Configurer et valider des exclusions pour Microsoft Defender pour point de terminaison sur Linux
S’applique à :
- Microsoft Defender pour point de terminaison Server.
- Microsoft Defender pour les serveurs
Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Cet article fournit des informations sur la façon de définir des exclusions globales et antivirus pour Microsoft Defender pour point de terminaison. Les exclusions antivirus s’appliquent aux analyses à la demande, à la protection en temps réel (RTP) et à la surveillance du comportement (BM). Les exclusions globales s’appliquent à la protection en temps réel (RTP), à la surveillance du comportement (BM) et à la détection et à la réponse des points de terminaison (EDR), arrêtant ainsi toutes les détections antivirus associées, les alertes EDR et la visibilité de l’élément exclu.
Importante
Les exclusions antivirus décrites dans cet article s’appliquent uniquement aux fonctionnalités antivirus et non à la détection et à la réponse des points de terminaison (EDR). Les fichiers que vous excluez à l’aide des exclusions antivirus décrites dans cet article peuvent toujours déclencher des alertes EDR et d’autres détections. Les exclusions globales décrites dans cette section s’appliquent aux fonctionnalités de détection et de réponse des antivirus et des points de terminaison, arrêtant ainsi toutes les protections antivirus, alertes EDR et détections associées. Les exclusions globales sont actuellement en préversion publique et sont disponibles dans Defender pour point de terminaison version 101.23092.0012 ou ultérieure, dans les anneaux Insiders Slow et Production. Pour les exclusions EDR, contactez le support.
Vous pouvez exclure certains fichiers, dossiers, processus et fichiers ouverts par processus de Defender pour point de terminaison sur Linux.
Les exclusions peuvent être utiles pour éviter des détections incorrectes sur des fichiers ou des logiciels uniques ou personnalisés pour votre organization. Les exclusions globales sont utiles pour atténuer les problèmes de performances causés par Defender pour point de terminaison sur Linux.
Avertissement
La définition d’exclusions réduit la protection offerte par Defender pour point de terminaison sur Linux. Vous devez toujours évaluer les risques associés à l’implémentation d’exclusions, et vous devez exclure uniquement les fichiers dont vous êtes certain qu’ils ne sont pas malveillants.
Étendues d’exclusion prises en charge
Comme décrit dans une section précédente, nous prenons en charge deux étendues d’exclusion : les exclusions antivirus (epp) et globales (global).
Les exclusions antivirus peuvent être utilisées pour exclure les fichiers et les processus approuvés de la protection en temps réel tout en ayant une visibilité EDR. Les exclusions globales sont appliquées au niveau du capteur et pour désactiver le son des événements qui correspondent aux conditions d’exclusion au début du flux, avant tout traitement, arrêtant ainsi toutes les alertes EDR et détections antivirus.
Remarque
Global (global) est une nouvelle étendue d’exclusion que nous introduisons en plus des étendues d’exclusion antivirus (epp) déjà prises en charge par Microsoft.
| Catégorie d’exclusion | Étendue d’exclusion | Description |
|---|---|---|
| Exclusion de l’antivirus | Moteur antivirus (étendue : epp) |
Exclut le contenu des analyses antivirus et à la demande. |
| Exclusion globale | Antivirus et détections de point de terminaison et moteur de réponse (étendue : globale) |
Exclut les événements de la protection en temps réel et de la visibilité EDR. Ne s’applique pas aux analyses à la demande par défaut. |
Importante
Les exclusions globales ne s’appliquent pas à la protection du réseau, de sorte que les alertes générées par la protection réseau restent visibles.
Pour exclure les processus de la protection réseau, utilisez mdatp network-protection exclusion
Types d’exclusion pris en charge
Le tableau suivant présente les types d’exclusion pris en charge par Defender pour point de terminaison sur Linux.
| Exclusion | Définition | Exemples |
|---|---|---|
| Extension de fichier | Tous les fichiers avec l’extension, n’importe où sur l’appareil (non disponibles pour les exclusions globales) | .test |
| Fichier | Fichier spécifique identifié par le chemin d’accès complet | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Folder | Tous les fichiers sous le dossier spécifié (de manière récursive) | /var/log//var/*/ |
| Processus | Un processus spécifique (spécifié par le chemin d’accès complet ou le nom de fichier) et tous les fichiers ouverts par celui-ci. Nous vous recommandons d’utiliser le chemin de lancement de processus complet et approuvé. |
/bin/catcatc?t |
Importante
Les chemins utilisés doivent être des liens physiques, et non des liens symboliques, afin d’être correctement exclus. Vous pouvez case activée si un chemin est un lien symbolique en exécutant file <path-name>. Lors de l’implémentation d’exclusions de processus globaux, excluez uniquement ce qui est nécessaire pour garantir la fiabilité et la sécurité du système. Vérifiez que le processus est connu et approuvé, spécifiez le chemin d’accès complet à l’emplacement du processus et vérifiez que le processus sera lancé de manière cohérente à partir du même chemin d’accès complet approuvé.
Les exclusions de fichiers, de dossiers et de processus prennent en charge les caractères génériques suivants :
| Caractère générique | Description | Exemples |
|---|---|---|
| * | Correspond à n’importe quel nombre de caractères, y compris aucun (Notez que si ce caractère générique n’est pas utilisé à la fin du chemin d’accès, il ne remplace qu’un seul dossier) |
/var/*/tmp inclut n’importe quel fichier dans /var/abc/tmp et ses sous-répertoires, ainsi /var/def/tmp que ses sous-répertoires. Il n’inclut /var/abc/log pas ou /var/def/log
|
| ? | Correspond à n’importe quel caractère unique |
file?.log inclut file1.log et file2.log, mais pasfile123.log |
Remarque
Les caractères génériques ne sont pas pris en charge lors de la configuration des exclusions globales. Pour les exclusions antivirus, lors de l’utilisation du caractère générique * à la fin du chemin d’accès, il correspond à tous les fichiers et sous-répertoires sous le parent du caractère générique. Le chemin d’accès au fichier doit être présent avant d’ajouter ou de supprimer des exclusions de fichiers dont l’étendue est globale.
Comment configurer la liste des exclusions
Vous pouvez configurer des exclusions à l’aide d’une configuration Json de gestion, de la gestion des paramètres de sécurité Defender pour point de terminaison ou de la ligne de commande.
Utilisation du console de gestion
Dans les environnements d’entreprise, les exclusions peuvent également être gérées via un profil de configuration. En règle générale, vous utilisez un outil de gestion de configuration comme Puppet, Ansible ou un autre console de gestion pour envoyer (push) un fichier portant le nom mdatp_managed.json à l’emplacement /etc/opt/microsoft/mdatp/managed/. Pour plus d’informations, consultez Définir des préférences pour Defender pour point de terminaison sur Linux. Reportez-vous à l’exemple suivant de mdatp_managed.json.
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Utilisation de la gestion des paramètres de sécurité de Defender pour point de terminaison
Remarque
Cette méthode est actuellement en préversion privée. Pour activer cette fonctionnalité, contactez xplatpreviewsupport@microsoft.com. Veillez à consulter les prérequis : Prérequis pour la gestion des paramètres de sécurité de Defender pour point de terminaison
Vous pouvez utiliser le centre d’administration Microsoft Intune ou le portail Microsoft Defender pour gérer les exclusions en tant que stratégies de sécurité de point de terminaison et affecter ces stratégies à des groupes Microsoft Entra ID. Si vous utilisez cette méthode pour la première fois, veillez à effectuer les étapes suivantes :
1. Configurer votre locataire pour prendre en charge la gestion des paramètres de sécurité
Dans le portail Microsoft Defender, accédez à Paramètres Points> determinaison> Gestionde la configuration>Étendue de l’application, puis sélectionnez la plateforme Linux.
Étiquetez les appareils avec la
MDE-Managementbalise . La plupart des appareils inscrivent et reçoivent la stratégie en quelques minutes, bien que certains puissent prendre jusqu’à 24 heures. Pour plus d’informations, consultez Découvrez comment utiliser des stratégies de sécurité de point de terminaison Intune pour gérer les Microsoft Defender pour point de terminaison sur les appareils qui ne sont pas inscrits avec Intune.
2. Créer un groupe Microsoft Entra
Créez un groupe de Microsoft Entra dynamique basé sur le type de système d’exploitation pour vous assurer que tous les appareils intégrés à Defender pour point de terminaison reçoivent les stratégies appropriées. Ce groupe dynamique inclut automatiquement les appareils gérés par Defender pour point de terminaison, ce qui évite aux administrateurs de créer manuellement de nouvelles stratégies. Pour plus d’informations, consultez l’article suivant : Créer des groupes Microsoft Entra
3. Créer une stratégie de sécurité de point de terminaison
Dans le portail Microsoft Defender, accédez à Gestion de la configuration des points> de terminaisonStratégies> desécurité des points de terminaison, puis sélectionnez Créer une stratégie.
Pour Plateforme, sélectionnez Linux.
Sélectionnez le modèle d’exclusion requis (
Microsoft defender global exclusions (AV+EDR)pour les exclusions globales etMicrosoft defender antivirus exclusionspour les exclusions antivirus), puis sélectionnez Créer une stratégie.Dans la page De base, entrez un nom et une description pour le profil, puis choisissez Suivant.
Dans la page Paramètres , développez chaque groupe de paramètres et configurez les paramètres que vous souhaitez gérer avec ce profil.
Quand vous avez terminé de configurer les paramètres, sélectionnez Suivant.
Dans la page Affectations , sélectionnez les groupes qui reçoivent ce profil. Ensuite, sélectionnez Suivant.
Dans la page Vérifier + créer , lorsque vous avez terminé, sélectionnez Enregistrer. Le profil que vous venez de créer apparaît dans la liste lorsque vous sélectionnez le type de stratégie pour le nouveau profil.
Pour plus d’informations, consultez Gérer les stratégies de sécurité de point de terminaison dans Microsoft Defender pour point de terminaison.
Utilisation de la ligne de commande
Exécutez la commande suivante pour afficher les commutateurs disponibles pour la gestion des exclusions :
mdatp exclusion
Remarque
--scope est un indicateur facultatif avec la valeur acceptée comme epp ou global. Il fournit la même étendue utilisée lors de l’ajout de l’exclusion pour supprimer la même exclusion. Dans l’approche en ligne de commande, si l’étendue n’est pas mentionnée, la valeur de l’étendue est définie sur epp.
Les exclusions ajoutées via l’interface CLI avant l’introduction de l’indicateur --scope restent inchangées et leur étendue est considérée comme epp.
Conseil
Lorsque vous configurez des exclusions avec des caractères génériques, placez le paramètre entre guillemets doubles pour empêcher le globbing.
Cette section comprend plusieurs exemples.
Exemple 1 : Ajouter une exclusion pour une extension de fichier
Vous pouvez ajouter une exclusion pour une extension de fichier. N’oubliez pas que les exclusions d’extension ne sont pas prises en charge pour l’étendue d’exclusion globale.
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully
Exemple 2 : Ajouter ou supprimer une exclusion de fichier
Vous pouvez ajouter ou supprimer une exclusion pour un fichier. Le chemin d’accès au fichier doit déjà être présent si vous ajoutez ou supprimez une exclusion avec l’étendue globale.
mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"
Exemple 3 : Ajouter ou supprimer une exclusion de dossier
Vous pouvez ajouter ou supprimer une exclusion pour un dossier.
mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully
Exemple 4 : Ajouter une exclusion pour un deuxième dossier
Vous pouvez ajouter une exclusion pour un deuxième dossier.
mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder --scope global
Folder exclusion configured successfully
Exemple 5 : Ajouter une exclusion de dossier avec un caractère générique
Vous pouvez ajouter une exclusion pour un dossier avec un caractère générique. Gardez à l’esprit que les caractères génériques ne sont pas pris en charge lors de la configuration des exclusions globales.
mdatp exclusion folder add --path "/var/*/tmp"
La commande précédente exclut les chemins d’accès sous */var/*/tmp/*, mais pas les dossiers qui sont frères de *tmp*. Par exemple, */var/this-subfolder/tmp* est exclu, mais */var/this-subfolder/log* n’est pas exclu.
mdatp exclusion folder add --path "/var/" --scope epp
OR
mdatp exclusion folder add --path "/var/*/" --scope epp
La commande précédente exclut tous les chemins dont le parent est */var/*, par */var/this-subfolder/and-this-subfolder-as-well*exemple .
Folder exclusion configured successfully
Exemple 6 : Ajouter une exclusion pour un processus
Vous pouvez ajouter une exclusion pour un processus.
mdatp exclusion process add --path /usr/bin/cat --scope global
Process exclusion configured successfully
mdatp exclusion process remove --path /usr/bin/cat --scope global
Remarque
Seul le chemin complet est pris en charge pour définir l’exclusion de processus avec l’étendue global .
Utiliser uniquement l’indicateur --path
Process exclusion removed successfully
mdatp exclusion process add --name cat --scope epp
Process exclusion configured successfully
mdatp exclusion process remove --name cat --scope epp
Process exclusion removed successfully
Exemple 7 : Ajouter une exclusion pour un deuxième processus
Vous pouvez ajouter une exclusion pour un deuxième processus.
mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global
Process exclusion configured successfully
Valider les listes d’exclusions avec le fichier de test EICAR
Vous pouvez vérifier que vos listes d’exclusion fonctionnent en utilisant curl pour télécharger un fichier de test.
Dans l’extrait de code Bash suivant, remplacez par test.txt un fichier conforme à vos règles d’exclusion. Par exemple, si vous avez exclu l’extension .testing , remplacez par test.txttest.testing. Si vous testez un chemin d’accès, veillez à exécuter la commande dans ce chemin.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Si Defender pour point de terminaison sur Linux signale un programme malveillant, la règle ne fonctionne pas. S’il n’y a aucun rapport de programme malveillant et que le fichier téléchargé existe, l’exclusion fonctionne. Vous pouvez ouvrir le fichier pour vérifier que le contenu est identique à ce qui est décrit sur le site web du fichier de test EICAR.
Si vous n’avez pas accès à Internet, vous pouvez créer votre propre fichier de test EICAR. Écrivez la chaîne EICAR dans un nouveau fichier texte avec la commande Bash suivante :
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Vous pouvez également copier la chaîne dans un fichier texte vide et tenter de l’enregistrer avec le nom de fichier ou dans le dossier que vous tentez d’exclure.
Autoriser une menace
En plus d’exclure certains contenus de l’analyse, vous pouvez également configurer Defender pour point de terminaison sur Linux afin de ne pas détecter certaines classes de menaces, identifiées par le nom de la menace.
Avertissement
Soyez prudent lorsque vous utilisez cette fonctionnalité, car elle peut laisser votre appareil non protégé.
Pour ajouter un nom de menace à la liste autorisée, exécutez la commande suivante :
mdatp threat allowed add --name [threat-name]
Pour obtenir le nom d’une menace détectée, exécutez la commande suivante :
mdatp threat list
Par exemple, pour ajouter EICAR-Test-File (not a virus) à la liste d’autorisation, exécutez la commande suivante :
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Voir aussi
- Microsoft Defender pour point de terminaison Linux
- Définir les préférences pour Microsoft Defender pour point de terminaison sur Linux
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.