Uitsluitingen configureren en valideren voor Microsoft Defender voor Eindpunt op Linux
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Dit artikel bevat informatie over het definiëren van uitsluitingen die van toepassing zijn op scans op aanvraag en realtime beveiliging en bewaking.
Belangrijk
De uitsluitingen die in dit artikel worden beschreven, zijn niet van toepassing op andere mogelijkheden van Defender voor Eindpunt op Linux, waaronder eindpuntdetectie en -respons (EDR). Bestanden die u uitsluit met behulp van de methoden die in dit artikel worden beschreven, kunnen nog steeds EDR-waarschuwingen en andere detecties activeren. Neem voor EDR-uitsluitingen contact op met de ondersteuning.
U kunt bepaalde bestanden, mappen, processen en door processen geopende bestanden uitsluiten van Defender voor Eindpunt op Linux-scans.
Uitsluitingen kunnen handig zijn om onjuiste detecties te voorkomen voor bestanden of software die uniek zijn of zijn aangepast aan uw organisatie. Ze kunnen ook nuttig zijn voor het beperken van prestatieproblemen die worden veroorzaakt door Defender voor Eindpunt op Linux.
Waarschuwing
Als u uitsluitingen definieert, wordt de beveiliging verlaagd die wordt geboden door Defender voor Eindpunt op Linux. U moet altijd de risico's evalueren die zijn gekoppeld aan het implementeren van uitsluitingen en u moet alleen bestanden uitsluiten waarvan u zeker weet dat ze niet schadelijk zijn.
Ondersteunde uitsluitingstypen
In de volgende tabel ziet u de uitsluitingstypen die worden ondersteund door Defender voor Eindpunt in Linux.
| Uitsluiting | Definitie | Voorbeelden |
|---|---|---|
| Bestandsextensie | Alle bestanden met de extensie, waar dan ook op het apparaat | .test |
| Bestand | Een specifiek bestand dat wordt geïdentificeerd door het volledige pad | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Map | Alle bestanden in de opgegeven map (recursief) | /var/log//var/*/ |
| Proces | Een specifiek proces (opgegeven door het volledige pad of de bestandsnaam) en alle bestanden die door het proces zijn geopend | /bin/catcatc?t |
Belangrijk
De bovenstaande paden moeten harde koppelingen zijn, geen symbolische koppelingen, om met succes te kunnen worden uitgesloten. U kunt controleren of een pad een symbolische koppeling is door file <path-name> uit te voeren.
Uitsluitingen van bestanden, mappen en processen ondersteunen de volgende jokertekens:
| Jokerteken | Beschrijving | Voorbeelden |
|---|---|---|
| * | Komt overeen met een willekeurig aantal tekens, inclusief geen (als dit jokerteken niet wordt gebruikt aan het einde van het pad, wordt slechts één map vervangen) | /var/*/tmp bevat alle bestanden in /var/abc/tmp en de bijbehorende submappen, en /var/def/tmp de bijbehorende submappen. Het omvat /var/abc/log niet of /var/def/log
|
| ? | Komt overeen met een enkel teken | file?.log bevat file1.log en file2.log, maar nietfile123.log |
Opmerking
Wanneer u het jokerteken * aan het einde van het pad gebruikt, komt dit overeen met alle bestanden en submappen onder het bovenliggende jokerteken.
De lijst met uitsluitingen configureren
Vanuit de beheerconsole
Zie Voorkeuren instellen voor Defender voor Eindpunt op Linuxvoor meer informatie over het configureren van uitsluitingen van Puppet, Ansible of een andere beheerconsole.
Vanaf de opdrachtregel
Voer de volgende opdracht uit om de beschikbare opties voor het beheren van uitsluitingen weer te geven:
mdatp exclusion
Tip
Bij het configureren van uitsluitingen met jokertekens plaatst u de parameter tussen dubbele aanhalingstekens om globbing te voorkomen.
Voorbeelden:
Een uitsluiting toevoegen voor een bestandsextensie:
mdatp exclusion extension add --name .txtExtension exclusion configured successfullyEen uitsluiting toevoegen voor een bestand:
mdatp exclusion file add --path /var/log/dummy.logFile exclusion configured successfullyEen uitsluiting toevoegen voor een map:
mdatp exclusion folder add --path /var/log/Folder exclusion configured successfullyEen uitsluiting toevoegen voor een tweede map:
mdatp exclusion folder add --path /var/log/ mdatp exclusion folder add --path /other/folderFolder exclusion configured successfullyVoeg een uitsluiting toe voor een map met een jokerteken:
mdatp exclusion folder add --path "/var/*/tmp"Opmerking
Hiermee worden alleen paden onder /var/*/tmp/ uitgesloten, maar niet mappen die een broer of zus van tmp zijn; bijvoorbeeld /var/this-subfolder/tmp, maar niet /var/this-submap/log.
mdatp exclusion folder add --path "/var/"OF
mdatp exclusion folder add --path "/var/*/"Opmerking
Hiermee worden alle paden uitgesloten waarvan het bovenliggende element /var/; is. bijvoorbeeld /var/this-submap/and-this-subfolder-as-well.
Folder exclusion configured successfullyEen uitsluiting toevoegen voor een proces:
mdatp exclusion process add --name catProcess exclusion configured successfullyVoeg een uitsluiting toe voor een tweede proces:
mdatp exclusion process add --name cat mdatp exclusion process add --name dogProcess exclusion configured successfully
Uitsluitingslijsten valideren met het EICAR-testbestand
U kunt controleren of uw uitsluitingslijsten werken met behulp van curl en een testbestand te downloaden.
Vervang vervolgens het Bash-fragment test.txt door een bestand dat voldoet aan uw uitsluitingsregels. Als u bijvoorbeeld de .testing-extensie hebt uitgesloten, vervangt u test.txt door test.testing. Als u een pad test, moet u ervoor zorgen dat u de opdracht binnen dat pad uitvoert.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Als Defender voor Eindpunt op Linux malware rapporteert, werkt de regel niet. Als er geen malware wordt gerapporteerd en het gedownloade bestand bestaat, werkt de uitsluiting. U kunt het bestand openen om te bevestigen dat de inhoud hetzelfde is als wat wordt beschreven op de EICAR-testbestandswebsite.
Als u geen internettoegang hebt, kunt u uw eigen EICAR-testbestand maken. Schrijf de EICAR-tekenreeks naar een nieuw tekstbestand met de volgende Bash-opdracht:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
U kunt de tekenreeks ook kopiëren naar een leeg tekstbestand en proberen deze op te slaan met de bestandsnaam of in de map die u probeert uit te sluiten.
Bedreigingen toestaan
Naast het uitsluiten dat bepaalde inhoud wordt gescand, kunt u het product ook zo configureren dat bepaalde klassen bedreigingen niet worden gedetecteerd (geïdentificeerd door de bedreigingsnaam). Wees voorzichtig bij het gebruik van deze functionaliteit, omdat uw apparaat hierdoor onbeveiligd kan raken.
Voer de volgende opdracht uit om een bedreigingsnaam toe te voegen aan de lijst met toegestane bedreigingen:
mdatp threat allowed add --name [threat-name]
De bedreigingsnaam die is gekoppeld aan een detectie op uw apparaat, kan worden verkregen met behulp van de volgende opdracht:
mdatp threat list
Als u bijvoorbeeld EICAR-Test-File (not a virus) (de bedreigingsnaam die is gekoppeld aan de EICAR-detectie) wilt toevoegen aan de lijst met toegestane bedreigingen, voert u de volgende opdracht uit:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor