Delen via


Uitsluitingen configureren en valideren voor Microsoft Defender voor Eindpunt op Linux

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Dit artikel bevat informatie over het definiëren van antivirus- en algemene uitsluitingen voor Microsoft Defender voor Eindpunt. Antivirusuitsluitingen zijn van toepassing op scans op aanvraag, real-time beveiliging (RTP) en gedragscontrole (BM). Globale uitsluitingen zijn van toepassing op realtime-beveiliging (RTP), gedragscontrole (BM) en eindpuntdetectie en -respons (EDR), waardoor alle bijbehorende antivirusdetecties, EDR-waarschuwingen en zichtbaarheid voor het uitgesloten item worden gestopt.

Belangrijk

De antivirusuitsluitingen die in dit artikel worden beschreven, zijn alleen van toepassing op antivirusmogelijkheden en niet op eindpuntdetectie en -respons (EDR). Bestanden die u uitsluit met behulp van de antivirusuitsluitingen die in dit artikel worden beschreven, kunnen nog steeds EDR-waarschuwingen en andere detecties activeren. Globale uitsluitingen die in deze sectie worden beschreven, zijn van toepassing op antivirus- en eindpuntdetectie- en responsmogelijkheden, waardoor alle bijbehorende antivirusbeveiliging, EDR-waarschuwingen en detecties worden gestopt. Globale uitsluitingen zijn momenteel beschikbaar als openbare preview en zijn beschikbaar in de Versie 101.23092.0012 van Defender voor Eindpunt of hoger in de Insiders Slow- en Production-ringen. Neem voor EDR-uitsluitingen contact op met de ondersteuning.

U kunt bepaalde bestanden, mappen, processen en proces geopende bestanden uitsluiten van Defender voor Eindpunt in Linux.

Uitsluitingen kunnen handig zijn om onjuiste detecties te voorkomen voor bestanden of software die uniek zijn of zijn aangepast aan uw organisatie. Globale uitsluitingen zijn handig voor het beperken van prestatieproblemen die worden veroorzaakt door Defender voor Eindpunt in Linux.

Waarschuwing

Als u uitsluitingen definieert, wordt de beveiliging verlaagd die wordt geboden door Defender voor Eindpunt op Linux. U moet altijd de risico's evalueren die zijn gekoppeld aan het implementeren van uitsluitingen en u moet alleen bestanden uitsluiten die u zeker weet dat ze niet schadelijk zijn.

Ondersteunde uitsluitingsbereiken

Zoals beschreven in een eerder gedeelte, ondersteunen we twee uitsluitingsbereiken: antivirus (epp) en globale (global).

Antivirusuitsluitingen kunnen worden gebruikt om vertrouwde bestanden en processen uit te sluiten van realtime-beveiliging terwijl EDR-zichtbaarheid behouden blijft. Globale uitsluitingen worden toegepast op sensorniveau en om de gebeurtenissen te dempen die voldoen aan uitsluitingsvoorwaarden vroeg in de stroom, voordat er een verwerking wordt uitgevoerd, waardoor alle EDR-waarschuwingen en antivirusdetecties worden gestopt.

Opmerking

Global (global) is een nieuw uitsluitingsbereik dat we introduceren naast antivirus (epp) uitsluitingsbereiken die al worden ondersteund door Microsoft.

Uitsluitingscategorie Uitsluitingsbereik Beschrijving
Antivirusuitsluiting Antivirus-engine
(bereik: epp)
Sluit inhoud uit van antivirusscans en scans op aanvraag.
Algemene uitsluiting Antivirus- en eindpuntdetectie- en antwoordengine
(bereik: globaal)
Sluit gebeurtenissen uit van realtime-beveiliging en EDR-zichtbaarheid. Is standaard niet van toepassing op scans op aanvraag.

Belangrijk

Globale uitsluitingen zijn niet van toepassing op netwerkbeveiliging, zodat waarschuwingen die door netwerkbeveiliging worden gegenereerd, nog steeds zichtbaar zijn. Als u processen wilt uitsluiten van netwerkbeveiliging, gebruikt u mdatp network-protection exclusion

Ondersteunde uitsluitingstypen

In de volgende tabel ziet u de uitsluitingstypen die worden ondersteund door Defender voor Eindpunt in Linux.

Uitsluiting Definitie Voorbeelden
Bestandsextensie Alle bestanden met de extensie, overal op het apparaat (niet beschikbaar voor algemene uitsluitingen) .test
Bestand Een specifiek bestand dat wordt geïdentificeerd door het volledige pad /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Map Alle bestanden in de opgegeven map (recursief) /var/log/
/var/*/
Proces Een specifiek proces (opgegeven door het volledige pad of de bestandsnaam) en alle bestanden die door het proces worden geopend.
U wordt aangeraden een volledig en vertrouwd proces te starten.
/bin/cat
cat
c?t

Belangrijk

De gebruikte paden moeten vaste koppelingen zijn, geen symbolische koppelingen, om te kunnen worden uitgesloten. U kunt controleren of een pad een symbolische koppeling is door file <path-name> uit te voeren. Sluit bij het implementeren van globale procesuitsluitingen alleen uit wat nodig is om de betrouwbaarheid en beveiliging van het systeem te garanderen. Controleer of het proces bekend en vertrouwd is, geef het volledige pad naar de proceslocatie op en controleer of het proces consistent wordt gestart vanuit hetzelfde vertrouwde volledige pad.

Uitsluitingen van bestanden, mappen en processen ondersteunen de volgende jokertekens:

Jokerteken Beschrijving Voorbeelden
* Komt overeen met een willekeurig aantal tekens, inclusief geen
(Als dit jokerteken niet wordt gebruikt aan het einde van het pad, wordt slechts één map vervangen)
/var/*/tmp bevat alle bestanden in /var/abc/tmp en de bijbehorende submappen, en /var/def/tmp de bijbehorende submappen. Het bevat /var/abc/log niet of /var/def/log

/var/*/ bevat alleen bestanden in de submappen, zoals /var/abc/, maar niet bestanden rechtstreeks in /var.

? Komt overeen met een enkel teken file?.log bevat file1.log en file2.log, maar nietfile123.log

Opmerking

Jokertekens worden niet ondersteund tijdens het configureren van globale uitsluitingen. Voor antivirusuitsluitingen komt het jokerteken * aan het einde van het pad overeen met alle bestanden en submappen onder het bovenliggende jokerteken. Het bestandspad moet aanwezig zijn voordat u bestandsuitsluitingen met een bereik als globaal toevoegt of verwijdert.

De lijst met uitsluitingen configureren

U kunt uitsluitingen configureren met behulp van een Json-beheerconfiguratie, beheer van beveiligingsinstellingen voor Defender voor Eindpunt of de opdrachtregel.

De beheerconsole gebruiken

In bedrijfsomgevingen kunnen uitsluitingen ook worden beheerd via een configuratieprofiel. Normaal gesproken gebruikt u een hulpprogramma voor configuratiebeheer, zoals Puppet, Ansible of een andere beheerconsole om een bestand met de naam mdatp_managed.json op de locatie /etc/opt/microsoft/mdatp/managed/te pushen. Zie Voorkeuren instellen voor Defender voor Eindpunt in Linux voor meer informatie. Raadpleeg het volgende voorbeeld van mdatp_managed.json.

{
   "exclusionSettings":{
     "exclusions":[
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/home/*/git<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/run<EXAMPLE DO NOT USE>",
           "scopes": [
              "global"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":false,
           "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
           "scopes": [
              "epp", "global"
           ]
        },
        {
           "$type":"excludedFileExtension",
           "extension":".pdf<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedFileName",
           "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
        }
     ],
     "mergePolicy":"admin_only"
   }
}

Beheer van beveiligingsinstellingen voor Defender voor Eindpunt gebruiken

Opmerking

Deze methode bevindt zich momenteel in privévoorbeeld. Als u deze functie wilt inschakelen, neemt u contact op met xplatpreviewsupport@microsoft.com. Controleer de vereisten: Beheervereisten voor Defender voor Eindpunt-beveiligingsinstellingen

U kunt het Microsoft Intune-beheercentrum of de Microsoft Defender-portal gebruiken om uitsluitingen als eindpuntbeveiligingsbeleid te beheren en deze beleidsregels toe te wijzen aan Microsoft Entra ID groepen. Als u deze methode voor het eerst gebruikt, moet u de volgende stappen uitvoeren:

1. Uw tenant configureren om het beheer van beveiligingsinstellingen te ondersteunen

  1. Ga in de Microsoft Defender-portal naar Instellingen> EindpuntenConfiguratiebeheer>Afdwingingsbereik> en selecteer vervolgens het Linux-platform.

  2. Tag apparaten met de MDE-Management tag. De meeste apparaten registreren en ontvangen het beleid binnen enkele minuten, hoewel sommige tot 24 uur kunnen duren. Zie Meer informatie over het gebruik van Intune eindpuntbeveiligingsbeleid voor het beheren van Microsoft Defender voor Eindpunt op apparaten die niet zijn ingeschreven bij Intune voor meer informatie.

2. Een Microsoft Entra groep maken

Maak een dynamische Microsoft Entra groep op basis van het besturingssysteemtype om ervoor te zorgen dat alle apparaten die zijn onboarden bij Defender voor Eindpunt het juiste beleid ontvangen. Deze dynamische groep bevat automatisch apparaten die worden beheerd door Defender voor Eindpunt, waardoor beheerders geen handmatig nieuw beleid hoeven te maken. Zie het volgende artikel voor meer informatie: Microsoft Entra groepen maken

3. Een eindpuntbeveiligingsbeleid maken

  1. Ga in de Microsoft Defender-portal naar Eindpunten>Configuratiebeheer>Eindpuntbeveiligingsbeleid en selecteer vervolgens Nieuw beleid maken.

  2. Selecteer Linux bij Platform.

  3. Selecteer de vereiste uitsluitingssjabloon (Microsoft defender global exclusions (AV+EDR) voor globale uitsluitingen en Microsoft defender antivirus exclusions voor antivirusuitsluitingen) en selecteer vervolgens Beleid maken.

  4. Voer op de pagina Basisinformatie een naam en een beschrijving in voor het profiel en selecteer dan Volgende.

  5. Vouw op de pagina Instellingen elke groep instellingen uit en configureer de instellingen die u met dit profiel wilt beheren.

  6. Wanneer je klaar bent met het configureren van instellingen, selecteer je Volgende.

  7. Selecteer op de pagina Toewijzingen de groepen die dit profiel ontvangen. Selecteer Volgende.

  8. Selecteer opslaan op de pagina Controleren en maken wanneer u klaar bent. Het nieuwe profiel wordt weergegeven in de lijst wanneer u het beleidstype selecteert voor het profiel dat u hebt gemaakt.

Raadpleeg voor meer informatie: Eindpuntbeveiligingsbeleid beheren in Microsoft Defender voor Eindpunt.

De opdrachtregel gebruiken

Voer de volgende opdracht uit om de beschikbare opties voor het beheren van uitsluitingen weer te geven:

mdatp exclusion

Opmerking

--scope is een optionele vlag met geaccepteerde waarde als epp of global. Het biedt hetzelfde bereik dat wordt gebruikt tijdens het toevoegen van de uitsluiting om dezelfde uitsluiting te verwijderen. Als het bereik in de opdrachtregelbenadering niet wordt vermeld, wordt de bereikwaarde ingesteld als epp. Uitsluitingen die zijn toegevoegd via cli vóór de introductie van --scope de vlag, blijven ongewijzigd en hun bereik wordt beschouwd epp.

Tip

Bij het configureren van uitsluitingen met jokertekens plaatst u de parameter tussen dubbele aanhalingstekens om globbing te voorkomen.

Deze sectie bevat verschillende voorbeelden.

Voorbeeld 1: Een uitsluiting voor een bestandsextensie toevoegen

U kunt een uitsluiting voor een bestandsextensie toevoegen. Houd er rekening mee dat uitbreidingsuitsluitingen niet worden ondersteund voor het globale uitsluitingsbereik.

mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully

Voorbeeld 2: Een bestandsuitsluiting toevoegen of verwijderen

U kunt een uitsluiting voor een bestand toevoegen of verwijderen. Het bestandspad moet al aanwezig zijn als u een uitsluiting met het globale bereik toevoegt of verwijdert.

mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"

Voorbeeld 3: Een mapuitsluiting toevoegen of verwijderen

U kunt een uitsluiting voor een map toevoegen of verwijderen.

mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully

Voorbeeld 4: Een uitsluiting toevoegen voor een tweede map

U kunt een uitsluiting toevoegen voor een tweede map.

mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder  --scope global
Folder exclusion configured successfully

Voorbeeld 5: Een mapuitsluiting toevoegen met een jokerteken

U kunt een uitsluiting toevoegen voor een map met een jokerteken. Houd er rekening mee dat jokertekens niet worden ondersteund tijdens het configureren van globale uitsluitingen.

mdatp exclusion folder add --path "/var/*/tmp"

Met de vorige opdracht worden paden uitgesloten onder */var/*/tmp/*, maar niet mappen die een broer of zus zijn van *tmp*. Wordt bijvoorbeeld */var/this-subfolder/tmp* uitgesloten, maar */var/this-subfolder/log* niet uitgesloten.

mdatp exclusion folder add --path "/var/" --scope epp

OF

mdatp exclusion folder add --path "/var/*/" --scope epp

Met de vorige opdracht worden alle paden uitgesloten waarvan het bovenliggende pad is */var/*, zoals */var/this-subfolder/and-this-subfolder-as-well*.

Folder exclusion configured successfully

Voorbeeld 6: Een uitsluiting voor een proces toevoegen

U kunt een uitsluiting voor een proces toevoegen.

mdatp exclusion process add --path /usr/bin/cat --scope global 
Process exclusion configured successfully
mdatp exclusion process remove --path /usr/bin/cat  --scope global

Opmerking

Alleen het volledige pad wordt ondersteund voor het instellen van procesuitsluiting met global bereik. --path Alleen vlag gebruiken

Process exclusion removed successfully
mdatp exclusion process add --name cat --scope epp 
Process exclusion configured successfully
mdatp exclusion process remove --name cat --scope epp
Process exclusion removed successfully

Voorbeeld 7: Een uitsluiting toevoegen voor een tweede proces

U kunt een uitsluiting voor een tweede proces toevoegen.

mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global
Process exclusion configured successfully

Uitsluitingslijsten valideren met het EICAR-testbestand

U kunt controleren of uw uitsluitingslijsten werken met behulp van curl en een testbestand te downloaden.

Vervang vervolgens het Bash-fragment test.txt door een bestand dat voldoet aan uw uitsluitingsregels. Als u bijvoorbeeld de .testing-extensie hebt uitgesloten, vervangt u test.txt door test.testing. Als u een pad test, moet u ervoor zorgen dat u de opdracht binnen dat pad uitvoert.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Als Defender voor Eindpunt op Linux malware rapporteert, werkt de regel niet. Als er geen melding van malware is en het gedownloade bestand bestaat, werkt de uitsluiting. U kunt het bestand openen om te bevestigen dat de inhoud hetzelfde is als wat wordt beschreven op de EICAR-testbestandswebsite.

Als u geen toegang tot internet hebt, kunt u uw eigen EICAR-testbestand maken. Schrijf de EICAR-tekenreeks naar een nieuw tekstbestand met de volgende Bash-opdracht:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

U kunt de tekenreeks ook kopiëren naar een leeg tekstbestand en deze proberen op te slaan met de bestandsnaam of in de map die u probeert uit te sluiten.

Een bedreiging toestaan

Naast het uitsluiten van bepaalde inhoud van het scannen, kunt u defender voor eindpunt op Linux ook configureren om bepaalde klassen bedreigingen niet te detecteren, geïdentificeerd met de naam van de bedreiging.

Waarschuwing

Wees voorzichtig bij het gebruik van deze functionaliteit, omdat uw apparaat hierdoor niet meer kan worden beveiligd.

Als u een bedreigingsnaam wilt toevoegen aan de lijst met toegestane bedreigingen, voert u de volgende opdracht uit:

mdatp threat allowed add --name [threat-name]

Voer de volgende opdracht uit om de naam van een gedetecteerde bedreiging op te halen:

mdatp threat list

Als u bijvoorbeeld wilt toevoegen EICAR-Test-File (not a virus) aan de acceptatielijst, voert u de volgende opdracht uit:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.