Konfigurieren und Überprüfen von Ausschlüssen für Microsoft Defender for Endpoint unter Linux
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Dieser Artikel enthält Informationen zum Definieren von Antiviren- und globalen Ausschlüssen für Microsoft Defender for Endpoint. Antivirenausschlüsse gelten für bedarfsgesteuerte Überprüfungen, Echtzeitschutz (Real-Time Protection, RTP) und Verhaltensüberwachung (BEHAVIOR Monitoring, BM). Globale Ausschlüsse gelten für Echtzeitschutz (Real-Time Protection, RTP), Verhaltensüberwachung (BEHAVIOR Monitoring, BM) und Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR), wodurch alle zugehörigen Antivirenerkennungen, EDR-Warnungen und Sichtbarkeit für das ausgeschlossene Element beendet werden.
Wichtig
Die in diesem Artikel beschriebenen Antivirenausschlüsse gelten nur für Antivirenfunktionen und nicht für Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR). Dateien, die Sie mithilfe der in diesem Artikel beschriebenen Antivirenausschlüsse ausschließen, können weiterhin EDR-Warnungen und andere Erkennungen auslösen. Globale Ausschlüsse, die in diesem Abschnitt beschrieben werden, gelten für Antiviren- und Endpunkterkennungs- und -antwortfunktionen, wodurch alle zugehörigen Antivirenschutz-, EDR-Warnungen und Erkennungen beendet werden. Globale Ausschlüsse befinden sich derzeit in der öffentlichen Vorschauphase und sind in Defender für Endpunkt-Version 101.23092.0012 oder höher in den Ringen "Insiders Slow" und "Production" verfügbar. Wenden Sie sich bei EDR-Ausschlüssen an den Support.
Sie können bestimmte Dateien, Ordner, Prozesse und geöffnete Dateien aus Defender für Endpunkt unter Linux ausschließen.
Ausschlüsse können nützlich sein, um falsche Erkennungen von Dateien oder Software zu vermeiden, die eindeutig oder an Ihre organization angepasst sind. Globale Ausschlüsse sind nützlich, um Leistungsprobleme zu beheben, die von Defender für Endpunkt unter Linux verursacht werden.
Warnung
Das Definieren von Ausschlüssen verringert den Schutz, der von Defender für Endpunkt unter Linux geboten wird. Sie sollten immer die Risiken auswerten, die mit der Implementierung von Ausschlüssen verbunden sind, und Sie sollten nur Dateien ausschließen, von denen Sie sicher sind, dass sie nicht böswillig sind.
Unterstützte Ausschlussbereiche
Wie in einem früheren Abschnitt beschrieben, unterstützen wir zwei Ausschlussbereiche: Antivirenausschlüsse (epp) und globale (global).
Antivirusausschlüsse können verwendet werden, um vertrauenswürdige Dateien und Prozesse vom Echtzeitschutz auszuschließen, während weiterhin EDR-Sichtbarkeit vorhanden ist. Globale Ausschlüsse werden auf Sensorebene und zum Stummschalten der Ereignisse angewendet, die den Ausschlussbedingungen sehr früh im Flow entsprechen, bevor eine Verarbeitung durchgeführt wird, wodurch alle EDR-Warnungen und Antivirenerkennungen beendet werden.
Hinweis
Global (global) ist ein neuer Ausschlussbereich, den wir zusätzlich zu Antivirenausschlussbereichen (epp) einführen, die bereits von Microsoft unterstützt werden.
| Ausschlusskategorie | Ausschlussbereich | Beschreibung |
|---|---|---|
| Antivirusausschluss | Antivirus-Engine (Geltungsbereich: epp) |
Schließt Inhalte von Antivirenscans (AV) und On-Demand-Überprüfungen aus. |
| Globaler Ausschluss | Antiviren- und Endpunkterkennungs- und Reaktionsmodul (Bereich: global) |
Schließt Ereignisse vom Echtzeitschutz und der EDR-Sichtbarkeit aus. Gilt standardmäßig nicht für bedarfsgesteuerte Überprüfungen. |
Unterstützte Ausschlusstypen
In der folgenden Tabelle sind die Von Defender für Endpunkt unter Linux unterstützten Ausschlusstypen aufgeführt.
| Ausschluss | Definition | Beispiele |
|---|---|---|
| Dateierweiterung | Alle Dateien mit der Erweiterung, überall auf dem Gerät (für globale Ausschlüsse nicht verfügbar) | .test |
| File | Eine bestimmte Datei, die durch den vollständigen Pfad identifiziert wird | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Ordner | Alle Dateien im angegebenen Ordner (rekursiv) | /var/log//var/*/ |
| Prozess | Ein bestimmter Prozess (entweder durch den vollständigen Pfad oder Dateinamen angegeben) und alle dateien, die von diesem geöffnet werden | /bin/catcatc?t |
Wichtig
Die verwendeten Pfade müssen feste Links und keine symbolischen Verknüpfungen sein, um erfolgreich ausgeschlossen zu werden. Sie können überprüfen, ob ein Pfad eine symbolische Verknüpfung ist, indem Sie ausführen file <path-name>.
Datei-, Ordner- und Prozessausschlüsse unterstützen die folgenden Wildcards:
Hinweis
Der Dateipfad muss vorhanden sein, bevor Dateiausschlüsse mit globalem Bereich hinzugefügt oder entfernt werden. Beim Konfigurieren globaler Ausschlüsse werden keine Wildcards unterstützt.
| Platzhalter | Beschreibung | Beispiele |
|---|---|---|
| * | Entspricht einer beliebigen Anzahl beliebiger Zeichen, einschließlich keines. (Beachten Sie, wenn dieser Wildcard nicht am Ende des Pfads verwendet wird, ersetzt er nur einen Ordner.) |
/var/*/tmp enthält alle Dateien in /var/abc/tmp und ihren Unterverzeichnissen sowie /var/def/tmp und ihren Unterverzeichnissen. Oder ist nicht enthalten /var/abc/log . /var/def/log
|
| ? | Entspricht jedem einzelnen Zeichen |
file?.log enthält file1.log und file2.log, aber nichtfile123.log |
Hinweis
Bei Antivirenausschlüssen wird bei Verwendung des *-Wildcards am Ende des Pfads mit allen Dateien und Unterverzeichnissen unter dem übergeordneten Element des Wildcards übereinstimmen.
Konfigurieren der Liste der Ausschlüsse
Verwenden des Verwaltungskonsole
Informationen zum Konfigurieren von Ausschlüssen aus Puppet, Ansible oder einem anderen Verwaltungskonsole finden Sie im folgenden Beispielmdatp_managed.json.
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Weitere Informationen finden Sie unter Festlegen von Einstellungen für Defender für Endpunkt unter Linux.
Verwenden der Befehlszeile
Führen Sie den folgenden Befehl aus, um die verfügbaren Optionen für die Verwaltung von Ausschlüssen anzuzeigen:
Hinweis
--scope ist ein optionales Flag mit akzeptiertem Wert als epp oder global. Es bietet denselben Bereich, der beim Hinzufügen des Ausschlusses verwendet wird, um denselben Ausschluss zu entfernen. Wenn der Bereich im Befehlszeilenansatz nicht erwähnt wird, wird der Bereichswert auf eppfestgelegt.
Ausschlüsse, die vor der Einführung des --scope Flags über die CLI hinzugefügt wurden, bleiben davon nicht betroffen, und ihr Bereich wird als betrachtet epp.
mdatp exclusion
Tipp
Wenn Sie Ausschlüsse mit Platzhaltern konfigurieren, schließen Sie den Parameter in doppelte Anführungszeichen ein, um ein Globing zu verhindern.
Beispiele:
Fügen Sie einen Ausschluss für eine Dateierweiterung hinzu (Erweiterungsausschluss wird für den globalen Ausschlussbereich nicht unterstützt):
mdatp exclusion extension add --name .txtExtension exclusion configured successfullymdatp exclusion extension remove --name .txtExtension exclusion removed successfullyHinzufügen/Entfernen eines Ausschlusses für eine Datei (Dateipfad sollte bereits vorhanden sein, wenn ein Ausschluss mit globalem Bereich hinzugefügt oder entfernt wird) :
mdatp exclusion file add --path /var/log/dummy.log --scope eppFile exclusion configured successfullymdatp exclusion file remove --path /var/log/dummy.log --scope eppFile exclusion removed successfully"mdatp exclusion file add --path /var/log/dummy.log --scope globalFile exclusion configured successfullymdatp exclusion file remove --path /var/log/dummy.log --scope globalFile exclusion removed successfully"Hinzufügen/Entfernen eines Ausschlusses für einen Ordner:
mdatp exclusion folder add --path /var/log/ --scope eppFolder exclusion configured successfullymdatp exclusion folder remove --path /var/log/ --scope eppFolder exclusion removed successfullymdatp exclusion folder add --path /var/log/ --scope globalFolder exclusion configured successfullymdatp exclusion folder remove --path /var/log/ --scope globalFolder exclusion removed successfullyFügen Sie einen Ausschluss für einen zweiten Ordner hinzu:
mdatp exclusion folder add --path /var/log/ --scope epp mdatp exclusion folder add --path /other/folder --scope globalFolder exclusion configured successfullyFügen Sie einen Ausschluss für einen Ordner hinzu, in dem ein Wildcard enthalten ist:
Hinweis
Beim Konfigurieren globaler Ausschlüsse werden keine Wildcards unterstützt.
mdatp exclusion folder add --path "/var/*/tmp"Hinweis
Dadurch werden nur Pfade unter /var/*/tmp/ ausgeschlossen, aber keine Ordner, die gleichgeordnete Elemente von tmp sind. Beispiel : /var/this-subfolder/tmp, aber nicht /var/this-subfolder/log.
mdatp exclusion folder add --path "/var/" --scope eppOR
mdatp exclusion folder add --path "/var/*/" --scope eppHinweis
Dadurch werden alle Pfade ausgeschlossen, deren übergeordnetes Element /var/; Beispiel : /var/this-unterordner/and-this-subfolder-as-well.
Folder exclusion configured successfullyHinzufügen eines Ausschlusses für einen Prozess:
mdatp exclusion process add --name /usr/bin/cat --scope globalProcess exclusion configured successfullymdatp exclusion process remove --name /usr/bin/cat --scope globalProcess exclusion removed successfullymdatp exclusion process add --name /usr/bin/cat --scope eppProcess exclusion configured successfullymdatp exclusion process remove --name /usr/bin/cat --scope eppProcess exclusion removed successfullyFügen Sie einen Ausschluss für einen zweiten Prozess hinzu:
mdatp exclusion process add --name cat --scope epp mdatp exclusion process add --name dog --scope globalProcess exclusion configured successfully
Überprüfen von Ausschlusslisten mit der EICAR-Testdatei
Sie können überprüfen, ob Ihre Ausschlusslisten funktionieren, indem Sie zum Herunterladen einer Testdatei verwenden curl .
Ersetzen Sie test.txt im folgenden Bash-Codeausschnitt durch eine Datei, die Ihren Ausschlussregeln entspricht. Wenn Sie beispielsweise die .testing Erweiterung ausgeschlossen haben, ersetzen Sie durch test.txttest.testing. Wenn Sie einen Pfad testen, stellen Sie sicher, dass Sie den Befehl innerhalb dieses Pfads ausführen.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Wenn Defender für Endpunkt unter Linux Schadsoftware meldet, funktioniert die Regel nicht. Wenn keine Schadsoftware gemeldet wird und die heruntergeladene Datei vorhanden ist, funktioniert der Ausschluss. Sie können die Datei öffnen, um zu bestätigen, dass der Inhalt mit den auf der EICAR-Testdateiwebsite beschriebenen Inhalten übereinstimmt.
Wenn Sie keinen Internetzugriff haben, können Sie Eine eigene EICAR-Testdatei erstellen. Schreiben Sie die EICAR-Zeichenfolge mit dem folgenden Bash-Befehl in eine neue Textdatei:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Sie können die Zeichenfolge auch in eine leere Textdatei kopieren und versuchen, sie mit dem Dateinamen oder in dem Ordner zu speichern, den Sie ausschließen möchten.
Bedrohungen zulassen
Zusätzlich zum Ausschließen bestimmter Inhalte von der Überprüfung können Sie das Produkt auch so konfigurieren, dass einige Klassen von Bedrohungen (identifiziert durch den Bedrohungsnamen) nicht erkannt werden. Sie sollten bei der Verwendung dieser Funktion vorsichtig sein, da Ihr Gerät dadurch nicht geschützt werden kann.
Führen Sie den folgenden Befehl aus, um der Liste der zulässigen Bedrohungen einen Namen hinzuzufügen:
mdatp threat allowed add --name [threat-name]
Der Bedrohungsname, der einer Erkennung auf Ihrem Gerät zugeordnet ist, kann mit dem folgenden Befehl abgerufen werden:
mdatp threat list
Führen Sie z. B. den folgenden Befehl aus, um (der Bedrohungsname, der der EICAR-Erkennung zugeordnet ist) zur Liste der zulässigen Elemente hinzuzufügen EICAR-Test-File (not a virus) :
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.