Aracılığıyla paylaş

Linux'ta Uç Nokta için Microsoft Defender için dışlamaları yapılandırma ve doğrulama

  • Makale

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Bu makalede, Uç Nokta için Microsoft Defender için virüsten koruma ve genel dışlamaların nasıl tanımlanacağı hakkında bilgi sağlanır. Virüsten koruma dışlamaları isteğe bağlı taramalar, gerçek zamanlı koruma (RTP) ve davranış izleme (BM) için geçerlidir. Genel dışlamalar gerçek zamanlı koruma (RTP), davranış izleme (BM) ve uç nokta algılama ve yanıt (EDR) için geçerlidir; böylece tüm ilişkili virüsten koruma algılamaları, EDR uyarıları ve dışlanan öğe için görünürlük durdurulabilir.

Önemli

Bu makalede açıklanan virüsten koruma dışlamaları yalnızca virüsten koruma özellikleri için geçerlidir ve uç nokta algılama ve yanıt (EDR) için geçerli değildir. Bu makalede açıklanan virüsten koruma dışlamalarını kullanarak dışladığınız dosyalar yine de EDR uyarılarını ve diğer algılamaları tetikleyebilir. Bu bölümde açıklanan genel dışlamalar virüsten koruma ve uç nokta algılama ve yanıt özellikleri için geçerlidir, böylece ilişkili tüm virüsten koruma, EDR uyarıları ve algılamaları durdurulabilir. Genel dışlamalar şu anda genel önizleme aşamasındadır ve Uç Nokta için Defender sürümü veya sonraki sürümlerinde 101.23092.0012 Insider Yavaş ve Üretim kademelerinde kullanılabilir. EDR dışlamaları için desteğe başvurun.

Linux'ta Uç Nokta için Defender'da belirli dosyaları, klasörleri, işlemleri ve işlem tarafından açılan dosyaları dışlayabilirsiniz.

Dışlamalar, kuruluşunuz için benzersiz veya özelleştirilmiş dosya veya yazılımlarda yanlış algılamalardan kaçınmak için yararlı olabilir. Genel dışlamalar, Linux'ta Uç Nokta için Defender'ın neden olduğu performans sorunlarını azaltmak için yararlıdır.

Uyarı

Dışlamaların tanımlanması, Linux'ta Uç Nokta için Defender tarafından sunulan korumayı düşürür. Dışlamaları uygulamayla ilişkili riskleri her zaman değerlendirmeli ve yalnızca kötü amaçlı olmadığından emin olduğunuz dosyaları hariç tutmalısınız.

Desteklenen dışlama kapsamları

Önceki bir bölümde açıklandığı gibi iki dışlama kapsamını destekliyoruz: virüsten koruma (epp) ve genel (global) dışlamalar.

Virüsten koruma dışlamaları, güvenilir dosyaları ve işlemleri EDR görünürlüğüne sahipken gerçek zamanlı korumanın dışında tutmak için kullanılabilir. Genel dışlamalar algılayıcı düzeyinde uygulanır ve herhangi bir işlem yapılmadan önce akışın çok erken bir zamanında dışlama koşullarıyla eşleşen olayların sesini kapatmak için tüm EDR uyarıları ve virüsten koruma algılamaları durduruluyor.

Not

Genel (global), Microsoft tarafından zaten desteklenen virüsten koruma (epp) dışlama kapsamlarına ek olarak sunduğumuz yeni bir dışlama kapsamıdır.

Dışlama Kategorisi Dışlama Kapsamı Açıklama
Virüsten Koruma Dışlaması Virüsten koruma altyapısı
(kapsam: epp)		 İçeriği virüsten koruma (AV) taramalarının ve isteğe bağlı taramaların dışında tutar.
Genel Dışlama Virüsten koruma ve uç nokta algılamaları ve yanıt altyapısı
(kapsam: genel)		 Olayları gerçek zamanlı korumanın ve EDR görünürlüğünün dışında tutar. İsteğe bağlı taramalar için varsayılan olarak geçerli değildir.

Desteklenen dışlama türleri

Aşağıdaki tabloda, Linux üzerinde Uç Nokta için Defender tarafından desteklenen dışlama türleri gösterilmektedir.

Dışlama Tanım Örnekler
Dosya uzantısı Uzantılı tüm dosyalar, cihazın herhangi bir yerinde (genel dışlamalar için kullanılamaz) .test
Dosya Tam yol tarafından tanımlanan belirli bir dosya /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Klasör Belirtilen klasör altındaki tüm dosyalar (özyinelemeli olarak) /var/log/
/var/*/
İşlem Belirli bir işlem (tam yol veya dosya adıyla belirtilir) ve tarafından açılan tüm dosyalar /bin/cat
cat
c?t

Önemli

Kullanılan yolların başarıyla dışlanması için sembolik bağlantılar değil sabit bağlantılar olması gerekir. komutunu çalıştırarak file <path-name>yolun sembolik bir bağlantı olup olmadığını de kontrol edebilirsiniz.

Dosya, klasör ve işlem dışlamaları aşağıdaki joker karakterleri destekler:

Not

Dosya yolunun, kapsamı genel olan dosya dışlamalarını eklemeden veya kaldırmadan önce mevcut olması gerekir. Genel dışlamalar yapılandırılırken joker karakterler desteklenmez.

Joker karakter Açıklama Örnekler
* Hiçbiri dahil olmak üzere herhangi bir sayıda karakterle eşleşir
(Yolun sonunda bu joker karakter kullanılmadıysa yalnızca bir klasörü değiştirdiğini unutmayın)		 /var/*/tmp içindeki tüm dosyaları /var/abc/tmp , alt dizinlerini ve /var/def/tmp alt dizinlerini içerir. Veya içermez /var/abc/log/var/def/log

/var/*/ yalnızca gibi /var/abc/alt dizinlerindeki dosyaları içerir, ancak doğrudan içindeki /vardosyaları içermez.
? Herhangi bir tek karakterle eşleşir file?.logve file2.logiçerirfile1.log, ancak içermezfile123.log

Not

Virüsten koruma dışlamaları için, yolun sonundaki * joker karakteri kullanıldığında, joker karakterin üst öğesi altındaki tüm dosyalar ve alt dizinler eşleştirilir.

Dışlama listesini yapılandırma

Yönetim konsolunu kullanma

Puppet, Ansible veya başka bir yönetim konsolundan dışlamaları yapılandırmak için lütfen aşağıdaki örne mdatp_managed.jsonbakın.

{
   "exclusionSettings":{
     "exclusions":[
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/home/*/git<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/run<EXAMPLE DO NOT USE>",
           "scopes": [
              "global"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":false,
           "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
           "scopes": [
              "epp", "global"
           ]
        },
        {
           "$type":"excludedFileExtension",
           "extension":".pdf<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedFileName",
           "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
        }
     ],
     "mergePolicy":"admin_only"
   }
}

Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Defender tercihlerini ayarlama.

Komut satırını kullanma

Dışlamaları yönetmek için kullanılabilir anahtarları görmek için aşağıdaki komutu çalıştırın:

Not

--scopeveya globalolarak epp kabul edilen değere sahip isteğe bağlı bir bayraktır. Aynı dışlamanın kaldırılması için dışlama eklenirken kullanılan kapsamın aynısını sağlar. Komut satırı yaklaşımında kapsam belirtilmiyorsa kapsam değeri olarak eppayarlanır. Bayrağın tanıtılmasından --scope önce CLI aracılığıyla eklenen dışlamalar etkilenmez ve kapsamları olarak kabul edilir epp.

mdatp exclusion

İpucu

Dışlamaları joker karakterlerle yapılandırırken, globbing'i önlemek için parametresini çift tırnak içine alın.

Örnekler:

  • Dosya uzantısı için dışlama ekleme (Uzantı dışlama genel dışlama kapsamı için desteklenmez) :

    mdatp exclusion extension add --name .txt

    Extension exclusion configured successfully

    mdatp exclusion extension remove --name .txt

    Extension exclusion removed successfully

  • Bir dosya için dışlama ekleme/kaldırma (Genel kapsamla dışlama ekleme veya kaldırma durumunda dosya yolu zaten mevcut olmalıdır) :

    mdatp exclusion file add --path /var/log/dummy.log --scope epp

    File exclusion configured successfully

    mdatp exclusion file remove --path /var/log/dummy.log --scope epp

    File exclusion removed successfully"

    mdatp exclusion file add --path /var/log/dummy.log --scope global

    File exclusion configured successfully

    mdatp exclusion file remove --path /var/log/dummy.log --scope global

    File exclusion removed successfully"

  • Klasör için dışlama ekleme/kaldırma:

    mdatp exclusion folder add --path /var/log/ --scope epp

    Folder exclusion configured successfully

    mdatp exclusion folder remove --path /var/log/ --scope epp

    Folder exclusion removed successfully

      mdatp exclusion folder add --path /var/log/ --scope global

    Folder exclusion configured successfully

    mdatp exclusion folder remove --path /var/log/ --scope global

    Folder exclusion removed successfully

  • İkinci klasör için dışlama ekleyin:

    mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder  --scope global

    Folder exclusion configured successfully

  • Içinde joker karakter bulunan bir klasör için dışlama ekleyin:

    Not

    Genel dışlamalar yapılandırılırken joker karakterler desteklenmez.

    mdatp exclusion folder add --path "/var/*/tmp"

    Not

    Bu yalnızca /var/*/tmp/ altındaki yolları dışlar, ancak tmp'nin eşdüzeyleri olan klasörleri dışlamaz; örneğin, /var/this-subfolder/tmp, ancak /var/this-subfolder/log değil.

    mdatp exclusion folder add --path "/var/" --scope epp

    VEYA

    mdatp exclusion folder add --path "/var/*/" --scope epp

    Not

    Bu, üst öğesi /var/; olan tüm yolları dışlar; örneğin, /var/this-subfolder/and-this-subfolder-as-well.

    Folder exclusion configured successfully

  • Bir işlem için dışlama ekleyin:

    mdatp exclusion process add --name /usr/bin/cat --scope global 

    Process exclusion configured successfully

    mdatp exclusion process remove --name /usr/bin/cat  --scope global

    Process exclusion removed successfully

      mdatp exclusion process add --name /usr/bin/cat --scope epp 

    Process exclusion configured successfully

    mdatp exclusion process remove --name /usr/bin/cat  --scope epp

    Process exclusion removed successfully

  • İkinci bir işlem için dışlama ekleyin:

    mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --name dog --scope global

    Process exclusion configured successfully

EICAR test dosyasıyla dışlama listelerini doğrulama

Bir test dosyasını indirmek için kullanarak curl dışlama listelerinizin çalıştığını doğrulayabilirsiniz.

Aşağıdaki Bash kod parçacığında öğesini dışlama kurallarınıza uygun bir dosyayla değiştirin test.txt . Örneğin, uzantıyı .testing dışladıysanız değerini ile test.testingdeğiştirintest.txt. Bir yolu test ediyorsanız, komutu bu yol içinde çalıştırdığınızdan emin olun.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Linux'ta Uç Nokta için Defender kötü amaçlı yazılım bildiriyorsa kural çalışmıyor demektir. Kötü amaçlı yazılım raporu yoksa ve indirilen dosya varsa, dışlama çalışıyor demektir. İçeriğin EICAR test dosyası web sitesinde açıklananla aynı olduğunu onaylamak için dosyayı açabilirsiniz.

İnternet erişiminiz yoksa kendi EICAR test dosyanızı oluşturabilirsiniz. Aşağıdaki Bash komutuyla EICAR dizesini yeni bir metin dosyasına yazın:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Ayrıca dizeyi boş bir metin dosyasına kopyalayabilir ve dosya adıyla veya dışlamaya çalıştığınız klasöre kaydetmeye çalışabilirsiniz.

Tehditlere izin ver

Belirli içeriklerin taranmasını dışlamanın yanı sıra, ürünü bazı tehdit sınıflarını (tehdit adıyla tanımlanır) algılamayacak şekilde de yapılandırabilirsiniz. Bu işlevi kullanırken dikkatli olmanız gerekir, bu nedenle cihazınız korumasız bırakılabilir.

İzin verilenler listesine bir tehdit adı eklemek için aşağıdaki komutu yürütür:

mdatp threat allowed add --name [threat-name]

Cihazınızdaki bir algılamayla ilişkili tehdit adı aşağıdaki komut kullanılarak alınabilir:

mdatp threat list

Örneğin, izin verilenler listesine (EICAR algılamasıyla ilişkili tehdit adı) eklemek EICAR-Test-File (not a virus) için aşağıdaki komutu yürütür:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.