Condividi tramite


Configurare e convalidare le esclusioni per Microsoft Defender per endpoint in Linux

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Questo articolo fornisce informazioni su come definire l'antivirus e le esclusioni globali per Microsoft Defender per endpoint. Le esclusioni antivirus si applicano alle analisi su richiesta, alla protezione in tempo reale (RTP) e al monitoraggio del comportamento (BM). Le esclusioni globali si applicano alla protezione in tempo reale (RTP), al monitoraggio del comportamento (BM) e al rilevamento e alla risposta degli endpoint (EDR), arrestando così tutti i rilevamenti antivirus associati, gli avvisi EDR e la visibilità per l'elemento escluso.

Importante

Le esclusioni antivirus descritte in questo articolo si applicano solo alle funzionalità antivirus e non al rilevamento e alla risposta degli endpoint (EDR). I file esclusi usando le esclusioni antivirus descritte in questo articolo possono comunque attivare avvisi EDR e altri rilevamenti. Le esclusioni globali descritte in questa sezione si applicano alle funzionalità di rilevamento e risposta di antivirus ed endpoint, arrestando così tutte le protezioni antivirus associate, gli avvisi EDR e i rilevamenti. Le esclusioni globali sono attualmente in anteprima pubblica e sono disponibili nella versione 101.23092.0012 di Defender per endpoint o versioni successive, negli anelli Insiders Slow e Production. Per le esclusioni EDR, contattare il supporto tecnico.

È possibile escludere determinati file, cartelle, processi e file aperti dal processo da Defender per endpoint in Linux.

Le esclusioni possono essere utili per evitare rilevamenti non corretti su file o software univoci o personalizzati per l'organizzazione. Le esclusioni globali sono utili per attenuare i problemi di prestazioni causati da Defender per endpoint in Linux.

Avviso

La definizione delle esclusioni riduce la protezione offerta da Defender per endpoint in Linux. È consigliabile valutare sempre i rischi associati all'implementazione delle esclusioni e escludere solo i file sicuri di non essere dannosi.

Ambiti di esclusione supportati

Come descritto in una sezione precedente, sono supportati due ambiti di esclusione: antivirus (epp) e esclusione globale (global).

Le esclusioni antivirus possono essere usate per escludere i file e i processi attendibili dalla protezione in tempo reale, pur mantenendo la visibilità EDR. Le esclusioni globali vengono applicate a livello di sensore e per disattivare gli eventi che corrispondono alle condizioni di esclusione all'inizio del flusso, prima di eseguire qualsiasi elaborazione, arrestando così tutti gli avvisi EDR e i rilevamenti antivirus.

Nota

Globale (global) è un nuovo ambito di esclusione che viene introdotto oltre agli ambiti di esclusione antivirus (epp) già supportati da Microsoft.

Categoria di esclusione Ambito di esclusione Descrizione
Esclusione antivirus Motore antivirus
(ambito: epp)
Esclude il contenuto dalle analisi antivirus e dalle analisi su richiesta.
Esclusione globale Rilevamento di antivirus ed endpoint e motore di risposta
(ambito: globale)
Esclude gli eventi dalla protezione in tempo reale e dalla visibilità EDR. Non si applica alle analisi su richiesta per impostazione predefinita.

Importante

Le esclusioni globali non si applicano alla protezione di rete, quindi gli avvisi generati dalla protezione di rete saranno comunque visibili. Per escludere i processi dalla protezione di rete, usare mdatp network-protection exclusion

Tipi di esclusione supportati

La tabella seguente illustra i tipi di esclusione supportati da Defender per endpoint in Linux.

Esclusione Definizione Esempi
Estensione del file Tutti i file con l'estensione, in qualsiasi punto del dispositivo (non disponibili per le esclusioni globali) .test
File Un file specifico identificato dal percorso completo /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Cartella Tutti i file nella cartella specificata (in modo ricorsivo) /var/log/
/var/*/
Procedura Un processo specifico (specificato dal percorso completo o dal nome del file) e tutti i file da esso aperti.
È consigliabile usare il percorso di avvio completo e attendibile del processo.
/bin/cat
cat
c?t

Importante

I percorsi utilizzati devono essere collegamenti reali, non collegamenti simbolici, per essere esclusi correttamente. È possibile controllare se un percorso è un collegamento simbolico eseguendo file <path-name>. Quando si implementano esclusioni di processi globali, escludere solo ciò che è necessario per garantire l'affidabilità e la sicurezza del sistema. Verificare che il processo sia noto e attendibile, specificare il percorso completo del percorso del processo e verificare che il processo venga avviato in modo coerente dallo stesso percorso completo attendibile.

Le esclusioni di file, cartelle e processi supportano i caratteri jolly seguenti:

Carattere jolly Descrizione Esempi
* Corrisponde a un numero qualsiasi di caratteri, tra cui nessuno
Si noti che se questo carattere jolly non viene usato alla fine del percorso, sostituisce una sola cartella.
/var/*/tmp include qualsiasi file in /var/abc/tmp e le relative sottodirectory e /var/def/tmp le relative sottodirectory. Non include /var/abc/log o /var/def/log

/var/*/ include solo tutti i file nelle relative sottodirectory, ad /var/abc/esempio , ma non i file direttamente all'interno /vardi .

? Corrisponde a qualsiasi carattere singolo file?.log include file1.log e file2.log, ma nonfile123.log

Nota

I caratteri jolly non sono supportati durante la configurazione delle esclusioni globali. Per le esclusioni antivirus, quando si usa il carattere jolly * alla fine del percorso, corrisponde a tutti i file e le sottodirectory nell'elemento padre del carattere jolly. Il percorso del file deve essere presente prima di aggiungere o rimuovere esclusioni di file con ambito globale.

Come configurare l'elenco delle esclusioni

È possibile configurare le esclusioni usando una configurazione Json di gestione, la gestione delle impostazioni di sicurezza di Defender per endpoint o la riga di comando.

Uso della console di gestione

Negli ambienti aziendali, le esclusioni possono essere gestite anche tramite un profilo di configurazione. In genere, si usa uno strumento di gestione della configurazione come Puppet, Ansible o un'altra console di gestione per eseguire il push di un file con il nome mdatp_managed.json nella posizione /etc/opt/microsoft/mdatp/managed/. Per altre informazioni, vedere Impostare le preferenze per Defender per endpoint in Linux. Fare riferimento all'esempio seguente di mdatp_managed.json.

{
   "exclusionSettings":{
     "exclusions":[
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/home/*/git<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/run<EXAMPLE DO NOT USE>",
           "scopes": [
              "global"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":false,
           "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
           "scopes": [
              "epp", "global"
           ]
        },
        {
           "$type":"excludedFileExtension",
           "extension":".pdf<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedFileName",
           "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
        }
     ],
     "mergePolicy":"admin_only"
   }
}

Uso della gestione delle impostazioni di sicurezza di Defender per endpoint

Nota

Questo metodo è attualmente disponibile in anteprima privata. Per abilitare questa funzionalità, contattare xplatpreviewsupport@microsoft.com. Assicurarsi di esaminare i prerequisiti: Prerequisiti di gestione delle impostazioni di sicurezza di Defender per endpoint

È possibile usare l'interfaccia di amministrazione Microsoft Intune o il portale di Microsoft Defender per gestire le esclusioni come criteri di sicurezza degli endpoint e assegnare tali criteri ai gruppi Microsoft Entra ID. Se si usa questo metodo per la prima volta, assicurarsi di completare i passaggi seguenti:

1. Configurare il tenant per supportare la gestione delle impostazioni di sicurezza

  1. Nel portale di Microsoft Defender passare a Impostazioni> Ambito diimposizione della gestione> della configurazionedegli> endpoint e quindi selezionare la piattaforma Linux.

  2. Contrassegnare i dispositivi con il MDE-Management tag . La maggior parte dei dispositivi registra e riceve i criteri in pochi minuti, anche se alcuni potrebbero richiedere fino a 24 ore. Per altre informazioni, vedere Informazioni su come usare Intune criteri di sicurezza degli endpoint per gestire Microsoft Defender per endpoint nei dispositivi non registrati con Intune.

2. Creare un gruppo di Microsoft Entra

Creare un gruppo di Microsoft Entra dinamico basato sul tipo di sistema operativo per garantire che tutti i dispositivi caricati in Defender per endpoint ricevano i criteri appropriati. Questo gruppo dinamico include automaticamente i dispositivi gestiti da Defender per endpoint, eliminando la necessità per gli amministratori di creare manualmente nuovi criteri. Per altre informazioni, vedere l'articolo seguente: Creare gruppi di Microsoft Entra

3. Creare un criterio di sicurezza degli endpoint

  1. Nel portale di Microsoft Defender passare a Criteri disicurezza degli endpoint digestione della configurazione>degli> endpoint e quindi selezionare Crea nuovi criteri.

  2. Per Piattaforma selezionare Linux.

  3. Selezionare il modello di esclusione obbligatorio (Microsoft defender global exclusions (AV+EDR) per esclusioni globali e Microsoft defender antivirus exclusions per esclusioni antivirus) e quindi selezionare Crea criterio.

  4. Nella pagina Informazioni di base immettere un nome e una descrizione per il profilo, quindi scegliere Avanti.

  5. Nella pagina Impostazioni espandere ogni gruppo di impostazioni e configurare le impostazioni da gestire con questo profilo.

  6. Al termine della configurazione delle impostazioni, selezionare Avanti.

  7. Nella pagina Assegnazioni selezionare i gruppi che ricevono questo profilo. Quindi, scegliere Avanti.

  8. Al termine, nella pagina Rivedi e crea selezionare Salva. Il nuovo profilo viene visualizzato nell'elenco quando si seleziona il tipo di criterio per il profilo creato.

Per altre informazioni, vedere Gestire i criteri di sicurezza degli endpoint in Microsoft Defender per endpoint.

Uso della riga di comando

Eseguire il comando seguente per visualizzare le opzioni disponibili per la gestione delle esclusioni:

mdatp exclusion

Nota

--scope è un flag facoltativo con valore accettato come epp o global. Fornisce lo stesso ambito usato durante l'aggiunta dell'esclusione per rimuovere la stessa esclusione. Nell'approccio da riga di comando, se l'ambito non viene menzionato, il valore dell'ambito viene impostato su epp. Le esclusioni aggiunte tramite l'interfaccia della riga di comando prima dell'introduzione del --scope flag rimangono inalterate e il relativo ambito viene considerato epp.

Consiglio

Quando si configurano esclusioni con caratteri jolly, racchiudere il parametro tra virgolette doppie per impedire il globbing.

Questa sezione include diversi esempi.

Esempio 1: Aggiungere un'esclusione per un'estensione di file

È possibile aggiungere un'esclusione per un'estensione di file. Tenere presente che le esclusioni di estensione non sono supportate per l'ambito di esclusione globale.

mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully

Esempio 2: Aggiungere o rimuovere un'esclusione di file

È possibile aggiungere o rimuovere un'esclusione per un file. Il percorso del file deve essere già presente se si aggiunge o si rimuove un'esclusione con l'ambito globale.

mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"

Esempio 3: Aggiungere o rimuovere un'esclusione di cartella

È possibile aggiungere o rimuovere un'esclusione per una cartella.

mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully

Esempio 4: Aggiungere un'esclusione per una seconda cartella

È possibile aggiungere un'esclusione per una seconda cartella.

mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder  --scope global
Folder exclusion configured successfully

Esempio 5: Aggiungere un'esclusione di cartella con un carattere jolly

È possibile aggiungere un'esclusione per una cartella con un carattere jolly. Tenere presente che i caratteri jolly non sono supportati durante la configurazione delle esclusioni globali.

mdatp exclusion folder add --path "/var/*/tmp"

Il comando precedente esclude i percorsi in */var/*/tmp/*, ma non le cartelle di pari livello di *tmp*. Ad esempio, */var/this-subfolder/tmp* è escluso, ma */var/this-subfolder/log* non è escluso.

mdatp exclusion folder add --path "/var/" --scope epp

OPPURE

mdatp exclusion folder add --path "/var/*/" --scope epp

Il comando precedente esclude tutti i percorsi il cui elemento padre è */var/*, ad */var/this-subfolder/and-this-subfolder-as-well*esempio .

Folder exclusion configured successfully

Esempio 6: Aggiungere un'esclusione per un processo

È possibile aggiungere un'esclusione per un processo.

mdatp exclusion process add --path /usr/bin/cat --scope global 
Process exclusion configured successfully
mdatp exclusion process remove --path /usr/bin/cat  --scope global

Nota

Solo il percorso completo è supportato per l'impostazione dell'esclusione del processo con global ambito. Usa solo --path flag

Process exclusion removed successfully
mdatp exclusion process add --name cat --scope epp 
Process exclusion configured successfully
mdatp exclusion process remove --name cat --scope epp
Process exclusion removed successfully

Esempio 7: Aggiungere un'esclusione per un secondo processo

È possibile aggiungere un'esclusione per un secondo processo.

mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global
Process exclusion configured successfully

Convalidare gli elenchi di esclusioni con il file di test EICAR

È possibile verificare che gli elenchi di esclusione funzionino usando curl per scaricare un file di test.

Nel frammento di codice Bash seguente sostituire test.txt con un file conforme alle regole di esclusione. Ad esempio, se l'estensione è .testing stata esclusa, sostituire test.txt con test.testing. Se si sta testando un percorso, assicurarsi di eseguire il comando all'interno di tale percorso.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Se Defender per endpoint in Linux segnala malware, la regola non funziona. Se non è presente alcun report di malware e il file scaricato esiste, l'esclusione funziona. È possibile aprire il file per verificare che il contenuto sia uguale a quello descritto nel sito Web del file di test EICAR.

Se non si ha accesso a Internet, è possibile creare un file di test EICAR personalizzato. Scrivere la stringa EICAR in un nuovo file di testo con il comando Bash seguente:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

È anche possibile copiare la stringa in un file di testo vuoto e tentare di salvarla con il nome del file o nella cartella che si sta tentando di escludere.

Consentire una minaccia

Oltre ad escludere l'analisi di alcuni contenuti, è anche possibile configurare Defender per endpoint in Linux per non rilevare alcune classi di minacce, identificate dal nome della minaccia.

Avviso

Prestare attenzione quando si usa questa funzionalità, in quanto può lasciare il dispositivo non protetto.

Per aggiungere un nome di minaccia all'elenco consentito, eseguire il comando seguente:

mdatp threat allowed add --name [threat-name]

Per ottenere il nome di una minaccia rilevata, eseguire il comando seguente:

mdatp threat list

Ad esempio, per aggiungere EICAR-Test-File (not a virus) all'elenco consentiti, eseguire il comando seguente:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.