Uitsluitingen configureren en valideren voor Microsoft Defender voor Eindpunt op Linux
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Dit artikel bevat informatie over het definiëren van antivirus- en algemene uitsluitingen voor Microsoft Defender voor Eindpunt. Antivirusuitsluitingen zijn van toepassing op scans op aanvraag, real-time beveiliging (RTP) en gedragscontrole (BM). Globale uitsluitingen zijn van toepassing op realtime-beveiliging (RTP), gedragscontrole (BM) en eindpuntdetectie en -respons (EDR), waardoor alle bijbehorende antivirusdetecties, EDR-waarschuwingen en zichtbaarheid voor het uitgesloten item worden gestopt.
Belangrijk
De antivirusuitsluitingen die in dit artikel worden beschreven, zijn alleen van toepassing op antivirusmogelijkheden en niet op eindpuntdetectie en -respons (EDR). Bestanden die u uitsluit met behulp van de antivirusuitsluitingen die in dit artikel worden beschreven, kunnen nog steeds EDR-waarschuwingen en andere detecties activeren. Globale uitsluitingen die in deze sectie worden beschreven, zijn van toepassing op antivirus- en eindpuntdetectie- en responsmogelijkheden, waardoor alle bijbehorende antivirusbeveiliging, EDR-waarschuwingen en detecties worden gestopt. Globale uitsluitingen zijn momenteel beschikbaar als openbare preview en zijn beschikbaar in de Versie 101.23092.0012 van Defender voor Eindpunt of hoger in de Insiders Slow- en Production-ringen. Neem voor EDR-uitsluitingen contact op met de ondersteuning.
U kunt bepaalde bestanden, mappen, processen en proces geopende bestanden uitsluiten van Defender voor Eindpunt in Linux.
Uitsluitingen kunnen handig zijn om onjuiste detecties te voorkomen voor bestanden of software die uniek zijn of zijn aangepast aan uw organisatie. Globale uitsluitingen zijn handig voor het beperken van prestatieproblemen die worden veroorzaakt door Defender voor Eindpunt in Linux.
Waarschuwing
Als u uitsluitingen definieert, wordt de beveiliging verlaagd die wordt geboden door Defender voor Eindpunt op Linux. U moet altijd de risico's evalueren die zijn gekoppeld aan het implementeren van uitsluitingen en u moet alleen bestanden uitsluiten waarvan u zeker weet dat ze niet schadelijk zijn.
Ondersteunde uitsluitingsbereiken
Zoals beschreven in een eerder gedeelte, ondersteunen we twee uitsluitingsbereiken: antivirus (epp) en globale (global).
Antivirusuitsluitingen kunnen worden gebruikt om vertrouwde bestanden en processen uit te sluiten van realtime-beveiliging terwijl EDR-zichtbaarheid behouden blijft. Globale uitsluitingen worden toegepast op sensorniveau en om de gebeurtenissen te dempen die voldoen aan uitsluitingsvoorwaarden zeer vroeg in de stroom, voordat er een verwerking wordt uitgevoerd, waardoor alle EDR-waarschuwingen en antivirusdetecties worden gestopt.
Opmerking
Global (global) is een nieuw uitsluitingsbereik dat we introduceren naast antivirus (epp) uitsluitingsbereiken die al worden ondersteund door Microsoft.
| Uitsluitingscategorie | Uitsluitingsbereik | Beschrijving |
|---|---|---|
| Antivirusuitsluiting | Antivirus-engine (bereik: epp) |
Sluit inhoud uit van antivirusscans (AV) en scans op aanvraag. |
| Algemene uitsluiting | Antivirus- en eindpuntdetectie- en antwoordengine (bereik: globaal) |
Sluit gebeurtenissen uit van realtime-beveiliging en EDR-zichtbaarheid. Is standaard niet van toepassing op scans op aanvraag. |
Ondersteunde uitsluitingstypen
In de volgende tabel ziet u de uitsluitingstypen die worden ondersteund door Defender voor Eindpunt in Linux.
| Uitsluiting | Definitie | Voorbeelden |
|---|---|---|
| Bestandsextensie | Alle bestanden met de extensie, overal op het apparaat (niet beschikbaar voor algemene uitsluitingen) | .test |
| Bestand | Een specifiek bestand dat wordt geïdentificeerd door het volledige pad | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Map | Alle bestanden in de opgegeven map (recursief) | /var/log//var/*/ |
| Proces | Een specifiek proces (opgegeven door het volledige pad of de bestandsnaam) en alle bestanden die door het proces zijn geopend | /bin/catcatc?t |
Belangrijk
De gebruikte paden moeten vaste koppelingen zijn, geen symbolische koppelingen, om te kunnen worden uitgesloten. U kunt controleren of een pad een symbolische koppeling is door file <path-name> uit te voeren.
Uitsluitingen van bestanden, mappen en processen ondersteunen de volgende jokertekens:
Opmerking
Het bestandspad moet aanwezig zijn voordat u bestandsuitsluitingen met een bereik als globaal toevoegt of verwijdert. Jokertekens worden niet ondersteund tijdens het configureren van globale uitsluitingen.
| Jokerteken | Beschrijving | Voorbeelden |
|---|---|---|
| * | Komt overeen met een willekeurig aantal tekens, inclusief geen (Als dit jokerteken niet wordt gebruikt aan het einde van het pad, wordt slechts één map vervangen) |
/var/*/tmp bevat alle bestanden in /var/abc/tmp en de bijbehorende submappen, en /var/def/tmp de bijbehorende submappen. Het bevat /var/abc/log niet of /var/def/log
|
| ? | Komt overeen met een enkel teken |
file?.log bevat file1.log en file2.log, maar nietfile123.log |
Opmerking
Voor antivirusuitsluitingen geldt dat wanneer u het jokerteken * aan het einde van het pad gebruikt, dit overeenkomt met alle bestanden en submappen onder het bovenliggende jokerteken.
De lijst met uitsluitingen configureren
De beheerconsole gebruiken
Als u uitsluitingen van Puppet, Ansible of een andere beheerconsole wilt configureren, raadpleegt u het volgende voorbeeld mdatp_managed.json.
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Zie Voorkeuren instellen voor Defender voor Eindpunt in Linux voor meer informatie.
De opdrachtregel gebruiken
Voer de volgende opdracht uit om de beschikbare opties voor het beheren van uitsluitingen weer te geven:
Opmerking
--scope is een optionele vlag met geaccepteerde waarde als epp of global. Het biedt hetzelfde bereik dat wordt gebruikt tijdens het toevoegen van de uitsluiting om dezelfde uitsluiting te verwijderen. Als het bereik in de opdrachtregelbenadering niet wordt vermeld, wordt de bereikwaarde ingesteld als epp.
Uitsluitingen die zijn toegevoegd via cli vóór de introductie van --scope de vlag, blijven ongewijzigd en hun bereik wordt beschouwd epp.
mdatp exclusion
Tip
Bij het configureren van uitsluitingen met jokertekens plaatst u de parameter tussen dubbele aanhalingstekens om globbing te voorkomen.
Voorbeelden:
Voeg een uitsluiting toe voor een bestandsextensie (uitbreidingsuitsluiting wordt niet ondersteund voor globaal uitsluitingsbereik) :
mdatp exclusion extension add --name .txtExtension exclusion configured successfullymdatp exclusion extension remove --name .txtExtension exclusion removed successfullyEen uitsluiting voor een bestand toevoegen/verwijderen (bestandspad moet al aanwezig zijn in het geval van het toevoegen of verwijderen van uitsluiting met globaal bereik) :
mdatp exclusion file add --path /var/log/dummy.log --scope eppFile exclusion configured successfullymdatp exclusion file remove --path /var/log/dummy.log --scope eppFile exclusion removed successfully"mdatp exclusion file add --path /var/log/dummy.log --scope globalFile exclusion configured successfullymdatp exclusion file remove --path /var/log/dummy.log --scope globalFile exclusion removed successfully"Een uitsluiting voor een map toevoegen/verwijderen:
mdatp exclusion folder add --path /var/log/ --scope eppFolder exclusion configured successfullymdatp exclusion folder remove --path /var/log/ --scope eppFolder exclusion removed successfullymdatp exclusion folder add --path /var/log/ --scope globalFolder exclusion configured successfullymdatp exclusion folder remove --path /var/log/ --scope globalFolder exclusion removed successfullyEen uitsluiting toevoegen voor een tweede map:
mdatp exclusion folder add --path /var/log/ --scope epp mdatp exclusion folder add --path /other/folder --scope globalFolder exclusion configured successfullyVoeg een uitsluiting toe voor een map met een jokerteken:
Opmerking
Jokertekens worden niet ondersteund tijdens het configureren van globale uitsluitingen.
mdatp exclusion folder add --path "/var/*/tmp"Opmerking
Hiermee worden alleen paden uitgesloten onder /var/*/tmp/, maar niet mappen die een broer of zus van tmp zijn; bijvoorbeeld /var/this-subfolder/tmp, maar niet /var/this-submap/log.
mdatp exclusion folder add --path "/var/" --scope eppOF
mdatp exclusion folder add --path "/var/*/" --scope eppOpmerking
Hiermee worden alle paden uitgesloten waarvan het bovenliggende element /var/; is. bijvoorbeeld /var/this-submap/and-this-subfolder-as-well.
Folder exclusion configured successfullyEen uitsluiting toevoegen voor een proces:
mdatp exclusion process add --name /usr/bin/cat --scope globalProcess exclusion configured successfullymdatp exclusion process remove --name /usr/bin/cat --scope globalProcess exclusion removed successfullymdatp exclusion process add --name /usr/bin/cat --scope eppProcess exclusion configured successfullymdatp exclusion process remove --name /usr/bin/cat --scope eppProcess exclusion removed successfullyVoeg een uitsluiting toe voor een tweede proces:
mdatp exclusion process add --name cat --scope epp mdatp exclusion process add --name dog --scope globalProcess exclusion configured successfully
Uitsluitingslijsten valideren met het EICAR-testbestand
U kunt controleren of uw uitsluitingslijsten werken met behulp van curl en een testbestand te downloaden.
Vervang vervolgens het Bash-fragment test.txt door een bestand dat voldoet aan uw uitsluitingsregels. Als u bijvoorbeeld de .testing-extensie hebt uitgesloten, vervangt u test.txt door test.testing. Als u een pad test, moet u ervoor zorgen dat u de opdracht binnen dat pad uitvoert.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Als Defender voor Eindpunt op Linux malware rapporteert, werkt de regel niet. Als er geen melding van malware is en het gedownloade bestand bestaat, werkt de uitsluiting. U kunt het bestand openen om te bevestigen dat de inhoud hetzelfde is als wat wordt beschreven op de EICAR-testbestandswebsite.
Als u geen toegang tot internet hebt, kunt u uw eigen EICAR-testbestand maken. Schrijf de EICAR-tekenreeks naar een nieuw tekstbestand met de volgende Bash-opdracht:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
U kunt de tekenreeks ook kopiëren naar een leeg tekstbestand en deze proberen op te slaan met de bestandsnaam of in de map die u probeert uit te sluiten.
Bedreigingen toestaan
Naast het uitsluiten dat bepaalde inhoud wordt gescand, kunt u het product ook zo configureren dat bepaalde klassen bedreigingen niet worden gedetecteerd (geïdentificeerd door de bedreigingsnaam). Wees voorzichtig bij het gebruik van deze functionaliteit, omdat uw apparaat hierdoor onbeveiligd kan raken.
Voer de volgende opdracht uit om een bedreigingsnaam toe te voegen aan de lijst met toegestane bedreigingen:
mdatp threat allowed add --name [threat-name]
De bedreigingsnaam die is gekoppeld aan een detectie op uw apparaat, kan worden verkregen met behulp van de volgende opdracht:
mdatp threat list
Als u bijvoorbeeld EICAR-Test-File (not a virus) (de bedreigingsnaam die is gekoppeld aan de EICAR-detectie) wilt toevoegen aan de lijst met toegestane bedreigingen, voert u de volgende opdracht uit:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.