Konfigurera och validera undantag för Microsoft Defender för Endpoint i Linux

Artikel
06/24/2024

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Den här artikeln innehåller information om hur du definierar undantag som gäller för genomsökningar på begäran samt realtidsskydd och övervakning.

Viktigt

Undantagen som beskrivs i den här artikeln gäller inte för andra Defender för Endpoint på Linux-funktioner, inklusive slutpunktsidentifiering och svar (EDR). Filer som du exkluderar med hjälp av metoderna som beskrivs i den här artikeln kan fortfarande utlösa EDR-aviseringar och andra identifieringar. Kontakta supporten för EDR-undantag.

Du kan exkludera vissa filer, mappar, processer och processöppnade filer från Defender för Endpoint på Linux-genomsökningar.

Undantag kan vara användbara för att undvika felaktiga identifieringar av filer eller programvara som är unika eller anpassade för din organisation. De kan också vara användbara för att minimera prestandaproblem som orsakas av Defender för Endpoint i Linux.

Varning

Genom att definiera undantag sänks det skydd som erbjuds av Defender för Endpoint i Linux. Du bör alltid utvärdera de risker som är associerade med att implementera undantag, och du bör endast exkludera filer som du är säker på inte är skadliga.

Undantagstyper som stöds

I följande tabell visas de undantagstyper som stöds av Defender för Endpoint i Linux.

Uteslutning	Definition	Exempel
Filnamnstillägg	Alla filer med tillägget, var som helst på enheten	`.test`
Fil	En specifik fil som identifieras av den fullständiga sökvägen	`/var/log/test.log` `/var/log/*.log` `/var/log/install.?.log`
Mapp	Alla filer under den angivna mappen (rekursivt)	`/var/log/` `/var/*/`
Process	En specifik process (anges antingen av den fullständiga sökvägen eller filnamnet) och alla filer som öppnas av den	`/bin/cat` `cat` `c?t`

Viktigt

Sökvägarna ovan måste vara hårda länkar, inte symboliska länkar, för att kunna uteslutas. Du kan kontrollera om en sökväg är en symbolisk länk genom att köra file <path-name>.

Fil-, mapp- och processundantag stöder följande jokertecken:

Jokertecken Beskrivning Exempel

Matchar valfritt antal tecken inklusive inget (observera att om det här jokertecknet inte används i slutet av sökvägen ersätter det bara en mapp)

Jokertecken	Beskrivning	Exempel
*	Matchar valfritt antal tecken inklusive inget (observera att om det här jokertecknet inte används i slutet av sökvägen ersätter det bara en mapp)	`/var//tmp` innehåller alla filer i `/var/abc/tmp` och dess underkataloger samt `/var/def/tmp` dess underkataloger. Den inkluderar `/var/abc/log` inte eller `/var/def/log` `/var//` innehåller endast filer i dess underkataloger, till exempel `/var/abc/`, men inte filer direkt i `/var`.
?	Matchar ett enskilt tecken	`file?.log` inkluderar `file1.log` och `file2.log`, men inte`file123.log`

/var/*/tmp innehåller alla filer i /var/abc/tmp och dess underkataloger samt /var/def/tmp dess underkataloger. Den inkluderar /var/abc/log inte eller /var/def/log

/var/*/ innehåller endast filer i dess underkataloger, till exempel /var/abc/, men inte filer direkt i /var.

? Matchar ett enskilt tecken file?.log inkluderar file1.log och file2.log, men intefile123.log

Obs!

När du använder jokertecknet * i slutet av sökvägen matchar det alla filer och underkataloger under det överordnade jokertecknet.

Så här konfigurerar du listan över undantag

Från hanteringskonsolen

Mer information om hur du konfigurerar undantag från Puppet, Ansible eller en annan hanteringskonsol finns i Ange inställningar för Defender för Endpoint i Linux.

Från kommandoraden

Kör följande kommando för att se tillgängliga växlar för att hantera undantag:

mdatp exclusion

Tips

När du konfigurerar undantag med jokertecken omger du parametern med dubbla citattecken för att förhindra globbning.

Exempel:

Lägg till ett undantag för ett filnamnstillägg:

mdatp exclusion extension add --name .txt

Extension exclusion configured successfully

Lägg till ett undantag för en fil:

mdatp exclusion file add --path /var/log/dummy.log

File exclusion configured successfully

Lägg till ett undantag för en mapp:

mdatp exclusion folder add --path /var/log/

Folder exclusion configured successfully

Lägg till ett undantag för en andra mapp:

mdatp exclusion folder add --path /var/log/
mdatp exclusion folder add --path /other/folder

Folder exclusion configured successfully

Lägg till ett undantag för en mapp med jokertecken i den:
```
mdatp exclusion folder add --path "/var/*/tmp"
```
Obs!

Detta utesluter endast sökvägar under /var/*/tmp/, men inte mappar som är syskon till tmp; till exempel /var/this-subfolder/tmp, men inte /var/this-subfolder/log.
```
mdatp exclusion folder add --path "/var/"
```
ELLER
```
mdatp exclusion folder add --path "/var/*/"
```
Obs!

Detta utesluter alla sökvägar vars överordnade är /var/; till exempel /var/this-subfolder/and-this-subfolder-as-well.
```
Folder exclusion configured successfully
```

Lägg till ett undantag för en process:

mdatp exclusion process add --name cat

Process exclusion configured successfully

Lägg till ett undantag för en andra process:

mdatp exclusion process add --name cat
mdatp exclusion process add --name dog

Process exclusion configured successfully

Verifiera undantagslistor med EICAR-testfilen

Du kan kontrollera att dina undantagslistor fungerar med hjälp curl av för att ladda ned en testfil.

I följande Bash-kodfragment ersätter test.txt du med en fil som följer dina undantagsregler. Om du till exempel har exkluderat .testing tillägget ersätter test.txt du med test.testing. Om du testar en sökväg kontrollerar du att du kör kommandot i den sökvägen.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Om Defender för Endpoint på Linux rapporterar skadlig kod fungerar inte regeln. Om det inte finns någon rapport om skadlig kod och den nedladdade filen finns fungerar undantaget. Du kan öppna filen för att bekräfta att innehållet är detsamma som det som beskrivs på EICAR-testfilens webbplats.

Om du inte har Internetåtkomst kan du skapa en egen EICAR-testfil. Skriv EICAR-strängen till en ny textfil med följande Bash-kommando:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Du kan också kopiera strängen till en tom textfil och försöka spara den med filnamnet eller i mappen som du försöker exkludera.

Tillåt hot

Förutom att utesluta att visst innehåll genomsöks kan du även konfigurera produkten så att den inte identifierar vissa typer av hot (identifieras med hotnamnet). Du bör vara försiktig när du använder den här funktionen eftersom den kan lämna enheten oskyddad.

Kör följande kommando för att lägga till ett hotnamn i listan över tillåtna:

mdatp threat allowed add --name [threat-name]

Hotnamnet som är associerat med en identifiering på enheten kan hämtas med följande kommando:

mdatp threat list

Om du till exempel vill lägga till EICAR-Test-File (not a virus) (hotnamnet som är associerat med EICAR-identifieringen) i listan över tillåtna kör du följande kommando:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Tips

Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.

Dela via