Настройка и проверка исключений для Microsoft Defender для конечной точки в Linux
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
В этой статье содержатся сведения о том, как определить антивирусные и глобальные исключения для Microsoft Defender для конечной точки. Исключения антивирусной программы применяются к проверкам по запросу, защите в режиме реального времени (RTP) и мониторингу поведения (BM). Глобальные исключения применяются к защите в реальном времени (RTP), мониторингу поведения (BM) и обнаружению и реагированию конечных точек (EDR), тем самым останавливая все связанные обнаружения антивирусной программы, оповещения EDR и видимость для исключенного элемента.
Важно!
Исключения антивирусной программы, описанные в этой статье, применяются только к возможностям антивирусной программы, а не к обнаружению и реагированию конечных точек (EDR). Файлы, которые вы исключаете с помощью исключений антивирусной программы, описанных в этой статье, по-прежнему могут активировать оповещения EDR и другие обнаружения. В то время как глобальные исключения, описанные в этом разделе, применяются к антивирусной программе, а также к возможностям обнаружения конечных точек и реагирования, что приводит к остановке всех связанных средств защиты av, оповещений EDR и обнаружения. Глобальные исключения доступны в Defender для конечной точки или более поздней версии 101.23092.0012 до медленного круга предварительной оценки. Для исключений EDR обратитесь в службу поддержки.
Некоторые файлы, папки, процессы и файлы, открытые процессом, можно исключить из Defender для конечной точки в Linux.
Исключения могут быть полезны, чтобы избежать неправильного обнаружения файлов или программного обеспечения, которые являются уникальными или настроенными для вашей организации. Глобальные исключения полезны для устранения проблем с производительностью, вызванных Defender для конечной точки в Linux.
Предупреждение
Определение исключений снижает защиту, предлагаемую Defender для конечной точки в Linux. Всегда следует оценивать риски, связанные с реализацией исключений, и исключать только файлы, которые, как вы уверены, не являются вредоносными.
Поддерживаемые области исключения
Как описано в предыдущем разделе, мы поддерживаем две области исключения: антивирусная (epp) и глобальная (global) исключения.
Исключения антивирусной программы можно использовать для исключения доверенных файлов и процессов из защиты в режиме реального времени, сохраняя видимость EDR. Глобальные исключения применяются на уровне датчика и для отключения звука событий, которые соответствуют условиям исключения на ранних этапах потока, перед любой обработкой, что приводит к остановке всех оповещений EDR и обнаружения антивирусной программы.
Примечание.
Глобальная (global) — это новая область исключения, которую мы представляем в дополнение к антивирусным (epp) исключениям, которые уже поддерживаются корпорацией Майкрософт.
| Категория исключения | Область исключения | Описание |
|---|---|---|
| Исключение антивирусной программы | Антивирусная подсистема (область: epp) |
Исключает содержимое из проверок антивирусной программы (AV) и проверок по запросу. |
| Глобальное исключение | Антивирусная программа, обнаружение конечных точек и обработчик ответов (область: глобальная) |
Исключает события из защиты в режиме реального времени и видимости EDR. Не применяется к проверкам по запросу по умолчанию. |
Поддерживаемые типы исключений
В следующей таблице показаны типы исключений, поддерживаемые Defender для конечной точки в Linux.
| Исключения | Определение | Примеры |
|---|---|---|
| Расширение файла | Все файлы с расширением в любом месте устройства (недоступны для глобальных исключений) | .test |
| File | Конкретный файл, определенный по полному пути | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Folder | Все файлы в указанной папке (рекурсивно) | /var/log//var/*/ |
| Процесс | Определенный процесс (указывается полным путем или именем файла) и все файлы, открытые им. | /bin/catcatc?t |
Важно!
Для успешного исключения используемые пути должны быть жесткими, а не символическими ссылками. Чтобы проверить, является ли путь символьной ссылкой, выполните команду file <path-name>.
Исключения файлов, папок и процессов поддерживают следующие подстановочные знаки:
Примечание.
Путь к файлу должен присутствовать перед добавлением или удалением исключений файлов с глобальной областью. Подстановочные знаки не поддерживаются при настройке глобальных исключений.
| Подстановочный знак | Описание | Примеры |
|---|---|---|
| * | Соответствует любому количеству символов, включая нет (Обратите внимание, что если этот подстановочный знак не используется в конце пути, то он заменяет только одну папку) |
/var/*/tmp содержит любой файл в /var/abc/tmp и его подкаталогах, а также /var/def/tmp подкаталогах и его подкаталогах. Он не включает /var/abc/log или /var/def/log
|
| ? | Соответствует любому отдельному символу |
file?.log включает file1.log и file2.log, но неfile123.log |
Примечание.
Для антивирусных исключений при использовании подстановочного знака * в конце пути он будет соответствовать всем файлам и подкаталогам в родительском знаке подстановочного знака.
Настройка списка исключений
Использование консоли управления
Чтобы настроить исключения из Puppet, Ansible или другой консоли управления, см. следующий пример mdatp_managed.json.
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Дополнительные сведения см. в статье Настройка параметров Defender для конечной точки в Linux.
Использование командной строки
Выполните следующую команду, чтобы просмотреть доступные параметры для управления исключениями:
Примечание.
--scope является необязательным флагом с допустимым значением или eppglobal. Он предоставляет ту же область, которая используется при добавлении исключения для удаления того же исключения. В подходе из командной строки, если область не указана, значение области задается как epp.
Исключения, добавленные с помощью ИНТЕРФЕЙСА командной строки до введения флага --scope , остаются неизменными, и их область рассматривается как epp.
mdatp exclusion
Совет
При настройке исключений с подстановочными знаками заключите параметр в двойные кавычки, чтобы предотвратить глобинг.
Примеры:
Добавьте исключение для расширения файла (исключение расширения не поддерживается для глобальной области исключения).
mdatp exclusion extension add --name .txtExtension exclusion configured successfullymdatp exclusion extension remove --name .txtExtension exclusion removed successfullyДобавление или удаление исключения для файла (в случае добавления или удаления исключения с глобальной областью уже должен присутствовать путь к файлу).
mdatp exclusion file add --path /var/log/dummy.log --scope eppFile exclusion configured successfullymdatp exclusion file remove --path /var/log/dummy.log --scope eppFile exclusion removed successfully"mdatp exclusion file add --path /var/log/dummy.log --scope globalFile exclusion configured successfullymdatp exclusion file remove --path /var/log/dummy.log --scope globalFile exclusion removed successfully"Добавление и удаление исключения для папки:
mdatp exclusion folder add --path /var/log/ --scope eppFolder exclusion configured successfullymdatp exclusion folder remove --path /var/log/ --scope eppFolder exclusion removed successfullymdatp exclusion folder add --path /var/log/ --scope globalFolder exclusion configured successfullymdatp exclusion folder remove --path /var/log/ --scope globalFolder exclusion removed successfullyДобавьте исключение для второй папки:
mdatp exclusion folder add --path /var/log/ --scope epp mdatp exclusion folder add --path /other/folder --scope globalFolder exclusion configured successfullyДобавьте исключение для папки с подстановочным знаком:
Примечание.
Подстановочные знаки не поддерживаются при настройке глобальных исключений.
mdatp exclusion folder add --path "/var/*/tmp"Примечание.
При этом будут исключены только пути в /var/*/tmp/, но не папки, которые являются однородными элементами tmp; например, /var/this-subfolder/tmp, но не /var/this-subfolder/log.
mdatp exclusion folder add --path "/var/" --scope eppИЛИ
mdatp exclusion folder add --path "/var/*/" --scope eppПримечание.
При этом будут исключены все пути, родительским объектом которых является /var/; например, /var/this-subfolder/and-this-subfolder-as-well.
Folder exclusion configured successfullyДобавьте исключение для процесса:
mdatp exclusion process add --name /usr/bin/cat --scope globalProcess exclusion configured successfullymdatp exclusion process remove --name /usr/bin/cat --scope globalProcess exclusion removed successfullymdatp exclusion process add --name /usr/bin/cat --scope eppProcess exclusion configured successfullymdatp exclusion process remove --name /usr/bin/cat --scope eppProcess exclusion removed successfullyДобавьте исключение для второго процесса:
mdatp exclusion process add --name cat --scope epp mdatp exclusion process add --name dog --scope globalProcess exclusion configured successfully
Проверка списков исключений с помощью тестового файла EICAR
Вы можете проверить, работают ли списки исключений, используя curl для скачивания тестового файла.
В следующем фрагменте кода Bash замените test.txt файлом, соответствующим правилам исключения. Например, если вы исключили расширение, замените .testingtest.txttest.testingна . Если вы тестируете путь, убедитесь, что вы выполните команду в этом пути.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Если Defender для конечной точки в Linux сообщает о вредоносных программах, правило не работает. Если нет отчета о вредоносных программах и скачанный файл существует, исключение работает. Вы можете открыть файл, чтобы убедиться, что содержимое совпадает с тем, что описано на веб-сайте тестового файла EICAR.
Если у вас нет доступа к Интернету, можно создать собственный тестовый файл EICAR. Запишите строку EICAR в новый текстовый файл с помощью следующей команды Bash:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Вы также можете скопировать строку в пустой текстовый файл и попытаться сохранить ее с именем файла или в папке, которую вы пытаетесь исключить.
Разрешить угрозы
Помимо исключения определенного содержимого из сканирования, можно также настроить продукт так, чтобы он не обнаруживал некоторые классы угроз (определяемых по имени угрозы). При использовании этой функции следует соблюдать осторожность, так как это может оставить устройство без защиты.
Чтобы добавить имя угрозы в список разрешенных, выполните следующую команду:
mdatp threat allowed add --name [threat-name]
Имя угрозы, связанной с обнаружением на устройстве, можно получить с помощью следующей команды:
mdatp threat list
Например, чтобы добавить EICAR-Test-File (not a virus) (имя угрозы, связанное с обнаружением EICAR) в список разрешенных, выполните следующую команду:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.