Configurar e validar exclusões para Microsoft Defender para Endpoint no Linux
Aplica-se a:
- Microsoft Defender para Endpoint Server
- Microsoft Defender para Servidores
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Este artigo fornece informações sobre como definir exclusões globais e antivírus para Microsoft Defender para Endpoint. As exclusões de antivírus aplicam-se a análises a pedido, proteção em tempo real (RTP) e monitorização de comportamento (BM). As exclusões globais aplicam-se à proteção em tempo real (RTP), à monitorização de comportamento (BM) e à deteção e resposta de pontos finais (EDR), parando assim todas as deteções antivírus associadas, alertas EDR e visibilidade do item excluído.
Importante
As exclusões antivírus descritas neste artigo aplicam-se apenas a capacidades antivírus e não à deteção e resposta de pontos finais (EDR). Os ficheiros que excluir através das exclusões antivírus descritas neste artigo ainda podem acionar alertas EDR e outras deteções. As exclusões globais descritas nesta secção aplicam-se às capacidades de deteção e resposta de pontos finais e antivírus, parando assim toda a proteção antivírus associada, alertas EDR e deteções. As exclusões globais estão atualmente em pré-visualização pública e estão disponíveis na versão 101.23092.0012 do Defender para Endpoint ou posterior, nas cadências Insider Slow e Production. Para exclusões EDR, contacte o suporte.
Pode excluir determinados ficheiros, pastas, processos e ficheiros abertos por processos do Defender para Endpoint no Linux.
As exclusões podem ser úteis para evitar deteções incorretas em ficheiros ou software que são exclusivos ou personalizados para a sua organização. As exclusões globais são úteis para mitigar problemas de desempenho causados pelo Defender para Endpoint no Linux.
Aviso
Definir exclusões reduz a proteção oferecida pelo Defender para Endpoint no Linux. Deve sempre avaliar os riscos associados à implementação de exclusões e só deve excluir ficheiros que tenha a certeza de que não são maliciosos.
Âmbitos de exclusão suportados
Conforme descrito numa secção anterior, suportamos dois âmbitos de exclusão: exclusões de antivírus (epp) e globais (global).
As exclusões de antivírus podem ser utilizadas para excluir ficheiros e processos fidedignos da proteção em tempo real, ao mesmo tempo que têm visibilidade EDR. As exclusões globais são aplicadas ao nível do sensor e para desativar o som dos eventos que correspondem às condições de exclusão no início do fluxo, antes de qualquer processamento ser feito, parando assim todos os alertas EDR e deteções antivírus.
Nota
Global (global) é um novo âmbito de exclusão que estamos a introduzir para além dos âmbitos de exclusão antivírus (epp) que já são suportados pela Microsoft.
| Categoria de Exclusão | Âmbito de Exclusão | Descrição |
|---|---|---|
| Exclusão de Antivírus | Motor antivírus (âmbito: epp) |
Exclui conteúdo de análises antivírus e análises a pedido. |
| Exclusão Global | Deteções de antivírus e pontos finais e motor de resposta (âmbito: global) |
Exclui eventos da proteção em tempo real e da visibilidade EDR. Não se aplica a análises a pedido por predefinição. |
Importante
As exclusões globais não se aplicam à proteção de rede, pelo que os alertas gerados pela proteção de rede continuarão visíveis.
Para excluir processos da proteção de rede, utilize mdatp network-protection exclusion
Tipos de exclusão suportados
A tabela seguinte mostra os tipos de exclusão suportados pelo Defender para Endpoint no Linux.
| Exclusão | Definição | Exemplos |
|---|---|---|
| Extensão de ficheiro | Todos os ficheiros com a extensão, em qualquer parte do dispositivo (não disponível para exclusões globais) | .test |
| Ficheiro | Um ficheiro específico identificado pelo caminho completo | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Pasta | Todos os ficheiros na pasta especificada (recursivamente) | /var/log//var/*/ |
| Processo | Um processo específico (especificado pelo caminho completo ou nome de ficheiro) e todos os ficheiros abertos pelo mesmo. Recomendamos que utilize o caminho de início do processo completo e fidedigno. |
/bin/catcatc?t |
Importante
Os caminhos utilizados têm de ser ligações fixas, não ligações simbólicas, para serem excluídos com êxito. Pode verificar se um caminho é uma ligação simbólica ao executar file <path-name>. Ao implementar exclusões de processos globais, exclua apenas o que é necessário para garantir a fiabilidade e a segurança do sistema. Verifique se o processo é conhecido e fidedigno, especifique o caminho completo para a localização do processo e confirme que o processo será iniciado de forma consistente a partir do mesmo caminho completo fidedigno.
As exclusões de ficheiros, pastas e processos suportam os seguintes carateres universais:
| Caráter universal | Descrição | Exemplos |
|---|---|---|
| * | Corresponde a qualquer número de carateres, incluindo nenhum (tenha em atenção que, se este caráter universal não for utilizado no final do caminho, substitui apenas uma pasta) |
/var/*/tmp inclui qualquer ficheiro no e respetivos /var/abc/tmp subdiretórios e /var/def/tmp respetivos subdiretórios. Não inclui /var/abc/log nem /var/def/log
|
| ? | Corresponde a qualquer caráter individual |
file?.log inclui file1.log e file2.log, mas nãofile123.log |
Nota
Os carateres universais não são suportados durante a configuração de exclusões globais. Para exclusões de antivírus, ao utilizar o caráter universal * no final do caminho, corresponde a todos os ficheiros e subdiretórios no elemento principal do caráter universal. O caminho do ficheiro tem de estar presente antes de adicionar ou remover exclusões de ficheiros com âmbito como global.
Como configurar a lista de exclusões
Pode configurar exclusões com uma configuração Json de gestão, a gestão de definições de segurança do Defender para Endpoint ou a linha de comandos.
Utilizar a consola de gestão
Em ambientes empresariais, as exclusões também podem ser geridas através de um perfil de configuração. Normalmente, utilizaria uma ferramenta de gestão de configuração como o Puppet, o Ansible ou outra consola de gestão para emitir um ficheiro com o nome mdatp_managed.json na localização /etc/opt/microsoft/mdatp/managed/. Para obter mais informações, consulte Definir preferências do Defender para Endpoint no Linux. Veja o seguinte exemplo de mdatp_managed.json.
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Utilizar a gestão de definições de segurança do Defender para Endpoint
Nota
Este método está atualmente em Pré-visualização privada. Para ativar esta funcionalidade, contacte o xplatpreviewsupport@microsoft.com. Confirme que revê os pré-requisitos: Pré-requisitos de gestão das definições de segurança do Defender para Endpoint
Pode utilizar o centro de administração do Microsoft Intune ou o portal do Microsoft Defender para gerir exclusões como políticas de segurança de ponto final e atribuir essas políticas a grupos Microsoft Entra ID. Se estiver a utilizar este método pela primeira vez, certifique-se de que conclui os seguintes passos:
1. Configure o seu inquilino para suportar a gestão de definições de segurança
No portal Microsoft Defender, navegue para Definições>Âmbito deImposição da Gestão> de Configuração dePontos Finais> e, em seguida, selecione a plataforma Linux.
Etiquetar dispositivos com a
MDE-Managementetiqueta . A maioria dos dispositivos inscreve e recebe a política dentro de minutos, embora alguns possam demorar até 24 horas. Para obter mais informações, veja Saiba como utilizar Intune políticas de segurança de pontos finais para gerir Microsoft Defender para Endpoint em dispositivos que não estão inscritos no Intune.
2. Criar um grupo de Microsoft Entra
Crie um grupo de Microsoft Entra dinâmico com base no tipo de sistema operativo para garantir que todos os dispositivos integrados no Defender para Endpoint recebem as políticas adequadas. Este grupo dinâmico inclui automaticamente dispositivos geridos pelo Defender para Endpoint, eliminando a necessidade de os administradores criarem manualmente novas políticas. Para obter mais informações, consulte o seguinte artigo: Criar Grupos de Microsoft Entra
3. Criar uma política de segurança de ponto final
No portal Microsoft Defender, aceda a Pontos FinaisGestão> de configuração Políticas > desegurança de ponto final e, em seguida, selecione Criar nova Política.
Em Plataforma, selecione Linux.
Selecione o modelo de exclusão necessário (
Microsoft defender global exclusions (AV+EDR)para exclusões globais eMicrosoft defender antivirus exclusionsexclusões antivírus) e, em seguida, selecione Criar política.Na página Informações básicas , introduza um nome e uma descrição para o perfil e, em seguida, selecione Seguinte.
Na página Definições , expanda cada grupo de definições e configure as definições que pretende gerir com este perfil.
Quando terminar de configurar as definições, selecione Seguinte.
Na página Atribuições , selecione os grupos que recebem este perfil. Em seguida, selecione Seguinte.
Na página Rever + criar , quando terminar, selecione Guardar. O novo perfil é apresentado na lista quando seleciona o tipo de política para o perfil que criou.
Para obter mais informações, veja Gerir políticas de segurança de pontos finais no Microsoft Defender para Endpoint.
Utilizar a linha de comandos
Execute o seguinte comando para ver os comutadores disponíveis para gerir exclusões:
mdatp exclusion
Nota
--scope é um sinalizador opcional com o valor aceite como epp ou global. Fornece o mesmo âmbito utilizado ao adicionar a exclusão para remover a mesma exclusão. Na abordagem da linha de comandos, se o âmbito não for mencionado, o valor de âmbito é definido como epp.
As exclusões adicionadas através da CLI antes da introdução do --scope sinalizador permanecem inalteradas e o respetivo âmbito é considerado epp.
Sugestão
Ao configurar exclusões com carateres universais, coloque o parâmetro entre aspas duplas para impedir a colocação de regozijantes.
Esta secção inclui vários exemplos.
Exemplo 1: Adicionar uma exclusão para uma extensão de ficheiro
Pode adicionar uma exclusão para uma extensão de ficheiro. Tenha em atenção que as exclusões de extensões não são suportadas para o âmbito de exclusão global.
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully
Exemplo 2: Adicionar ou remover uma exclusão de ficheiros
Pode adicionar ou remover uma exclusão de um ficheiro. O caminho do ficheiro já deverá estar presente se estiver a adicionar ou a remover uma exclusão com o âmbito global.
mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"
Exemplo 3: Adicionar ou remover uma exclusão de pastas
Pode adicionar ou remover uma exclusão de uma pasta.
mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully
Exemplo 4: Adicionar uma exclusão para uma segunda pasta
Pode adicionar uma exclusão para uma segunda pasta.
mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder --scope global
Folder exclusion configured successfully
Exemplo 5: Adicionar uma exclusão de pasta com um caráter universal
Pode adicionar uma exclusão para uma pasta com um caráter universal. Tenha em atenção que os Carateres universais não são suportados durante a configuração de exclusões globais.
mdatp exclusion folder add --path "/var/*/tmp"
O comando anterior exclui caminhos em */var/*/tmp/*, mas não pastas que são irmãos de *tmp*. Por exemplo, */var/this-subfolder/tmp* está excluído, mas */var/this-subfolder/log* não é excluído.
mdatp exclusion folder add --path "/var/" --scope epp
OU
mdatp exclusion folder add --path "/var/*/" --scope epp
O comando anterior exclui todos os caminhos cujo principal é */var/*, como */var/this-subfolder/and-this-subfolder-as-well*.
Folder exclusion configured successfully
Exemplo 6: Adicionar uma exclusão para um processo
Pode adicionar uma exclusão para um processo.
mdatp exclusion process add --path /usr/bin/cat --scope global
Process exclusion configured successfully
mdatp exclusion process remove --path /usr/bin/cat --scope global
Nota
Só é suportado o caminho completo para definir a exclusão do processo com global âmbito.
Utilizar apenas --path sinalizador
Process exclusion removed successfully
mdatp exclusion process add --name cat --scope epp
Process exclusion configured successfully
mdatp exclusion process remove --name cat --scope epp
Process exclusion removed successfully
Exemplo 7: Adicionar uma exclusão para um segundo processo
Pode adicionar uma exclusão para um segundo processo.
mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global
Process exclusion configured successfully
Validar listas de exclusões com o ficheiro de teste EICAR
Pode confirmar que as listas de exclusão estão a funcionar ao utilizar curl para transferir um ficheiro de teste.
No fragmento bash seguinte, substitua por test.txt um ficheiro que esteja em conformidade com as regras de exclusão. Por exemplo, se tiver excluído a .testing extensão, substitua por test.testingtest.txt . Se estiver a testar um caminho, certifique-se de que executa o comando nesse caminho.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Se o Defender para Endpoint no Linux comunica software maligno, a regra não está a funcionar. Se não existir nenhum relatório de software maligno e o ficheiro transferido existir, significa que a exclusão está a funcionar. Pode abrir o ficheiro para confirmar que os conteúdos são os mesmos que são descritos no site do ficheiro de teste EICAR.
Se não tiver acesso à Internet, pode criar o seu próprio ficheiro de teste EICAR. Escreva a cadeia EICAR num novo ficheiro de texto com o seguinte comando bash:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Também pode copiar a cadeia para um ficheiro de texto em branco e tentar guardá-la com o nome do ficheiro ou na pasta que está a tentar excluir.
Permitir uma ameaça
Além de excluir determinados conteúdos de serem analisados, também pode configurar o Defender para Endpoint no Linux para não detetar algumas classes de ameaças, identificadas pelo nome da ameaça.
Aviso
Tenha cuidado ao utilizar esta funcionalidade, uma vez que pode deixar o dispositivo desprotegido.
Para adicionar um nome de ameaça à lista de permitidos, execute o seguinte comando:
mdatp threat allowed add --name [threat-name]
Para obter o nome de uma ameaça detetada, execute o seguinte comando:
mdatp threat list
Por exemplo, para adicionar EICAR-Test-File (not a virus) à lista de permissões, execute o seguinte comando:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Consulte também
- Microsoft Defender para Endpoint no Linux
- Definir preferências para o Microsoft Defender para Endpoint no Linux
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.