Linux 上のMicrosoft Defender for Endpointの除外を構成して検証する
適用対象:
- Microsoft Defender for Endpoint Server
- サーバーのMicrosoft Defender
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
この記事では、Microsoft Defender for Endpointのウイルス対策とグローバル除外を定義する方法について説明します。 ウイルス対策の除外は、オンデマンド スキャン、リアルタイム保護 (RTP)、動作監視 (BM) に適用されます。 グローバル除外は、リアルタイム保護 (RTP)、動作監視 (BM)、エンドポイント検出と応答 (EDR) に適用されるため、関連付けられているすべてのウイルス対策検出、EDR アラート、除外された項目の可視性を停止します。
重要
この記事で説明するウイルス対策の除外は、ウイルス対策機能にのみ適用され、エンドポイントの検出と応答 (EDR) には適用されません。 この記事で説明するウイルス対策の除外を使用して除外するファイルは、引き続き EDR アラートやその他の検出をトリガーできます。 このセクションで説明するグローバル除外は、ウイルス対策 と エンドポイントの検出と応答の機能に適用されるため、関連付けられているすべてのウイルス対策保護、EDR アラート、検出を停止します。 グローバル除外は現在パブリック プレビュー段階にあり、Defender for Endpoint バージョン 101.23092.0012 以降の Insider 低速リングと運用リングで使用できます。 EDR の除外については、 サポートにお問い合わせください。
特定のファイル、フォルダー、プロセス、プロセスで開かれたファイルを、Linux 上の Defender for Endpoint から除外できます。
除外は、organizationに固有またはカスタマイズされたファイルまたはソフトウェアで誤った検出を回避するのに役立ちます。 グローバル除外は、Defender for Endpoint on Linux によって発生するパフォーマンスの問題を軽減するために役立ちます。
警告
除外を定義すると、Defender for Endpoint on Linux によって提供される保護が低下します。 除外の実装に関連するリスクを常に評価し、悪意のないと確信しているファイルのみを除外する必要があります。
サポートされている除外スコープ
前のセクションで説明したように、ウイルス対策 (epp) とグローバル (global) の 2 つの除外スコープがサポートされています。
ウイルス対策の除外を使用すると、信頼されたファイルとプロセスをリアルタイム保護から除外しながら、EDR の可視性を確保できます。 グローバル除外はセンサー レベルで適用され、処理が完了する前にフローの早い段階で除外条件に一致するイベントをミュートするため、すべての EDR アラートとウイルス対策検出が停止されます。
注:
グローバル (global) は、Microsoft で既にサポートされているウイルス対策 (epp) 除外スコープに加えて、導入する新しい除外スコープです。
| 除外カテゴリ | 除外スコープ | 説明 |
|---|---|---|
| ウイルス対策の除外 | ウイルス対策エンジン (スコープ: epp) |
ウイルス対策スキャンとオンデマンド スキャンからコンテンツを除外します。 |
| グローバル除外 | ウイルス対策とエンドポイントの検出と応答エンジン (スコープ: グローバル) |
リアルタイム保護と EDR 可視性からイベントを除外します。 既定では、オンデマンド スキャンには適用されません。 |
重要
グローバル除外はネットワーク保護には適用されないため、ネットワーク保護によって生成されたアラートは引き続き表示されます。
ネットワーク保護からプロセスを除外するには、 mdatp network-protection exclusion
サポートされている除外の種類
次の表は、Linux 上の Defender for Endpoint でサポートされる除外の種類を示しています。
| 除外 | 定義 | 例 |
|---|---|---|
| ファイル拡張子 | 拡張機能を持つすべてのファイル、デバイス上の任意の場所 (グローバル除外では使用できません) | .test |
| File | 完全パスで識別される特定のファイル | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| フォルダー | 指定したフォルダーの下にあるすべてのファイル (再帰的に) | /var/log//var/*/ |
| プロセス | 特定のプロセス (完全なパスまたはファイル名で指定) と、そのプロセスによって開かれたすべてのファイル。 完全で信頼されたプロセス起動パスを使用することをお勧めします。 |
/bin/catcatc?t |
重要
正常に除外するには、シンボリック リンクではなくハード リンクを使用する必要があります。 パスがシンボリック リンクの場合は、file <path-name>を実行してチェックできます。 グローバル プロセスの除外を実装する場合は、システムの信頼性とセキュリティを確保するために必要なものだけを除外します。 プロセスが既知で信頼されていることを確認し、プロセスの場所への完全なパスを指定し、プロセスが同じ信頼された完全なパスから一貫して起動することを確認します。
ファイル、フォルダー、およびプロセスの除外では、次のワイルドカードがサポートされています。
| ワイルドカード | 説明 | 例 |
|---|---|---|
| * | none を含む任意の数の文字と一致します (このワイルドカードがパスの末尾で使用されていない場合は、1 つのフォルダーのみを置き換えます) |
/var/*/tmp には、 /var/abc/tmp とそのサブディレクトリ内の任意のファイルと、 /var/def/tmp とそのサブディレクトリが含まれます。
/var/abc/logや/var/def/log
|
| ? | 任意の 1 文字に一致します |
file?.log には file1.log と file2.logが含まれますが、含まれませんfile123.log |
注:
グローバル除外の構成中は、ワイルドカードはサポートされていません。 ウイルス対策の除外の場合、パスの末尾で * ワイルドカードを使用する場合は、ワイルドカードの親の下にあるすべてのファイルとサブディレクトリと一致します。 スコープをグローバルとして含むファイルの除外を追加または削除する前に、ファイル パスが存在する必要があります。
除外の一覧を構成する方法
除外は、管理 Json 構成、Defender for Endpoint セキュリティ設定管理、またはコマンド ラインを使用して構成できます。
管理コンソールの使用
エンタープライズ環境では、構成プロファイルを使用して除外を管理することもできます。 通常、Puppet、Ansible、またはその他の管理コンソールなどの構成管理ツールを使用して、/etc/opt/microsoft/mdatp/managed/場所にmdatp_managed.json名前のファイルをプッシュします。 詳細については、「 Linux 上の Defender for Endpoint の基本設定を設定する」を参照してください。
mdatp_managed.jsonの次のサンプルを参照してください。
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Defender for Endpoint セキュリティ設定管理の使用
注:
このメソッドは現在プライベート プレビュー段階です。 この機能を有効にするには、 xplatpreviewsupport@microsoft.comに連絡してください。 必ず前提条件を確認してください。 Defender for Endpoint セキュリティ設定の管理の前提条件
Microsoft Intune管理センターまたはMicrosoft Defender ポータルを使用して、エンドポイント セキュリティ ポリシーとして除外を管理し、それらのポリシーをMicrosoft Entra ID グループに割り当てることができます。 このメソッドを初めて使用する場合は、次の手順を完了してください。
1. セキュリティ設定管理をサポートするようにテナントを構成する
Microsoft Defender ポータルで、[設定>Endpoints>Configuration Management>Enforcement Scope] に移動し、Linux プラットフォームを選択します。
MDE-Managementタグを使用してデバイスにタグを付けます。 ほとんどのデバイスは数分でポリシーを登録して受信しますが、一部のデバイスでは最大 24 時間かかる場合があります。 詳細については、「Intune エンドポイント セキュリティ ポリシーを使用して、Intuneに登録されていないデバイスのMicrosoft Defender for Endpointを管理する方法」を参照してください。
2. Microsoft Entra グループを作成する
オペレーティング システムの種類に基づいて動的Microsoft Entra グループを作成して、Defender for Endpoint にオンボードされているすべてのデバイスが適切なポリシーを確実に受け取れるようにします。 この動的グループには、Defender for Endpoint によって管理されるデバイスが自動的に含まれるので、管理者が手動で新しいポリシーを作成する必要がなくなります。 詳細については、次の記事を参照してください。 Microsoft Entra グループの作成
3. エンドポイント セキュリティ ポリシーを作成する
Microsoft Defender ポータルで、[Endpoints>Configuration management>Endpoint セキュリティ ポリシー] に移動し、[新しいポリシーの作成] を選択します。
[プラットフォーム] で [Linux] を選択 します。
必要な除外テンプレート (グローバル除外の場合は
Microsoft defender global exclusions (AV+EDR)、ウイルス対策除外の場合はMicrosoft defender antivirus exclusions) を選択し、[ ポリシーの作成] を選択します。[基本] ページでプロファイルに名前と説明を入力し、[次へ] を選択します。
[ 設定] ページで、設定の各グループを展開し、このプロファイルで管理する設定を構成します。
設定の構成が完了したら、[次へ] を選択します。
[ 割り当て] ページで 、このプロファイルを受け取るグループを選択します。 [次へ] を選択します。
[ 確認と作成 ] ページで、完了したら [保存] を選択 します。 作成したプロファイルのポリシーの種類を選択すると、新しいプロファイルが一覧に表示されます。
詳細については、「Microsoft Defender for Endpointでエンドポイント セキュリティ ポリシーを管理する」を参照してください。
コマンド ラインの使用
次のコマンドを実行して、除外を管理するための使用可能なスイッチを確認します。
mdatp exclusion
注:
--scope は、 epp または globalとして受け入れられた値を持つ省略可能なフラグです。 これは、同じ除外を削除するために除外を追加するときに使用されるのと同じスコープを提供します。 コマンド ラインアプローチでは、スコープが言及されていない場合、スコープ値は eppとして設定されます。
--scope フラグの導入前に CLI によって追加された除外は影響を受けず、そのスコープはeppと見なされます。
ヒント
ワイルドカードを使用して除外を構成する場合は、パラメーターを二重引用符で囲み、グロビングを防ぎます。
このセクションには、いくつかの例が含まれています。
例 1: ファイル拡張子の除外を追加する
ファイル拡張子の除外を追加できます。 拡張機能の除外は、グローバル除外スコープではサポートされていないことに注意してください。
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully
例 2: ファイルの除外を追加または削除する
ファイルの除外を追加または削除できます。 グローバル スコープで除外を追加または削除する場合は、ファイル パスが既に存在している必要があります。
mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"
例 3: フォルダーの除外を追加または削除する
フォルダーの除外を追加または削除できます。
mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully
例 4: 2 つ目のフォルダーの除外を追加する
2 つ目のフォルダーの除外を追加できます。
mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder --scope global
Folder exclusion configured successfully
例 5: ワイルドカードを使用してフォルダーの除外を追加する
ワイルドカードを使用してフォルダーの除外を追加できます。 グローバル除外の構成中はワイルドカードはサポートされていないことに注意してください。
mdatp exclusion folder add --path "/var/*/tmp"
前のコマンドでは、 */var/*/tmp/*下のパスは除外されますが、 *tmp*の兄弟であるフォルダーは除外されません。 たとえば、 */var/this-subfolder/tmp* は除外されますが、 */var/this-subfolder/log* は除外されません。
mdatp exclusion folder add --path "/var/" --scope epp
または
mdatp exclusion folder add --path "/var/*/" --scope epp
前のコマンドは、親が */var/*されているすべてのパス ( */var/this-subfolder/and-this-subfolder-as-well*など) を除外します。
Folder exclusion configured successfully
例 6: プロセスの除外を追加する
プロセスの除外を追加できます。
mdatp exclusion process add --path /usr/bin/cat --scope global
Process exclusion configured successfully
mdatp exclusion process remove --path /usr/bin/cat --scope global
注:
global スコープを使用してプロセスの除外を設定する場合は、完全パスのみがサポートされます。
--path フラグのみを使用する
Process exclusion removed successfully
mdatp exclusion process add --name cat --scope epp
Process exclusion configured successfully
mdatp exclusion process remove --name cat --scope epp
Process exclusion removed successfully
例 7: 2 番目のプロセスの除外を追加する
2 番目のプロセスの除外を追加できます。
mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global
Process exclusion configured successfully
EICAR テスト ファイルを使用して除外リストを検証する
除外リストが機能していることを検証するには、 curl を使用してテスト ファイルをダウンロードします。
次の Bash スニペットで、 test.txt を除外規則に準拠するファイルに置き換えます。 たとえば、 .testing 拡張機能を除外した場合は、 test.txt を test.testing に置き換えます。 パスをテストする場合は、そのパス内でコマンドを実行してください。
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Defender for Endpoint on Linux でマルウェアが報告された場合、ルールは機能しません。 マルウェアの報告がなく、ダウンロードしたファイルが存在する場合は、除外が機能しています。 ファイルを開いて、 内容が EICAR テスト ファイル Web サイトで説明されているものと同じであることを確認できます。
インターネットにアクセスできない場合は、独自の EICAR テスト ファイルを作成できます。 次の Bash コマンドを使用して、EICAR 文字列を新しいテキスト ファイルに書き込みます。
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
また、空のテキスト ファイルに文字列をコピーし、ファイル名または除外しようとしているフォルダーに保存することもできます。
脅威を許可する
特定のコンテンツをスキャン対象から除外するだけでなく、脅威名で識別される脅威の一部のクラスを検出しないように Defender for Endpoint on Linux を構成することもできます。
警告
この機能を使用する場合は、デバイスの保護が解除される可能性があるため、注意してください。
許可されるリストに脅威名を追加するには、次のコマンドを実行します。
mdatp threat allowed add --name [threat-name]
検出された脅威の名前を取得するには、次のコマンドを実行します。
mdatp threat list
たとえば、allowlist に EICAR-Test-File (not a virus) を追加するには、次のコマンドを実行します。
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。