适用于:
- 服务器的Microsoft Defender for Endpoint
- 服务器计划 1 或计划 2 的Microsoft Defender
希望体验 Defender for Endpoint? 注册免费试用版。
本文介绍如何为Microsoft Defender for Endpoint定义防病毒和全局排除项。 防病毒排除适用于按需扫描、实时保护 (RTP) ,以及行为监视 (BM) 。 全局排除项适用于实时保护 (RTP) 、行为监视 (BM) ,以及终结点检测和响应 (EDR) ,从而停止所有关联的防病毒检测、EDR 警报和已排除项目的可见性。
重要
本文中所述的防病毒排除项仅适用于防病毒功能,不适用于终结点检测和响应 (EDR) 。 使用本文中所述的防病毒排除项排除的文件仍可能导致 EDR 警报和其他检测。 本部分所述的全局排除项适用于防病毒和 EDR 功能,从而停止所有相关的防病毒保护、EDR 警报和检测。 Linux 版本或更高版本的 101.23092.0012 Defender for Endpoint 在生产环境中提供全局排除项。 对于仅限 EDR 的排除项, 请联系支持人员。
可以从 Linux 上的 Defender for Endpoint 中排除某些文件、文件夹、进程和进程打开的文件。
排除项可用于避免对组织唯一或自定义的文件或软件进行错误检测。 全局排除项有助于缓解 Linux 上的 Defender for Endpoint 导致的性能问题。
警告
定义排除项会降低 Linux 上的 Defender for Endpoint 提供的保护。 应始终评估与实施排除项相关的风险,并且只应排除你确信不是恶意的文件。
重要
如果要并行运行多个安全解决方案,请参阅 性能、配置和支持注意事项。
你可能已经为载入到Microsoft Defender for Endpoint的设备配置了相互安全排除。 如果仍需要设置相互排除以避免冲突,请参阅将Microsoft Defender for Endpoint添加到现有解决方案的排除列表。
支持的排除范围
如前一部分所述,我们支持两个排除范围:防病毒 (epp) 和全局 (global) 排除范围。
防病毒排除可用于从实时保护中排除受信任的文件和进程,同时仍具有 EDR 可见性。 在完成任何处理之前,在传感器级别应用全局排除项,并将与流中的排除条件匹配的事件静音,从而停止所有 EDR 警报和防病毒检测。
注意
全局 (global) 是除防病毒 (epp) Microsoft已支持的排除范围外,还引入了新的排除范围。
| 排除类别 | 排除范围 | 说明 |
|---|---|---|
| 防病毒排除 | 防病毒引擎 (范围:epp) |
从按需扫描、实时保护 (RTP) 以及 BM) (行为监视中排除事件。 |
| 全局排除 | 防病毒和终结点检测以及响应引擎 (范围:全局) |
从实时保护和 EDR 可见性中排除事件。 默认情况下,不适用于按需扫描。 |
重要
全局排除项不适用于网络保护,因此网络保护生成的警报仍将可见。
若要从网络保护中排除进程,请使用 mdatp network-protection exclusion
支持的排除类型
下表显示了 Linux 上的 Defender for Endpoint 支持的排除类型。
| 排除 | 定义 | 示例 |
|---|---|---|
| 文件扩展名 | 设备上任何位置具有 扩展名的所有文件 (不适用于全局排除) | .test |
| 文件 | 由完整路径标识的特定文件 | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Folder | 指定文件夹下的所有文件 (递归) | /var/log//var/*/ |
| 流程 | 特定进程 (由完整路径或文件名指定) 及其打开的所有文件。 建议使用完整且受信任的进程启动路径。 |
/bin/catcatc?t |
重要
使用的路径必须是硬链接,而不是符号链接,才能成功排除。 可以通过运行 file <path-name>来检查路径是否为符号链接。 实现全局进程排除时,仅排除确保系统可靠性和安全性所需的内容。 验证进程是否已知且受信任,指定进程位置的完整路径,并确认进程将从同一受信任的完整路径一致启动。
文件、文件夹和进程排除项支持以下通配符:
| 通配符 | 说明 | 示例 |
|---|---|---|
| * | 匹配任意数量的任意字符,包括无 (请注意,如果路径末尾未使用此通配符,则只替换一个文件夹) |
/var/*/tmp 包括 中的任何 /var/abc/tmp 文件及其子目录,以及 /var/def/tmp 及其子目录。 它不包括 /var/abc/log 或 /var/def/log
|
| ? | 匹配任何单个字符 |
file?.log 包括 file1.log 和 file2.log,但不包括file123.log |
注意
配置全局排除项时不支持通配符。 对于防病毒排除项,在路径末尾使用 * 通配符时,它将匹配通配符的父级下的所有文件和子目录。 在添加或删除范围为全局的文件排除项之前,需要存在文件路径。
如何配置排除项列表
可以使用管理 JSON 配置、Defender for Endpoint 安全设置管理或命令行配置排除项。
使用管理控制台
在企业环境中,也可以通过配置文件管理排除项。 通常,你会使用配置管理工具(如 Puppet、Ansible 或其他管理控制台)在 位置/etc/opt/microsoft/mdatp/managed/推送名称mdatp_managed.json为 的文件。 有关详细信息,请参阅 在 Linux 上设置 Defender for Endpoint 的首选项。 请参阅以下示例 mdatp_managed.json。
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
使用 Defender for Endpoint 安全设置管理
注意
请务必查看先决条件: Defender for Endpoint 安全设置管理先决条件
可以使用Microsoft Intune管理中心或Microsoft Defender门户将排除项作为终结点安全策略进行管理,并将这些策略分配给Microsoft Entra ID组。 如果是首次使用此方法,请确保完成以下步骤:
1.配置租户以支持安全设置管理
在Microsoft Defender门户中,导航到“设置终结点>配置管理>强制范围”>,然后选择 Linux 平台。
使用
MDE-Management标记标记设备。 大多数设备在几分钟内注册并接收策略,但有些设备可能需要长达 24 小时的时间。 有关详细信息,请参阅了解如何使用Intune终结点安全策略来管理未使用 Intune 注册的设备上的Microsoft Defender for Endpoint。
2.创建Microsoft Entra组
根据作系统类型创建动态Microsoft Entra组,以确保载入到 Defender for Endpoint 的所有设备都收到相应的策略。 此动态组自动包含 Defender for Endpoint 管理的设备,因此管理员无需手动创建新策略。 有关详细信息,请参阅以下文章:创建Microsoft Entra组
3.创建终结点安全策略
在Microsoft Defender门户中,转到“终结点>配置管理>终结点安全策略”,然后选择“创建新策略”。
对于“平台”,请选择“ Linux”。
为全局排除项和
Microsoft defender antivirus exclusions防病毒排除)Microsoft defender global exclusions (AV+EDR)选择所需的排除模板 (,然后选择“创建策略”。在“基本信息”页上,输入配置文件的名称和说明,然后选择“下一步”。
在 “设置” 页上,展开每组设置,并配置要使用此配置文件管理的设置。
完成配置设置后,选择“下一步”。
在 “分配” 页上,选择接收此配置文件的组。 然后选择“下一步”。
在“ 查看 + 创建 ”页上,完成后,选择“ 保存”。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。
有关详细信息,请参阅:在 Microsoft Defender for Endpoint 中管理终结点安全策略。
使用命令行
运行以下命令以查看用于管理排除项的可用开关:
mdatp exclusion
注意
--scope 是一个可选标志,其接受值为 epp 或 global。 它提供添加排除项时使用的相同范围,以删除相同的排除项。 在命令行方法中,如果未提及范围,则范围值设置为 epp。
在引入标志之前通过 CLI 添加的 --scope 排除项不受影响,其范围被视为 epp。
提示
使用通配符配置排除项时,请将 参数括在双引号中以防止 globbing。
本部分包含几个示例。
示例 1:为文件扩展名添加排除项
可以为文件扩展名添加排除项。 请记住,全局排除范围不支持扩展排除。
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully
示例 2:添加或删除文件排除
可以添加或删除文件的排除项。 如果要添加或删除具有全局范围的排除项,则文件路径应已存在。
mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"
示例 3:添加或删除文件夹排除项
可以添加或删除文件夹的排除项。
mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully
示例 4:为第二个文件夹添加排除项
可以为第二个文件夹添加排除项。
mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder --scope global
Folder exclusion configured successfully
示例 5:使用通配符添加文件夹排除项
可以为具有通配符的文件夹添加排除项。 请记住,配置全局排除项时不支持通配符。
mdatp exclusion folder add --path "/var/*/tmp"
上一个命令排除 下 */var/*/tmp/*的路径,但不排除属于 同级 *tmp*的文件夹。 例如, */var/this-subfolder/tmp* 已排除,但 */var/this-subfolder/log* 未排除。
mdatp exclusion folder add --path "/var/" --scope epp
OR
mdatp exclusion folder add --path "/var/*/" --scope epp
上一个命令排除其父级为 */var/*的所有路径,例如 */var/this-subfolder/and-this-subfolder-as-well*。
Folder exclusion configured successfully
示例 6:为进程添加排除项
可以为进程添加排除项。
mdatp exclusion process add --path /usr/bin/cat --scope global
Process exclusion configured successfully
mdatp exclusion process remove --path /usr/bin/cat --scope global
注意
仅支持使用范围设置进程排除 global 的完整路径。
仅 --path 使用标志
Process exclusion removed successfully
mdatp exclusion process add --name cat --scope epp
Process exclusion configured successfully
mdatp exclusion process remove --name cat --scope epp
Process exclusion removed successfully
示例 7:为第二个进程添加排除项
可以为第二个进程添加排除项。
mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global
Process exclusion configured successfully
使用 EICAR 测试文件验证排除列表
可以使用 下载测试文件来验证排除列表是否正常工作 curl 。
在以下 Bash 代码片段中,将 替换为 test.txt 符合排除规则的文件。 例如,如果已排除扩展 .testing ,请将 替换为 test.txttest.testing。 如果要测试某个路径,请确保在该路径中运行 命令。
curl -o test.txt https://secure.eicar.org/eicar.com.txt
如果 Linux 上的 Defender for Endpoint 报告恶意软件,则规则不起作用。 如果没有恶意软件报告,并且下载的文件存在,则排除项有效。 可以打开该文件以确认内容与 EICAR 测试文件网站上所述的内容相同。
如果没有 Internet 访问权限,可以创建自己的 EICAR 测试文件。 使用以下 Bash 命令将 EICAR 字符串写入新的文本文件:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
还可以将字符串复制到空白文本文件中,并尝试使用文件名或尝试排除的文件夹中保存该字符串。
允许威胁
除了从扫描中排除某些内容之外,还可以将 Linux 上的 Defender for Endpoint 配置为不检测由威胁名称标识的某些类威胁。
警告
使用此功能时请谨慎作,因为它可能会使设备不受保护。
若要向允许列表添加威胁名称,请运行以下命令:
mdatp threat allowed add --name [threat-name]
若要获取检测到的威胁的名称,请运行以下命令:
mdatp threat list
例如,若要添加到 EICAR-Test-File (not a virus) 允许列表,请运行以下命令:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
另请参阅
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。