Konfigurace a ověření vyloučení pro Microsoft Defender for Endpoint v Linuxu

Platí pro:

• Microsoft Defender for Endpoint Server
• Microsoft Defender pro servery

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tento článek obsahuje informace o tom, jak definovat antivirová a globální vyloučení pro Microsoft Defender for Endpoint. Vyloučení antivirové ochrany se vztahují na kontroly na vyžádání, ochranu v reálném čase (RTP) a monitorování chování (BM). Globální vyloučení platí pro ochranu v reálném čase (RTP), monitorování chování (BM) a detekci a odezvu koncových bodů (EDR), čímž se zastaví všechny přidružené antivirové detekce, výstrahy EDR a viditelnost vyloučené položky.

Důležité

Vyloučení antivirového softwaru popsaná v tomto článku se vztahují pouze na antivirové funkce, a ne na detekci a odezvu koncových bodů (EDR). Soubory, které vyloučíte pomocí vyloučení antivirového softwaru popsaného v tomto článku, můžou přesto aktivovat upozornění EDR a další detekce. Globální vyloučení popsaná v této části se vztahují na možnosti detekce antivirového softwaru a koncových bodů a odpovědí, čímž se zastaví veškerá přidružená antivirová ochrana, upozornění EDR a detekce. Globální vyloučení jsou aktuálně ve verzi Public Preview a jsou k dispozici ve verzi 101.23092.0012 Defender for Endpoint nebo novější v okruhu Insiders Slow a Production. V případě vyloučení EDR se obraťte na podporu.

Z Defenderu for Endpoint v Linuxu můžete vyloučit určité soubory, složky, procesy a soubory otevřené procesem.

Vyloučení můžou být užitečná, když se chcete vyhnout nesprávné detekci souborů nebo softwaru, které jsou jedinečné nebo přizpůsobené vaší organizaci. Globální vyloučení jsou užitečná pro zmírnění problémů s výkonem způsobených defenderem for Endpoint v Linuxu.

Upozornění

Definováním vyloučení snížíte ochranu, kterou defender for Endpoint nabízí v Linuxu. Vždy byste měli vyhodnotit rizika spojená s implementací vyloučení a vyloučit pouze soubory, u kterých jste si jistí, že nejsou škodlivé.

Podporované obory vyloučení

Jak je popsáno v předchozí části, podporujeme dva obory vyloučení: antivirové (epp) a globální (global) vyloučení.

Vyloučení antivirové ochrany je možné použít k vyloučení důvěryhodných souborů a procesů z ochrany v reálném čase při zachování viditelnosti EDR. Globální vyloučení se používají na úrovni senzoru a k ztlumení událostí, které odpovídají podmínkám vyloučení v rané fázi toku, před provedením jakéhokoli zpracování, čímž se zastaví všechna upozornění EDR a antivirová detekce.

Poznámka

Global (global) je nový obor vyloučení, který zavádíme kromě antivirových (epp) oborů vyloučení, které už Microsoft podporuje.

Kategorie vyloučení	Rozsah vyloučení	Popis
Vyloučení antivirové ochrany	Antivirový modul (obor: epp)	Vyloučí obsah z antivirových kontrol a kontrol na vyžádání.
Globální vyloučení	Antivirová ochrana a modul pro zjišťování koncových bodů a odpovědi (obor: globální)	Vyloučí události z ochrany v reálném čase a viditelnosti EDR. Ve výchozím nastavení se nevztahuje na kontroly na vyžádání.

Důležité

Globální vyloučení se nevztahují na ochranu sítě, takže upozornění vygenerovaná ochranou sítě budou stále viditelná. Pokud chcete vyloučit procesy z ochrany sítě, použijte prosím mdatp network-protection exclusion

Podporované typy vyloučení

Následující tabulka uvádí typy vyloučení podporované defenderem for Endpoint v Linuxu.

Vyloučení	Vysvětlení	Příklady
Přípona souboru	Všechny soubory s příponou kdekoli na zařízení (není k dispozici pro globální vyloučení)	.test
Soubor	Konkrétní soubor identifikovaný úplnou cestou	/var/log/test.log /var/log/*.log /var/log/install.?.log
Složka	Všechny soubory v zadané složce (rekurzivně)	/var/log/ /var/*/
Proces	Konkrétní proces (zadaný úplnou cestou nebo názvem souboru) a všechny soubory, které otevře. Doporučujeme použít úplnou a důvěryhodnou cestu ke spuštění procesu.	/bin/cat cat c?t

Důležité

Použité cesty musí být pevné, nikoli symbolické odkazy, aby byly úspěšně vyloučeny. Spuštěním příkazu můžete zkontrolovat, jestli je cesta symbolickým odkazem file <path-name>. Při implementaci globálních vyloučení procesů vylučte pouze to, co je nezbytné k zajištění spolehlivosti a zabezpečení systému. Ověřte, že je proces známý a důvěryhodný, zadejte úplnou cestu k umístění procesu a ověřte, že se proces bude spouštět konzistentně ze stejné důvěryhodné úplné cesty.

Vyloučení souborů, složek a procesů podporují následující zástupné cardy:

Zástupný znak	Popis	Příklady
*	Odpovídá libovolnému počtu znaků včetně žádné. (Poznámka: Pokud se tento zástupný znak nepoužívá na konci cesty, nahradí pouze jednu složku.)	/var/*/tmp zahrnuje všechny soubory v /var/abc/tmp podadresářích a jejich podadresářích a /var/def/tmp podadresářích. Neobsahuje /var/abc/log nebo /var/def/log /var/*/ obsahuje pouze všechny soubory ve svých podadresářích, například /var/abc/, ale ne soubory přímo uvnitř /var.
?	Odpovídá jakémukoli jednomu znaku.	file?.log zahrnuje file1.log a file2.log, ale nefile123.log

Poznámka

Při konfiguraci globálních vyloučení se zástupné é činy nepodporují. V případě vyloučení antivirového softwaru při použití zástupného znaku * na konci cesty odpovídá všem souborům a podadresářům pod nadřazeným zástupným znakem. Před přidáním nebo odebráním vyloučení souborů s globálním oborem musí být cesta k souboru.

Postup konfigurace seznamu vyloučení

Vyloučení můžete nakonfigurovat pomocí konfigurace JSON pro správu, správy nastavení zabezpečení Defenderu for Endpoint nebo příkazového řádku.

Použití konzoly pro správu

V podnikových prostředích je možné vyloučení spravovat také prostřednictvím konfiguračního profilu. Obvykle byste k odeslání souboru s názvem mdatp_managed.json v umístění /etc/opt/microsoft/mdatp/managed/použili nástroj pro správu konfigurace, jako je Puppet, Ansible nebo jinou konzolu pro správu. Další informace najdete v tématu Nastavení předvoleb pro Defender for Endpoint v Linuxu. Projděte si následující ukázku souboru mdatp_managed.json.

{
   "exclusionSettings":{
     "exclusions":[
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/home/*/git<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/run<EXAMPLE DO NOT USE>",
           "scopes": [
              "global"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":false,
           "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
           "scopes": [
              "epp", "global"
           ]
        },
        {
           "$type":"excludedFileExtension",
           "extension":".pdf<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedFileName",
           "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
        }
     ],
     "mergePolicy":"admin_only"
   }
}

Použití správy nastavení zabezpečení defenderu for Endpoint

Poznámka

Tato metoda je aktuálně v privátní verzi Preview. Pokud chcete tuto funkci povolit, obraťte se na adresu xplatpreviewsupport@microsoft.com. Nezapomeňte si projít požadavky: Požadavky na správu nastavení zabezpečení defenderu for Endpoint

Pomocí centra pro správu Microsoft Intune nebo portálu Microsoft Defender můžete spravovat vyloučení jako zásady zabezpečení koncových bodů a přiřazovat tyto zásady Microsoft Entra ID skupinám. Pokud tuto metodu používáte poprvé, nezapomeňte provést následující kroky:

1. Nakonfigurujte tenanta tak, aby podporoval správu nastavení zabezpečení.

1. Na portálu Microsoft Defender přejděte na Nastavení> Koncové bodyRozsah vynucování>správy konfigurace> a pak vyberte platformu Linux.

2. Označte zařízení značkou MDE-Management . Většina zařízení se zaregistruje a přijme zásady během několika minut, i když některým může trvat až 24 hodin. Další informace najdete v tématu Informace o použití zásad zabezpečení koncových bodů Intune ke správě Microsoft Defender for Endpoint na zařízeních, která nejsou zaregistrovaná v Intune.

2. Vytvoření skupiny Microsoft Entra

Vytvořte dynamickou skupinu Microsoft Entra na základě typu operačního systému, abyste zajistili, že všechna zařízení nasazená do programu Defender for Endpoint obdrží příslušné zásady. Tato dynamická skupina automaticky zahrnuje zařízení spravovaná defenderem for Endpoint, takže správci nemusí nové zásady vytvářet ručně. Další informace najdete v následujícím článku: Vytvoření skupin Microsoft Entra

3. Vytvoření zásady zabezpečení koncového bodu

1. Na portálu Microsoft Defender přejděte naSpráva> konfigurace koncových bodů>Zásady zabezpečení koncových bodů a pak vyberte Vytvořit novou zásadu.

2. V části Platforma vyberte Linux.

3. Vyberte požadovanou šablonu vyloučení (Microsoft defender global exclusions (AV+EDR) pro globální vyloučení a Microsoft defender antivirus exclusions pro antivirová vyloučení) a pak vyberte Vytvořit zásadu.

4. Na stránce Základy zadejte název a popis profilu a pak zvolte Další.

5. Na stránce Nastavení rozbalte každou skupinu nastavení a nakonfigurujte nastavení, která chcete spravovat pomocí tohoto profilu.

6. Po dokončení konfigurace nastavení vyberte Další.

7. Na stránce Přiřazení vyberte skupiny, které obdrží tento profil. Pak vyberte Další.

8. Až budete hotovi, na stránce Zkontrolovat a vytvořit vyberte Uložit. Nový profil se zobrazí v seznamu, když vyberete typ zásady pro profil, který jste vytvořili.

Další informace najdete v tématu Správa zásad zabezpečení koncových bodů v Microsoft Defender for Endpoint.

Použití příkazového řádku

Spuštěním následujícího příkazu zobrazte dostupné přepínače pro správu vyloučení:

mdatp exclusion

Poznámka

--scope je volitelný příznak s přijatou hodnotou nebo eppglobal. Poskytuje stejný obor, který se používá při přidávání vyloučení, aby se stejné vyloučení odebralo. Pokud v přístupu k příkazovému řádku není obor zmíněn, je hodnota oboru nastavena na epphodnotu . Vyloučení přidaná prostřednictvím rozhraní příkazového řádku před zavedením příznaku --scope zůstanou nedotčená a jejich rozsah se považuje za epp.

Tip

Při konfiguraci vyloučení pomocí zástupných znaků uzavřete parametr do dvojitých uvozovek, aby se zabránilo globbingu.

Tato část obsahuje několik příkladů.

Příklad 1: Přidání vyloučení pro příponu souboru

Můžete přidat vyloučení pro příponu souboru. Mějte na paměti, že vyloučení rozšíření nejsou pro globální obor vyloučení podporovaná.

mdatp exclusion extension add --name .txt

Extension exclusion configured successfully

mdatp exclusion extension remove --name .txt

Extension exclusion removed successfully

Příklad 2: Přidání nebo odebrání vyloučení souborů

Pro soubor můžete přidat nebo odebrat vyloučení. Cesta k souboru by už měla být k dispozici, pokud přidáváte nebo odebíráte vyloučení s globálním oborem.

mdatp exclusion file add --path /var/log/dummy.log --scope epp

File exclusion configured successfully

mdatp exclusion file remove --path /var/log/dummy.log --scope epp

File exclusion removed successfully"

mdatp exclusion file add --path /var/log/dummy.log --scope global

File exclusion configured successfully

mdatp exclusion file remove --path /var/log/dummy.log --scope global

File exclusion removed successfully"

Příklad 3: Přidání nebo odebrání vyloučení složky

Pro složku můžete přidat nebo odebrat vyloučení.

mdatp exclusion folder add --path /var/log/ --scope epp

Folder exclusion configured successfully

mdatp exclusion folder remove --path /var/log/ --scope epp

Folder exclusion removed successfully

mdatp exclusion folder add --path /var/log/ --scope global

Folder exclusion configured successfully

mdatp exclusion folder remove --path /var/log/ --scope global

Folder exclusion removed successfully

Příklad 4: Přidání vyloučení pro druhou složku

Pro druhou složku můžete přidat vyloučení.

mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder  --scope global

Folder exclusion configured successfully

Příklad 5: Přidání vyloučení složky se zástupným znakem

Pro složku se zástupným znakem můžete přidat vyloučení. Mějte na paměti, že při konfiguraci globálních vyloučení se zástupné cardy nepodporují.

mdatp exclusion folder add --path "/var/*/tmp"

Předchozí příkaz vyloučí cesty ve */var/*/tmp/*složce , ale ne složky, které jsou na stejné úrovni jako *tmp*. Například */var/this-subfolder/tmp* je vyloučený, ale */var/this-subfolder/log* není vyloučený.

mdatp exclusion folder add --path "/var/" --scope epp

NEBO

mdatp exclusion folder add --path "/var/*/" --scope epp

Předchozí příkaz vyloučí všechny cesty, jejichž nadřazená je */var/*, například */var/this-subfolder/and-this-subfolder-as-well*.

Folder exclusion configured successfully

Příklad 6: Přidání vyloučení pro proces

Pro proces můžete přidat vyloučení.

mdatp exclusion process add --path /usr/bin/cat --scope global 

Process exclusion configured successfully

mdatp exclusion process remove --path /usr/bin/cat  --scope global

Poznámka

Pro nastavení vyloučení procesů s oborem se podporuje pouze úplná global cesta. Příznak Použít pouze --path

Process exclusion removed successfully

mdatp exclusion process add --name cat --scope epp 

Process exclusion configured successfully

mdatp exclusion process remove --name cat --scope epp

Process exclusion removed successfully

Příklad 7: Přidání vyloučení pro druhý proces

Můžete přidat vyloučení pro druhý proces.

mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global

Process exclusion configured successfully

Ověření seznamů vyloučení pomocí testovacího souboru EICAR

Pomocí nástroje ke stažení testovacího souboru můžete ověřit, jestli seznamy vyloučení fungují curl .

V následujícím fragmentu kódu Bash nahraďte test.txt souborem, který odpovídá vašim pravidlům vyloučení. Pokud jste například vyloučili .testing rozšíření, nahraďte test.txt parametrem test.testing. Pokud testujete cestu, ujistěte se, že jste v této cestě spustili příkaz.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Pokud Defender for Endpoint v Linuxu hlásí malware, pravidlo nefunguje. Pokud neexistuje žádná zpráva o malwaru a stažený soubor existuje, vyloučení funguje. Soubor můžete otevřít a ověřit, že obsah je stejný jako obsah, který je popsán na webu testovacího souboru EICAR.

Pokud nemáte přístup k internetu, můžete si vytvořit vlastní testovací soubor EICAR. Pomocí následujícího příkazu Bash zapište řetězec EICAR do nového textového souboru:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Řetězec můžete také zkopírovat do prázdného textového souboru a pokusit se ho uložit s názvem souboru nebo do složky, kterou se pokoušíte vyloučit.

Povolit hrozbu

Kromě vyloučení určitého obsahu z kontrol můžete také nakonfigurovat Defender for Endpoint v Linuxu tak, aby nezjistil některé třídy hrozeb identifikované názvem hrozby.

Upozornění

Při používání této funkce buďte opatrní, protože může vaše zařízení zůstat nechráněné.

Pokud chcete přidat název hrozby do seznamu povolených, spusťte následující příkaz:

mdatp threat allowed add --name [threat-name]

Pokud chcete získat název zjištěné hrozby, spusťte následující příkaz:

mdatp threat list

Pokud chcete například přidat EICAR-Test-File (not a virus) do seznamu povolených, spusťte následující příkaz:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Viz také

• Microsoft Defender for Endpoint v systému Linux
• Nastavení předvoleb pro Microsoft Defender pro koncový bod v Linuxu

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.