Configuración y validación de exclusiones para Microsoft Defender para punto de conexión en Linux
Se aplica a:
- Servidor de Microsoft Defender para punto de conexión
- Microsoft Defender para servidores
¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
En este artículo se proporciona información sobre cómo definir el antivirus y las exclusiones globales para Microsoft Defender para punto de conexión. Las exclusiones antivirus se aplican a los exámenes a petición, la protección en tiempo real (RTP) y la supervisión del comportamiento (BM). Las exclusiones globales se aplican a la protección en tiempo real (RTP), la supervisión del comportamiento (BM) y la detección y respuesta de puntos de conexión (EDR), deteniendo así todas las detecciones antivirus asociadas, las alertas de EDR y la visibilidad del elemento excluido.
Importante
Las exclusiones antivirus descritas en este artículo se aplican solo a las funcionalidades antivirus y no a la detección y respuesta de puntos de conexión (EDR). Los archivos que se excluyen mediante las exclusiones de antivirus descritas en este artículo todavía pueden desencadenar alertas de EDR y otras detecciones. Las exclusiones globales descritas en esta sección se aplican a las funcionalidades de detección y respuesta de antivirus y puntos de conexión, deteniendo así toda la protección antivirus asociada, las alertas de EDR y las detecciones. Las exclusiones globales están actualmente en versión preliminar pública y están disponibles en la versión 101.23092.0012 de Defender para punto de conexión o posterior, en los anillos Insiders Slow y Production. Para exclusiones de EDR, póngase en contacto con el soporte técnico.
Puede excluir determinados archivos, carpetas, procesos y archivos abiertos por procesos de Defender para punto de conexión en Linux.
Las exclusiones pueden ser útiles para evitar detecciones incorrectas en archivos o software que son únicos o personalizados para su organización. Las exclusiones globales son útiles para mitigar los problemas de rendimiento causados por Defender para punto de conexión en Linux.
Advertencia
La definición de exclusiones reduce la protección que ofrece Defender para punto de conexión en Linux. Siempre debe evaluar los riesgos asociados a la implementación de exclusiones y solo debe excluir los archivos que esté seguro de que no son malintencionados.
Ámbitos de exclusión admitidos
Como se describió en una sección anterior, se admiten dos ámbitos de exclusión: exclusiones antivirus (epp) y globales (global).
Las exclusiones de antivirus se pueden usar para excluir archivos y procesos de confianza de la protección en tiempo real y, al mismo tiempo, tener visibilidad de EDR. Las exclusiones globales se aplican en el nivel de sensor y para silenciar los eventos que coinciden con las condiciones de exclusión al principio del flujo, antes de que se realice cualquier procesamiento, deteniendo así todas las alertas de EDR y las detecciones antivirus.
Nota:
Global (global) es un nuevo ámbito de exclusión que estamos introduciendo además de los ámbitos de exclusión antivirus (epp) que ya son compatibles con Microsoft.
| Categoría de exclusión | Ámbito de exclusión | Descripción |
|---|---|---|
| Exclusión del antivirus | Motor antivirus (ámbito: epp) |
Excluye el contenido de los exámenes antivirus y los exámenes a petición. |
| Exclusión global | Antivirus y detecciones de puntos de conexión y motor de respuesta (ámbito: global) |
Excluye los eventos de la protección en tiempo real y la visibilidad de EDR. No se aplica a los exámenes a petición de forma predeterminada. |
Importante
Las exclusiones globales no se aplican a la protección de red, por lo que las alertas generadas por la protección de red seguirán siendo visibles.
Para excluir procesos de la protección de red, use mdatp network-protection exclusion
Tipos de exclusión admitidos
En la tabla siguiente se muestran los tipos de exclusión admitidos por Defender para punto de conexión en Linux.
| Exclusión | Definición | Ejemplos |
|---|---|---|
| Extensión de archivo | Todos los archivos con la extensión, en cualquier lugar del dispositivo (no están disponibles para exclusiones globales) | .test |
| Archivo | Un archivo específico identificado por la ruta de acceso completa | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Folder | Todos los archivos de la carpeta especificada (de forma recursiva) | /var/log//var/*/ |
| Proceso | Un proceso específico (especificado por la ruta de acceso completa o el nombre de archivo) y todos los archivos abiertos por él. Se recomienda usar la ruta de inicio de proceso completa y de confianza. |
/bin/catcatc?t |
Importante
Las rutas de acceso usadas deben ser vínculos duros, no vínculos simbólicos, para que se excluyan correctamente. Puede comprobar si una ruta de acceso es un vínculo simbólico mediante la ejecución de file <path-name>. Al implementar exclusiones globales de procesos, excluya solo lo necesario para garantizar la confiabilidad y la seguridad del sistema. Compruebe que el proceso es conocido y de confianza, especifique la ruta de acceso completa a la ubicación del proceso y confirme que el proceso se iniciará de forma coherente desde la misma ruta de acceso completa de confianza.
Las exclusiones de archivos, carpetas y procesos admiten los siguientes caracteres comodín:
| Carácter comodín | Descripción | Ejemplos |
|---|---|---|
| * | Coincide con cualquier número de caracteres, incluido ninguno. (Tenga en cuenta que si este carácter comodín no se usa al final de la ruta de acceso, sustituye solo una carpeta). |
/var/*/tmp incluye cualquier archivo en /var/abc/tmp y sus subdirectorios, y /var/def/tmp sus subdirectorios. No incluye /var/abc/log ni /var/def/log
|
| ? | Coincide con cualquier carácter único |
file?.log incluye file1.log y file2.log, pero nofile123.log |
Nota:
No se admiten caracteres comodín al configurar exclusiones globales. En el caso de las exclusiones antivirus, cuando se usa el carácter comodín * al final de la ruta de acceso, coincide con todos los archivos y subdirectorios del elemento primario del carácter comodín. La ruta de acceso del archivo debe estar presente antes de agregar o quitar exclusiones de archivos con el ámbito como global.
Configuración de la lista de exclusiones
Puede configurar exclusiones mediante una configuración json de administración, la administración de la configuración de seguridad de Defender para punto de conexión o la línea de comandos.
Uso de la consola de administración
En entornos empresariales, las exclusiones también se pueden administrar a través de un perfil de configuración. Normalmente, usaría una herramienta de administración de configuración como Puppet, Ansible u otra consola de administración para insertar un archivo con el nombre mdatp_managed.json en la ubicación /etc/opt/microsoft/mdatp/managed/. Para obtener más información, consulte Establecer preferencias para Defender para punto de conexión en Linux. Consulte el ejemplo siguiente de mdatp_managed.json.
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Uso de la administración de la configuración de seguridad de Defender para punto de conexión
Nota:
Este método está actualmente en versión preliminar privada. Para habilitar esta característica, póngase en contacto con xplatpreviewsupport@microsoft.com. Asegúrese de revisar los requisitos previos: Requisitos previos de administración de la configuración de seguridad de Defender para punto de conexión
Puede usar el centro de administración de Microsoft Intune o el portal de Microsoft Defender para administrar exclusiones como directivas de seguridad de puntos de conexión y asignar esas directivas a grupos de Microsoft Entra ID. Si usa este método por primera vez, asegúrese de completar los pasos siguientes:
1. Configuración del inquilino para admitir la administración de la configuración de seguridad
En el portal de Microsoft Defender, vaya a ConfiguraciónEndpointsConfiguration ManagementEnforcement Scope (Ámbito de aplicaciónde administración de> configuración de puntos > de conexión de configuración>) y, a continuación, seleccione la plataforma Linux.
Etiquetar dispositivos con la
MDE-Managementetiqueta . La mayoría de los dispositivos se inscriben y reciben la directiva en cuestión de minutos, aunque algunos pueden tardar hasta 24 horas. Para obtener más información, consulte Aprenda a usar Intune directivas de seguridad de punto de conexión para administrar Microsoft Defender para punto de conexión en dispositivos que no están inscritos con Intune.
2. Crear un grupo de Microsoft Entra
Cree un grupo de Microsoft Entra dinámico basado en el tipo de sistema operativo para asegurarse de que todos los dispositivos incorporados a Defender para punto de conexión reciban las directivas adecuadas. Este grupo dinámico incluye automáticamente dispositivos administrados por Defender para punto de conexión, lo que elimina la necesidad de que los administradores creen manualmente nuevas directivas. Para obtener más información, consulte el siguiente artículo: Creación de grupos de Microsoft Entra
3. Creación de una directiva de seguridad de punto de conexión
En el portal de Microsoft Defender, vaya a Directivas> de seguridad de punto deconexiónde administración> de configuración de puntos de conexión y, a continuación, seleccione Crear nueva directiva.
En Plataforma, seleccione Linux.
Seleccione la plantilla de exclusión necesaria (
Microsoft defender global exclusions (AV+EDR)para exclusiones globales yMicrosoft defender antivirus exclusionspara exclusiones antivirus) y, a continuación, seleccione Crear directiva.En la página Datos básicos, escriba un nombre y una descripción para el perfil y, después, elija Siguiente.
En la página Configuración , expanda cada grupo de opciones de configuración y configure las opciones que desea administrar con este perfil.
Cuando haya finalizado la configuración, seleccione Siguiente.
En la página Asignaciones , seleccione los grupos que reciben este perfil. Después, seleccione Siguiente.
En la página Revisar y crear , cuando haya terminado, seleccione Guardar. El nuevo perfil se muestra en la lista cuando se selecciona el tipo de directiva del perfil creado.
Para obtener más información, consulte Administración de directivas de seguridad de puntos de conexión en Microsoft Defender para punto de conexión.
Uso de la línea de comandos
Ejecute el siguiente comando para ver los modificadores disponibles para administrar exclusiones:
mdatp exclusion
Nota:
--scope es una marca opcional con el valor aceptado como epp o global. Proporciona el mismo ámbito que se usa al agregar la exclusión para quitar la misma exclusión. En el enfoque de línea de comandos, si no se menciona el ámbito, el valor de ámbito se establece como epp.
Las exclusiones agregadas a través de la CLI antes de la introducción de --scope la marca no se ven afectadas y su ámbito se considera epp.
Sugerencia
Al configurar exclusiones con caracteres comodín, incluya el parámetro entre comillas dobles para evitar el uso de globbing.
En esta sección se incluyen varios ejemplos.
Ejemplo 1: Agregar una exclusión para una extensión de archivo
Puede agregar una exclusión para una extensión de archivo. Tenga en cuenta que las exclusiones de extensiones no se admiten para el ámbito de exclusión global.
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully
Ejemplo 2: Agregar o quitar una exclusión de archivo
Puede agregar o quitar una exclusión para un archivo. La ruta de acceso del archivo ya debe estar presente si va a agregar o quitar una exclusión con el ámbito global.
mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"
Ejemplo 3: Agregar o quitar una exclusión de carpeta
Puede agregar o quitar una exclusión para una carpeta.
mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully
Ejemplo 4: Agregar una exclusión para una segunda carpeta
Puede agregar una exclusión para una segunda carpeta.
mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder --scope global
Folder exclusion configured successfully
Ejemplo 5: Agregar una exclusión de carpeta con un carácter comodín
Puede agregar una exclusión para una carpeta con un carácter comodín. Tenga en cuenta que no se admiten caracteres comodín al configurar exclusiones globales.
mdatp exclusion folder add --path "/var/*/tmp"
El comando anterior excluye las rutas de acceso en */var/*/tmp/*, pero no las carpetas que son elementos del mismo nivel de *tmp*. Por ejemplo, */var/this-subfolder/tmp* se excluye, pero */var/this-subfolder/log* no se excluye.
mdatp exclusion folder add --path "/var/" --scope epp
OR
mdatp exclusion folder add --path "/var/*/" --scope epp
El comando anterior excluye todas las rutas de acceso cuyo elemento primario es */var/*, como */var/this-subfolder/and-this-subfolder-as-well*.
Folder exclusion configured successfully
Ejemplo 6: Agregar una exclusión para un proceso
Puede agregar una exclusión para un proceso.
mdatp exclusion process add --path /usr/bin/cat --scope global
Process exclusion configured successfully
mdatp exclusion process remove --path /usr/bin/cat --scope global
Nota:
Solo se admite la ruta de acceso completa para establecer la exclusión del proceso con global ámbito.
Usar solo --path marca
Process exclusion removed successfully
mdatp exclusion process add --name cat --scope epp
Process exclusion configured successfully
mdatp exclusion process remove --name cat --scope epp
Process exclusion removed successfully
Ejemplo 7: Agregar una exclusión para un segundo proceso
Puede agregar una exclusión para un segundo proceso.
mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global
Process exclusion configured successfully
Validación de listas de exclusiones con el archivo de prueba EICAR
Puede validar que las listas de exclusión funcionan mediante curl para descargar un archivo de prueba.
En el siguiente fragmento de código de Bash, reemplace por test.txt un archivo que se ajuste a las reglas de exclusión. Por ejemplo, si ha excluido la .testing extensión, reemplace por test.txttest.testing. Si va a probar una ruta de acceso, asegúrese de ejecutar el comando dentro de esa ruta de acceso.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Si Defender para punto de conexión en Linux notifica malware, la regla no funciona. Si no hay ningún informe de malware y el archivo descargado existe, la exclusión funciona. Puede abrir el archivo para confirmar que el contenido es el mismo que el que se describe en el sitio web del archivo de prueba EICAR.
Si no tiene acceso a Internet, puede crear su propio archivo de prueba EICAR. Escriba la cadena EICAR en un nuevo archivo de texto con el siguiente comando de Bash:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
También puede copiar la cadena en un archivo de texto en blanco e intentar guardarlo con el nombre de archivo o en la carpeta que intenta excluir.
Permitir una amenaza
Además de excluir cierto contenido del examen, también puede configurar Defender para punto de conexión en Linux para que no detecte algunas clases de amenazas, identificadas por el nombre de la amenaza.
Advertencia
Tenga cuidado al usar esta funcionalidad, ya que puede dejar el dispositivo desprotegido.
Para agregar un nombre de amenaza a la lista permitida, ejecute el siguiente comando:
mdatp threat allowed add --name [threat-name]
Para obtener el nombre de una amenaza detectada, ejecute el siguiente comando:
mdatp threat list
Por ejemplo, para agregar EICAR-Test-File (not a virus) a la lista de permitidos, ejecute el siguiente comando:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Vea también
- Microsoft Defender para punto de conexión en Linux
- Establecer preferencias para Microsoft Defender para punto de conexión en Linux
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.