Konfigurer og valider udeladelser for Microsoft Defender for Endpoint på Linux
Gælder for:
- Microsoft Defender for Endpoint-server
- Microsoft Defender til servere
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Denne artikel indeholder oplysninger om, hvordan du definerer antivirus og globale undtagelser for Microsoft Defender for Endpoint. Antivirusudeladelser gælder for on-demand-scanninger, RTP (real-time protection) og BM (behavior monitoring). Globale undtagelser gælder for RTP (real-time protection), behavior monitoring (BM) og EDR (endpoint detection and response) og stopper dermed alle tilknyttede antivirusregistreringer, EDR-beskeder og synlighed for det udeladte element.
Vigtigt!
De antivirusudeladelser, der er beskrevet i denne artikel, gælder kun for antivirusfunktioner og ikke for EDR (endpoint detection and response). Filer, som du ekskluderer ved hjælp af de antivirusudeladelser, der er beskrevet i denne artikel, kan stadig udløse EDR-beskeder og andre registreringer. Globale undtagelser, der er beskrevet i dette afsnit, gælder for antivirus- og slutpunktsregistrerings- og svarfunktioner og stopper dermed al tilknyttet antivirusbeskyttelse, EDR-beskeder og registreringer. Globale udeladelser er i øjeblikket en offentlig prøveversion og er tilgængelige i Defender for Endpoint-versionen 101.23092.0012 eller nyere i Insiders Slow- og Production-ringene.
Kontakt support for at få EDR-undtagelser.
Du kan udelade visse filer, mapper, processer og procesåbnede filer fra Defender for Endpoint på Linux.
Udeladelser kan være nyttige for at undgå forkerte registreringer af filer eller software, der er unikke eller tilpasset din organisation. Globale udeladelser er nyttige til at afhjælpe problemer med ydeevnen, der skyldes Defender for Endpoint på Linux.
Advarsel
Definition af udeladelser reducerer den beskyttelse, der tilbydes af Defender for Endpoint på Linux. Du bør altid evaluere de risici, der er forbundet med implementering af undtagelser, og du bør kun ekskludere filer, som du er sikker på ikke er skadelige.
Understøttede udeladelsesområder
Som beskrevet i et tidligere afsnit understøtter vi to undtagelser: antivirus (epp) og globale (global) undtagelser.
Antivirusudeladelser kan bruges til at udelukke filer og processer, der er tillid til, fra beskyttelse i realtid, mens du stadig har EDR-synlighed. Globale udelukkelser anvendes på sensorniveau og for at slå de hændelser, der matcher udelukkelsesbetingelser tidligt i flowet, fra før nogen behandling udføres, og dermed stoppe alle EDR-beskeder og antivirusregistreringer.
Bemærk!
Global (global) er et nyt udeladelsesområde, som vi introducerer ud over antivirus (epp) udelukkelsesområder, der allerede understøttes af Microsoft.
| Kategori for udeladelse | Område for udeladelse | Beskrivelse |
|---|---|---|
| Antivirusudeladelse | Antivirusprogram (omfang: epp) |
Udelader indhold fra antivirusscanninger og on-demand-scanninger. |
| Global udeladelse | Antivirus- og slutpunktregistreringer og svarprogram (omfang: global) |
Udelukker hændelser fra realtidsbeskyttelse og EDR-synlighed. Gælder ikke for scanninger efter behov som standard. |
Vigtigt!
Globale undtagelser gælder ikke for netværksbeskyttelse, så beskeder, der genereres af netværksbeskyttelse, vil stadig være synlige.
Hvis du vil udelukke processer fra netværksbeskyttelse, skal du bruge mdatp network-protection exclusion
Understøttede udeladelsestyper
I følgende tabel vises de udeladelsestyper, der understøttes af Defender for Endpoint på Linux.
| Eksklusion | Definition | Eksempler |
|---|---|---|
| Filtypenavn | Alle filer med udvidelsen, hvor som helst på enheden (ikke tilgængelig for globale undtagelser) | .test |
| Filer | En bestemt fil, der er identificeret af den fulde sti | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Mappe | Alle filer under den angivne mappe (rekursivt) | /var/log//var/*/ |
| Proces | En bestemt proces (angivet enten af den fulde sti eller det fulde filnavn) og alle filer, der er åbnet af den. Vi anbefaler, at du bruger en fuld processtartsti, der er tillid til. |
/bin/catcatc?t |
Vigtigt!
De anvendte stier skal være hårde links, ikke symbolske links, for at kunne udelades. Du kan kontrollere, om en sti er en symbolsk kæde, ved at køre file <path-name>. Når du implementerer globale procesudeladelser, skal du kun udelade det, der er nødvendigt for at sikre systemets pålidelighed og sikkerhed. Kontrollér, at processen er kendt og betroet, angiv den komplette sti til procesplaceringen, og bekræft, at processen vil blive startet konsekvent fra den samme fulde sti, der er tillid til.
Fil-, mappe- og procesudeladelser understøtter følgende jokertegn:
| Wildcard | Beskrivelse | Eksempler |
|---|---|---|
| * | Matcher et vilkårligt antal tegn, herunder ingen (Bemærk, at hvis dette jokertegn ikke bruges i slutningen af stien, erstatter det kun én mappe) |
/var/*/tmp indeholder alle filer i /var/abc/tmp og dens undermapper og /var/def/tmp dens undermapper. Den indeholder /var/abc/log ikke eller /var/def/log
|
| ? | Matcher et vilkårligt tegn |
file?.log omfatter file1.log og file2.log, men ikkefile123.log |
Bemærk!
Jokertegn understøttes ikke under konfiguration af globale undtagelser. I forbindelse med antivirusudeladelser svarer det til alle filer og undermapper under jokertegnets overordnede, når du bruger jokertegnet * i slutningen af stien. Filstien skal være til stede, før du tilføjer eller fjerner filudeladelser med område som global.
Sådan konfigurerer du listen over udeladelser
Du kan konfigurere udeladelser ved hjælp af en administrations-Json-konfiguration, Defender for Endpoint Security Settings Management eller kommandolinjen.
Brug af administrationskonsollen
I virksomhedsmiljøer kan udeladelser også administreres via en konfigurationsprofil. Du vil typisk bruge et værktøj til administration af konfiguration, f.eks. Puppet, Ansible eller en anden administrationskonsol til at pushoverføre en fil med navnet mdatp_managed.json på placeringen /etc/opt/microsoft/mdatp/managed/. Du kan finde flere oplysninger under Angiv indstillinger for Defender for Endpoint på Linux. Se følgende eksempel på mdatp_managed.json.
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Brug af Defender til administration af slutpunktssikkerhedsindstillinger
Bemærk!
Denne metode er i øjeblikket i en privat prøveversion. Hvis du vil aktivere denne funktion, skal du kontakte xplatpreviewsupport@microsoft.com. Sørg for at gennemse forudsætningerne: Defender for Endpoint Security Settings Management-forudsætninger
Du kan bruge Microsoft Intune Administration eller Microsoft Defender-portalen til at administrere undtagelser som slutpunktssikkerhedspolitikker og tildele disse politikker til Microsoft Entra ID grupper. Hvis du bruger denne metode for første gang, skal du sørge for at fuldføre følgende trin:
1. Konfigurer din lejer til at understøtte administration af sikkerhedsindstillinger
I Microsoft Defender-portalen skal du gå til Indstillinger>Slutpunkter>Konfigurationsstyring>Håndhævelsesomfang og derefter vælge Linux-platformen.
Tag enheder med
MDE-Managementmærket. De fleste enheder tilmelder sig og modtager politikken inden for få minutter, selvom nogle kan tage op til 24 timer. Du kan finde flere oplysninger under Få mere at vide om, hvordan du bruger Intune sikkerhedspolitikker for slutpunkter til at administrere Microsoft Defender for Endpoint på enheder, der ikke er tilmeldt Intune.
2. Opret en Microsoft Entra gruppe
Opret en dynamisk Microsoft Entra gruppe, der er baseret på operativsystemtypen, for at sikre, at alle enheder, der er onboardet i Defender for Endpoint, modtager de relevante politikker. Denne dynamiske gruppe indeholder automatisk enheder, der administreres af Defender for Endpoint, hvilket fjerner behovet for, at administratorer manuelt skal oprette nye politikker. Du kan få flere oplysninger i følgende artikel: Opret Microsoft Entra grupper
3. Opret en sikkerhedspolitik for slutpunkter
På Microsoft Defender-portalen skal du gå til Endpoints>Configuration management>Endpoint security policies og derefter vælge Opret ny politik.
Vælg Linux for Platform.
Vælg den påkrævede udeladelsesskabelon (
Microsoft defender global exclusions (AV+EDR)for globale udeladelser ogMicrosoft defender antivirus exclusionsfor antivirusudeladelser), og vælg derefter Opret politik.Angiv et navn og en beskrivelse til profilen på siden Grundlæggende , og vælg derefter Næste.
På siden Indstillinger skal du udvide hver gruppe af indstillinger og konfigurere de indstillinger, du vil administrere med denne profil.
Når du er færdig med at konfigurere indstillinger, skal du vælge Næste.
På siden Tildelinger skal du vælge de grupper, der modtager denne profil. Vælg derefter Næste.
På siden Gennemse + opret skal du vælge Gem, når du er færdig. Den nye profil vises på listen, når du vælger politiktypen for den profil, du har oprettet.
Du kan finde flere oplysninger under Administrer sikkerhedspolitikker for slutpunkter i Microsoft Defender for Endpoint.
Brug af kommandolinjen
Kør følgende kommando for at se de tilgængelige parametre til administration af udeladelser:
mdatp exclusion
Bemærk!
--scope er et valgfrit flag med den accepterede værdi som epp eller global. Det giver det samme omfang, som bruges, når du tilføjer udeladelse for at fjerne den samme udeladelse. Hvis området ikke er nævnt i kommandolinjemetoden, angives områdeværdien som epp.
Undtagelser, der tilføjes via kommandolinjegrænsefladen, før flaget blev indført --scope , påvirkes ikke, og deres omfang tages i betragtning epp.
Tip
Når du konfigurerer udeladelser med jokertegn, skal du omslutte parameteren med dobbelte anførselstegn for at forhindre globbing.
Dette afsnit indeholder flere eksempler.
Eksempel 1: Tilføj en udeladelse for et filtypenavn
Du kan tilføje en udeladelse for et filtypenavn. Vær opmærksom på, at udvidelsesudeladelser ikke understøttes for området for global udeladelse.
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully
Eksempel 2: Tilføj eller fjern en filudeladelse
Du kan tilføje eller fjerne en udeladelse for en fil. Filstien bør allerede være til stede, hvis du tilføjer eller fjerner en udeladelse med det globale område.
mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"
Eksempel 3: Tilføj eller fjern en mappeudeladelse
Du kan tilføje eller fjerne en udeladelse for en mappe.
mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully
Eksempel 4: Tilføj en udeladelse for en anden mappe
Du kan tilføje en udeladelse for en anden mappe.
mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder --scope global
Folder exclusion configured successfully
Eksempel 5: Tilføj en mappeudeladelse med et jokertegn
Du kan tilføje en udeladelse for en mappe med et jokertegn. Vær opmærksom på, at jokertegn ikke understøttes under konfiguration af globale udeladelser.
mdatp exclusion folder add --path "/var/*/tmp"
Den forrige kommando udelukker stier under */var/*/tmp/*, men ikke mapper, der er sidestillede med *tmp*. Er f.eks */var/this-subfolder/tmp* . udelukket, men */var/this-subfolder/log* er ikke udelukket.
mdatp exclusion folder add --path "/var/" --scope epp
ELLER
mdatp exclusion folder add --path "/var/*/" --scope epp
Den forrige kommando udelukker alle stier, hvis overordnede er */var/*, f.eks */var/this-subfolder/and-this-subfolder-as-well*. .
Folder exclusion configured successfully
Eksempel 6: Tilføj en udeladelse for en proces
Du kan tilføje en udeladelse for en proces.
mdatp exclusion process add --path /usr/bin/cat --scope global
Process exclusion configured successfully
mdatp exclusion process remove --path /usr/bin/cat --scope global
Bemærk!
Det er kun fuld sti, der understøttes til angivelse af procesudeladelse med global område.
Brug kun --path flag
Process exclusion removed successfully
mdatp exclusion process add --name cat --scope epp
Process exclusion configured successfully
mdatp exclusion process remove --name cat --scope epp
Process exclusion removed successfully
Eksempel 7: Tilføj en udeladelse for en anden proces
Du kan tilføje en udeladelse for en anden proces.
mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global
Process exclusion configured successfully
Valider udeladelseslister med EICAR-testfilen
Du kan validere, at dine udeladelseslister fungerer, ved at bruge curl til at downloade en testfil.
I følgende Bash-kodestykke skal du erstatte test.txt med en fil, der overholder dine regler for udelukkelse. Hvis du f.eks. har udeladt filtypenavnet .testing , skal du erstatte test.txt med test.testing. Hvis du tester en sti, skal du kontrollere, at du kører kommandoen i den pågældende sti.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Hvis Defender for Endpoint på Linux rapporterer malware, fungerer reglen ikke. Hvis der ikke er nogen rapport over malware, og den downloadede fil findes, fungerer udelukkelsen. Du kan åbne filen for at bekræfte, at indholdet er det samme som det, der er beskrevet på webstedet for EICAR-testfilen.
Hvis du ikke har internetadgang, kan du oprette din egen EICAR-testfil. Skriv EICAR-strengen til en ny tekstfil med følgende Bash-kommando:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Du kan også kopiere strengen til en tom tekstfil og forsøge at gemme den med filnavnet eller i den mappe, du forsøger at udelade.
Tillad en trussel
Ud over at udelukke bestemt indhold fra at blive scannet kan du også konfigurere Defender for Endpoint på Linux til ikke at registrere visse klasser af trusler, der er identificeret af trusselsnavnet.
Advarsel
Vær forsigtig, når du bruger denne funktionalitet, da den kan efterlade din enhed ubeskyttet.
Hvis du vil føje et trusselsnavn til listen over tilladte, skal du køre følgende kommando:
mdatp threat allowed add --name [threat-name]
Kør følgende kommando for at hente navnet på en registreret trussel:
mdatp threat list
Hvis du f.eks. vil føje EICAR-Test-File (not a virus) til allowlist, skal du køre følgende kommando:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Se også
- Microsoft Defender for Endpoint på Linux
- Angiv indstillinger for Microsoft Defender for Endpoint på Linux
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.