Delen via


Uitsluitingen configureren en valideren voor Microsoft Defender voor Eindpunt op Linux

In dit artikel:

  1. Ondersteunde uitsluitingsbereiken
  2. Ondersteunde uitsluitingstypen
  3. De lijst met uitsluitingen configureren
  4. Uitsluitingslijsten valideren met het EICAR-testbestand
  5. Bedreigingen toestaan

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Dit artikel bevat informatie over het definiëren van antivirus- en globale uitsluitingen voor Microsoft Defender voor Eindpunt. Antivirusuitsluitingen zijn van toepassing op scans op aanvraag, real-time beveiliging (RTP) en gedragscontrole (BM). Globale uitsluitingen zijn van toepassing op realtime-beveiliging (RTP), gedragscontrole (BM) en eindpuntdetectie en -respons (EDR), waardoor alle bijbehorende antivirusdetecties, EDR-waarschuwingen en zichtbaarheid voor het uitgesloten item worden gestopt.

Belangrijk

De antivirusuitsluitingen die in dit artikel worden beschreven, zijn alleen van toepassing op antivirusmogelijkheden en niet op eindpuntdetectie en -respons (EDR). Bestanden die u uitsluit met behulp van de antivirusuitsluitingen die in dit artikel worden beschreven, kunnen nog steeds EDR-waarschuwingen en andere detecties activeren. Terwijl de algemene uitsluitingen die in deze sectie worden beschreven, van toepassing zijn op antivirus- en eindpuntdetectie- en responsmogelijkheden, waardoor alle bijbehorende AV-beveiliging, EDR-waarschuwingen en -detectie worden gestopt. Globale uitsluitingen zijn beschikbaar via de versie 101.23092.0012 van Defender voor Eindpunt of hoger. Neem voor EDR-uitsluitingen contact op met de ondersteuning.

U kunt bepaalde bestanden, mappen, processen en proces geopende bestanden uitsluiten van Defender voor Eindpunt in Linux.

Uitsluitingen kunnen handig zijn om onjuiste detecties te voorkomen voor bestanden of software die uniek zijn of zijn aangepast aan uw organisatie. Globale uitsluitingen zijn handig voor het beperken van prestatieproblemen die worden veroorzaakt door Defender voor Eindpunt in Linux.

Waarschuwing

Als u uitsluitingen definieert, wordt de beveiliging verlaagd die wordt geboden door Defender voor Eindpunt op Linux. U moet altijd de risico's evalueren die zijn gekoppeld aan het implementeren van uitsluitingen en u moet alleen bestanden uitsluiten waarvan u zeker weet dat ze niet schadelijk zijn.

Ondersteunde uitsluitingsbereiken

Zoals beschreven in een eerder gedeelte, ondersteunen we twee uitsluitingsbereiken: antivirus (epp) en globale (global).

Antivirusuitsluitingen kunnen worden gebruikt om vertrouwde bestanden en processen uit te sluiten van realtime-beveiliging terwijl EDR-zichtbaarheid behouden blijft. Globale uitsluitingen worden toegepast op sensorniveau en om de gebeurtenissen te dempen die voldoen aan uitsluitingsvoorwaarden zeer vroeg in de stroom, voordat er een verwerking wordt uitgevoerd, waardoor alle EDR-waarschuwingen en antivirusdetecties worden gestopt.

Opmerking

Global (global) is een nieuw uitsluitingsbereik dat we introduceren naast antivirus (epp) uitsluitingsbereiken die al worden ondersteund door Microsoft.

Uitsluitingscategorie Uitsluitingsbereik Beschrijving
Antivirusuitsluiting Antivirus-engine
(bereik: epp)
Sluit inhoud uit van antivirusscans (AV) en scans op aanvraag.
Algemene uitsluiting Antivirus- en eindpuntdetectie- en antwoordengine
(bereik: globaal)
Sluit gebeurtenissen uit van realtime-beveiliging en EDR-zichtbaarheid. Is standaard niet van toepassing op scans op aanvraag.

Ondersteunde uitsluitingstypen

In de volgende tabel ziet u de uitsluitingstypen die worden ondersteund door Defender voor Eindpunt in Linux.

Uitsluiting Definitie Voorbeelden
Bestandsextensie Alle bestanden met de extensie, overal op het apparaat (niet beschikbaar voor algemene uitsluitingen) .test
Bestand Een specifiek bestand dat wordt geïdentificeerd door het volledige pad /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Map Alle bestanden in de opgegeven map (recursief) /var/log/
/var/*/
Proces Een specifiek proces (opgegeven door het volledige pad of de bestandsnaam) en alle bestanden die door het proces zijn geopend /bin/cat
cat
c?t

Belangrijk

De gebruikte paden moeten vaste koppelingen zijn, geen symbolische koppelingen, om te kunnen worden uitgesloten. U kunt controleren of een pad een symbolische koppeling is door file <path-name> uit te voeren.

Uitsluitingen van bestanden, mappen en processen ondersteunen de volgende jokertekens:

Opmerking

Jokertekens worden niet ondersteund tijdens het configureren van globale uitsluitingen.

Jokerteken Beschrijving Voorbeelden
* Komt overeen met een willekeurig aantal tekens, inclusief geen
(Als dit jokerteken niet wordt gebruikt aan het einde van het pad, wordt slechts één map vervangen)
/var/*/tmp bevat alle bestanden in /var/abc/tmp en de bijbehorende submappen, en /var/def/tmp de bijbehorende submappen. Het bevat /var/abc/log niet of /var/def/log

/var/*/ bevat alleen bestanden in de submappen, zoals /var/abc/, maar niet bestanden rechtstreeks in /var.

? Komt overeen met een enkel teken file?.log bevat file1.log en file2.log, maar nietfile123.log

Opmerking

Voor antivirusuitsluitingen geldt dat wanneer u het jokerteken * aan het einde van het pad gebruikt, dit overeenkomt met alle bestanden en submappen onder het bovenliggende jokerteken.

De lijst met uitsluitingen configureren

De beheerconsole gebruiken

Zie Voorkeuren instellen voor Defender voor Eindpunt op Linuxvoor meer informatie over het configureren van uitsluitingen van Puppet, Ansible of een andere beheerconsole.

De opdrachtregel gebruiken

Voer de volgende opdracht uit om de beschikbare opties voor het beheren van uitsluitingen weer te geven:

Opmerking

--scope is een optionele vlag met geaccepteerde waarde als epp of global. Het biedt hetzelfde bereik dat wordt gebruikt tijdens het toevoegen van de uitsluiting om dezelfde uitsluiting te verwijderen. Als het bereik in de opdrachtregelbenadering niet wordt vermeld, wordt de bereikwaarde ingesteld als epp. Uitsluitingen die zijn toegevoegd via cli vóór de introductie van --scope de vlag, blijven ongewijzigd en hun bereik wordt beschouwd epp.

mdatp exclusion

Tip

Bij het configureren van uitsluitingen met jokertekens plaatst u de parameter tussen dubbele aanhalingstekens om globbing te voorkomen.

Voorbeelden:

  • Voeg een uitsluiting toe voor een bestandsextensie (uitbreidingsuitsluiting wordt niet ondersteund voor globaal uitsluitingsbereik) :

    mdatp exclusion extension add --name .txt
    
    Extension exclusion configured successfully
    
    mdatp exclusion extension remove --name .txt
    
    Extension exclusion removed successfully
    
  • Een uitsluiting voor een bestand toevoegen/verwijderen:

    mdatp exclusion file add --path /var/log/dummy.log --scope epp
    
    File exclusion configured successfully
    
    mdatp exclusion file remove --path /var/log/dummy.log --scope epp
    
    File exclusion removed successfully"
    
    mdatp exclusion file add --path /var/log/dummy.log --scope global
    
    File exclusion configured successfully
    
    mdatp exclusion file remove --path /var/log/dummy.log --scope global
    
    File exclusion removed successfully"
    
  • Een uitsluiting voor een map toevoegen/verwijderen:

    mdatp exclusion folder add --path /var/log/ --scope epp
    
    Folder exclusion configured successfully
    
    mdatp exclusion folder remove --path /var/log/ --scope epp
    
    Folder exclusion removed successfully
    
      mdatp exclusion folder add --path /var/log/ --scope global
    
    Folder exclusion configured successfully
    
    mdatp exclusion folder remove --path /var/log/ --scope global
    
    Folder exclusion removed successfully
    
  • Een uitsluiting toevoegen voor een tweede map:

    mdatp exclusion folder add --path /var/log/ --scope epp
    mdatp exclusion folder add --path /other/folder  --scope global
    
    Folder exclusion configured successfully
    
  • Voeg een uitsluiting toe voor een map met een jokerteken:

    Opmerking

    Jokertekens worden niet ondersteund tijdens het configureren van globale uitsluitingen.

    mdatp exclusion folder add --path "/var/*/tmp"
    

    Opmerking

    Hiermee worden alleen paden uitgesloten onder /var/*/tmp/, maar niet mappen die een broer of zus van tmp zijn; bijvoorbeeld /var/this-subfolder/tmp, maar niet /var/this-submap/log.

    mdatp exclusion folder add --path "/var/" --scope epp
    

    OF

    mdatp exclusion folder add --path "/var/*/" --scope epp
    

    Opmerking

    Hiermee worden alle paden uitgesloten waarvan het bovenliggende element /var/; is. bijvoorbeeld /var/this-submap/and-this-subfolder-as-well.

    Folder exclusion configured successfully
    
  • Een uitsluiting toevoegen voor een proces:

    mdatp exclusion process add --name /usr/bin/cat --scope global 
    
    Process exclusion configured successfully
    
    mdatp exclusion process remove --name /usr/bin/cat  --scope global
    
    Process exclusion removed successfully
    
      mdatp exclusion process add --name /usr/bin/cat --scope epp 
    
    Process exclusion configured successfully
    
    mdatp exclusion process remove --name /usr/bin/cat  --scope epp
    
    Process exclusion removed successfully
    
  • Voeg een uitsluiting toe voor een tweede proces:

    mdatp exclusion process add --name cat --scope epp
    mdatp exclusion process add --name dog --scope global
    
    Process exclusion configured successfully
    

Uitsluitingslijsten valideren met het EICAR-testbestand

U kunt controleren of uw uitsluitingslijsten werken met behulp van curl en een testbestand te downloaden.

Vervang vervolgens het Bash-fragment test.txt door een bestand dat voldoet aan uw uitsluitingsregels. Als u bijvoorbeeld de .testing-extensie hebt uitgesloten, vervangt u test.txt door test.testing. Als u een pad test, moet u ervoor zorgen dat u de opdracht binnen dat pad uitvoert.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Als Defender voor Eindpunt op Linux malware rapporteert, werkt de regel niet. Als er geen melding van malware is en het gedownloade bestand bestaat, werkt de uitsluiting. U kunt het bestand openen om te bevestigen dat de inhoud hetzelfde is als wat wordt beschreven op de EICAR-testbestandswebsite.

Als u geen toegang tot internet hebt, kunt u uw eigen EICAR-testbestand maken. Schrijf de EICAR-tekenreeks naar een nieuw tekstbestand met de volgende Bash-opdracht:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

U kunt de tekenreeks ook kopiëren naar een leeg tekstbestand en deze proberen op te slaan met de bestandsnaam of in de map die u probeert uit te sluiten.

Bedreigingen toestaan

Naast het uitsluiten dat bepaalde inhoud wordt gescand, kunt u het product ook zo configureren dat bepaalde klassen bedreigingen niet worden gedetecteerd (geïdentificeerd door de bedreigingsnaam). Wees voorzichtig bij het gebruik van deze functionaliteit, omdat uw apparaat hierdoor onbeveiligd kan raken.

Voer de volgende opdracht uit om een bedreigingsnaam toe te voegen aan de lijst met toegestane bedreigingen:

mdatp threat allowed add --name [threat-name]

De bedreigingsnaam die is gekoppeld aan een detectie op uw apparaat, kan worden verkregen met behulp van de volgende opdracht:

mdatp threat list

Als u bijvoorbeeld EICAR-Test-File (not a virus) (de bedreigingsnaam die is gekoppeld aan de EICAR-detectie) wilt toevoegen aan de lijst met toegestane bedreigingen, voert u de volgende opdracht uit:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.