Del via

Konfigurer og valider utelatelser for Microsoft Defender for endepunkt på Linux

  • Artikkel

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Denne artikkelen inneholder informasjon om hvordan du definerer antivirus og globale utelatelser for Microsoft Defender for endepunkt. Antivirusutelukkelse gjelder for behovsbetingede skanninger, sanntidsbeskyttelse (RTP) og overvåking av virkemåte (BM). Globale utelatelser gjelder for sanntidsbeskyttelse (RTP), overvåking av virkemåte (BM) og gjenkjenning og respons for endepunkt (EDR), og dermed stopper alle tilknyttede antivirusgjenkjenninger, EDR-varsler og synlighet for det ekskluderte elementet.

Viktig

Antivirusutelukkelsene som er beskrevet i denne artikkelen, gjelder bare antivirusfunksjoner og ikke endepunktregistrering og -svar (EDR). Filer som du utelater ved hjelp av antivirusutelukkelsene som er beskrevet i denne artikkelen, kan fortsatt utløse EDR-varsler og andre gjenkjenninger. Globale utelatelser som er beskrevet i denne delen, gjelder for antivirus- og endepunktgjenkjennings- og svarfunksjoner, og dermed stopper all tilknyttet antivirusbeskyttelse, EDR-varsler og -gjenkjenninger. Globale utelatelser er for øyeblikket i offentlig forhåndsversjon, og er tilgjengelige i Defender for Endpoint-versjon 101.23092.0012 eller nyere, i Insiders Slow- og Production-ringene. Kontakt kundestøtte for EDR-utelukkelser.

Du kan utelate bestemte filer, mapper, prosesser og prosessåpningsfiler fra Defender for Endpoint på Linux.

Unntak kan være nyttig for å unngå feil gjenkjenning av filer eller programvare som er unike eller tilpasset organisasjonen. Globale utelatelser er nyttige for å redusere ytelsesproblemer forårsaket av Defender for Endpoint på Linux.

Advarsel

Definering av utelukkelser reduserer beskyttelsen som tilbys av Defender for Endpoint på Linux. Du bør alltid vurdere risikoene som er knyttet til implementering av utelatelser, og du bør bare utelate filer som du er sikker på ikke er ondsinnede.

Støttede utelatelsesomfang

Som beskrevet i en tidligere del, støtter vi to utelatelsesomfang: antivirus (epp) og globale (global) utelukkelser.

Antivirusutelukkelser kan brukes til å utelate klarerte filer og prosesser fra sanntidsbeskyttelse, samtidig som det har EDR-synlighet. Globale utelukkelser brukes på sensornivå og for å dempe hendelser som samsvarer med utelukkelsesbetingelser svært tidlig i flyten, før en behandling utføres, og dermed stoppe alle EDR-varsler og antivirusgjenkjenninger.

Obs!

Global (global) er et nytt utelukkelsesomfang som vi introduserer i tillegg til antivirus (epp) utelatelsesomfang som allerede støttes av Microsoft.

Utelatelseskategori Utelukkelsesomfang Beskrivelse
Antivirusutelukkelse Antivirusmotor
(omfang: epp)		 Utelukker innhold fra antivirusskanninger (AV) og skanninger ved behov.
Global utelukkelse Antivirus- og endepunktregistreringer og responsmotor
(omfang: global)		 Utelukker hendelser fra sanntidsbeskyttelse og EDR-synlighet. Gjelder ikke for behovsbetingede skanninger som standard.

Støttede utelatelsestyper

Tabellen nedenfor viser utelatelsestypene som støttes av Defender for Endpoint på Linux.

Utelukkelse Definisjon Eksempler
Filtype Alle filer med filtypen, hvor som helst på enheten (ikke tilgjengelig for globale utelatelser) .test
Fil En bestemt fil identifisert av den fullstendige banen /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Mappe Alle filer under den angitte mappen (rekursivt) /var/log/
/var/*/
Prosess En bestemt prosess (angitt enten med fullstendig bane eller filnavn) og alle filer som åpnes av den /bin/cat
cat
c?t

Viktig

Banene som brukes må være harde koblinger, ikke symbolske koblinger, for å kunne utelukkes. Du kan kontrollere om en bane er en symbolsk kobling ved å kjøre file <path-name>.

Fil-, mappe- og prosessutelukkelse støtter følgende jokertegn:

Obs!

Filbanen må være til stede før du legger til eller fjerner filutelukkelser med omfang som global. Jokertegn støttes ikke når du konfigurerer globale utelatelser.

Jokertegn Beskrivelse Eksempler
* Samsvarer med et hvilket som helst antall tegn, inkludert ingen
(Merk at hvis dette jokertegnet ikke brukes på slutten av banen, erstatter det bare én mappe)		 /var/*/tmp inneholder alle filer i /var/abc/tmp og underkataloger og /var/def/tmp underkataloger. Den inkluderer /var/abc/log ikke eller /var/def/log

/var/*/ inneholder bare filer i underkatalogene, for eksempel /var/abc/, men ikke filer direkte i /var.
? Samsvarer med et hvilket som helst enkelttegn file?.log inkluderer file1.log og file2.log, men ikkefile123.log

Obs!

Når det gjelder antivirusutelukker, vil det samsvare med alle filer og underkataloger under det overordnede jokertegnet når du bruker jokertegnet * på slutten av banen.

Slik konfigurerer du listen over utelatelser

Bruke administrasjonskonsollen

Hvis du vil konfigurere utelatelser fra Marionett, Ansible eller en annen administrasjonskonsoll, kan du se følgende eksempel mdatp_managed.json.

{
   "exclusionSettings":{
     "exclusions":[
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/home/*/git<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/run<EXAMPLE DO NOT USE>",
           "scopes": [
              "global"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":false,
           "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
           "scopes": [
              "epp", "global"
           ]
        },
        {
           "$type":"excludedFileExtension",
           "extension":".pdf<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedFileName",
           "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
        }
     ],
     "mergePolicy":"admin_only"
   }
}

Hvis du vil ha mer informasjon, kan du se Angi innstillinger for Defender for Endpoint på Linux.

Bruke kommandolinjen

Kjør følgende kommando for å se de tilgjengelige bryterne for behandling av utelatelser:

Obs!

--scope er et valgfritt flagg med godtatt verdi som epp eller global. Den gir det samme omfanget som brukes når du legger til utelukkelsen for å fjerne den samme utelukkelsen. Hvis omfanget ikke er nevnt i kommandolinjetilnærmingen, angis omfangsverdien som epp. Utelatelser som legges til via CLI før innføringen av --scope flagg forblir upåvirket, og omfanget vurderes epp.

mdatp exclusion

Tips

Når du konfigurerer utelatelser med jokertegn, setter du parameteren i doble anførselstegn for å hindre globbing.

Eksempler:

  • Legg til en utelukkelse for en filtype (utvidelsesutelukkelse støttes ikke for globalt utelukkelsesomfang) :

    mdatp exclusion extension add --name .txt

    Extension exclusion configured successfully

    mdatp exclusion extension remove --name .txt

    Extension exclusion removed successfully

  • Legg til / fjern en utelatelse for en fil (filbanen skal allerede være til stede ved å legge til eller fjerne utelukkelse med globalt omfang) :

    mdatp exclusion file add --path /var/log/dummy.log --scope epp

    File exclusion configured successfully

    mdatp exclusion file remove --path /var/log/dummy.log --scope epp

    File exclusion removed successfully"

    mdatp exclusion file add --path /var/log/dummy.log --scope global

    File exclusion configured successfully

    mdatp exclusion file remove --path /var/log/dummy.log --scope global

    File exclusion removed successfully"

  • Legge til / fjerne en utelatelse for en mappe:

    mdatp exclusion folder add --path /var/log/ --scope epp

    Folder exclusion configured successfully

    mdatp exclusion folder remove --path /var/log/ --scope epp

    Folder exclusion removed successfully

      mdatp exclusion folder add --path /var/log/ --scope global

    Folder exclusion configured successfully

    mdatp exclusion folder remove --path /var/log/ --scope global

    Folder exclusion removed successfully

  • Legg til en utelatelse for en annen mappe:

    mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder  --scope global

    Folder exclusion configured successfully

  • Legg til en utelatelse for en mappe med et jokertegn i:

    Obs!

    Jokertegn støttes ikke når du konfigurerer globale utelatelser.

    mdatp exclusion folder add --path "/var/*/tmp"

    Obs!

    Dette utelukker bare baner under /var/*/tmp/, men ikke mapper som er likestilte med tmp. for eksempel /var/this-subfolder/tmp, men ikke /var/this-subfolder/log.

    mdatp exclusion folder add --path "/var/" --scope epp

    ELLER

    mdatp exclusion folder add --path "/var/*/" --scope epp

    Obs!

    Dette vil utelate alle baner der overordnet er /var/; for eksempel /var/this-subfolder/and-this-subfolder-as-well.

    Folder exclusion configured successfully

  • Legg til en utelatelse for en prosess:

    mdatp exclusion process add --name /usr/bin/cat --scope global 

    Process exclusion configured successfully

    mdatp exclusion process remove --name /usr/bin/cat  --scope global

    Process exclusion removed successfully

      mdatp exclusion process add --name /usr/bin/cat --scope epp 

    Process exclusion configured successfully

    mdatp exclusion process remove --name /usr/bin/cat  --scope epp

    Process exclusion removed successfully

  • Legg til en utelatelse for en annen prosess:

    mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --name dog --scope global

    Process exclusion configured successfully

Valider utelatelseslister med EICAR-testfilen

Du kan validere at utelatelseslistene fungerer ved å bruke curl til å laste ned en testfil.

I følgende Bash-kodesnutt erstatter test.txt du med en fil som overholder utelukkelsesreglene. Hvis du for eksempel har utelatt .testing utvidelsen, erstatter test.txt du med test.testing. Hvis du tester en bane, må du kontrollere at du kjører kommandoen i den banen.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Hvis Defender for Endpoint på Linux rapporterer skadelig programvare, fungerer ikke regelen. Hvis det ikke finnes noen rapport om skadelig programvare, og den nedlastede filen finnes, fungerer utelukkelsen. Du kan åpne filen for å bekrefte at innholdet er det samme som det som er beskrevet på nettstedet for EICAR-testfilen.

Hvis du ikke har Internett-tilgang, kan du opprette din egen EICAR-testfil. Skriv EICAR-strengen til en ny tekstfil med følgende Bash-kommando:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Du kan også kopiere strengen til en tom tekstfil og prøve å lagre den med filnavnet eller i mappen du prøver å utelate.

Tillat trusler

I tillegg til å utelate bestemt innhold fra å bli skannet, kan du også konfigurere produktet til ikke å oppdage enkelte typer trusler (identifisert av trusselnavnet). Du bør være forsiktig når du bruker denne funksjonaliteten, da den kan la enheten være ubeskyttet.

Hvis du vil legge til et trusselnavn i den tillatte listen, utfører du følgende kommando:

mdatp threat allowed add --name [threat-name]

Trusselnavnet som er knyttet til en gjenkjenning på enheten, kan hentes ved hjelp av følgende kommando:

mdatp threat list

Hvis du for eksempel vil legge til EICAR-Test-File (not a virus) (trusselnavnet knyttet til EICAR-gjenkjenningen) i den tillatte listen, utfører du følgende kommando:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.