du vil ha mer informasjon, kan du se Angi innstillinger for Defender for Endpoint på Linux. Se følgende eksempel på mdatp_managed.json.
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Bruke Defender for behandling av sikkerhetsinnstillinger for endepunkt
Obs!
Pass på å se gjennom forutsetningene: Forutsetninger for behandling av sikkerhetsinnstillinger for Defender for Endpoint
Du kan bruke administrasjonssenteret for Microsoft Intune eller Microsoft Defender-portalen til å administrere utelatelser som sikkerhetspolicyer for endepunkt og tilordne disse policyene til Microsoft Entra ID-grupper. Hvis du bruker denne metoden for første gang, må du utføre følgende trinn:
1. Konfigurere leieren til å støtte administrasjon av sikkerhetsinnstillinger
I Microsoft Defender-portalen går du til Settings>Endpoints>Configuration Management>Enforcement Scope, og deretter velger du Linux-plattformen.
Merk enheter med
MDE-Managementkoden. De fleste enheter registrerer og mottar policyen i løpet av minutter, selv om noen kan ta opptil 24 timer. Hvis du vil ha mer informasjon, kan du se Lær hvordan du bruker sikkerhetspolicyer for Intune-endepunktet til å administrere Microsoft Defender for endepunkt på enheter som ikke er registrert med Intune.
2. Opprette en Microsoft Entra gruppe
Opprett en dynamisk Microsoft Entra gruppe basert på operativsystemtypen for å sikre at alle enheter som er registrert i Defender for Endpoint, mottar de riktige policyene. Denne dynamiske gruppen inkluderer automatisk enheter som administreres av Defender for Endpoint, noe som eliminerer behovet for at administratorer oppretter nye policyer manuelt. Hvis du vil ha mer informasjon, kan du se følgende artikkel: Opprette Microsoft Entra grupper
3. Opprette en sikkerhetspolicy for endepunkt
Gå til endepunktsikkerhetspolicyer> forendepunktkonfigurasjon> i Microsoft Defender-portalen, og velg deretter Opprett ny policy.
Velg Linux for Plattform.
Velg den nødvendige utelatelsesmalen (
Microsoft defender global exclusions (AV+EDR)for globale utelatelser ogMicrosoft defender antivirus exclusionsfor antivirusutelukkelser), og velg deretter Opprett policy.Skriv inn et navn og en beskrivelse for profilen på Grunnleggende-siden , og velg deretter Neste.
Utvid hver gruppe med innstillinger på Innstillinger-siden , og konfigurer innstillingene du vil administrere med denne profilen.
Når du er ferdig med å konfigurere innstillingene, velger du Neste.
Velg gruppene som mottar denne profilen, på Oppgaver-siden . Velg deretter Neste.
Velg Lagre når du er ferdig på siden Se gjennom + opprett. Den nye profilen vises i listen når du velger policytypen for profilen du opprettet.
Hvis du vil ha mer informasjon, kan du se Administrer sikkerhetspolicyer for endepunkt i Microsoft Defender for endepunkt.
Bruke kommandolinjen
Kjør følgende kommando for å se de tilgjengelige bryterne for behandling av utelatelser:
mdatp exclusion
Obs!
--scope er et valgfritt flagg med godtatt verdi som epp eller global. Den gir det samme omfanget som brukes når du legger til utelukkelsen for å fjerne den samme utelukkelsen. Hvis omfanget ikke er nevnt i kommandolinjetilnærmingen, angis omfangsverdien som epp.
Utelatelser som legges til via CLI før innføringen av --scope flagg forblir upåvirket, og omfanget vurderes epp.
Tips
Når du konfigurerer utelatelser med jokertegn, setter du parameteren i doble anførselstegn for å hindre globbing.
Denne delen inneholder flere eksempler.
Eksempel 1: Legge til en utelatelse for en filtype
Du kan legge til en utelatelse for en filtype. Husk at utvidelsesutelukkelser ikke støttes for det globale utelukkelsesomfanget.
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully
Eksempel 2: Legge til eller fjerne en filutelukkelse
Du kan legge til eller fjerne en utelatelse for en fil. Filbanen skal allerede være til stede hvis du legger til eller fjerner en utelatelse med det globale omfanget.
mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"
Eksempel 3: Legge til eller fjerne en mappeutelukkelse
Du kan legge til eller fjerne en utelatelse for en mappe.
mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully
Eksempel 4: Legge til en utelatelse for en annen mappe
Du kan legge til en utelatelse for en annen mappe.
mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder --scope global
Folder exclusion configured successfully
Eksempel 5: Legge til en mappeutelukkelse med et jokertegn
Du kan legge til en utelatelse for en mappe med et jokertegn. Husk at jokertegn ikke støttes når du konfigurerer globale utelatelser.
mdatp exclusion folder add --path "/var/*/tmp"
Den forrige kommandoen utelater baner under */var/*/tmp/*, men ikke mapper som er likestilt med *tmp*. Er for eksempel */var/this-subfolder/tmp* utelatt, men */var/this-subfolder/log* er ikke utelatt.
mdatp exclusion folder add --path "/var/" --scope epp
ELLER
mdatp exclusion folder add --path "/var/*/" --scope epp
Den forrige kommandoen utelater alle baner der overordnet er */var/*, for eksempel */var/this-subfolder/and-this-subfolder-as-well*.
Folder exclusion configured successfully
Eksempel 6: Legge til en utelatelse for en prosess
Du kan legge til en utelatelse for en prosess.
mdatp exclusion process add --path /usr/bin/cat --scope global
Process exclusion configured successfully
mdatp exclusion process remove --path /usr/bin/cat --scope global
Obs!
Bare fullstendig bane støttes for å angi prosessutelukkelse med global omfang.
Bruk bare --path flagg
Process exclusion removed successfully
mdatp exclusion process add --name cat --scope epp
Process exclusion configured successfully
mdatp exclusion process remove --name cat --scope epp
Process exclusion removed successfully
Eksempel 7: Legge til en utelatelse for en ny prosess
Du kan legge til en utelatelse for en ny prosess.
mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global
Process exclusion configured successfully
Valider utelatelseslister med EICAR-testfilen
Du kan validere at utelatelseslistene fungerer ved å bruke curl til å laste ned en testfil.
I følgende Bash-kodesnutt erstatter test.txt du med en fil som overholder utelukkelsesreglene. Hvis du for eksempel har utelatt .testing utvidelsen, erstatter test.txt du med test.testing. Hvis du tester en bane, må du kontrollere at du kjører kommandoen i den banen.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Hvis Defender for Endpoint på Linux rapporterer skadelig programvare, fungerer ikke regelen. Hvis det ikke finnes noen rapport om skadelig programvare, og den nedlastede filen finnes, fungerer utelukkelsen. Du kan åpne filen for å bekrefte at innholdet er det samme som det som er beskrevet på nettstedet for EICAR-testfilen.
Hvis du ikke har Internett-tilgang, kan du opprette din egen EICAR-testfil. Skriv EICAR-strengen til en ny tekstfil med følgende Bash-kommando:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Du kan også kopiere strengen til en tom tekstfil og prøve å lagre den med filnavnet eller i mappen du prøver å utelate.
Tillat en trussel
I tillegg til å utelate bestemt innhold fra å bli skannet, kan du også konfigurere Defender for Endpoint på Linux til ikke å oppdage noen klasser av trusler, identifisert av trusselnavnet.
Advarsel
Vær forsiktig når du bruker denne funksjonaliteten, da den kan la enheten være ubeskyttet.
Hvis du vil legge til et trusselnavn i den tillatte listen, kjører du følgende kommando:
mdatp threat allowed add --name [threat-name]
Kjør følgende kommando for å få navnet på en oppdaget trussel:
mdatp threat list
Hvis du for eksempel vil legge EICAR-Test-File (not a virus) til i tillatelseslisten, kjører du følgende kommando:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Se også
- Microsoft Defender for endepunkt på Linux
- Angi innstillinger for Microsoft Defender for endepunkt på Linux
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.