Konfigurace a ověření vyloučení pro Microsoft Defender for Endpoint v Linuxu

  • Článek

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tento článek obsahuje informace o tom, jak definovat antivirová a globální vyloučení pro Microsoft Defender for Endpoint. Vyloučení antivirové ochrany se vztahují na kontroly na vyžádání, ochranu v reálném čase (RTP) a monitorování chování (BM). Globální vyloučení platí pro ochranu v reálném čase (RTP), monitorování chování (BM) a detekci a odezvu koncových bodů (EDR), čímž se zastaví všechny přidružené antivirové detekce, výstrahy EDR a viditelnost vyloučené položky.

Důležité

Vyloučení antivirového softwaru popsaná v tomto článku se vztahují pouze na antivirové funkce, a ne na detekci a odezvu koncových bodů (EDR). Soubory, které vyloučíte pomocí vyloučení antivirového softwaru popsaného v tomto článku, můžou přesto aktivovat upozornění EDR a další detekce. Globální vyloučení popsaná v této části se vztahují na možnosti detekce antivirového softwaru a koncových bodů a odpovědí, čímž se zastaví veškerá přidružená antivirová ochrana, upozornění EDR a detekce. Globální vyloučení jsou aktuálně ve verzi Public Preview a jsou k dispozici ve verzi 101.23092.0012 Defender for Endpoint nebo novější v okruhu Insiders Slow a Production. V případě vyloučení EDR se obraťte na podporu.

Z Defenderu for Endpoint v Linuxu můžete vyloučit určité soubory, složky, procesy a soubory otevřené procesem.

Vyloučení můžou být užitečná, když se chcete vyhnout nesprávné detekci souborů nebo softwaru, které jsou jedinečné nebo přizpůsobené vaší organizaci. Globální vyloučení jsou užitečná pro zmírnění problémů s výkonem způsobených defenderem for Endpoint v Linuxu.

Upozornění

Definováním vyloučení snížíte ochranu, kterou defender for Endpoint nabízí v Linuxu. Vždy byste měli vyhodnotit rizika spojená s implementací vyloučení a vyloučit pouze soubory, o které jste přesvědčeni, že nejsou škodlivé.

Podporované obory vyloučení

Jak je popsáno v předchozí části, podporujeme dva obory vyloučení: antivirové (epp) a globální (global) vyloučení.

Vyloučení antivirové ochrany je možné použít k vyloučení důvěryhodných souborů a procesů z ochrany v reálném čase při zachování viditelnosti EDR. Globální vyloučení se používají na úrovni senzoru a k ztlumení událostí, které splňují podmínky vyloučení velmi brzy v toku, než se provede jakékoli zpracování, a tím se zastaví všechna upozornění EDR a antivirové detekce.

Poznámka

Globální (global) je nový obor vyloučení, který zavádíme kromě antivirových (epp) oborů vyloučení, které už Microsoft podporuje.

Kategorie vyloučení Rozsah vyloučení Popis
Vyloučení antivirové ochrany Antivirový modul
(obor: epp)		 Vyloučí obsah z antivirových kontrol a kontrol na vyžádání.
Globální vyloučení Antivirová ochrana a modul pro zjišťování koncových bodů a odpovědi
(obor: globální)		 Vyloučí události z ochrany v reálném čase a viditelnosti EDR. Ve výchozím nastavení se nevztahuje na kontroly na vyžádání.

Podporované typy vyloučení

Následující tabulka uvádí typy vyloučení podporované defenderem for Endpoint v Linuxu.

Vyloučení Vysvětlení Příklady
Přípona souboru Všechny soubory s příponou kdekoli na zařízení (není k dispozici pro globální vyloučení) .test
Soubor Konkrétní soubor identifikovaný úplnou cestou /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Složka Všechny soubory v zadané složce (rekurzivně) /var/log/
/var/*/
Proces Konkrétní proces (zadaný úplnou cestou nebo názvem souboru) a všechny soubory, které otevřel /bin/cat
cat
c?t

Důležité

Použité cesty musí být pevné, nikoli symbolické odkazy, aby byly úspěšně vyloučeny. Spuštěním příkazu můžete zkontrolovat, jestli je cesta symbolickým odkazem file <path-name>.

Vyloučení souborů, složek a procesů podporují následující zástupné cardy:

Poznámka

Před přidáním nebo odebráním vyloučení souborů s globálním oborem musí být cesta k souboru. Při konfiguraci globálních vyloučení nejsou podporovány zástupné é činy.

Zástupný znak Popis Příklady
* Odpovídá libovolnému počtu znaků včetně žádné.
(Poznámka: Pokud se tento zástupný znak nepoužívá na konci cesty, nahradí pouze jednu složku.)		 /var/*/tmp zahrnuje všechny soubory v /var/abc/tmp podadresářích a jejich podadresářích a /var/def/tmp podadresářích. Neobsahuje /var/abc/log nebo /var/def/log

/var/*/ obsahuje pouze všechny soubory ve svých podadresářích, například /var/abc/, ale ne soubory přímo uvnitř /var.
? Odpovídá jakémukoli jednomu znaku. file?.log zahrnuje file1.log a file2.log, ale nefile123.log

Poznámka

V případě vyloučení antivirového softwaru bude při použití zástupného znaku * na konci cesty odpovídat všem souborům a podadresářům pod nadřazeným zástupným znakem.

Postup konfigurace seznamu vyloučení

Použití konzoly pro správu

Informace o konfiguraci vyloučení z Puppetu, Ansible nebo jiné konzoly pro správu najdete v následující ukázce mdatp_managed.json.

{
   "exclusionSettings":{
     "exclusions":[
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/home/*/git<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/run<EXAMPLE DO NOT USE>",
           "scopes": [
              "global"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":false,
           "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
           "scopes": [
              "epp", "global"
           ]
        },
        {
           "$type":"excludedFileExtension",
           "extension":".pdf<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedFileName",
           "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
        }
     ],
     "mergePolicy":"admin_only"
   }
}

Další informace najdete v tématu Nastavení předvoleb pro Defender for Endpoint v Linuxu.

Použití příkazového řádku

Spuštěním následujícího příkazu zobrazte dostupné přepínače pro správu vyloučení:

Poznámka

--scope je volitelný příznak s přijatou hodnotou nebo eppglobal. Poskytuje stejný obor, který se používá při přidávání vyloučení, aby se stejné vyloučení odebralo. Pokud v přístupu k příkazovému řádku není obor zmíněn, je hodnota oboru nastavena na epphodnotu . Vyloučení přidaná prostřednictvím rozhraní příkazového řádku před zavedením příznaku --scope zůstanou nedotčená a jejich rozsah se považuje za epp.

mdatp exclusion

Tip

Při konfiguraci vyloučení pomocí zástupných znaků uzavřete parametr do dvojitých uvozovek, aby se zabránilo globbingu.

Příklady:

  • Přidání vyloučení pro příponu souboru (vyloučení rozšíření se nepodporuje pro globální obor vyloučení):

    mdatp exclusion extension add --name .txt

    Extension exclusion configured successfully

    mdatp exclusion extension remove --name .txt

    Extension exclusion removed successfully

  • Přidání nebo odebrání vyloučení pro soubor (cesta k souboru by už měla být přítomen v případě přidání nebo odebrání vyloučení v globálním rozsahu):

    mdatp exclusion file add --path /var/log/dummy.log --scope epp

    File exclusion configured successfully

    mdatp exclusion file remove --path /var/log/dummy.log --scope epp

    File exclusion removed successfully"

    mdatp exclusion file add --path /var/log/dummy.log --scope global

    File exclusion configured successfully

    mdatp exclusion file remove --path /var/log/dummy.log --scope global

    File exclusion removed successfully"

  • Přidání nebo odebrání vyloučení složky:

    mdatp exclusion folder add --path /var/log/ --scope epp

    Folder exclusion configured successfully

    mdatp exclusion folder remove --path /var/log/ --scope epp

    Folder exclusion removed successfully

      mdatp exclusion folder add --path /var/log/ --scope global

    Folder exclusion configured successfully

    mdatp exclusion folder remove --path /var/log/ --scope global

    Folder exclusion removed successfully

  • Přidání vyloučení pro druhou složku:

    mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder  --scope global

    Folder exclusion configured successfully

  • Přidejte vyloučení pro složku se zástupným znakem:

    Poznámka

    Při konfiguraci globálních vyloučení nejsou podporovány zástupné é činy.

    mdatp exclusion folder add --path "/var/*/tmp"

    Poznámka

    Tím se vyloučí pouze cesty pod /var/*/tmp/, ale ne složky, které jsou na stejné úrovni jako tmp; Například /var/this-podsložka/tmp, ale ne /var/this-podsložka/log.

    mdatp exclusion folder add --path "/var/" --scope epp

    NEBO

    mdatp exclusion folder add --path "/var/*/" --scope epp

    Poznámka

    Tím se vyloučí všechny cesty, jejichž nadřazený objekt je /var/; například /var/this-podsložka/and-this-podsložka-as-well.

    Folder exclusion configured successfully

  • Přidání vyloučení pro proces:

    mdatp exclusion process add --name /usr/bin/cat --scope global 

    Process exclusion configured successfully

    mdatp exclusion process remove --name /usr/bin/cat  --scope global

    Process exclusion removed successfully

      mdatp exclusion process add --name /usr/bin/cat --scope epp 

    Process exclusion configured successfully

    mdatp exclusion process remove --name /usr/bin/cat  --scope epp

    Process exclusion removed successfully

  • Přidání vyloučení pro druhý proces:

    mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --name dog --scope global

    Process exclusion configured successfully

Ověření seznamů vyloučení pomocí testovacího souboru EICAR

Pomocí nástroje ke stažení testovacího souboru můžete ověřit, jestli seznamy vyloučení fungují curl .

V následujícím fragmentu kódu Bash nahraďte test.txt souborem, který odpovídá vašim pravidlům vyloučení. Pokud jste například vyloučili .testing rozšíření, nahraďte test.txt parametrem test.testing. Pokud testujete cestu, ujistěte se, že jste v této cestě spustili příkaz.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Pokud Defender for Endpoint v Linuxu hlásí malware, pravidlo nefunguje. Pokud neexistuje žádná zpráva o malwaru a stažený soubor existuje, vyloučení funguje. Soubor můžete otevřít a ověřit, že obsah je stejný jako obsah, který je popsán na webu testovacího souboru EICAR.

Pokud nemáte přístup k internetu, můžete si vytvořit vlastní testovací soubor EICAR. Pomocí následujícího příkazu Bash zapište řetězec EICAR do nového textového souboru:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Řetězec můžete také zkopírovat do prázdného textového souboru a pokusit se ho uložit s názvem souboru nebo do složky, kterou se pokoušíte vyloučit.

Povolit hrozby

Kromě vyloučení určitého obsahu ze skenování můžete také nakonfigurovat produkt tak, aby nezjistil některé třídy hrozeb (identifikované názvem hrozby). Při používání této funkce byste měli být opatrní, protože může vaše zařízení zůstat nechráněné.

Pokud chcete přidat název hrozby do seznamu povolených, spusťte následující příkaz:

mdatp threat allowed add --name [threat-name]

Název hrozby přidružené k detekci na vašem zařízení můžete získat pomocí následujícího příkazu:

mdatp threat list

Pokud chcete například přidat EICAR-Test-File (not a virus) (název hrozby přidružené k detekci EICAR) do seznamu povolených, spusťte následující příkaz:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.