Konfigurowanie i weryfikowanie wykluczeń dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Ten artykuł zawiera informacje na temat definiowania programów antywirusowych i wykluczeń globalnych dla Ochrona punktu końcowego w usłudze Microsoft Defender. Wykluczenia oprogramowania antywirusowego mają zastosowanie do skanów na żądanie, ochrony w czasie rzeczywistym (RTP) i monitorowania zachowania (BM). Globalne wykluczenia mają zastosowanie do ochrony w czasie rzeczywistym (RTP), monitorowania zachowania (BM) oraz wykrywania i reagowania punktów końcowych (EDR), zatrzymując w ten sposób wszystkie skojarzone wykrycia antywirusowe, alerty EDR i widoczność wykluczonego elementu.
Ważna
Wykluczenia oprogramowania antywirusowego opisane w tym artykule mają zastosowanie tylko do możliwości ochrony antywirusowej, a nie do wykrywania i reagowania na punkty końcowe (EDR). Pliki wykluczone przy użyciu wykluczeń antywirusowych opisanych w tym artykule mogą nadal wyzwalać alerty EDR i inne wykrycia. Globalne wykluczenia opisane w tej sekcji dotyczą funkcji wykrywania i reagowania na programy antywirusowe i punkty końcowe, zatrzymując w ten sposób wszystkie skojarzone zabezpieczenia antywirusowe, alerty EDR i wykrycia. Wykluczenia globalne są obecnie w publicznej wersji zapoznawczej i są dostępne w usłudze Defender dla wersji 101.23092.0012 punktu końcowego lub nowszej, w pierścieniach Wolny testerów i Produkcja. W przypadku wykluczeń EDR skontaktuj się z pomocą techniczną.
Niektóre pliki, foldery, procesy i pliki otwierane przez proces można wykluczyć z usługi Defender for Endpoint w systemie Linux.
Wykluczenia mogą być przydatne, aby uniknąć nieprawidłowych wykryć plików lub oprogramowania, które są unikatowe lub dostosowane do organizacji. Wykluczenia globalne są przydatne w przypadku ograniczania problemów z wydajnością spowodowanych przez usługę Defender for Endpoint w systemie Linux.
Ostrzeżenie
Definiowanie wykluczeń obniża ochronę oferowaną przez usługę Defender for Endpoint w systemie Linux. Należy zawsze oceniać ryzyko związane z implementowaniem wykluczeń i należy wykluczać tylko pliki, które są pewne, że nie są złośliwe.
Obsługiwane zakresy wykluczeń
Zgodnie z opisem we wcześniejszej sekcji obsługujemy dwa zakresy wykluczeń: wykluczenia antywirusowe (epp) i globalne (global).
Wykluczenia oprogramowania antywirusowego mogą służyć do wykluczania zaufanych plików i procesów z ochrony w czasie rzeczywistym przy zachowaniu widoczności EDR. Globalne wykluczenia są stosowane na poziomie czujnika i wyciszenia zdarzeń, które pasują do warunków wykluczenia bardzo wcześnie w przepływie, zanim zostanie wykonane jakiekolwiek przetwarzanie, zatrzymując w ten sposób wszystkie alerty EDR i wykrywanie oprogramowania antywirusowego.
Uwaga
Globalny (global) to nowy zakres wykluczeń, który wprowadzamy oprócz zakresów wykluczeń programu antywirusowego (epp), które są już obsługiwane przez firmę Microsoft.
| Kategoria wykluczenia | Zakres wykluczeń | Opis |
|---|---|---|
| Wykluczenie programu antywirusowego | Aparat antywirusowy (zakres: epp) |
Wyklucza zawartość ze skanowania antywirusowego (AV) i skanów na żądanie. |
| Wykluczenie globalne | Wykrywanie oprogramowania antywirusowego i punktu końcowego oraz aparat odpowiedzi (zakres: globalny) |
Wyklucza zdarzenia z ochrony w czasie rzeczywistym i widoczności EDR. Domyślnie nie dotyczy skanowania na żądanie. |
Obsługiwane typy wykluczeń
W poniższej tabeli przedstawiono typy wykluczeń obsługiwane przez usługę Defender for Endpoint w systemie Linux.
| Wykluczenia | Definicja | Przykłady |
|---|---|---|
| Formatem | Wszystkie pliki z rozszerzeniem w dowolnym miejscu na urządzeniu (niedostępne dla wykluczeń globalnych) | .test |
| Plik | Określony plik zidentyfikowany za pomocą pełnej ścieżki | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Folder | Wszystkie pliki w określonym folderze (cyklicznie) | /var/log//var/*/ |
| Proces | Określony proces (określony przez pełną ścieżkę lub nazwę pliku) i wszystkie otwarte przez niego pliki | /bin/catcatc?t |
Ważna
Używane ścieżki muszą być twardymi łączami, a nie łączami symbolicznymi, aby można je było pomyślnie wykluczyć. Możesz sprawdzić, czy ścieżka jest linkiem symbolicznym, uruchamiając polecenie file <path-name>.
Wykluczenia plików, folderów i procesów obsługują następujące symbole wieloznaczne:
Uwaga
Ścieżka pliku musi być obecna przed dodaniem lub usunięciem wykluczeń plików z zakresem jako globalnym. Symbole wieloznaczne nie są obsługiwane podczas konfigurowania wykluczeń globalnych.
| Symbol wieloznaczny | Opis | Przykłady |
|---|---|---|
| * | Dopasowuje dowolną liczbę znaków, w tym brak (pamiętaj, że jeśli ten symbol wieloznaczny nie jest używany na końcu ścieżki, zastępuje tylko jeden folder) |
/var/*/tmp zawiera dowolny plik i /var/abc/tmp jego podkatalogi oraz /var/def/tmp jego podkatalogi. Nie zawiera /var/abc/log ani /var/def/log
|
| ? | Dopasowuje dowolny pojedynczy znak |
file?.log zawiera file1.log i file2.log, ale niefile123.log |
Uwaga
W przypadku wykluczeń programu antywirusowego w przypadku używania symbolu wieloznacznego * na końcu ścieżki będzie ona zgodna ze wszystkimi plikami i podkatalogami w obszarze nadrzędnym symbolu wieloznacznego.
Jak skonfigurować listę wykluczeń
Korzystanie z konsoli zarządzania
Aby skonfigurować wykluczenia z platformy Puppet, Rozwiązania Ansible lub innej konsoli zarządzania, zapoznaj się z poniższym przykładem mdatp_managed.json.
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Aby uzyskać więcej informacji, zobacz Ustawianie preferencji dla usługi Defender dla punktu końcowego w systemie Linux.
Korzystanie z wiersza polecenia
Uruchom następujące polecenie, aby wyświetlić dostępne przełączniki do zarządzania wykluczeniami:
Uwaga
--scope to opcjonalna flaga z akceptowaną wartością jako epp lub global. Zapewnia ten sam zakres używany podczas dodawania wykluczenia w celu usunięcia tego samego wykluczenia. W podejściu wiersza polecenia, jeśli zakres nie jest wymieniony, wartość zakresu jest ustawiona jako epp.
Wykluczenia dodane za pośrednictwem interfejsu --scope wiersza polecenia przed wprowadzeniem flagi pozostają nienaruszone, a ich zakres jest traktowany jako epp.
mdatp exclusion
Porada
Podczas konfigurowania wykluczeń przy użyciu symboli wieloznacznych umieść parametr w cudzysłowie, aby zapobiec globbingowi.
Przykłady:
Dodaj wykluczenie dla rozszerzenia pliku (wykluczenie rozszerzenia nie jest obsługiwane w przypadku zakresu wykluczenia globalnego) :
mdatp exclusion extension add --name .txtExtension exclusion configured successfullymdatp exclusion extension remove --name .txtExtension exclusion removed successfullyDodaj/usuń wykluczenie dla pliku (ścieżka pliku powinna już istnieć w przypadku dodania lub usunięcia wykluczenia z zakresu globalnego) :
mdatp exclusion file add --path /var/log/dummy.log --scope eppFile exclusion configured successfullymdatp exclusion file remove --path /var/log/dummy.log --scope eppFile exclusion removed successfully"mdatp exclusion file add --path /var/log/dummy.log --scope globalFile exclusion configured successfullymdatp exclusion file remove --path /var/log/dummy.log --scope globalFile exclusion removed successfully"Dodaj/usuń wykluczenie dla folderu:
mdatp exclusion folder add --path /var/log/ --scope eppFolder exclusion configured successfullymdatp exclusion folder remove --path /var/log/ --scope eppFolder exclusion removed successfullymdatp exclusion folder add --path /var/log/ --scope globalFolder exclusion configured successfullymdatp exclusion folder remove --path /var/log/ --scope globalFolder exclusion removed successfullyDodaj wykluczenie dla drugiego folderu:
mdatp exclusion folder add --path /var/log/ --scope epp mdatp exclusion folder add --path /other/folder --scope globalFolder exclusion configured successfullyDodaj wykluczenie dla folderu z symbolem wieloznacznym:
Uwaga
Symbole wieloznaczne nie są obsługiwane podczas konfigurowania wykluczeń globalnych.
mdatp exclusion folder add --path "/var/*/tmp"Uwaga
Spowoduje to wykluczenie tylko ścieżek w obszarze /var/*/tmp/, ale nie folderów, które są elementami równorzędnych tmp; na przykład /var/this-subfolder/tmp, ale nie /var/this-subfolder/log.
mdatp exclusion folder add --path "/var/" --scope eppLUB
mdatp exclusion folder add --path "/var/*/" --scope eppUwaga
Spowoduje to wykluczenie wszystkich ścieżek, których elementem nadrzędnym jest /var/; na przykład /var/this-subfolder/and-this-subfolder-as-well.
Folder exclusion configured successfullyDodaj wykluczenie dla procesu:
mdatp exclusion process add --name /usr/bin/cat --scope globalProcess exclusion configured successfullymdatp exclusion process remove --name /usr/bin/cat --scope globalProcess exclusion removed successfullymdatp exclusion process add --name /usr/bin/cat --scope eppProcess exclusion configured successfullymdatp exclusion process remove --name /usr/bin/cat --scope eppProcess exclusion removed successfullyDodaj wykluczenie dla drugiego procesu:
mdatp exclusion process add --name cat --scope epp mdatp exclusion process add --name dog --scope globalProcess exclusion configured successfully
Weryfikowanie list wykluczeń przy użyciu pliku testowego EICAR
Możesz sprawdzić, czy listy wykluczeń działają, pobierając plik testowy za pomocą polecenia curl .
W poniższym fragmencie kodu powłoki Bash zastąp test.txt ciąg plikiem zgodnym z regułami wykluczeń. Jeśli na przykład wykluczono rozszerzenie, zastąp .testing ciąg test.txttest.testing. Jeśli testujesz ścieżkę, upewnij się, że uruchamiasz polecenie w tej ścieżce.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Jeśli usługa Defender for Endpoint w systemie Linux zgłasza złośliwe oprogramowanie, reguła nie działa. Jeśli nie ma raportu o złośliwym oprogramowaniu i pobrany plik istnieje, wykluczenie działa. Możesz otworzyć plik, aby potwierdzić, że zawartość jest taka sama jak opisana w witrynie internetowej pliku testowego EICAR.
Jeśli nie masz dostępu do Internetu, możesz utworzyć własny plik testowy EICAR. Zapisz ciąg EICAR w nowym pliku tekstowym za pomocą następującego polecenia powłoki Bash:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Możesz również skopiować ciąg do pustego pliku tekstowego i spróbować go zapisać przy użyciu nazwy pliku lub folderu, który próbujesz wykluczyć.
Zezwalaj na zagrożenia
Oprócz wykluczenia pewnej zawartości ze skanowania można również skonfigurować produkt tak, aby nie wykrywał niektórych klas zagrożeń (identyfikowanych przez nazwę zagrożenia). Należy zachować ostrożność podczas korzystania z tej funkcji, ponieważ może pozostawić urządzenie bez ochrony.
Aby dodać nazwę zagrożenia do listy dozwolonych, wykonaj następujące polecenie:
mdatp threat allowed add --name [threat-name]
Nazwę zagrożenia skojarzoną z wykrywaniem na urządzeniu można uzyskać za pomocą następującego polecenia:
mdatp threat list
Aby na przykład dodać EICAR-Test-File (not a virus) (nazwę zagrożenia skojarzoną z wykrywaniem EICAR) do listy dozwolonych, wykonaj następujące polecenie:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.