Konfigurer og valider utelatelser for Microsoft Defender for Endpoint på Linux
I denne artikkelen:
- Støttede utelatelsesomfang
- Støttede utelatelsestyper
- Slik konfigurerer du listen over utelatelser
- Valider utelatelseslister med EICAR-testfilen
- Tillat trusler
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Denne artikkelen inneholder informasjon om hvordan du definerer antivirus- og globale utelatelser for Microsoft Defender for endepunkt. Antivirusutelukkelse gjelder for behovsbetingede skanninger, sanntidsbeskyttelse (RTP) og overvåking av virkemåte (BM). Globale utelatelser gjelder for sanntidsbeskyttelse (RTP), overvåking av virkemåte (BM) og gjenkjenning og respons for endepunkt (EDR), og dermed stopper alle tilknyttede antivirusgjenkjenninger, EDR-varsler og synlighet for det ekskluderte elementet.
Viktig
Antivirusutelukkelsene som er beskrevet i denne artikkelen, gjelder bare antivirusfunksjoner og ikke gjenkjenning av endepunkt og svar (EDR). Filer som du utelater ved hjelp av antivirusutelukkelsene som er beskrevet i denne artikkelen, kan fortsatt utløse EDR-varsler og andre gjenkjenninger. Mens de globale utelukkelsene som er beskrevet i denne delen, gjelder for antivirus, samt endepunktregistrering og svarfunksjoner, og dermed stopper all tilknyttet AV-beskyttelse, EDR-varsler og -gjenkjenning. Globale utelatelser er tilgjengelige fra Defender for Endpoint-versjon 101.23092.0012 eller nyere. Kontakt kundestøtte for EDR-utelukkelser.
Du kan utelate bestemte filer, mapper, prosesser og prosessåpningsfiler fra Defender for Endpoint på Linux.
Unntak kan være nyttig for å unngå feil gjenkjenning av filer eller programvare som er unike eller tilpasset organisasjonen. Globale utelatelser er nyttige for å redusere ytelsesproblemer forårsaket av Defender for Endpoint på Linux.
Advarsel
Definering av utelukkelser reduserer beskyttelsen som tilbys av Defender for Endpoint på Linux. Du bør alltid vurdere risikoene som er knyttet til implementering av utelatelser, og du bør bare utelate filer som du er sikker på ikke er ondsinnede.
Støttede utelatelsesomfang
Som beskrevet i en tidligere del, støtter vi to utelatelsesomfang: antivirus (epp) og globale (global) utelukkelser.
Antivirusutelukkelser kan brukes til å utelate klarerte filer og prosesser fra sanntidsbeskyttelse, samtidig som det har EDR-synlighet. Globale utelukkelser brukes på sensornivå og for å dempe hendelser som samsvarer med utelukkelsesbetingelser svært tidlig i flyten, før en behandling utføres, og dermed stoppe alle EDR-varsler og antivirusgjenkjenninger.
Obs!
Global (global) er et nytt utelukkelsesomfang som vi introduserer i tillegg til antivirus (epp) utelatelsesomfang som allerede støttes av Microsoft.
| Utelatelseskategori | Utelukkelsesomfang | Beskrivelse |
|---|---|---|
| Antivirusutelukkelse | Antivirusmotor (omfang: epp) |
Utelukker innhold fra antivirusskanninger (AV) og skanninger ved behov. |
| Global utelukkelse | Antivirus- og endepunktregistreringer og responsmotor (omfang: global) |
Utelukker hendelser fra sanntidsbeskyttelse og EDR-synlighet. Gjelder ikke for behovsbetingede skanninger som standard. |
Støttede utelatelsestyper
Tabellen nedenfor viser utelatelsestypene som støttes av Defender for Endpoint på Linux.
| Utelukkelse | Definisjon | Eksempler |
|---|---|---|
| Filtype | Alle filer med filtypen, hvor som helst på enheten (ikke tilgjengelig for globale utelatelser) | .test |
| Fil | En bestemt fil identifisert av den fullstendige banen | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Mappe | Alle filer under den angitte mappen (rekursivt) | /var/log//var/*/ |
| Prosess | En bestemt prosess (angitt enten med fullstendig bane eller filnavn) og alle filer som åpnes av den | /bin/catcatc?t |
Viktig
Banene som brukes må være harde koblinger, ikke symbolske koblinger, for å kunne utelukkes. Du kan kontrollere om en bane er en symbolsk kobling ved å kjøre file <path-name>.
Fil-, mappe- og prosessutelukkelse støtter følgende jokertegn:
Obs!
Jokertegn støttes ikke når du konfigurerer globale utelatelser.
| Jokertegn | Beskrivelse | Eksempler |
|---|---|---|
| * | Samsvarer med et hvilket som helst antall tegn, inkludert ingen (Merk at hvis dette jokertegnet ikke brukes på slutten av banen, erstatter det bare én mappe) |
/var/*/tmp inneholder alle filer i /var/abc/tmp og underkataloger og /var/def/tmp underkataloger. Den inkluderer /var/abc/log ikke eller /var/def/log
|
| ? | Samsvarer med et hvilket som helst enkelttegn |
file?.log inkluderer file1.log og file2.log, men ikkefile123.log |
Obs!
Når det gjelder antivirusutelukker, vil det samsvare med alle filer og underkataloger under det overordnede jokertegnet når du bruker jokertegnet * på slutten av banen.
Slik konfigurerer du listen over utelatelser
Bruke administrasjonskonsollen
Hvis du vil ha mer informasjon om hvordan du konfigurerer utelatelser fra Puppet, Ansible eller en annen administrasjonskonsoll, kan du se Angi innstillinger for Defender for Endpoint på Linux.
Bruke kommandolinjen
Kjør følgende kommando for å se de tilgjengelige bryterne for behandling av utelatelser:
Obs!
--scope er et valgfritt flagg med godtatt verdi som epp eller global. Den gir det samme omfanget som brukes når du legger til utelukkelsen for å fjerne den samme utelukkelsen. Hvis omfanget ikke er nevnt i kommandolinjetilnærmingen, angis omfangsverdien som epp.
Utelatelser som legges til via CLI før innføringen av --scope flagg forblir upåvirket, og omfanget vurderes epp.
mdatp exclusion
Tips
Når du konfigurerer utelatelser med jokertegn, setter du parameteren i doble anførselstegn for å hindre globbing.
Eksempler:
Legg til en utelukkelse for en filtype (utvidelsesutelukkelse støttes ikke for globalt utelukkelsesomfang) :
mdatp exclusion extension add --name .txtExtension exclusion configured successfullymdatp exclusion extension remove --name .txtExtension exclusion removed successfullyLegg til / fjern en utelatelse for en fil:
mdatp exclusion file add --path /var/log/dummy.log --scope eppFile exclusion configured successfullymdatp exclusion file remove --path /var/log/dummy.log --scope eppFile exclusion removed successfully"mdatp exclusion file add --path /var/log/dummy.log --scope globalFile exclusion configured successfullymdatp exclusion file remove --path /var/log/dummy.log --scope globalFile exclusion removed successfully"Legge til / fjerne en utelatelse for en mappe:
mdatp exclusion folder add --path /var/log/ --scope eppFolder exclusion configured successfullymdatp exclusion folder remove --path /var/log/ --scope eppFolder exclusion removed successfullymdatp exclusion folder add --path /var/log/ --scope globalFolder exclusion configured successfullymdatp exclusion folder remove --path /var/log/ --scope globalFolder exclusion removed successfullyLegg til en utelatelse for en annen mappe:
mdatp exclusion folder add --path /var/log/ --scope epp mdatp exclusion folder add --path /other/folder --scope globalFolder exclusion configured successfullyLegg til en utelatelse for en mappe med et jokertegn i:
Obs!
Jokertegn støttes ikke når du konfigurerer globale utelatelser.
mdatp exclusion folder add --path "/var/*/tmp"Obs!
Dette utelukker bare baner under /var/*/tmp/, men ikke mapper som er likestilte med tmp. for eksempel /var/this-subfolder/tmp, men ikke /var/this-subfolder/log.
mdatp exclusion folder add --path "/var/" --scope eppELLER
mdatp exclusion folder add --path "/var/*/" --scope eppObs!
Dette vil utelate alle baner der overordnet er /var/; for eksempel /var/this-subfolder/and-this-subfolder-as-well.
Folder exclusion configured successfullyLegg til en utelatelse for en prosess:
mdatp exclusion process add --name /usr/bin/cat --scope globalProcess exclusion configured successfullymdatp exclusion process remove --name /usr/bin/cat --scope globalProcess exclusion removed successfullymdatp exclusion process add --name /usr/bin/cat --scope eppProcess exclusion configured successfullymdatp exclusion process remove --name /usr/bin/cat --scope eppProcess exclusion removed successfullyLegg til en utelatelse for en annen prosess:
mdatp exclusion process add --name cat --scope epp mdatp exclusion process add --name dog --scope globalProcess exclusion configured successfully
Valider utelatelseslister med EICAR-testfilen
Du kan validere at utelatelseslistene fungerer ved å bruke curl til å laste ned en testfil.
I følgende Bash-kodesnutt erstatter test.txt du med en fil som overholder utelukkelsesreglene. Hvis du for eksempel har utelatt .testing utvidelsen, erstatter test.txt du med test.testing. Hvis du tester en bane, må du kontrollere at du kjører kommandoen i den banen.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Hvis Defender for Endpoint på Linux rapporterer skadelig programvare, fungerer ikke regelen. Hvis det ikke finnes noen rapport om skadelig programvare, og den nedlastede filen finnes, fungerer utelukkelsen. Du kan åpne filen for å bekrefte at innholdet er det samme som det som er beskrevet på nettstedet for EICAR-testfilen.
Hvis du ikke har Internett-tilgang, kan du opprette din egen EICAR-testfil. Skriv EICAR-strengen til en ny tekstfil med følgende Bash-kommando:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Du kan også kopiere strengen til en tom tekstfil og prøve å lagre den med filnavnet eller i mappen du prøver å utelate.
Tillat trusler
I tillegg til å utelate bestemt innhold fra å bli skannet, kan du også konfigurere produktet til ikke å oppdage enkelte typer trusler (identifisert av trusselnavnet). Du bør være forsiktig når du bruker denne funksjonaliteten, da den kan la enheten være ubeskyttet.
Hvis du vil legge til et trusselnavn i den tillatte listen, utfører du følgende kommando:
mdatp threat allowed add --name [threat-name]
Trusselnavnet som er knyttet til en gjenkjenning på enheten, kan hentes ved hjelp av følgende kommando:
mdatp threat list
Hvis du for eksempel vil legge til EICAR-Test-File (not a virus) (trusselnavnet knyttet til EICAR-gjenkjenningen) i den tillatte listen, utfører du følgende kommando:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Tips
Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for