Udostępnij za pośrednictwem

Konfigurowanie i weryfikowanie wykluczeń dla usługi Microsoft Defender dla punktu końcowego w systemie Linux

  • Artykuł

W tym artykule:

  1. Obsługiwane zakresy wykluczeń
  2. Obsługiwane typy wykluczeń
  3. Jak skonfigurować listę wykluczeń
  4. Weryfikowanie list wykluczeń przy użyciu pliku testowego EICAR
  5. Zezwalaj na zagrożenia

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Ten artykuł zawiera informacje na temat definiowania oprogramowania antywirusowego i globalnych wykluczeń dla usługi Microsoft Defender dla punktu końcowego. Wykluczenia oprogramowania antywirusowego mają zastosowanie do skanów na żądanie, ochrony w czasie rzeczywistym (RTP) i monitorowania zachowania (BM). Globalne wykluczenia mają zastosowanie do ochrony w czasie rzeczywistym (RTP), monitorowania zachowania (BM) oraz wykrywania i reagowania punktów końcowych (EDR), zatrzymując w ten sposób wszystkie skojarzone wykrycia antywirusowe, alerty EDR i widoczność wykluczonego elementu.

Ważna

Wykluczenia oprogramowania antywirusowego opisane w tym artykule dotyczą tylko funkcji ochrony antywirusowej, a nie wykrywania i reagowania na punkty końcowe (EDR). Pliki wykluczone przy użyciu wykluczeń antywirusowych opisanych w tym artykule mogą nadal wyzwalać alerty EDR i inne wykrycia. Globalne wykluczenia opisane w tej sekcji dotyczą oprogramowania antywirusowego, a także funkcji wykrywania punktów końcowych i reagowania na nie, co pozwala zatrzymać wszystkie skojarzone zabezpieczenia av, alerty EDR i wykrywanie. Wykluczenia globalne są dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23092.0012 . W przypadku wykluczeń EDR skontaktuj się z pomocą techniczną.

Niektóre pliki, foldery, procesy i pliki otwierane przez proces można wykluczyć z usługi Defender for Endpoint w systemie Linux.

Wykluczenia mogą być przydatne, aby uniknąć nieprawidłowych wykryć plików lub oprogramowania, które są unikatowe lub dostosowane do organizacji. Wykluczenia globalne są przydatne w przypadku ograniczania problemów z wydajnością spowodowanych przez usługę Defender for Endpoint w systemie Linux.

Ostrzeżenie

Definiowanie wykluczeń obniża ochronę oferowaną przez usługę Defender for Endpoint w systemie Linux. Należy zawsze oceniać ryzyko związane z implementowaniem wykluczeń i należy wykluczać tylko pliki, które są pewne, że nie są złośliwe.

Obsługiwane zakresy wykluczeń

Zgodnie z opisem we wcześniejszej sekcji obsługujemy dwa zakresy wykluczeń: wykluczenia antywirusowe (epp) i globalne (global).

Wykluczenia oprogramowania antywirusowego mogą służyć do wykluczania zaufanych plików i procesów z ochrony w czasie rzeczywistym przy zachowaniu widoczności EDR. Globalne wykluczenia są stosowane na poziomie czujnika i wyciszenia zdarzeń, które pasują do warunków wykluczenia bardzo wcześnie w przepływie, zanim zostanie wykonane jakiekolwiek przetwarzanie, zatrzymując w ten sposób wszystkie alerty EDR i wykrywanie oprogramowania antywirusowego.

Uwaga

Globalny (global) to nowy zakres wykluczeń, który wprowadzamy oprócz zakresów wykluczeń programu antywirusowego (epp), które są już obsługiwane przez firmę Microsoft.

Kategoria wykluczenia Zakres wykluczeń Opis
Wykluczenie programu antywirusowego Aparat antywirusowy
(zakres: epp)		 Wyklucza zawartość ze skanowania antywirusowego (AV) i skanów na żądanie.
Wykluczenie globalne Wykrywanie oprogramowania antywirusowego i punktu końcowego oraz aparat odpowiedzi
(zakres: globalny)		 Wyklucza zdarzenia z ochrony w czasie rzeczywistym i widoczności EDR. Domyślnie nie dotyczy skanowania na żądanie.

Obsługiwane typy wykluczeń

W poniższej tabeli przedstawiono typy wykluczeń obsługiwane przez usługę Defender for Endpoint w systemie Linux.

Wykluczenia Definicja Przykłady
Formatem Wszystkie pliki z rozszerzeniem w dowolnym miejscu na urządzeniu (niedostępne dla wykluczeń globalnych) .test
Plik Określony plik zidentyfikowany za pomocą pełnej ścieżki /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Folder Wszystkie pliki w określonym folderze (cyklicznie) /var/log/
/var/*/
Proces Określony proces (określony przez pełną ścieżkę lub nazwę pliku) i wszystkie otwarte przez niego pliki /bin/cat
cat
c?t

Ważna

Używane ścieżki muszą być twardymi łączami, a nie łączami symbolicznymi, aby można je było pomyślnie wykluczyć. Możesz sprawdzić, czy ścieżka jest linkiem symbolicznym, uruchamiając polecenie file <path-name>.

Wykluczenia plików, folderów i procesów obsługują następujące symbole wieloznaczne:

Uwaga

Symbole wieloznaczne nie są obsługiwane podczas konfigurowania wykluczeń globalnych.

Symbol wieloznaczny Opis Przykłady
* Dopasowuje dowolną liczbę znaków, w tym brak
(pamiętaj, że jeśli ten symbol wieloznaczny nie jest używany na końcu ścieżki, zastępuje tylko jeden folder)		 /var/*/tmp zawiera dowolny plik i /var/abc/tmp jego podkatalogi oraz /var/def/tmp jego podkatalogi. Nie zawiera /var/abc/log ani /var/def/log

/var/*/ Zawiera tylko wszystkie pliki w jego podkatalogach, takie jak /var/abc/, ale nie pliki bezpośrednio wewnątrz /var.
? Dopasowuje dowolny pojedynczy znak file?.log zawiera file1.log i file2.log, ale niefile123.log

Uwaga

W przypadku wykluczeń programu antywirusowego w przypadku używania symbolu wieloznacznego * na końcu ścieżki będzie ona zgodna ze wszystkimi plikami i podkatalogami w obszarze nadrzędnym symbolu wieloznacznego.

Jak skonfigurować listę wykluczeń

Korzystanie z konsoli zarządzania

Aby uzyskać więcej informacji na temat konfigurowania wykluczeń z platformy Puppet, rozwiązania Ansible lub innej konsoli zarządzania, zobacz Ustawianie preferencji dla usługi Defender dla punktu końcowego w systemie Linux.

Korzystanie z wiersza polecenia

Uruchom następujące polecenie, aby wyświetlić dostępne przełączniki do zarządzania wykluczeniami:

Uwaga

--scope to opcjonalna flaga z akceptowaną wartością jako epp lub global. Zapewnia ten sam zakres używany podczas dodawania wykluczenia w celu usunięcia tego samego wykluczenia. W podejściu wiersza polecenia, jeśli zakres nie jest wymieniony, wartość zakresu jest ustawiona jako epp. Wykluczenia dodane za pośrednictwem interfejsu --scope wiersza polecenia przed wprowadzeniem flagi pozostają nienaruszone, a ich zakres jest traktowany jako epp.

mdatp exclusion

Porada

Podczas konfigurowania wykluczeń przy użyciu symboli wieloznacznych umieść parametr w cudzysłowie, aby zapobiec globbingowi.

Przykłady:

  • Dodaj wykluczenie dla rozszerzenia pliku (wykluczenie rozszerzenia nie jest obsługiwane w przypadku zakresu wykluczenia globalnego) :

    mdatp exclusion extension add --name .txt

    Extension exclusion configured successfully

    mdatp exclusion extension remove --name .txt

    Extension exclusion removed successfully

  • Dodaj/usuń wykluczenie dla pliku:

    mdatp exclusion file add --path /var/log/dummy.log --scope epp

    File exclusion configured successfully

    mdatp exclusion file remove --path /var/log/dummy.log --scope epp

    File exclusion removed successfully"

    mdatp exclusion file add --path /var/log/dummy.log --scope global

    File exclusion configured successfully

    mdatp exclusion file remove --path /var/log/dummy.log --scope global

    File exclusion removed successfully"

  • Dodaj/usuń wykluczenie dla folderu:

    mdatp exclusion folder add --path /var/log/ --scope epp

    Folder exclusion configured successfully

    mdatp exclusion folder remove --path /var/log/ --scope epp

    Folder exclusion removed successfully

      mdatp exclusion folder add --path /var/log/ --scope global

    Folder exclusion configured successfully

    mdatp exclusion folder remove --path /var/log/ --scope global

    Folder exclusion removed successfully

  • Dodaj wykluczenie dla drugiego folderu:

    mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder  --scope global

    Folder exclusion configured successfully

  • Dodaj wykluczenie dla folderu z symbolem wieloznacznym:

    Uwaga

    Symbole wieloznaczne nie są obsługiwane podczas konfigurowania wykluczeń globalnych.

    mdatp exclusion folder add --path "/var/*/tmp"

    Uwaga

    Spowoduje to wykluczenie tylko ścieżek w obszarze /var/*/tmp/, ale nie folderów, które są elementami równorzędnych tmp; na przykład /var/this-subfolder/tmp, ale nie /var/this-subfolder/log.

    mdatp exclusion folder add --path "/var/" --scope epp

    LUB

    mdatp exclusion folder add --path "/var/*/" --scope epp

    Uwaga

    Spowoduje to wykluczenie wszystkich ścieżek, których elementem nadrzędnym jest /var/; na przykład /var/this-subfolder/and-this-subfolder-as-well.

    Folder exclusion configured successfully

  • Dodaj wykluczenie dla procesu:

    mdatp exclusion process add --name /usr/bin/cat --scope global 

    Process exclusion configured successfully

    mdatp exclusion process remove --name /usr/bin/cat  --scope global

    Process exclusion removed successfully

      mdatp exclusion process add --name /usr/bin/cat --scope epp 

    Process exclusion configured successfully

    mdatp exclusion process remove --name /usr/bin/cat  --scope epp

    Process exclusion removed successfully

  • Dodaj wykluczenie dla drugiego procesu:

    mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --name dog --scope global

    Process exclusion configured successfully

Weryfikowanie list wykluczeń przy użyciu pliku testowego EICAR

Możesz sprawdzić, czy listy wykluczeń działają, pobierając plik testowy za pomocą polecenia curl .

W poniższym fragmencie kodu powłoki Bash zastąp test.txt ciąg plikiem zgodnym z regułami wykluczeń. Jeśli na przykład wykluczono rozszerzenie, zastąp .testing ciąg test.txttest.testing. Jeśli testujesz ścieżkę, upewnij się, że uruchamiasz polecenie w tej ścieżce.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Jeśli usługa Defender for Endpoint w systemie Linux zgłasza złośliwe oprogramowanie, reguła nie działa. Jeśli nie ma raportu o złośliwym oprogramowaniu i pobrany plik istnieje, wykluczenie działa. Możesz otworzyć plik, aby potwierdzić, że zawartość jest taka sama jak opisana w witrynie internetowej pliku testowego EICAR.

Jeśli nie masz dostępu do Internetu, możesz utworzyć własny plik testowy EICAR. Zapisz ciąg EICAR w nowym pliku tekstowym za pomocą następującego polecenia powłoki Bash:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Możesz również skopiować ciąg do pustego pliku tekstowego i spróbować go zapisać przy użyciu nazwy pliku lub folderu, który próbujesz wykluczyć.

Zezwalaj na zagrożenia

Oprócz wykluczenia pewnej zawartości ze skanowania można również skonfigurować produkt tak, aby nie wykrywał niektórych klas zagrożeń (identyfikowanych przez nazwę zagrożenia). Należy zachować ostrożność podczas korzystania z tej funkcji, ponieważ może pozostawić urządzenie bez ochrony.

Aby dodać nazwę zagrożenia do listy dozwolonych, wykonaj następujące polecenie:

mdatp threat allowed add --name [threat-name]

Nazwę zagrożenia skojarzoną z wykrywaniem na urządzeniu można uzyskać za pomocą następującego polecenia:

mdatp threat list

Aby na przykład dodać EICAR-Test-File (not a virus) (nazwę zagrożenia skojarzoną z wykrywaniem EICAR) do listy dozwolonych, wykonaj następujące polecenie:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Porada

Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.