Konfigurowanie i weryfikowanie wykluczeń dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Ten artykuł zawiera informacje na temat definiowania wykluczeń dotyczących skanowania na żądanie oraz ochrony i monitorowania w czasie rzeczywistym.
Ważna
Wykluczenia opisane w tym artykule nie mają zastosowania do innych funkcji usługi Defender for Endpoint w systemie Linux, w tym do wykrywania i reagowania na punkty końcowe (EDR). Pliki wykluczone przy użyciu metod opisanych w tym artykule mogą nadal wyzwalać alerty EDR i inne wykrycia. W przypadku wykluczeń EDR skontaktuj się z pomocą techniczną.
Niektóre pliki, foldery, procesy i pliki otwierane przez proces można wykluczyć ze skanowania usługi Defender for Endpoint w systemie Linux.
Wykluczenia mogą być przydatne, aby uniknąć nieprawidłowych wykryć plików lub oprogramowania, które są unikatowe lub dostosowane do organizacji. Mogą one być również przydatne w przypadku ograniczania problemów z wydajnością spowodowanych przez usługę Defender for Endpoint w systemie Linux.
Ostrzeżenie
Definiowanie wykluczeń obniża ochronę oferowaną przez usługę Defender for Endpoint w systemie Linux. Należy zawsze oceniać ryzyko związane z implementowaniem wykluczeń i należy wykluczać tylko pliki, które są pewne, że nie są złośliwe.
Obsługiwane typy wykluczeń
W poniższej tabeli przedstawiono typy wykluczeń obsługiwane przez usługę Defender for Endpoint w systemie Linux.
Wykluczenia | Definicja | Przykłady |
---|---|---|
Formatem | Wszystkie pliki z rozszerzeniem w dowolnym miejscu na urządzeniu | .test |
Plik | Określony plik zidentyfikowany za pomocą pełnej ścieżki | /var/log/test.log /var/log/*.log /var/log/install.?.log |
Folder | Wszystkie pliki w określonym folderze (cyklicznie) | /var/log/ /var/*/ |
Proces | Określony proces (określony przez pełną ścieżkę lub nazwę pliku) i wszystkie otwarte przez niego pliki | /bin/cat cat c?t |
Ważna
Powyższe ścieżki muszą być twardymi linkami, a nie linkami symbolicznymi, aby można je było pomyślnie wykluczyć. Możesz sprawdzić, czy ścieżka jest linkiem symbolicznym, uruchamiając polecenie file <path-name>
.
Wykluczenia plików, folderów i procesów obsługują następujące symbole wieloznaczne:
Symbol wieloznaczny | Opis | Przykłady |
---|---|---|
* | Dopasowuje dowolną liczbę znaków, w tym brak (należy pamiętać, że jeśli ten symbol wieloznaczny nie jest używany na końcu ścieżki, zastąpi tylko jeden folder) | /var/*/tmp zawiera dowolny plik i /var/abc/tmp jego podkatalogi oraz /var/def/tmp jego podkatalogi. Nie obejmuje ani /var/abc/log /var/def/log
|
? | Dopasowuje dowolny pojedynczy znak | file?.log zawiera file1.log i file2.log , ale niefile123.log |
Uwaga
W przypadku korzystania z symbolu wieloznacznego * na końcu ścieżki będzie ona zgodna ze wszystkimi plikami i podkatalogami w obszarze nadrzędnym symbolu wieloznacznego.
Jak skonfigurować listę wykluczeń
Z poziomu konsoli zarządzania
Aby uzyskać więcej informacji na temat konfigurowania wykluczeń z platformy Puppet, rozwiązania Ansible lub innej konsoli zarządzania, zobacz Ustawianie preferencji dla usługi Defender dla punktu końcowego w systemie Linux.
Z wiersza polecenia
Uruchom następujące polecenie, aby wyświetlić dostępne przełączniki do zarządzania wykluczeniami:
mdatp exclusion
Porada
Podczas konfigurowania wykluczeń przy użyciu symboli wieloznacznych umieść parametr w cudzysłowie, aby zapobiec globbingowi.
Przykłady:
Dodaj wykluczenie dla rozszerzenia pliku:
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
Dodaj wykluczenie dla pliku:
mdatp exclusion file add --path /var/log/dummy.log
File exclusion configured successfully
Dodaj wykluczenie dla folderu:
mdatp exclusion folder add --path /var/log/
Folder exclusion configured successfully
Dodaj wykluczenie dla drugiego folderu:
mdatp exclusion folder add --path /var/log/ mdatp exclusion folder add --path /other/folder
Folder exclusion configured successfully
Dodaj wykluczenie dla folderu z symbolem wieloznacznym:
mdatp exclusion folder add --path "/var/*/tmp"
Uwaga
Spowoduje to wykluczenie tylko ścieżek poniżej /var/*/tmp/, ale nie folderów, które są elementami równorzędnych tmp; na przykład /var/this-subfolder/tmp, ale nie /var/this-subfolder/log.
mdatp exclusion folder add --path "/var/"
LUB
mdatp exclusion folder add --path "/var/*/"
Uwaga
Spowoduje to wykluczenie wszystkich ścieżek, których elementem nadrzędnym jest /var/; na przykład /var/this-subfolder/and-this-subfolder-as-well.
Folder exclusion configured successfully
Dodaj wykluczenie dla procesu:
mdatp exclusion process add --name cat
Process exclusion configured successfully
Dodaj wykluczenie dla drugiego procesu:
mdatp exclusion process add --name cat mdatp exclusion process add --name dog
Process exclusion configured successfully
Weryfikowanie list wykluczeń przy użyciu pliku testowego EICAR
Możesz sprawdzić, czy listy wykluczeń działają, pobierając plik testowy za pomocą polecenia curl
.
W poniższym fragmencie kodu powłoki Bash zastąp test.txt
ciąg plikiem zgodnym z regułami wykluczeń. Jeśli na przykład wykluczono rozszerzenie, zastąp .testing
ciąg test.txt
test.testing
. Jeśli testujesz ścieżkę, upewnij się, że uruchamiasz polecenie w tej ścieżce.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Jeśli usługa Defender for Endpoint w systemie Linux zgłasza złośliwe oprogramowanie, reguła nie działa. Jeśli nie ma raportu o złośliwym oprogramowaniu i pobrany plik istnieje, wykluczenie działa. Możesz otworzyć plik, aby potwierdzić, że zawartość jest taka sama jak opisana w witrynie internetowej pliku testowego EICAR.
Jeśli nie masz dostępu do Internetu, możesz utworzyć własny plik testowy EICAR. Zapisz ciąg EICAR w nowym pliku tekstowym za pomocą następującego polecenia powłoki Bash:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Możesz również skopiować ciąg do pustego pliku tekstowego i spróbować go zapisać przy użyciu nazwy pliku lub folderu, który próbujesz wykluczyć.
Zezwalaj na zagrożenia
Oprócz wykluczenia pewnej zawartości ze skanowania można również skonfigurować produkt tak, aby nie wykrywał niektórych klas zagrożeń (identyfikowanych przez nazwę zagrożenia). Należy zachować ostrożność podczas korzystania z tej funkcji, ponieważ może pozostawić urządzenie bez ochrony.
Aby dodać nazwę zagrożenia do listy dozwolonych, wykonaj następujące polecenie:
mdatp threat allowed add --name [threat-name]
Nazwę zagrożenia skojarzoną z wykrywaniem na urządzeniu można uzyskać za pomocą następującego polecenia:
mdatp threat list
Aby na przykład dodać EICAR-Test-File (not a virus)
(nazwę zagrożenia skojarzoną z wykrywaniem EICAR) do listy dozwolonych, wykonaj następujące polecenie:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla