Konfigurera och validera undantag för Microsoft Defender för Endpoint i Linux
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Den här artikeln innehåller information om hur du definierar undantag som gäller för genomsökningar på begäran samt realtidsskydd och övervakning.
Viktigt
Undantagen som beskrivs i den här artikeln gäller inte för andra Defender för Endpoint på Linux-funktioner, inklusive slutpunktsidentifiering och svar (EDR). Filer som du exkluderar med hjälp av metoderna som beskrivs i den här artikeln kan fortfarande utlösa EDR-aviseringar och andra identifieringar. Kontakta supporten för EDR-undantag.
Du kan exkludera vissa filer, mappar, processer och processöppnade filer från Defender för Endpoint på Linux-genomsökningar.
Undantag kan vara användbara för att undvika felaktiga identifieringar av filer eller programvara som är unika eller anpassade för din organisation. De kan också vara användbara för att minimera prestandaproblem som orsakas av Defender för Endpoint i Linux.
Varning
Genom att definiera undantag sänks det skydd som erbjuds av Defender för Endpoint i Linux. Du bör alltid utvärdera de risker som är associerade med att implementera undantag, och du bör endast exkludera filer som du är säker på inte är skadliga.
Undantagstyper som stöds
I följande tabell visas de undantagstyper som stöds av Defender för Endpoint i Linux.
Uteslutning | Definition | Exempel |
---|---|---|
Filnamnstillägg | Alla filer med tillägget, var som helst på enheten | .test |
Fil | En specifik fil som identifieras av den fullständiga sökvägen | /var/log/test.log /var/log/*.log /var/log/install.?.log |
Mapp | Alla filer under den angivna mappen (rekursivt) | /var/log/ /var/*/ |
Process | En specifik process (anges antingen av den fullständiga sökvägen eller filnamnet) och alla filer som öppnas av den | /bin/cat cat c?t |
Viktigt
Sökvägarna ovan måste vara hårda länkar, inte symboliska länkar, för att kunna uteslutas. Du kan kontrollera om en sökväg är en symbolisk länk genom att köra file <path-name>
.
Fil-, mapp- och processundantag stöder följande jokertecken:
Jokertecken | Beskrivning | Exempel |
---|---|---|
* | Matchar valfritt antal tecken inklusive inget (observera att om det här jokertecknet inte används i slutet av sökvägen ersätter det bara en mapp) | /var/*/tmp innehåller alla filer i /var/abc/tmp och dess underkataloger samt /var/def/tmp dess underkataloger. Den inkluderar /var/abc/log inte eller /var/def/log
|
? | Matchar ett enskilt tecken | file?.log inkluderar file1.log och file2.log , men intefile123.log |
Obs!
När du använder jokertecknet * i slutet av sökvägen matchar det alla filer och underkataloger under det överordnade jokertecknet.
Så här konfigurerar du listan över undantag
Från hanteringskonsolen
Mer information om hur du konfigurerar undantag från Puppet, Ansible eller en annan hanteringskonsol finns i Ange inställningar för Defender för Endpoint i Linux.
Från kommandoraden
Kör följande kommando för att se tillgängliga växlar för att hantera undantag:
mdatp exclusion
Tips
När du konfigurerar undantag med jokertecken omger du parametern med dubbla citattecken för att förhindra globbning.
Exempel:
Lägg till ett undantag för ett filnamnstillägg:
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
Lägg till ett undantag för en fil:
mdatp exclusion file add --path /var/log/dummy.log
File exclusion configured successfully
Lägg till ett undantag för en mapp:
mdatp exclusion folder add --path /var/log/
Folder exclusion configured successfully
Lägg till ett undantag för en andra mapp:
mdatp exclusion folder add --path /var/log/ mdatp exclusion folder add --path /other/folder
Folder exclusion configured successfully
Lägg till ett undantag för en mapp med jokertecken i den:
mdatp exclusion folder add --path "/var/*/tmp"
Obs!
Detta utesluter endast sökvägar under /var/*/tmp/, men inte mappar som är syskon till tmp; till exempel /var/this-subfolder/tmp, men inte /var/this-subfolder/log.
mdatp exclusion folder add --path "/var/"
ELLER
mdatp exclusion folder add --path "/var/*/"
Obs!
Detta utesluter alla sökvägar vars överordnade är /var/; till exempel /var/this-subfolder/and-this-subfolder-as-well.
Folder exclusion configured successfully
Lägg till ett undantag för en process:
mdatp exclusion process add --name cat
Process exclusion configured successfully
Lägg till ett undantag för en andra process:
mdatp exclusion process add --name cat mdatp exclusion process add --name dog
Process exclusion configured successfully
Verifiera undantagslistor med EICAR-testfilen
Du kan kontrollera att dina undantagslistor fungerar med hjälp curl
av för att ladda ned en testfil.
I följande Bash-kodfragment ersätter test.txt
du med en fil som följer dina undantagsregler. Om du till exempel har exkluderat .testing
tillägget ersätter test.txt
du med test.testing
. Om du testar en sökväg kontrollerar du att du kör kommandot i den sökvägen.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Om Defender för Endpoint på Linux rapporterar skadlig kod fungerar inte regeln. Om det inte finns någon rapport om skadlig kod och den nedladdade filen finns fungerar undantaget. Du kan öppna filen för att bekräfta att innehållet är detsamma som det som beskrivs på EICAR-testfilens webbplats.
Om du inte har Internetåtkomst kan du skapa en egen EICAR-testfil. Skriv EICAR-strängen till en ny textfil med följande Bash-kommando:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Du kan också kopiera strängen till en tom textfil och försöka spara den med filnamnet eller i mappen som du försöker exkludera.
Tillåt hot
Förutom att utesluta att visst innehåll genomsöks kan du även konfigurera produkten så att den inte identifierar vissa typer av hot (identifieras med hotnamnet). Du bör vara försiktig när du använder den här funktionen eftersom den kan lämna enheten oskyddad.
Kör följande kommando för att lägga till ett hotnamn i listan över tillåtna:
mdatp threat allowed add --name [threat-name]
Hotnamnet som är associerat med en identifiering på enheten kan hämtas med följande kommando:
mdatp threat list
Om du till exempel vill lägga till EICAR-Test-File (not a virus)
(hotnamnet som är associerat med EICAR-identifieringen) i listan över tillåtna kör du följande kommando:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Tips
Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för