Linux'ta Uç Nokta için Microsoft Defender için dışlamaları yapılandırma ve doğrulama
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- Microsoft Defender XDR
Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Bu makalede, isteğe bağlı taramalar ve gerçek zamanlı koruma ve izleme için geçerli olan dışlamaların nasıl tanımlanacağı hakkında bilgi sağlanır.
Önemli
Bu makalede açıklanan dışlamalar, uç nokta algılama ve yanıt (EDR) dahil olmak üzere Linux üzerinde Uç Nokta için Defender özellikleri için geçerli değildir. Bu makalede açıklanan yöntemleri kullanarak dışladığınız dosyalar yine de EDR uyarılarını ve diğer algılamaları tetikleyebilir. EDR dışlamaları için desteğe başvurun.
Linux taramalarında uç nokta için Defender'ın belirli dosyaları, klasörleri, işlemleri ve işlem tarafından açılan dosyaları hariç tutabilirsiniz.
Dışlamalar, kuruluşunuz için benzersiz veya özelleştirilmiş dosya veya yazılımlarda yanlış algılamalardan kaçınmak için yararlı olabilir. Bunlar, Linux'ta Uç Nokta için Defender'ın neden olduğu performans sorunlarını azaltmak için de yararlı olabilir.
Uyarı
Dışlamaların tanımlanması, Linux'ta Uç Nokta için Defender tarafından sunulan korumayı düşürür. Dışlamaları uygulamayla ilişkili riskleri her zaman değerlendirmeli ve yalnızca kötü amaçlı olmadığından emin olduğunuz dosyaları hariç tutmalısınız.
Desteklenen dışlama türleri
Aşağıdaki tabloda, Linux üzerinde Uç Nokta için Defender tarafından desteklenen dışlama türleri gösterilmektedir.
Dışlama | Tanım | Örnekler |
---|---|---|
Dosya uzantısı | Uzantılı tüm dosyalar, cihazın herhangi bir yerinde | .test |
Dosya | Tam yol tarafından tanımlanan belirli bir dosya | /var/log/test.log /var/log/*.log /var/log/install.?.log |
Klasör | Belirtilen klasör altındaki tüm dosyalar (özyinelemeli olarak) | /var/log/ /var/*/ |
Işlem | Belirli bir işlem (tam yol veya dosya adıyla belirtilir) ve tarafından açılan tüm dosyalar | /bin/cat cat c?t |
Önemli
Yukarıdaki yolların başarıyla dışlanması için sembolik bağlantılar değil sabit bağlantılar olması gerekir. komutunu çalıştırarak file <path-name>
yolun sembolik bir bağlantı olup olmadığını de kontrol edebilirsiniz.
Dosya, klasör ve işlem dışlamaları aşağıdaki joker karakterleri destekler:
Joker | Açıklama | Örnekler |
---|---|---|
* | Hiçbiri dahil olmak üzere herhangi bir sayıda karakterle eşleşir (yolun sonunda bu joker karakter kullanılmazsa yalnızca bir klasörü değiştireceğini unutmayın) | /var/*/tmp içindeki tüm dosyaları /var/abc/tmp , alt dizinlerini ve /var/def/tmp alt dizinlerini içerir. Veya içermez /var/abc/log /var/def/log
|
? | Herhangi bir tek karakterle eşleşir | file?.log ve file2.log içerirfile1.log , ancak içermezfile123.log |
Not
Yolun sonundaki * joker karakteri kullanıldığında, joker karakterin üst öğesi altındaki tüm dosyalar ve alt dizinler eşleştirilir.
Dışlama listesini yapılandırma
Yönetim konsolundan
Puppet, Ansible veya başka bir yönetim konsolundan dışlamaları yapılandırma hakkında daha fazla bilgi için bkz. Linux'ta Uç Nokta için Defender tercihlerini ayarlama.
Komut satırından
Dışlamaları yönetmek için kullanılabilir anahtarları görmek için aşağıdaki komutu çalıştırın:
mdatp exclusion
İpucu
Dışlamaları joker karakterlerle yapılandırırken, globbing'i önlemek için parametresini çift tırnak içine alın.
Örnekler:
Dosya uzantısı için dışlama ekleyin:
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
Dosya için dışlama ekleyin:
mdatp exclusion file add --path /var/log/dummy.log
File exclusion configured successfully
Klasör için dışlama ekleyin:
mdatp exclusion folder add --path /var/log/
Folder exclusion configured successfully
İkinci klasör için dışlama ekleyin:
mdatp exclusion folder add --path /var/log/ mdatp exclusion folder add --path /other/folder
Folder exclusion configured successfully
Içinde joker karakter bulunan bir klasör için dışlama ekleyin:
mdatp exclusion folder add --path "/var/*/tmp"
Not
Bu yalnızca /var/*/tmp/ altındaki yolları dışlar ancak tmp'nin eşdüzeyleri olan klasörleri dışlamaz; örneğin, /var/this-subfolder/tmp, ancak /var/this-subfolder/log değil.
mdatp exclusion folder add --path "/var/"
VEYA
mdatp exclusion folder add --path "/var/*/"
Not
Bu, üst öğesi /var/; olan tüm yolları dışlar; örneğin, /var/this-subfolder/and-this-subfolder-as-well.
Folder exclusion configured successfully
Bir işlem için dışlama ekleyin:
mdatp exclusion process add --name cat
Process exclusion configured successfully
İkinci bir işlem için dışlama ekleyin:
mdatp exclusion process add --name cat mdatp exclusion process add --name dog
Process exclusion configured successfully
EICAR test dosyasıyla dışlama listelerini doğrulama
Bir test dosyasını indirmek için kullanarak curl
dışlama listelerinizin çalıştığını doğrulayabilirsiniz.
Aşağıdaki Bash kod parçacığında öğesini dışlama kurallarınıza uygun bir dosyayla değiştirin test.txt
. Örneğin, uzantıyı .testing
dışladıysanız değerini ile test.testing
değiştirintest.txt
. Bir yolu test ediyorsanız, komutu bu yol içinde çalıştırdığınızdan emin olun.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Linux'ta Uç Nokta için Defender kötü amaçlı yazılım bildiriyorsa kural çalışmıyor demektir. Kötü amaçlı yazılım raporu yoksa ve indirilen dosya varsa, dışlama çalışıyor demektir. İçeriğin EICAR test dosyası web sitesinde açıklananla aynı olduğunu onaylamak için dosyayı açabilirsiniz.
İnternet erişiminiz yoksa kendi EICAR test dosyanızı oluşturabilirsiniz. Aşağıdaki Bash komutuyla EICAR dizesini yeni bir metin dosyasına yazın:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Ayrıca, dizeyi boş bir metin dosyasına kopyalayabilir ve dosya adıyla veya dışlamaya çalıştığınız klasöre kaydetmeye çalışabilirsiniz.
Tehditlere izin ver
Belirli içeriklerin taranmasını dışlamanın yanı sıra, ürünü bazı tehdit sınıflarını (tehdit adıyla tanımlanır) algılamayacak şekilde de yapılandırabilirsiniz. Bu işlevi kullanırken dikkatli olmanız gerekir, bu nedenle cihazınız korumasız bırakılabilir.
İzin verilenler listesine bir tehdit adı eklemek için aşağıdaki komutu yürütür:
mdatp threat allowed add --name [threat-name]
Cihazınızdaki bir algılamayla ilişkili tehdit adı aşağıdaki komut kullanılarak alınabilir:
mdatp threat list
Örneğin, izin verilenler listesine (EICAR algılamasıyla ilişkili tehdit adı) eklemek EICAR-Test-File (not a virus)
için aşağıdaki komutu yürütür:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin