Configurare e convalidare le esclusioni per Microsoft Defender per endpoint in Linux
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Questo articolo fornisce informazioni su come definire l'antivirus e le esclusioni globali per Microsoft Defender per endpoint. Le esclusioni antivirus si applicano alle analisi su richiesta, alla protezione in tempo reale (RTP) e al monitoraggio del comportamento (BM). Le esclusioni globali si applicano alla protezione in tempo reale (RTP), al monitoraggio del comportamento (BM) e al rilevamento e alla risposta degli endpoint (EDR), arrestando così tutti i rilevamenti antivirus associati, gli avvisi EDR e la visibilità per l'elemento escluso.
Importante
Le esclusioni antivirus descritte in questo articolo si applicano solo alle funzionalità antivirus e non al rilevamento e alla risposta degli endpoint (EDR). I file esclusi usando le esclusioni antivirus descritte in questo articolo possono comunque attivare avvisi EDR e altri rilevamenti. Le esclusioni globali descritte in questa sezione si applicano alle funzionalità di rilevamento e risposta di antivirus ed endpoint, arrestando così tutte le protezioni antivirus associate, gli avvisi EDR e i rilevamenti. Le esclusioni globali sono attualmente in anteprima pubblica e sono disponibili nella versione 101.23092.0012 di Defender per endpoint o versioni successive, negli anelli Insiders Slow e Production. Per le esclusioni EDR, contattare il supporto tecnico.
È possibile escludere determinati file, cartelle, processi e file aperti dal processo da Defender per endpoint in Linux.
Le esclusioni possono essere utili per evitare rilevamenti non corretti su file o software univoci o personalizzati per l'organizzazione. Le esclusioni globali sono utili per attenuare i problemi di prestazioni causati da Defender per endpoint in Linux.
Avviso
La definizione delle esclusioni riduce la protezione offerta da Defender per endpoint in Linux. È consigliabile valutare sempre i rischi associati all'implementazione delle esclusioni e escludere solo i file sicuri che non siano dannosi.
Ambiti di esclusione supportati
Come descritto in una sezione precedente, sono supportati due ambiti di esclusione: antivirus (epp) e esclusione globale (global).
Le esclusioni antivirus possono essere usate per escludere i file e i processi attendibili dalla protezione in tempo reale, pur mantenendo la visibilità EDR. Le esclusioni globali vengono applicate a livello di sensore e per disattivare gli eventi che corrispondono alle condizioni di esclusione molto presto nel flusso, prima che venga eseguita qualsiasi elaborazione, arrestando così tutti gli avvisi EDR e i rilevamenti antivirus.
Nota
Global (global) è un nuovo ambito di esclusione che viene introdotto oltre agli ambiti di esclusione antivirus (epp) già supportati da Microsoft.
| Categoria di esclusione | Ambito di esclusione | Descrizione |
|---|---|---|
| Esclusione antivirus | Motore antivirus (ambito: epp) |
Esclude il contenuto dalle analisi antivirus (AV) e dalle analisi su richiesta. |
| Esclusione globale | Rilevamento di antivirus ed endpoint e motore di risposta (ambito: globale) |
Esclude gli eventi dalla protezione in tempo reale e dalla visibilità EDR. Non si applica alle analisi su richiesta per impostazione predefinita. |
Tipi di esclusione supportati
La tabella seguente illustra i tipi di esclusione supportati da Defender per endpoint in Linux.
| Esclusione | Definizione | Esempi |
|---|---|---|
| Estensione del file | Tutti i file con l'estensione, in qualsiasi punto del dispositivo (non disponibili per le esclusioni globali) | .test |
| File | Un file specifico identificato dal percorso completo | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Cartella | Tutti i file nella cartella specificata (in modo ricorsivo) | /var/log//var/*/ |
| Procedura | Un processo specifico (specificato dal percorso completo o dal nome del file) e tutti i file da esso aperti | /bin/catcatc?t |
Importante
I percorsi utilizzati devono essere collegamenti reali, non collegamenti simbolici, per essere esclusi correttamente. È possibile controllare se un percorso è un collegamento simbolico eseguendo file <path-name>.
Le esclusioni di file, cartelle e processi supportano i caratteri jolly seguenti:
Nota
Il percorso del file deve essere presente prima di aggiungere o rimuovere esclusioni di file con ambito globale. I caratteri jolly non sono supportati durante la configurazione delle esclusioni globali.
| Carattere jolly | Descrizione | Esempi |
|---|---|---|
| * | Corrisponde a un numero qualsiasi di caratteri, tra cui nessuno Si noti che se questo carattere jolly non viene usato alla fine del percorso, sostituisce una sola cartella. |
/var/*/tmp include qualsiasi file in /var/abc/tmp e le relative sottodirectory e /var/def/tmp le relative sottodirectory. Non include /var/abc/log o /var/def/log
|
| ? | Corrisponde a qualsiasi carattere singolo |
file?.log include file1.log e file2.log, ma nonfile123.log |
Nota
Per le esclusioni antivirus, quando si usa il carattere jolly * alla fine del percorso, corrisponderà a tutti i file e le sottodirectory sotto l'elemento padre del carattere jolly.
Come configurare l'elenco delle esclusioni
Uso della console di gestione
Per configurare le esclusioni da Puppet, Ansible o da un'altra console di gestione, vedere l'esempio mdatp_managed.jsonseguente.
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Per altre informazioni, vedere Impostare le preferenze per Defender per endpoint in Linux.
Uso della riga di comando
Eseguire il comando seguente per visualizzare le opzioni disponibili per la gestione delle esclusioni:
Nota
--scope è un flag facoltativo con valore accettato come epp o global. Fornisce lo stesso ambito usato durante l'aggiunta dell'esclusione per rimuovere la stessa esclusione. Nell'approccio da riga di comando, se l'ambito non viene menzionato, il valore dell'ambito viene impostato su epp.
Le esclusioni aggiunte tramite l'interfaccia della riga di comando prima dell'introduzione del --scope flag rimangono inalterate e il relativo ambito viene considerato epp.
mdatp exclusion
Consiglio
Quando si configurano esclusioni con caratteri jolly, racchiudere il parametro tra virgolette doppie per impedire il globbing.
Esempi:
Aggiungere un'esclusione per un'estensione di file (l'esclusione dell'estensione non è supportata per l'ambito di esclusione globale):
mdatp exclusion extension add --name .txtExtension exclusion configured successfullymdatp exclusion extension remove --name .txtExtension exclusion removed successfullyAggiungere/rimuovere un'esclusione per un file (il percorso del file deve essere già presente in caso di aggiunta o rimozione dell'esclusione con ambito globale):
mdatp exclusion file add --path /var/log/dummy.log --scope eppFile exclusion configured successfullymdatp exclusion file remove --path /var/log/dummy.log --scope eppFile exclusion removed successfully"mdatp exclusion file add --path /var/log/dummy.log --scope globalFile exclusion configured successfullymdatp exclusion file remove --path /var/log/dummy.log --scope globalFile exclusion removed successfully"Aggiungere/rimuovere un'esclusione per una cartella:
mdatp exclusion folder add --path /var/log/ --scope eppFolder exclusion configured successfullymdatp exclusion folder remove --path /var/log/ --scope eppFolder exclusion removed successfullymdatp exclusion folder add --path /var/log/ --scope globalFolder exclusion configured successfullymdatp exclusion folder remove --path /var/log/ --scope globalFolder exclusion removed successfullyAggiungere un'esclusione per una seconda cartella:
mdatp exclusion folder add --path /var/log/ --scope epp mdatp exclusion folder add --path /other/folder --scope globalFolder exclusion configured successfullyAggiungere un'esclusione per una cartella con un carattere jolly:
Nota
I caratteri jolly non sono supportati durante la configurazione delle esclusioni globali.
mdatp exclusion folder add --path "/var/*/tmp"Nota
Verranno esclusi solo i percorsi in /var/*/tmp/, ma non le cartelle di pari livello di tmp; Ad esempio, /var/this-subfolder/tmp, ma non /var/this-subfolder/log.
mdatp exclusion folder add --path "/var/" --scope eppOPPURE
mdatp exclusion folder add --path "/var/*/" --scope eppNota
Verranno esclusi tutti i percorsi il cui padre è /var/; Ad esempio, /var/this-subfolder/and-this-subfolder-as-well.
Folder exclusion configured successfullyAggiungere un'esclusione per un processo:
mdatp exclusion process add --name /usr/bin/cat --scope globalProcess exclusion configured successfullymdatp exclusion process remove --name /usr/bin/cat --scope globalProcess exclusion removed successfullymdatp exclusion process add --name /usr/bin/cat --scope eppProcess exclusion configured successfullymdatp exclusion process remove --name /usr/bin/cat --scope eppProcess exclusion removed successfullyAggiungere un'esclusione per un secondo processo:
mdatp exclusion process add --name cat --scope epp mdatp exclusion process add --name dog --scope globalProcess exclusion configured successfully
Convalidare gli elenchi di esclusioni con il file di test EICAR
È possibile verificare che gli elenchi di esclusione funzionino usando curl per scaricare un file di test.
Nel frammento di codice Bash seguente sostituire test.txt con un file conforme alle regole di esclusione. Ad esempio, se l'estensione è .testing stata esclusa, sostituire test.txt con test.testing. Se si sta testando un percorso, assicurarsi di eseguire il comando all'interno di tale percorso.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Se Defender per endpoint in Linux segnala malware, la regola non funziona. Se non è presente alcun report di malware e il file scaricato esiste, l'esclusione funziona. È possibile aprire il file per verificare che il contenuto sia uguale a quello descritto nel sito Web del file di test EICAR.
Se non si ha accesso a Internet, è possibile creare un file di test EICAR personalizzato. Scrivere la stringa EICAR in un nuovo file di testo con il comando Bash seguente:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
È anche possibile copiare la stringa in un file di testo vuoto e tentare di salvarla con il nome del file o nella cartella che si sta tentando di escludere.
Consenti minacce
Oltre ad escludere l'analisi di alcuni contenuti, è anche possibile configurare il prodotto per non rilevare alcune classi di minacce (identificate dal nome della minaccia). È consigliabile prestare attenzione quando si usa questa funzionalità, in quanto può lasciare il dispositivo non protetto.
Per aggiungere un nome di minaccia all'elenco consentito, eseguire il comando seguente:
mdatp threat allowed add --name [threat-name]
Il nome della minaccia associato a un rilevamento nel dispositivo può essere ottenuto usando il comando seguente:
mdatp threat list
Ad esempio, per aggiungere EICAR-Test-File (not a virus) (il nome della minaccia associato al rilevamento EICAR) all'elenco consentito, eseguire il comando seguente:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.