本文提供如何定義 適用於端點的 Microsoft Defender 的防毒與全域排除條款的資訊。 防毒排除適用於按需掃描、即時保護 (RTP) ,以及 BM) (行為監控。 全域排除適用於即時保護 (RTP) 、BM) 行為監控 (EDR) 端點偵測與 (回應,從而停止所有相關的防毒偵測、EDR 警示及排除項目的可見性。
重要事項
本文所述的防毒排除條款僅適用於防毒功能,不適用於端點偵測與回應 (EDR) 。 使用本文描述的防毒排除選項排除的檔案仍可能導致 EDR 警示及其他偵測。 本節所述的全域排除條款適用於防毒軟體及 EDR 功能,因此會停止所有相關的防毒保護、EDR 警示與偵測。 全域排除項目可在 Linux 101.23092.0012 版本或更新版本的 Defender for Endpoint 生產環境中提供。 如果是僅限 EDR 排除,請 聯絡客服。
你可以在 Linux 上排除某些檔案、資料夾、程序和程序開啟的檔案,從 Defender for Endpoint 中移除。
排除條款有助於避免在獨特或為貴組織客製化的檔案或軟體中出現錯誤偵測。 全域排除功能有助於緩解 Defender for Endpoint 在 Linux 上造成的效能問題。
警告
定義排除項會降低 Defender for Endpoint 在 Linux 上所提供的保護。 你應該評估實施排除條款所帶來的風險,並且只排除你確信不是惡意的檔案。
重要事項
如果你想並行運行多個安全解決方案,請參閱 效能、設定與支援的考量。
你可能已經為適用於端點的 Microsoft Defender 裝置設定了相互安全排除。 如果你仍需設定相互排除以避免衝突,請參閱「新增 適用於端點的 Microsoft Defender」到你現有解決方案的排除清單中。
支援的排除範圍
如前述所述,我們支援兩種排除範圍:防毒 (epp) 與全球 (global) 排除範圍。
防毒排除功能可用於排除受信任的檔案與程序,同時保持 EDR 的可視性。 全域排除會在感測器層級應用,並在流程早期靜音符合排除條件的事件,然後在任何處理完成前,從而停止所有 EDR 警示與防毒偵測。
注意事項
全球 (global) 是我們新增的排除範圍,除了防毒 (epp) 排除範圍外,Microsoft已支援。
| 排除類別 | 排除範圍 | 描述 |
|---|---|---|
| 防毒軟體排除 | 防毒引擎 (範圍:epp) |
排除按需掃描、即時保護 (RTP) ,以及行為監控 (BM) 。 |
| 全球排斥 | 防毒與端點偵測與回應引擎 (範圍:全球) |
將事件排除在即時保護和EDR可見之外。 預設情況下,按需掃描不適用。 |
重要事項
全域排除條款不適用於網路保護,因此由網路保護產生的警報仍會顯示。
若要將程序排除在網路保護之外,請使用 mdatp network-protection exclusion
支援的排除類型
下表顯示 Defender for Endpoint 在 Linux 上支援的排除類型。
| 排除 | 定義 | 範例 |
|---|---|---|
| 副檔名 | 裝置上所有帶有副檔名的檔案, (無法用於全域排除) | .test |
| 檔案 | 由完整路徑識別的特定檔案 | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| 資料夾 | 指定資料夾下的所有檔案 (遞迴) | /var/log//var/*/ |
| 程序 | 特定程序 (完整路徑或檔案名稱) 及所有由該路徑開啟的檔案來指定。 防毒排除功能可以透過完整路徑或檔案名稱來新增,但全域排除只能使用完整且受信任的程序啟動路徑。 在這兩種情況下,建議使用完整路徑。 |
/bin/catcatc?t |
重要事項
所使用的路徑必須是硬連結,而非符號連結,才能成功排除。 你可以透過執行 file <path-name>來檢查一條路徑是否為符號連結。 在實施全域流程排除時,僅排除確保系統可靠性與安全性所必需的部分。 確認程序是已知且可信的,指定通往程序位置的完整路徑,並確認程序會從同一受信任的完整路徑持續啟動。
檔案、資料夾及程序排除項目支援以下萬用字元:
| 萬用字元 | 描述 | 範例 |
|---|---|---|
| * | 匹配任意數量的字元,包括零字元 (注意,如果這個通行符在路徑末尾沒有使用,那它只會替換一個資料夾) |
/var/*/tmp 包含任何檔案 /var/abc/tmp 及其子目錄,以及 /var/def/tmp 其子目錄。 它不包含 /var/abc/log 或 /var/def/log
|
| ? | 匹配任何單一角色 |
file?.log包含 和 file2.log,但不包含file1.logfile123.log |
注意事項
在設定全域排除時不支援萬用字元。 針對防毒排除,當使用路徑末尾的 * 萬用字元時,會匹配該通行卡父目錄下的所有檔案和子目錄。 檔案路徑必須先存在,才能新增或移除檔案排除,且範圍為全域。
如何設定排除清單
你可以使用管理 JSON 設定、Defender for Endpoint 的安全設定管理,或是命令列來設定排除項目。
使用管理控制台
在企業環境中,排除項目也可以透過設定檔來管理。 通常你會使用像 Puppet、Ansible 或其他管理控制台這類設定管理工具,將帶有該名稱 mdatp_managed.json 的檔案推送到該位置 /etc/opt/microsoft/mdatp/managed/。 欲了解更多資訊,請參閱 Linux 版 Defender for Endpoint 設定偏好設定。 請參考以下範例。mdatp_managed.json
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
使用 Defender for Endpoint 安全設定管理
注意事項
務必檢視前置條件: Defender for Endpoint 安全設定管理前置條件
你可以使用 Microsoft Intune 管理中心或 Microsoft Defender 入口網站,將排除事項作為端點安全政策管理,並將這些政策指派給 Microsoft Entra ID 群組。 如果你是第一次使用這個方法,務必完成以下步驟:
1. 設定您的租戶以支援安全設定管理
在 Microsoft Defender 入口網站中,前往設定>端點>組態管理>強制範圍,然後選擇 Linux 平台。
用標籤
MDE-Management標記裝置。 大多數裝置會在幾分鐘內註冊並收到保單,雖然有些可能需要長達 24 小時。 欲了解更多資訊,請參閱「了解如何使用 Intune 端點安全政策來管理未註冊 Intune 裝置上的 適用於端點的 Microsoft Defender」。
2. 建立 Microsoft Entra 群組
根據作業系統類型建立一個動態的 Microsoft Entra 群組,以確保所有已接入 Defender for Endpoint 的裝置都獲得適當的政策。 這個動態群組自動包含由 Defender for Endpoint 管理的裝置,省去管理員手動建立新政策的需求。 欲了解更多資訊,請參閱以下文章:建立 Microsoft Entra 群組
3. 建立端點安全政策
在 Microsoft Defender 入口網站中,前往端點>組態管理>端點安全政策,然後選擇建立新政策。
選擇平台,選擇 Linux。
選擇所需的排除範本 (
Microsoft defender global exclusions (AV+EDR)用於全域排除及Microsoft defender antivirus exclusions防毒排除,) ,然後選擇 建立政策。在 [基本] 頁面上,輸入新設定檔的名稱與描述,然後選擇 [下一步]。
在 設定 頁面,展開每一組設定,並設定你想用這個設定檔管理的設定。
完成設定後,請選取 [下一步]。
在 分配 頁面,選擇收到此資料的團體。 然後選取 [下一步]。
在「 評論+建立 」頁面,完成後選擇 儲存。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。
更多資訊請參考:管理端點安全政策,並適用於端點的 Microsoft Defender。
使用命令列
執行以下指令以查看可用於管理排除物件的交換器:
mdatp exclusion
注意事項
--scope 是一個可選的旗標,其接受值為或 eppglobal。 它提供與加入排除條款時相同的範圍,以移除相同的排除條款。 在命令列方法中,如果未提及作用域,則作用域值會設定為 epp。
在引入 --scope 旗標前透過 CLI 新增的排除項目不受影響,其範圍也會被考慮 epp。
提示
在用萬用字組設定排除時,請用雙引號包住參數,以防止重複。
本節包含數個範例。
範例 1:為檔案副檔名新增排除
你可以為檔案副檔名加上排除。 請注意,擴展排除在全域排除範圍中並不支援。
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully
範例二:新增或移除檔案排除
你可以新增或移除檔案的排除條款。 如果你在全域範圍新增或移除排除項目,檔案路徑應該已經存在。
mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"
範例 3:新增或移除資料夾排除
你可以新增或移除資料夾的排除項目。
mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully
範例 4:為第二個資料夾新增排除
你可以為第二個資料夾新增排除。
mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder --scope global
Folder exclusion configured successfully
範例 5:用通配字加入資料夾排除
你可以為帶有萬用卡的資料夾新增排除。 請注意,設定全域排除時不支援通配符。
mdatp exclusion folder add --path "/var/*/tmp"
前一個指令排除了路徑, */var/*/tmp/*但不排除與 為兄弟的 *tmp*資料夾。 例如, */var/this-subfolder/tmp* 被排除,但 */var/this-subfolder/log* 又不被排除。
mdatp exclusion folder add --path "/var/" --scope epp
OR
mdatp exclusion folder add --path "/var/*/" --scope epp
前一個指令排除所有父路徑為 */var/*,例如 */var/this-subfolder/and-this-subfolder-as-well*。
Folder exclusion configured successfully
範例 6:為程序新增排除項目
你可以為某個程序新增排除條款。
mdatp exclusion process add --path /usr/bin/cat --scope global
Process exclusion configured successfully
mdatp exclusion process remove --path /usr/bin/cat --scope global
注意事項
僅支援完整路徑以設定有 global 範圍的程序排除。
只 --path 用旗標
Process exclusion removed successfully
mdatp exclusion process add --name cat --scope epp
Process exclusion configured successfully
mdatp exclusion process remove --name cat --scope epp
Process exclusion removed successfully
範例 7:為第二個程序新增排除
你可以為第二個程序新增排除條款。
mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global
Process exclusion configured successfully
使用 EICAR 測試檔案驗證排除清單
你可以透過下載 curl 測試檔案來驗證排除清單是否運作。
以下 Bash 摘要中,請替換 test.txt 為符合排除規則的檔案。 例如,如果你排除了擴展, .testing 請將 替換 test.txt 為 test.testing。 如果你在測試路徑,請確保你在該路徑內執行該指令。
curl -o test.txt https://secure.eicar.org/eicar.com.txt
如果 Linux 上的 Defender for Endpoint 報告惡意軟體,那規則就無法運作。 如果沒有惡意軟體的通報,且下載的檔案存在,那排除機制就有效。 你可以打開檔案確認內容是否與 EICAR測試檔案網站上描述相同。
如果你沒有網路連線,也可以自行建立 EICAR 測驗檔案。 請使用以下 Bash 指令將 EICAR 字串寫入新的文字檔:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
你也可以把字串複製到空白文字檔,然後嘗試用檔名或你想排除的資料夾來儲存。
允許威脅
除了排除某些內容被掃描外,你也可以設定 Linux 上的 Defender for Endpoint,讓某些威脅類別(以威脅名稱識別)不偵測。
警告
使用此功能時請特別小心,因為這可能會讓您的裝置失去保護。
要將威脅名稱加入允許清單,請執行以下指令:
mdatp threat allowed add --name [threat-name]
要取得偵測到的威脅名稱,請執行以下指令:
mdatp threat list
例如,要加入 EICAR-Test-File (not a virus) 允許清單,請執行以下指令:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"