Aracılığıyla paylaş

Linux'ta Uç Nokta için Microsoft Defender için dışlamaları yapılandırma ve doğrulama

  • Şunlara uygulanır: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Bu makalede, Uç Nokta için Microsoft Defender için virüsten koruma ve genel dışlamaların nasıl tanımlanacağı hakkında bilgi sağlanır. Virüsten koruma dışlamaları isteğe bağlı taramalar, gerçek zamanlı koruma (RTP) ve davranış izleme (BM) için geçerlidir. Genel dışlamalar gerçek zamanlı koruma (RTP), davranış izleme (BM) ve uç nokta algılama ve yanıt (EDR) için geçerlidir; böylece tüm ilişkili virüsten koruma algılamaları, EDR uyarıları ve dışlanan öğe için görünürlük durdurulabilir.

Önemli

Bu makalede açıklanan virüsten koruma dışlamaları yalnızca virüsten koruma özellikleri için geçerlidir, uç nokta algılama ve yanıt (EDR) için geçerli değildir. Bu makalede açıklanan virüsten koruma dışlamalarını kullanarak dışladığınız dosyalar yine de EDR uyarılarına ve diğer algılamalara neden olabilir. Bu bölümde açıklanan genel dışlamalar virüsten koruma ve EDR özellikleri için geçerlidir, böylece ilişkili tüm virüsten koruma, EDR uyarıları ve algılamaları durdurulabilir. Genel dışlamalar Linux, sürüm veya sonraki sürümlerde 101.23092.0012 Uç Nokta için Defender için üretimde kullanılabilir. Yalnızca EDR dışlamaları için desteğe başvurun.

Linux'ta Uç Nokta için Defender'da belirli dosyaları, klasörleri, işlemleri ve işlem tarafından açılan dosyaları dışlayabilirsiniz.

Dışlamalar, kuruluşunuz için benzersiz veya özelleştirilmiş dosya veya yazılımlarda yanlış algılamalardan kaçınmak için yararlı olabilir. Genel dışlamalar, Linux'ta Uç Nokta için Defender'ın neden olduğu performans sorunlarını azaltmak için yararlıdır.

Uyarı

Dışlamaların tanımlanması, Linux'ta Uç Nokta için Defender tarafından sunulan korumayı düşürür. Dışlamaları uygulamayla ilişkili riskleri her zaman değerlendirmeli ve yalnızca kötü amaçlı olmadığından emin olduğunuz dosyaları hariç tutmalısınız.

Önemli

Birden çok güvenlik çözümlerini yan yana çalıştırmak istiyorsanız bkz. Performans, yapılandırma ve destek konuları.

Uç Nokta için Microsoft Defender eklenen cihazlar için karşılıklı güvenlik dışlamalarını zaten yapılandırmış olabilirsiniz. Çakışmaları önlemek için yine de karşılıklı dışlamalar ayarlamanız gerekiyorsa bkz. Mevcut çözümünüz için dışlama listesine Uç Nokta için Microsoft Defender ekleme.

Desteklenen dışlama kapsamları

Önceki bir bölümde açıklandığı gibi iki dışlama kapsamını destekliyoruz: virüsten koruma (epp) ve genel (global) dışlamalar.

Virüsten koruma dışlamaları, güvenilir dosyaları ve işlemleri EDR görünürlüğüne sahipken gerçek zamanlı korumanın dışında tutmak için kullanılabilir. Genel dışlamalar algılayıcı düzeyinde uygulanır ve herhangi bir işlem yapılmadan önce akışın başlarında dışlama koşullarıyla eşleşen olayların sesini kapatmak için tüm EDR uyarılarını ve virüsten koruma algılamalarını durdurur.

Not

Genel (global), Microsoft tarafından zaten desteklenen virüsten koruma (epp) dışlama kapsamlarına ek olarak sunduğumuz yeni bir dışlama kapsamıdır.

Dışlama Kategorisi Dışlama Kapsamı Açıklama
Virüsten Koruma Dışlaması Virüsten koruma altyapısı
(kapsam: epp)		 olayları isteğe bağlı taramalardan, gerçek zamanlı korumadan (RTP) ve davranış izlemeden (BM) hariç tutar.
Genel Dışlama Virüsten koruma ve uç nokta algılamaları ve yanıt altyapısı
(kapsam: genel)		 Olayları gerçek zamanlı korumanın ve EDR görünürlüğünün dışında tutar. İsteğe bağlı taramalar için varsayılan olarak geçerli değildir.

Önemli

Genel dışlamalar ağ koruması için geçerli olmadığından, ağ koruması tarafından oluşturulan uyarılar görünmeye devam eder. İşlemleri ağ korumasının dışında tutmak için lütfen mdatp network-protection exclusion

Desteklenen dışlama türleri

Aşağıdaki tabloda, Linux üzerinde Uç Nokta için Defender tarafından desteklenen dışlama türleri gösterilmektedir.

Dışlama Tanım Örnekler
Dosya uzantısı Uzantılı tüm dosyalar, cihazın herhangi bir yerinde (genel dışlamalar için kullanılamaz) .test
Dosya Tam yol tarafından tanımlanan belirli bir dosya /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Klasör Belirtilen klasör altındaki tüm dosyalar (özyinelemeli olarak) /var/log/
/var/*/
Işlem Belirli bir işlem (tam yol veya dosya adıyla belirtilir) ve tarafından açılan tüm dosyalar.
Virüsten koruma dışlamaları tam yol veya dosya adı kullanılarak eklenebilir, ancak genel dışlamalar için yalnızca tam ve güvenilir işlem başlatma yollarını kullanın. Her iki durumda da tam yolun kullanılması önerilir.		 /bin/cat
cat
c?t

Önemli

Kullanılan yolların başarıyla dışlanması için sembolik bağlantılar değil sabit bağlantılar olması gerekir. komutunu çalıştırarak file <path-name>yolun sembolik bir bağlantı olup olmadığını de kontrol edebilirsiniz. Genel işlem dışlamalarını uygularken yalnızca sistem güvenilirliğini ve güvenliğini sağlamak için gerekenleri hariç tutun. İşlemin bilindiğini ve güvenilir olduğunu doğrulayın, işlem konumunun tam yolunu belirtin ve işlemin aynı güvenilir tam yoldan tutarlı bir şekilde başlatılacağını onaylayın.

Dosya, klasör ve işlem dışlamaları aşağıdaki joker karakterleri destekler:

Joker Açıklama Örnekler
* Hiçbiri dahil olmak üzere herhangi bir sayıda karakterle eşleşir
(Yolun sonunda bu joker karakter kullanılmadıysa yalnızca bir klasörü değiştirdiğini unutmayın)		 /var/*/tmp içindeki tüm dosyaları /var/abc/tmp , alt dizinlerini ve /var/def/tmp alt dizinlerini içerir. Veya içermez /var/abc/log/var/def/log

/var/*/ yalnızca gibi /var/abc/alt dizinlerindeki dosyaları içerir, ancak doğrudan içindeki /vardosyaları içermez.
? Herhangi bir tek karakterle eşleşir file?.logve file2.logiçerirfile1.log, ancak içermezfile123.log

Not

Genel dışlamalar yapılandırırken joker karakterler desteklenmez. Virüsten koruma dışlamaları için, yolun sonundaki * joker karakter kullanıldığında joker karakterin üst öğesi altındaki tüm dosya ve alt dizinlerle eşleşir. Dosya yolunun, kapsamı genel olan dosya dışlamalarını eklemeden veya kaldırmadan önce mevcut olması gerekir.

Dışlama listesini yapılandırma

Dışlamaları bir yönetim JSON yapılandırması, Uç Nokta için Defender güvenlik ayarları yönetimi veya komut satırı kullanarak yapılandırabilirsiniz.

Yönetim konsolunu kullanma

Kurumsal ortamlarda dışlamalar bir yapılandırma profili aracılığıyla da yönetilebilir. Genellikle puppet, Ansible veya başka bir yönetim konsolu gibi bir yapılandırma yönetim aracı kullanarak konumunda /etc/opt/microsoft/mdatp/managed/adıyla mdatp_managed.json bir dosya gönderebilirsiniz. Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Defender tercihlerini ayarlama. Lütfen aşağıdaki örneğine mdatp_managed.jsonbakın.

{
   "exclusionSettings":{
     "exclusions":[
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/home/*/git<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/run<EXAMPLE DO NOT USE>",
           "scopes": [
              "global"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":false,
           "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
           "scopes": [
              "epp", "global"
           ]
        },
        {
           "$type":"excludedFileExtension",
           "extension":".pdf<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedFileName",
           "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
        }
     ],
     "mergePolicy":"admin_only"
   }
}

Uç Nokta için Defender güvenlik ayarları yönetimini kullanma

Not

Önkoşulları gözden geçirmeyi unutmayın: Uç nokta için Defender güvenlik ayarları yönetimi önkoşulları

Dışlamaları uç nokta güvenlik ilkeleri olarak yönetmek ve bu ilkeleri Microsoft Entra ID gruplarına atamak için Microsoft Intune yönetim merkezini veya Microsoft Defender portalını kullanabilirsiniz. Bu yöntemi ilk kez kullanıyorsanız aşağıdaki adımları tamamladığınızdan emin olun:

1. Kiracınızı güvenlik ayarları yönetimini destekleyecek şekilde yapılandırma

  1. Microsoft Defender portalındaAyarlar>Uç Noktaları>Yapılandırma Yönetimi>Zorlama Kapsamı'na gidin ve linux platformunu seçin.

  2. Cihazları etiketle etiketleyin MDE-Management . Çoğu cihaz dakikalar içinde ilkeyi kaydeder ve alır, ancak bazıları 24 saate kadar sürebilir. Daha fazla bilgi için bkz. Intune uç nokta güvenlik ilkelerini kullanarak Intune kaydedilmemiş cihazlarda Uç Nokta için Microsoft Defender yönetmeyi öğrenin.

2. Microsoft Entra grubu oluşturma

Uç Nokta için Defender'a eklenen tüm cihazların uygun ilkeleri aldığından emin olmak için işletim sistemi türünü temel alan dinamik bir Microsoft Entra grubu oluşturun. Bu dinamik grup, Uç Nokta için Defender tarafından yönetilen cihazları otomatik olarak içerir ve yöneticilerin el ile yeni ilkeler oluşturma gereksinimini ortadan kaldırır. Daha fazla bilgi için şu makaleye bakın: Microsoft Entra Grupları Oluşturma

3. Uç nokta güvenlik ilkesi oluşturma

  1. Microsoft Defender portalındaUç Noktalar>Yapılandırma yönetimi>Uç nokta güvenlik ilkeleri'ne gidin ve Yeni İlke oluştur'u seçin.

  2. Platform için Linux'ı seçin.

  3. Gerekli dışlama şablonunu seçin (Microsoft defender global exclusions (AV+EDR) genel dışlamalar ve Microsoft defender antivirus exclusions virüsten koruma dışlamaları için) ve ardından İlke oluştur'u seçin.

  4. Temel Bilgiler sayfasında, profil için bir ad ve açıklama girin, ardından İleri'yi seçin.

  5. Ayarlar sayfasında, her bir ayar grubunu genişletin ve bu profille yönetmek istediğiniz ayarları yapılandırın.

  6. Ayarları yapılandırmayı tamamladığınızda İleri'yi seçin.

  7. Atamalar sayfasında, bu profili alan grupları seçin. Ardından İleri'yi seçin.

  8. Gözden Geçir + oluştur sayfasında, işiniz bittiğinde Kaydet'i seçin. Oluşturduğunuz profil için ilke türünü seçtiğinizde yeni profil listede görüntülenir.

Daha fazla bilgi için bkz. Uç Nokta için Microsoft Defender'da uç nokta güvenlik ilkelerini yönetme.

Komut satırını kullanma

Dışlamaları yönetmek için kullanılabilir anahtarları görmek için aşağıdaki komutu çalıştırın:

mdatp exclusion

Not

--scopeveya globalolarak epp kabul edilen değere sahip isteğe bağlı bir bayraktır. Aynı dışlamanın kaldırılması için dışlama eklenirken kullanılan kapsamın aynısını sağlar. Komut satırı yaklaşımında kapsam belirtilmiyorsa kapsam değeri olarak eppayarlanır. Bayrağın tanıtılmasından --scope önce CLI aracılığıyla eklenen dışlamalar etkilenmez ve kapsamları olarak kabul edilir epp.

İpucu

Dışlamaları joker karakterlerle yapılandırırken, globbing'i önlemek için parametresini çift tırnak içine alın.

Bu bölüm çeşitli örnekler içerir.

Örnek 1: Dosya uzantısı için dışlama ekleme

Dosya uzantısı için dışlama ekleyebilirsiniz. Uzantı dışlamalarının genel dışlama kapsamı için desteklenmediğini unutmayın.

mdatp exclusion extension add --name .txt

Extension exclusion configured successfully

mdatp exclusion extension remove --name .txt

Extension exclusion removed successfully

Örnek 2: Dosya dışlama ekleme veya kaldırma

Bir dosya için dışlama ekleyebilir veya kaldırabilirsiniz. Genel kapsamlı bir dışlama ekliyor veya kaldırıyorsanız dosya yolu zaten mevcut olmalıdır.

mdatp exclusion file add --path /var/log/dummy.log --scope epp

File exclusion configured successfully

mdatp exclusion file remove --path /var/log/dummy.log --scope epp

File exclusion removed successfully"

mdatp exclusion file add --path /var/log/dummy.log --scope global

File exclusion configured successfully

mdatp exclusion file remove --path /var/log/dummy.log --scope global

File exclusion removed successfully"

Örnek 3: Klasör dışlama ekleme veya kaldırma

Bir klasör için dışlama ekleyebilir veya kaldırabilirsiniz.

mdatp exclusion folder add --path /var/log/ --scope epp

Folder exclusion configured successfully

mdatp exclusion folder remove --path /var/log/ --scope epp

Folder exclusion removed successfully

mdatp exclusion folder add --path /var/log/ --scope global

Folder exclusion configured successfully

mdatp exclusion folder remove --path /var/log/ --scope global

Folder exclusion removed successfully

Örnek 4: İkinci klasör için dışlama ekleme

İkinci bir klasör için dışlama ekleyebilirsiniz.

mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder  --scope global

Folder exclusion configured successfully

Örnek 5: Joker karakterle klasör dışlaması ekleme

Joker karakter içeren bir klasör için dışlama ekleyebilirsiniz. Genel dışlamalar yapılandırırken Joker Karakterlerin desteklenmediğini unutmayın.

mdatp exclusion folder add --path "/var/*/tmp"

Önceki komut, altındaki */var/*/tmp/*yolları dışlar, ancak eşdüzey olan klasörleri dışlamaz *tmp*. Örneğin, */var/this-subfolder/tmp* dışlanır, ancak */var/this-subfolder/log* dışlanmaz.

mdatp exclusion folder add --path "/var/" --scope epp

VEYA

mdatp exclusion folder add --path "/var/*/" --scope epp

Önceki komut, gibi üst öğesi */var/**/var/this-subfolder/and-this-subfolder-as-well*olan tüm yolları dışlar.

Folder exclusion configured successfully

Örnek 6: İşlem için dışlama ekleme

Bir işlem için dışlama ekleyebilirsiniz.

mdatp exclusion process add --path /usr/bin/cat --scope global 

Process exclusion configured successfully

mdatp exclusion process remove --path /usr/bin/cat  --scope global

Not

Kapsamla global işlem dışlaması ayarlamak için yalnızca tam yol desteklenir. Yalnızca --path bayrağı kullan

Process exclusion removed successfully

mdatp exclusion process add --name cat --scope epp 

Process exclusion configured successfully

mdatp exclusion process remove --name cat --scope epp

Process exclusion removed successfully

Örnek 7: İkinci bir işlem için dışlama ekleme

İkinci bir işlem için dışlama ekleyebilirsiniz.

mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global

Process exclusion configured successfully

EICAR test dosyasıyla dışlama listelerini doğrulama

Bir test dosyasını indirmek için kullanarak curl dışlama listelerinizin çalıştığını doğrulayabilirsiniz.

Aşağıdaki Bash kod parçacığında öğesini dışlama kurallarınıza uygun bir dosyayla değiştirin test.txt . Örneğin, uzantıyı .testing dışladıysanız değerini ile test.testingdeğiştirintest.txt. Bir yolu test ediyorsanız, komutu bu yol içinde çalıştırdığınızdan emin olun.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Linux'ta Uç Nokta için Defender kötü amaçlı yazılım bildiriyorsa kural çalışmıyor demektir. Kötü amaçlı yazılım raporu yoksa ve indirilen dosya varsa, dışlama çalışıyor demektir. İçeriğin EICAR test dosyası web sitesinde açıklananla aynı olduğunu onaylamak için dosyayı açabilirsiniz.

İnternet erişiminiz yoksa kendi EICAR test dosyanızı oluşturabilirsiniz. Aşağıdaki Bash komutuyla EICAR dizesini yeni bir metin dosyasına yazın:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Ayrıca dizeyi boş bir metin dosyasına kopyalayabilir ve dosya adıyla veya dışlamaya çalıştığınız klasöre kaydetmeye çalışabilirsiniz.

Bir tehdide izin verme

Belirli içeriğin taranmasını dışlamanın yanı sıra, Tehdit adıyla tanımlanan bazı tehdit sınıflarını algılamamak için Linux'ta Uç Nokta için Defender'ı da yapılandırabilirsiniz.

Uyarı

Cihazınızı korumasız bırakabileceği için bu işlevi kullanırken dikkatli olun.

İzin verilenler listesine bir tehdit adı eklemek için aşağıdaki komutu çalıştırın:

mdatp threat allowed add --name [threat-name]

Algılanan bir tehdidin adını almak için aşağıdaki komutu çalıştırın:

mdatp threat list

Örneğin, allowlist'e eklemek EICAR-Test-File (not a virus) için aşağıdaki komutu çalıştırın:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Ayrıca bkz.

  • Last updated on