在Linux上設定和驗證 適用於端點的 Microsoft Defender排除專案
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
本文提供如何定義適用於隨選掃描的排除專案,以及即時保護和監視的資訊。
重要事項
本文所述的排除專案不適用於Linux上適用於端點的其他Defender功能,包括端點偵測和回應 (EDR) 。 您使用本文所述的方法排除的檔案,仍然可以觸發 EDR 警示和其他偵測。 針對 EDR 排除專案, 請連絡支持人員。
您可以從 Linux 上的適用於端點的 Defender 掃描中排除特定檔案、資料夾、進程和進程開啟的檔案。
排除項目有助於避免對組織唯一或自定義的檔案或軟體進行不正確的偵測。 它們也有助於減輕 Linux 上適用於端點的 Defender 所造成的效能問題。
警告
定義排除專案會降低適用於Linux上適用於端點的Defender所提供的保護。 您應該一律評估與實作排除專案相關聯的風險,而且應該只排除您確信不是惡意的檔案。
支援的排除類型
下表顯示Linux上適用於端點的Defender所支援的排除類型。
排除 | 定義 | 範例 |
---|---|---|
副檔名 | 所有具有擴充功能的檔案,位於裝置上的任何位置 | .test |
檔案 | 完整路徑所識別的特定檔案 | /var/log/test.log /var/log/*.log /var/log/install.?.log |
資料夾 | 指定資料夾下的所有檔案 (遞歸) | /var/log/ /var/*/ |
程序 | 特定進程 (由完整路徑或檔名指定) 以及其開啟的所有檔案 | /bin/cat cat c?t |
重要事項
上述路徑必須是硬式連結,而不是符號連結,才能成功排除。 您可以執行 來檢查路徑是否為符號連結 file <path-name>
。
檔案、資料夾和行程排除項目支援下列通配符:
萬用字元 | 描述 | 範例 |
---|---|---|
* | 比對任何數目的任何字元,包括無 (注意如果路徑結尾未使用此通配符,則只會取代一個資料夾) | /var/*/tmp 包含中的任何檔案 /var/abc/tmp 及其子目錄,以及 /var/def/tmp 及其子目錄。 不包含 /var/abc/log 或 /var/def/log
|
? | 比對任何單一字元 | file?.log 包含和 file2.log ,但不包含file1.log file123.log |
注意事項
在路徑結尾使用 * 通配符時,它會比對通配符父系下的所有檔案和子目錄。
如何設定排除清單
從管理主控台
如需如何設定 Puppet、Ansible 或其他管理控制台排除專案的詳細資訊,請參閱設定 Linux 上適用於端點的 Defender 的喜好設定。
從命令行
執行下列命令,以查看可用的參數來管理排除專案:
mdatp exclusion
提示
使用通配符設定排除範圍時,請以雙引弧括住 參數,以防止通配符。
範例:
新增延伸名的排除專案:
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
新增檔案的排除專案:
mdatp exclusion file add --path /var/log/dummy.log
File exclusion configured successfully
新增資料夾的排除專案:
mdatp exclusion folder add --path /var/log/
Folder exclusion configured successfully
新增第二個資料夾的排除專案:
mdatp exclusion folder add --path /var/log/ mdatp exclusion folder add --path /other/folder
Folder exclusion configured successfully
在資料夾中新增包含通配符的資料夾排除專案:
mdatp exclusion folder add --path "/var/*/tmp"
注意事項
這隻會排除 /var/*/tmp/以下的路徑,但不會排除屬於 tmp 同層級的資料夾;例如, /var/this-subfolder/tmp,但不是 /var/this-subfolder/log。
mdatp exclusion folder add --path "/var/"
OR
mdatp exclusion folder add --path "/var/*/"
注意事項
這會排除其父系為 /var/的所有路徑;例如, /var/this-subfolder/and-this-subfolder-well。
Folder exclusion configured successfully
新增行程的排除專案:
mdatp exclusion process add --name cat
Process exclusion configured successfully
新增第二個進程的排除專案:
mdatp exclusion process add --name cat mdatp exclusion process add --name dog
Process exclusion configured successfully
使用 EICAR 測試檔案驗證排除清單
您可以使用 curl
下載測試檔案來驗證排除清單是否正常運作。
在下列 Bash 代碼段中,將 取代 test.txt
為符合排除規則的檔案。 例如,如果您已排除延伸模組 .testing
,請將 取代 test.txt
為 test.testing
。 如果您要測試路徑,請確定您在該路徑內執行 命令。
curl -o test.txt https://secure.eicar.org/eicar.com.txt
如果適用於Linux上的適用於端點的Defender報告惡意代碼,則規則無法運作。 如果沒有惡意代碼報告,且下載的檔案存在,則排除作業正常。 您可以開啟 檔案,確認內容與 EICAR 測試檔案網站上所述的內容相同。
如果您沒有因特網存取權,您可以建立自己的 EICAR 測試檔案。 使用下列 Bash 命令,將 EICAR 字串寫入新的文字檔:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
您也可以將字串複製到空白文本檔,並嘗試使用檔名或您嘗試排除的資料夾來儲存它。
允許威脅
除了排除要掃描的特定內容之外,您也可以將產品設定為不要偵測威脅 (由威脅名稱) 識別的某些威脅類別。 使用這項功能時,您應該小心謹慎,因為它可能會讓您的裝置不受保護。
若要將威脅名稱新增至允許的清單,請執行下列命令:
mdatp threat allowed add --name [threat-name]
您可以使用下列命令,取得與裝置上偵測相關聯的威脅名稱:
mdatp threat list
例如,若要將 (與 EICAR 偵測) 相關聯的威脅名稱新 EICAR-Test-File (not a virus)
增至允許的清單,請執行下列命令:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應