Konfigurera och validera undantag för Microsoft Defender för Endpoint i Linux
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Den här artikeln innehåller information om hur du definierar antivirusprogram och globala undantag för Microsoft Defender för Endpoint. Antivirusundantag gäller för genomsökningar på begäran, realtidsskydd (RTP) och beteendeövervakning (BM). Globala undantag gäller för realtidsskydd (RTP), beteendeövervakning (BM) och slutpunktsidentifiering och svar (EDR), vilket stoppar alla associerade antivirusidentifieringar, EDR-aviseringar och synlighet för det undantagna objektet.
Viktigt
De antivirusundantag som beskrivs i den här artikeln gäller endast antivirusfunktioner och inte slutpunktsidentifiering och svar (EDR). Filer som du exkluderar med hjälp av antivirusundantag som beskrivs i den här artikeln kan fortfarande utlösa EDR-aviseringar och andra identifieringar. De globala undantag som beskrivs i det här avsnittet gäller för antivirusprogram samt funktioner för slutpunktsidentifiering och svar, vilket stoppar alla associerade AV-skydd, EDR-aviseringar och identifiering. Globala undantag är tillgängliga från Defender för Endpoint-versionen 101.23092.0012 eller senare till Insider Slow Ring. Kontakta supporten för EDR-undantag.
Du kan exkludera vissa filer, mappar, processer och processöppnade filer från Defender för Endpoint i Linux.
Undantag kan vara användbara för att undvika felaktiga identifieringar av filer eller programvara som är unika eller anpassade för din organisation. Globala undantag är användbara för att minimera prestandaproblem som orsakas av Defender för Endpoint i Linux.
Varning
Genom att definiera undantag sänks det skydd som erbjuds av Defender för Endpoint i Linux. Du bör alltid utvärdera de risker som är associerade med att implementera undantag, och du bör endast exkludera filer som du är säker på inte är skadliga.
Undantagsomfång som stöds
Enligt beskrivningen i ett tidigare avsnitt stöder vi två undantagsomfång: antivirus (epp) och globala (global) undantag.
Antivirusundantag kan användas för att undanta betrodda filer och processer från realtidsskydd samtidigt som EDR fortfarande är synligt. Globala undantag tillämpas på sensornivå och för att stänga av de händelser som matchar undantagsvillkoren mycket tidigt i flödet, innan någon bearbetning görs, vilket stoppar alla EDR-aviseringar och antivirusidentifieringar.
Obs!
Global (global) är ett nytt undantagsomfång som vi introducerar utöver undantagsomfång för antivirusprogram (epp) som redan stöds av Microsoft.
| Exkluderingskategori | Undantagsomfång | Beskrivning |
|---|---|---|
| Antivirusundantag | Antivirusmotor (omfattning: epp) |
Exkluderar innehåll från antivirusgenomsökningar (AV) och genomsökningar på begäran. |
| Globalt undantag | Antivirus- och slutpunktsidentifieringar och svarsmotor (omfång: global) |
Utesluter händelser från realtidsskydd och EDR-synlighet. Gäller inte för genomsökningar på begäran som standard. |
Undantagstyper som stöds
I följande tabell visas de undantagstyper som stöds av Defender för Endpoint i Linux.
| Uteslutning | Definition | Exempel |
|---|---|---|
| Filnamnstillägg | Alla filer med tillägget, var som helst på enheten (inte tillgängligt för globala undantag) | .test |
| Fil | En specifik fil som identifieras av den fullständiga sökvägen | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Mapp | Alla filer under den angivna mappen (rekursivt) | /var/log//var/*/ |
| Process | En specifik process (anges antingen av den fullständiga sökvägen eller filnamnet) och alla filer som öppnas av den | /bin/catcatc?t |
Viktigt
Sökvägarna som används måste vara hårda länkar, inte symboliska länkar, för att kunna uteslutas. Du kan kontrollera om en sökväg är en symbolisk länk genom att köra file <path-name>.
Fil-, mapp- och processundantag stöder följande jokertecken:
Obs!
Filsökvägen måste finnas innan du lägger till eller tar bort filundantag med omfång som global. Jokertecken stöds inte när globala undantag konfigureras.
| Jokertecken | Beskrivning | Exempel |
|---|---|---|
| * | Matchar valfritt antal tecken, inklusive inget (Observera att om det här jokertecknet inte används i slutet av sökvägen ersätter det bara en mapp) |
/var/*/tmp innehåller alla filer i /var/abc/tmp och dess underkataloger samt /var/def/tmp dess underkataloger. Den inkluderar /var/abc/log inte eller /var/def/log
|
| ? | Matchar ett enskilt tecken |
file?.log inkluderar file1.log och file2.log, men intefile123.log |
Obs!
När du använder * jokertecken i slutet av sökvägen för antivirusundantag matchar det alla filer och underkataloger under det överordnade jokertecknet.
Så här konfigurerar du listan över undantag
Använda hanteringskonsolen
Om du vill konfigurera undantag från Puppet, Ansible eller en annan hanteringskonsol läser du följande exempel mdatp_managed.json.
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Mer information finns i Ange inställningar för Defender för Endpoint i Linux.
Använda kommandoraden
Kör följande kommando för att se tillgängliga växlar för att hantera undantag:
Obs!
--scope är en valfri flagga med godkänt värde som epp eller global. Det ger samma omfång som används när du lägger till undantaget för att ta bort samma undantag. Om omfånget inte anges i kommandoradsmetoden anges omfångsvärdet som epp.
Undantag som läggs till via CLI innan flaggan införs --scope påverkas inte och deras omfång anses vara epp.
mdatp exclusion
Tips
När du konfigurerar undantag med jokertecken omger du parametern med dubbla citattecken för att förhindra globbning.
Exempel:
Lägg till ett undantag för ett filnamnstillägg (tilläggsundantag stöds inte för globalt undantagsomfång) :
mdatp exclusion extension add --name .txtExtension exclusion configured successfullymdatp exclusion extension remove --name .txtExtension exclusion removed successfullyLägg till/ta bort ett undantag för en fil (Filsökvägen bör redan finnas om du lägger till eller tar bort undantag med globalt omfång) :
mdatp exclusion file add --path /var/log/dummy.log --scope eppFile exclusion configured successfullymdatp exclusion file remove --path /var/log/dummy.log --scope eppFile exclusion removed successfully"mdatp exclusion file add --path /var/log/dummy.log --scope globalFile exclusion configured successfullymdatp exclusion file remove --path /var/log/dummy.log --scope globalFile exclusion removed successfully"Lägg till/ta bort ett undantag för en mapp:
mdatp exclusion folder add --path /var/log/ --scope eppFolder exclusion configured successfullymdatp exclusion folder remove --path /var/log/ --scope eppFolder exclusion removed successfullymdatp exclusion folder add --path /var/log/ --scope globalFolder exclusion configured successfullymdatp exclusion folder remove --path /var/log/ --scope globalFolder exclusion removed successfullyLägg till ett undantag för en andra mapp:
mdatp exclusion folder add --path /var/log/ --scope epp mdatp exclusion folder add --path /other/folder --scope globalFolder exclusion configured successfullyLägg till ett undantag för en mapp med jokertecken i den:
Obs!
Jokertecken stöds inte när globala undantag konfigureras.
mdatp exclusion folder add --path "/var/*/tmp"Obs!
Detta utesluter endast sökvägar under /var/*/tmp/, men inte mappar som är syskon till tmp; till exempel /var/this-subfolder/tmp, men inte /var/this-subfolder/log.
mdatp exclusion folder add --path "/var/" --scope eppELLER
mdatp exclusion folder add --path "/var/*/" --scope eppObs!
Detta utesluter alla sökvägar vars överordnade är /var/; till exempel /var/this-subfolder/and-this-subfolder-as-well.
Folder exclusion configured successfullyLägg till ett undantag för en process:
mdatp exclusion process add --name /usr/bin/cat --scope globalProcess exclusion configured successfullymdatp exclusion process remove --name /usr/bin/cat --scope globalProcess exclusion removed successfullymdatp exclusion process add --name /usr/bin/cat --scope eppProcess exclusion configured successfullymdatp exclusion process remove --name /usr/bin/cat --scope eppProcess exclusion removed successfullyLägg till ett undantag för en andra process:
mdatp exclusion process add --name cat --scope epp mdatp exclusion process add --name dog --scope globalProcess exclusion configured successfully
Verifiera undantagslistor med EICAR-testfilen
Du kan kontrollera att dina undantagslistor fungerar med hjälp curl av för att ladda ned en testfil.
I följande Bash-kodfragment ersätter test.txt du med en fil som följer dina undantagsregler. Om du till exempel har exkluderat .testing tillägget ersätter test.txt du med test.testing. Om du testar en sökväg kontrollerar du att du kör kommandot i den sökvägen.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Om Defender för Endpoint på Linux rapporterar skadlig kod fungerar inte regeln. Om det inte finns någon rapport om skadlig kod och den nedladdade filen finns fungerar undantaget. Du kan öppna filen för att bekräfta att innehållet är detsamma som det som beskrivs på EICAR-testfilens webbplats.
Om du inte har Internetåtkomst kan du skapa en egen EICAR-testfil. Skriv EICAR-strängen till en ny textfil med följande Bash-kommando:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Du kan också kopiera strängen till en tom textfil och försöka spara den med filnamnet eller i mappen som du försöker exkludera.
Tillåt hot
Förutom att utesluta att visst innehåll genomsöks kan du även konfigurera produkten så att den inte identifierar vissa typer av hot (identifieras med hotnamnet). Du bör vara försiktig när du använder den här funktionen eftersom den kan lämna enheten oskyddad.
Kör följande kommando för att lägga till ett hotnamn i listan över tillåtna:
mdatp threat allowed add --name [threat-name]
Hotnamnet som är associerat med en identifiering på enheten kan hämtas med följande kommando:
mdatp threat list
Om du till exempel vill lägga till EICAR-Test-File (not a virus) (hotnamnet som är associerat med EICAR-identifieringen) i listan över tillåtna kör du följande kommando:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Tips
Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.