Microsoft Defender for Endpoint poissulkemisten määrittäminen ja vahvistaminen Linuxissa
Koskee seuraavia:
- Microsoft Defender for Endpoint Server
- palvelimien Microsoft Defender
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Tässä artikkelissa on tietoja virustentorjunnan ja yleisten poissulkemisten määrittämisestä Microsoft Defender for Endpoint. Virustentorjuntaan liittyvät poikkeukset koskevat pyydettäessä suoritettavaa tarkistusta, reaaliaikaista suojausta (RTP) ja toiminnan valvontaa (BM). Yleisiä poissulkemisia sovelletaan reaaliaikaiseen suojaukseen (RTP), toiminnan valvontaan (BM) sekä päätepisteiden tunnistamiseen ja vastaukseen (EDR), mikä pysäyttää kaikki siihen liittyvät virustentorjuntatunnistukset, EDR-hälytykset ja näkyvyyden pois jätetylle kohteelle.
Tärkeää
Tässä artikkelissa kuvatut virustentorjuntapoikkeukset koskevat vain virustentorjuntaominaisuuksia, eivät päätepisteiden tunnistusta ja vastausta (EDR). Tiedostot, jotka jätetään pois tässä artikkelissa kuvattujen virustentorjuntapoikkeuksia käyttämällä, voivat silti käynnistää EDR-hälytyksiä ja muita tunnistuksia. Tässä osiossa kuvatut yleiset poikkeukset koskevat virustentorjuntaa ja päätepisteiden tunnistus- ja vastausominaisuuksia, mikä pysäyttää kaikki liittyvät virustentorjuntasuojaukset, EDR-hälytykset ja tunnistukset. Yleiset poikkeukset ovat tällä hetkellä julkisessa esikatselussa, ja ne ovat käytettävissä Defender for Endpoint -versiossa 101.23092.0012 tai sitä uudemmissa Insider-versioissa Hitaissa ja tuotantorenkaissa. Jos kyseessä on EDR-poikkeukset, ota yhteyttä tukeen.
Voit jättää pois tiettyjä tiedostoja, kansioita, prosesseja ja prosessin avaamia tiedostoja Defender for Endpointista Linuxissa.
Poissulkemisista voi olla hyötyä, kun vältetään virheelliset tunnistukset tiedostoissa tai ohjelmissa, jotka ovat yksilöllisiä tai mukautettuja organisaatiollesi. Yleiset poikkeukset ovat hyödyllisiä Defender for Endpointin Linuxissa aiheuttamien suorituskykyongelmien lieventämiseen.
Varoitus
Poissulkemisten määrittäminen pienentää Defenderin Linux-päätepisteelle tarjoamaa suojausta. Sinun tulee aina arvioida riskit, jotka liittyvät poissulkemisten toteuttamiseen, ja sinun tulisi jättää pois vain tiedostot, joihin olet varma, etteivät ne ole haitallisia.
Tuetut poissulkemisalueet
Kuten aiemmassa osiossa kuvattiin, tuemme kahta poissulkemisaluetta: virustentorjunta (epp) ja yleisiä (global) poissulkemisia.
Virustentorjunnan poissulkemisten avulla voidaan sulkea luotetut tiedostot ja prosessit pois reaaliaikaisen suojauksen käytöstä samalla, kun EDR-näkyvyys säilyy. Yleisiä poissulkemisia sovelletaan anturitasolla ja vaimennetaan tapahtumat, jotka vastaavat poissulkemisolosuhteita työnkulun varhaisessa vaiheessa, ennen kuin mitään käsittelyä tehdään, jolloin kaikki EDR-hälytykset ja virustentorjuntatunnistukset pysäytetään.
Huomautus
Yleinen (global) on uusi poissulkemisalue, jonka esittelemme virustentorjuntaohjelman (epp) poissulkemisalueiden lisäksi, joita Microsoft jo tukee.
| Poissulkemisluokka | Poissulkemisen laajuus | Kuvaus |
|---|---|---|
| Virustentorjunta ei ole poissulkeva | Virustentorjuntaohjelma (laajuus: epp) |
Jättää pois virustentorjuntatarkistusten ja pyydettäessä luotaisten tarkistusten sisällön. |
| Yleinen poissulkeminen | Virustentorjunta ja päätepisteiden tunnistuksia ja vastausmoduuli (laajuus: yleinen) |
Ei sisällä reaaliaikaista suojausta ja EDR-näkyvyyttä. Ei koske oletuksena pyydettäessä suoritettavaa tarkistusta. |
Tärkeää
Yleiset poikkeukset eivät koske verkon suojausta, joten verkon suojauksen luomat hälytykset ovat edelleen näkyvissä.
Jos haluat jättää prosesseja pois verkon suojauksesta, käytä mdatp network-protection exclusion
Tuetut poissulkemistyypit
Seuraavassa taulukossa on esitetty Defenderin Linux-päätepisteelle tukemat poissulkemistyypit.
| Poissulkeminen | Määritelmä | Esimerkkejä |
|---|---|---|
| Tiedostopääte | Kaikki tiedostot, joilla on laajennus, missä tahansa laitteessa (ei käytettävissä globaaleille poissulkemisille) | .test |
| Tiedosto | Koko polun tunnistama tietty tiedosto | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Kansio | Kaikki määritetyn kansion tiedostot (rekursiivisesti) | /var/log//var/*/ |
| Prosessi | Tietty prosessi (määritetään joko koko polun tai tiedostonimen mukaan) ja kaikki sen avaamat tiedostot. Suosittelemme täydellisen ja luotettavan prosessin käynnistyspolun käyttämistä. |
/bin/catcatc?t |
Tärkeää
Käytettyjen polkujen on oltava kovia linkkejä, eivät symbolisia linkkejä, jotta ne voidaan sulkea onnistuneesti pois. Voit tarkistaa, onko polku symbolinen linkki, suorittamalla komennon file <path-name>. Kun toteutat yleisiä prosessin poissulkemisia, jätä pois vain se, mikä on tarpeen järjestelmän luotettavuuden ja suojauksen varmistamiseksi. Varmista, että prosessi on tunnettu ja luotettava, määritä prosessin sijainnin täydellinen polku ja varmista, että prosessi käynnistyy johdonmukaisesti samalta luotetulta täydeltä polulta.
Tiedoston, kansion ja prosessin poikkeukset tukevat seuraavia yleismerkkejä:
| Yleismerkki | Kuvaus | Esimerkkejä |
|---|---|---|
| * | Vastaa mitä tahansa merkkien määrää, mukaan lukien ei mitään (huomautus, jos tätä yleismerkkiä ei käytetä polun lopussa, se korvaa vain yhden kansion) |
/var/*/tmp sisältää kaikki -tiedostot /var/abc/tmp ja sen alihakemistot sekä /var/def/tmp sen alihakemistot. Se ei sisällä /var/abc/log tai /var/def/log
|
| ? | Vastaa mitä tahansa yksittäistä merkkiä |
file?.log sisältää file1.log ja file2.log, mutta eifile123.log |
Huomautus
Yleismerkkejä ei tueta määritettäessä yleisiä poissulkemisia. Jos virustentorjunta ei ole käytössä, kun käytössä on *-yleismerkki polun lopussa, se vastaa kaikkia yleismerkin ylätason tiedostoja ja alihakemistoja. Tiedostopolun on oltava olemassa, ennen kuin voit lisätä tai poistaa tiedostopoikkeuksia, joiden vaikutusalue on yleinen.
Poissulkemisten luettelon määrittäminen
Voit määrittää poissulkemisia hallinnan Json-määrityksen, Defender for Endpoint -suojausasetusten hallinnan tai komentorivin avulla.
Hallintakonsolin käyttäminen
Yritysympäristöissä poissulkemisia voidaan hallita myös määritysprofiilin kautta. Yleensä käytät määritystenhallintatyökalua, kuten Puppet, Ansible tai toinen hallintakonsoli, kun haluat työntää tiedoston, jonka nimi mdatp_managed.json on sijainnissa /etc/opt/microsoft/mdatp/managed/. Lisätietoja on kohdassa Defenderin asetusten määrittäminen Linux-päätepisteelle. Katso seuraava esimerkki mdatp_managed.jsonkohdasta .
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Defender for Endpointin suojausasetusten hallinnan käyttäminen
Huomautus
Tämä menetelmä on tällä hetkellä yksityisessä esikatselussa. Jos haluat ottaa tämän ominaisuuden käyttöön, ota yhteyttä osoitteeseen xplatpreviewsupport@microsoft.com. Varmista, että tarkistat edellytykset: Defender for Endpoint -suojausasetusten hallinnan edellytykset
Voit Microsoft Intune hallintakeskuksen tai Microsoft Defender portaalin avulla hallita päätepisteiden suojauskäytäntöjen poissulkemisia ja määrittää nämä käytännöt Microsoft Entra ID ryhmille. Jos käytät tätä menetelmää ensimmäistä kertaa, varmista, että suoritat seuraavat vaiheet:
1. Määritä vuokraaja tukemaan suojausasetusten hallintaa
Siirry Microsoft Defender-portaalissakohtaan Asetukset>Päätepisteet>Kokoonpanon hallinta>Pakotusalue ja valitse sitten Linux-ympäristö.
Merkitse laitteet tunnisteella
MDE-Management. Useimmat laitteet rekisteröityvät ja saavat käytännön muutamassa minuutissa, vaikka joidenkin käyttö voi kestää jopa 24 tuntia. Lisätietoja on artikkelissa Opi käyttämään Intune päätepisteen suojauskäytäntöjä Microsoft Defender for Endpoint hallintaan laitteissa, joita ei ole rekisteröity Intune.
2. Luo Microsoft Entra ryhmä
Luo käyttöjärjestelmätyyppiin perustuva dynaaminen Microsoft Entra ryhmä varmistaaksesi, että kaikki Defender for Endpointiin liitetyt laitteet saavat asianmukaiset käytännöt. Tämä dynaaminen ryhmä sisältää automaattisesti Defender for Endpointin hallitsemat laitteet, joten järjestelmänvalvojien ei tarvitse luoda uusia käytäntöjä manuaalisesti. Lisätietoja on seuraavassa artikkelissa: Microsoft Entra ryhmien luominen
3. Luo päätepisteen suojauskäytäntö
Siirry Microsoft Defender portaalissa kohtaan Päätepisteiden määritystenhallinta>Päätepisteen suojauskäytännöt> ja valitse sitten Luo uusi käytäntö.
Valitse Käyttöympäristö-kohdassa Linux.
Valitse pakollinen poissulkemismalli (
Microsoft defender global exclusions (AV+EDR)globaaleille poissulkemisille jaMicrosoft defender antivirus exclusionsvirustentorjuntapoikkeuksille) ja valitse sitten Luo käytäntö.Kirjoita Perustiedot-sivulle profiilin nimi ja kuvaus ja valitse sitten Seuraava.
Laajenna Asetukset-sivulla jokainen asetusryhmä ja määritä asetukset, joita haluat hallita tällä profiililla.
Kun olet määrittänut asetukset, valitse Seuraava.
Valitse Määritykset-sivulla ryhmät, jotka saavat tämän profiilin. Valitse sitten Seuraava.
Kun olet valmis, valitse Tarkista + luo -sivulla Tallenna. Uusi profiili näkyy luettelossa, kun valitset luomasi profiilin käytäntötyypin.
Lisätietoja: päätepisteiden suojauskäytäntöjen hallinta Microsoft Defender for Endpoint.
Komentorivin käyttäminen
Suorita seuraava komento, jotta näet käytettävissä olevat valitsimet poissulkemisten hallintaan:
mdatp exclusion
Huomautus
--scope on valinnainen merkintä, jonka hyväksytty arvo on epp tai global. Se tarjoaa saman laajuuden kuin lisätessään poissulkemisen saman poikkeuksen poistamiseksi. Jos vaikutusaluetta ei mainita komentorivin lähestymistavassa, vaikutusalueen arvoksi eppmääritetään .
Tämä ei vaikuta poissulkemisiin , jotka lisätään komentorivikäyttöliittymän --scope kautta ennen lipun käyttöönottoa , ja niiden soveltamisalaa pidetään epp.
Vihje
Kun määrität poissulkemisia yleismerkeillä, sisällytä parametri lainausmerkeissä estääksesi ylistystoiminnon.
Tässä osiossa on useita esimerkkejä.
Esimerkki 1: Poikkeuksen lisääminen tiedostotunnistetta varten
Voit lisätä tiedostotunnisteelle poikkeuksen. Muista, että laajennuksen poissulkemisia ei tueta yleisessä poissulkemisalueella.
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully
Esimerkki 2: Tiedoston poissulkemisen lisääminen tai poistaminen
Voit lisätä tai poistaa poissulkemisen tiedostosta. Tiedostopolun pitäisi olla jo olemassa, jos lisäät tai poistat poikkeuksen, jolla on yleinen vaikutusalue.
mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"
Esimerkki 3: Kansion poissulkemisen lisääminen tai poistaminen
Voit lisätä tai poistaa kansion poikkeuksen.
mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully
Esimerkki 4: Lisää toiseen kansioon poikkeus
Voit lisätä toisen kansion poissulkemisen.
mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder --scope global
Folder exclusion configured successfully
Esimerkki 5: Lisää kansiopoikkeus yleismerkillä
Voit lisätä poikkeuksen yleismerkkiä sisältävään kansioon. Muista, että yleismerkkejä ei tueta määritettäessä yleisiä poissulkemisia.
mdatp exclusion folder add --path "/var/*/tmp"
Edellinen komento jättää pois polut kohdassa */var/*/tmp/*, mutta ei kansioita, jotka ovat kohteen rinnakkaiskohteita *tmp*. Esimerkiksi */var/this-subfolder/tmp* on jätetty pois, mutta */var/this-subfolder/log* sitä ei ole jätetty pois.
mdatp exclusion folder add --path "/var/" --scope epp
TAI
mdatp exclusion folder add --path "/var/*/" --scope epp
Edellinen komento jättää pois kaikki polut, joiden pääkohde on */var/*, kuten */var/this-subfolder/and-this-subfolder-as-well*.
Folder exclusion configured successfully
Esimerkki 6: Poikkeuksen lisääminen prosessiin
Voit lisätä prosessille poikkeuksen.
mdatp exclusion process add --path /usr/bin/cat --scope global
Process exclusion configured successfully
mdatp exclusion process remove --path /usr/bin/cat --scope global
Huomautus
Vain täyttä polkua tuetaan määritettäessä prosessin poissulkemista global käyttöalueella.
Käytä vain --path -merkintää
Process exclusion removed successfully
mdatp exclusion process add --name cat --scope epp
Process exclusion configured successfully
mdatp exclusion process remove --name cat --scope epp
Process exclusion removed successfully
Esimerkki 7: Poikkeuksen lisääminen toiseen prosessiin
Voit lisätä poikkeuksen toiseen prosessiin.
mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global
Process exclusion configured successfully
Vahvista poissulkemisluettelot EICAR-testitiedoston avulla
Voit varmistaa, että poissulkemisluettelot toimivat, lataamalla testitiedoston -toiminnolla curl .
Korvaa seuraavassa Bash-katkelmassa tiedostolla, test.txt joka on poissulkemissääntöjen mukainen. Jos olet esimerkiksi sulkenut laajennuksen .testing pois, korvaa test.txt kohteella test.testing. Jos testaat polkua, varmista, että suoritat komennon kyseisessä polussa.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Jos Defender for Endpoint Linuxissa raportoi haittaohjelmasta, sääntö ei toimi. Jos haittaohjelmasta ei ole raporttia ja ladattu tiedosto on olemassa, poissulkeminen toimii. Voit avata tiedoston ja vahvistaa, että sisältö on sama kuin EICAR-testitiedoston verkkosivuilla kuvatulla tavalla.
Jos sinulla ei ole Internet-yhteyttä, voit luoda oman EICAR-testitiedoston. Kirjoita EICAR-merkkijono uuteen tekstitiedostoon seuraavalla Bash-komennolla:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Voit myös kopioida merkkijonon tyhjään tekstitiedostoon ja yrittää tallentaa sen tiedostonimellä tai kansioon, jota yrität sulkea pois.
Salli uhka
Sen lisäksi, että voit sulkea pois tietyn sisällön skannauksen, voit myös määrittää Linuxin Defender for Endpointin olemaan tunnistamatta joitakin uhkien luokkia, jotka on tunnistettu uhan nimen perusteella.
Varoitus
Ole varovainen käyttäessäsi tätä toimintoa, sillä se voi jättää laitteen suojauksen suojaamatta.
Jos haluat lisätä uhkanimen sallittujen luetteloon, suorita seuraava komento:
mdatp threat allowed add --name [threat-name]
Saat tunnistetun uhan nimen suorittamalla seuraavan komennon:
mdatp threat list
Jos haluat esimerkiksi lisätä EICAR-Test-File (not a virus) sallittujen luetteloon, suorita seuraava komento:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Tutustu myös seuraaviin ohjeartikkeleihin:
- Microsoft Defender for Endpoint Linuxissa
- Asetusten määrittäminen Microsoft Defender for Endpoint Linuxissa
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.