Konfigurowanie i weryfikowanie wykluczeń dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

Artykuł
04/26/2024

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Ten artykuł zawiera informacje na temat definiowania wykluczeń dotyczących skanowania na żądanie oraz ochrony i monitorowania w czasie rzeczywistym.

Ważna

Wykluczenia opisane w tym artykule nie mają zastosowania do innych funkcji usługi Defender for Endpoint w systemie Linux, w tym do wykrywania i reagowania na punkty końcowe (EDR). Pliki wykluczone przy użyciu metod opisanych w tym artykule mogą nadal wyzwalać alerty EDR i inne wykrycia. W przypadku wykluczeń EDR skontaktuj się z pomocą techniczną.

Niektóre pliki, foldery, procesy i pliki otwierane przez proces można wykluczyć ze skanowania usługi Defender for Endpoint w systemie Linux.

Wykluczenia mogą być przydatne, aby uniknąć nieprawidłowych wykryć plików lub oprogramowania, które są unikatowe lub dostosowane do organizacji. Mogą one być również przydatne w przypadku ograniczania problemów z wydajnością spowodowanych przez usługę Defender for Endpoint w systemie Linux.

Ostrzeżenie

Definiowanie wykluczeń obniża ochronę oferowaną przez usługę Defender for Endpoint w systemie Linux. Należy zawsze oceniać ryzyko związane z implementowaniem wykluczeń i należy wykluczać tylko pliki, które są pewne, że nie są złośliwe.

Obsługiwane typy wykluczeń

W poniższej tabeli przedstawiono typy wykluczeń obsługiwane przez usługę Defender for Endpoint w systemie Linux.

Wykluczenia	Definicja	Przykłady
Formatem	Wszystkie pliki z rozszerzeniem w dowolnym miejscu na urządzeniu	`.test`
Plik	Określony plik zidentyfikowany za pomocą pełnej ścieżki	`/var/log/test.log` `/var/log/*.log` `/var/log/install.?.log`
Folder	Wszystkie pliki w określonym folderze (cyklicznie)	`/var/log/` `/var/*/`
Proces	Określony proces (określony przez pełną ścieżkę lub nazwę pliku) i wszystkie otwarte przez niego pliki	`/bin/cat` `cat` `c?t`

Ważna

Powyższe ścieżki muszą być twardymi linkami, a nie linkami symbolicznymi, aby można je było pomyślnie wykluczyć. Możesz sprawdzić, czy ścieżka jest linkiem symbolicznym, uruchamiając polecenie file <path-name>.

Wykluczenia plików, folderów i procesów obsługują następujące symbole wieloznaczne:

Symbol wieloznaczny Opis Przykłady

Dopasowuje dowolną liczbę znaków, w tym brak (należy pamiętać, że jeśli ten symbol wieloznaczny nie jest używany na końcu ścieżki, zastąpi tylko jeden folder)

Symbol wieloznaczny	Opis	Przykłady
*	Dopasowuje dowolną liczbę znaków, w tym brak (należy pamiętać, że jeśli ten symbol wieloznaczny nie jest używany na końcu ścieżki, zastąpi tylko jeden folder)	`/var//tmp` zawiera dowolny plik i `/var/abc/tmp` jego podkatalogi oraz `/var/def/tmp` jego podkatalogi. Nie obejmuje ani `/var/abc/log/var/def/log` `/var//` zawiera dowolny plik i `/var` jego podkatalogi.
?	Dopasowuje dowolny pojedynczy znak	`file?.log` zawiera `file1.log` i `file2.log`, ale nie`file123.log`

/var/*/tmp zawiera dowolny plik i /var/abc/tmp jego podkatalogi oraz /var/def/tmp jego podkatalogi. Nie obejmuje ani /var/abc/log/var/def/log

/var/*/ zawiera dowolny plik i /var jego podkatalogi.

? Dopasowuje dowolny pojedynczy znak file?.log zawiera file1.log i file2.log, ale niefile123.log

Uwaga

W przypadku korzystania z symbolu wieloznacznego * na końcu ścieżki będzie ona zgodna ze wszystkimi plikami i podkatalogami w obszarze nadrzędnym symbolu wieloznacznego.

Jak skonfigurować listę wykluczeń

Z poziomu konsoli zarządzania

Aby uzyskać więcej informacji na temat konfigurowania wykluczeń z platformy Puppet, rozwiązania Ansible lub innej konsoli zarządzania, zobacz Ustawianie preferencji dla usługi Defender dla punktu końcowego w systemie Linux.

Z wiersza polecenia

Uruchom następujące polecenie, aby wyświetlić dostępne przełączniki do zarządzania wykluczeniami:

mdatp exclusion

Porada

Podczas konfigurowania wykluczeń przy użyciu symboli wieloznacznych umieść parametr w cudzysłowie, aby zapobiec globbingowi.

Przykłady:

Dodaj wykluczenie dla rozszerzenia pliku:

mdatp exclusion extension add --name .txt

Extension exclusion configured successfully

Dodaj wykluczenie dla pliku:

mdatp exclusion file add --path /var/log/dummy.log

File exclusion configured successfully

Dodaj wykluczenie dla folderu:

mdatp exclusion folder add --path /var/log/

Folder exclusion configured successfully

Dodaj wykluczenie dla drugiego folderu:

mdatp exclusion folder add --path /var/log/
mdatp exclusion folder add --path /other/folder

Folder exclusion configured successfully

Dodaj wykluczenie dla folderu z symbolem wieloznacznym:
```
mdatp exclusion folder add --path "/var/*/tmp"
```
Uwaga

Spowoduje to wykluczenie tylko ścieżek poniżej /var/*/tmp/, ale nie folderów, które są elementami równorzędnych tmp; na przykład /var/this-subfolder/tmp, ale nie /var/this-subfolder/log.
```
mdatp exclusion folder add --path "/var/"
```
LUB
```
mdatp exclusion folder add --path "/var/*/"
```
Uwaga

Spowoduje to wykluczenie wszystkich ścieżek, których elementem nadrzędnym jest /var/; na przykład /var/this-subfolder/and-this-subfolder-as-well.
```
Folder exclusion configured successfully
```

Dodaj wykluczenie dla procesu:

mdatp exclusion process add --name cat

Process exclusion configured successfully

Dodaj wykluczenie dla drugiego procesu:

mdatp exclusion process add --name cat
mdatp exclusion process add --name dog

Process exclusion configured successfully

Weryfikowanie list wykluczeń przy użyciu pliku testowego EICAR

Możesz sprawdzić, czy listy wykluczeń działają, pobierając plik testowy za pomocą polecenia curl .

W poniższym fragmencie kodu powłoki Bash zastąp test.txt ciąg plikiem zgodnym z regułami wykluczeń. Jeśli na przykład wykluczono rozszerzenie, zastąp .testing ciąg test.txttest.testing. Jeśli testujesz ścieżkę, upewnij się, że uruchamiasz polecenie w tej ścieżce.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Jeśli usługa Defender for Endpoint w systemie Linux zgłasza złośliwe oprogramowanie, reguła nie działa. Jeśli nie ma raportu o złośliwym oprogramowaniu i pobrany plik istnieje, wykluczenie działa. Możesz otworzyć plik, aby potwierdzić, że zawartość jest taka sama jak opisana w witrynie internetowej pliku testowego EICAR.

Jeśli nie masz dostępu do Internetu, możesz utworzyć własny plik testowy EICAR. Zapisz ciąg EICAR w nowym pliku tekstowym za pomocą następującego polecenia powłoki Bash:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Możesz również skopiować ciąg do pustego pliku tekstowego i spróbować go zapisać przy użyciu nazwy pliku lub folderu, który próbujesz wykluczyć.

Zezwalaj na zagrożenia

Oprócz wykluczenia pewnej zawartości ze skanowania można również skonfigurować produkt tak, aby nie wykrywał niektórych klas zagrożeń (identyfikowanych przez nazwę zagrożenia). Należy zachować ostrożność podczas korzystania z tej funkcji, ponieważ może pozostawić urządzenie bez ochrony.

Aby dodać nazwę zagrożenia do listy dozwolonych, wykonaj następujące polecenie:

mdatp threat allowed add --name [threat-name]

Nazwę zagrożenia skojarzoną z wykrywaniem na urządzeniu można uzyskać za pomocą następującego polecenia:

mdatp threat list

Aby na przykład dodać EICAR-Test-File (not a virus) (nazwę zagrożenia skojarzoną z wykrywaniem EICAR) do listy dozwolonych, wykonaj następujące polecenie:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.

Udostępnij za pośrednictwem