Настройка и проверка исключений для Microsoft Defender для конечной точки в Linux
Применимо к:
- Сервер Microsoft Defender для конечной точки
- Microsoft Defender для серверов
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
В этой статье содержатся сведения о том, как определить антивирусные и глобальные исключения для Microsoft Defender для конечной точки. Исключения антивирусной программы применяются к проверкам по запросу, защите в режиме реального времени (RTP) и мониторингу поведения (BM). Глобальные исключения применяются к защите в реальном времени (RTP), мониторингу поведения (BM) и обнаружению и реагированию конечных точек (EDR), тем самым останавливая все связанные обнаружения антивирусной программы, оповещения EDR и видимость для исключенного элемента.
Важно!
Исключения антивирусной программы, описанные в этой статье, применяются только к возможностям антивирусной программы, а не к обнаружению конечных точек и реагированию (EDR). Файлы, которые вы исключаете с помощью исключений антивирусной программы, описанных в этой статье, по-прежнему могут активировать оповещения EDR и другие обнаружения. Глобальные исключения, описанные в этом разделе, применяются к возможностям обнаружения и реагирования антивирусной программы и конечных точек, что приводит к остановке всех связанных антивирусной защиты, оповещений EDR и обнаружения. Глобальные исключения в настоящее время находятся в общедоступной предварительной версии и доступны в Defender для конечной точки версии или более поздней версии 101.23092.0012
в кругах Insiders Slow и Production. Для исключений EDR обратитесь в службу поддержки.
Некоторые файлы, папки, процессы и файлы, открытые процессом, можно исключить из Defender для конечной точки в Linux.
Исключения могут быть полезны, чтобы избежать неправильного обнаружения файлов или программного обеспечения, которые являются уникальными или настроенными для вашей организации. Глобальные исключения полезны для устранения проблем с производительностью, вызванных Defender для конечной точки в Linux.
Предупреждение
Определение исключений снижает защиту, предлагаемую Defender для конечной точки в Linux. Всегда следует оценивать риски, связанные с реализацией исключений, и исключать только файлы, которые, как вы уверены, не являются вредоносными.
Поддерживаемые области исключения
Как описано в предыдущем разделе, мы поддерживаем две области исключения: антивирусная (epp
) и глобальная (global
) исключения.
Исключения антивирусной программы можно использовать для исключения доверенных файлов и процессов из защиты в режиме реального времени, сохраняя видимость EDR. Глобальные исключения применяются на уровне датчика и для отключения звука событий, которые соответствуют условиям исключения на ранних этапах потока, перед любой обработкой, что приводит к остановке всех оповещений EDR и обнаружения антивирусной программы.
Примечание.
Глобальный (global
) — это новый область исключений, который мы вводим в дополнение к антивирусным (epp
) исключениям, которые уже поддерживаются корпорацией Майкрософт.
Категория исключения | Область исключения | Описание |
---|---|---|
Исключение антивирусной программы | Антивирусная подсистема (область: epp) |
Исключает содержимое из проверок антивирусной программы (AV) и проверок по запросу. |
Глобальное исключение | Антивирусная программа, обнаружение конечных точек и обработчик ответов (область: global) |
Исключает события из защиты в режиме реального времени и видимости EDR. Не применяется к проверкам по запросу по умолчанию. |
Поддерживаемые типы исключений
В следующей таблице показаны типы исключений, поддерживаемые Defender для конечной точки в Linux.
Исключения | Определение | Примеры |
---|---|---|
Расширение файла | Все файлы с расширением в любом месте устройства (недоступны для глобальных исключений) | .test |
File | Конкретный файл, определенный по полному пути | /var/log/test.log /var/log/*.log /var/log/install.?.log |
Folder | Все файлы в указанной папке (рекурсивно) | /var/log/ /var/*/ |
Процесс | Определенный процесс (указывается полным путем или именем файла) и все файлы, открытые им. | /bin/cat cat c?t |
Важно!
Для успешного исключения используемые пути должны быть жесткими, а не символическими ссылками. Вы можете проверка, является ли путь символьной ссылкой, выполнив команду file <path-name>
.
Исключения файлов, папок и процессов поддерживают следующие подстановочные знаки:
Примечание.
Путь к файлу должен присутствовать перед добавлением или удалением исключений файлов с область в качестве глобального. Подстановочные знаки не поддерживаются при настройке глобальных исключений.
Подстановочный знак | Описание | Примеры |
---|---|---|
* | Соответствует любому количеству символов, включая нет (Обратите внимание, что если этот подстановочный знак не используется в конце пути, то он заменяет только одну папку) |
/var/*/tmp содержит любой файл в /var/abc/tmp и его подкаталогах, а также /var/def/tmp подкаталогах и его подкаталогах. Он не включает /var/abc/log или /var/def/log
|
? | Соответствует любому отдельному символу |
file?.log включает file1.log и file2.log , но неfile123.log |
Примечание.
Для антивирусных исключений при использовании подстановочного знака * в конце пути он будет соответствовать всем файлам и подкаталогам в родительском знаке подстановочного знака.
Настройка списка исключений
Использование консоль управления
Чтобы настроить исключения из Puppet, Ansible или другой консоль управления, см. следующий примерmdatp_managed.json
.
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Дополнительные сведения см. в статье Настройка параметров Defender для конечной точки в Linux.
Использование командной строки
Выполните следующую команду, чтобы просмотреть доступные параметры для управления исключениями:
Примечание.
--scope
является необязательным флагом с допустимым значением или epp
global
. Он предоставляет те же область, которые используются при добавлении исключения для удаления того же исключения. В подходе из командной строки, если область не указан, значение область задается как epp
.
Исключения, добавленные с помощью CLI до введения флага--scope
, остаются неизменными, и их область считается epp
.
mdatp exclusion
Совет
При настройке исключений с подстановочными знаками заключите параметр в двойные кавычки, чтобы предотвратить глобинг.
Примеры:
Добавьте исключение для расширения файла (исключение расширения не поддерживается для глобального исключения область).
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully
Добавление или удаление исключения для файла (путь к файлу уже должен присутствовать в случае добавления или удаления исключения с помощью глобального область).
mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"
Добавление и удаление исключения для папки:
mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully
Добавьте исключение для второй папки:
mdatp exclusion folder add --path /var/log/ --scope epp mdatp exclusion folder add --path /other/folder --scope global
Folder exclusion configured successfully
Добавьте исключение для папки с подстановочным знаком:
Примечание.
Подстановочные знаки не поддерживаются при настройке глобальных исключений.
mdatp exclusion folder add --path "/var/*/tmp"
Примечание.
При этом будут исключены только пути в /var/*/tmp/, но не папки, которые являются однородными элементами tmp; например, /var/this-subfolder/tmp, но не /var/this-subfolder/log.
mdatp exclusion folder add --path "/var/" --scope epp
ИЛИ
mdatp exclusion folder add --path "/var/*/" --scope epp
Примечание.
При этом будут исключены все пути, родительским объектом которых является /var/; например, /var/this-subfolder/and-this-subfolder-as-well.
Folder exclusion configured successfully
Добавьте исключение для процесса:
mdatp exclusion process add --name /usr/bin/cat --scope global
Process exclusion configured successfully
mdatp exclusion process remove --name /usr/bin/cat --scope global
Process exclusion removed successfully
mdatp exclusion process add --name /usr/bin/cat --scope epp
Process exclusion configured successfully
mdatp exclusion process remove --name /usr/bin/cat --scope epp
Process exclusion removed successfully
Добавьте исключение для второго процесса:
mdatp exclusion process add --name cat --scope epp mdatp exclusion process add --name dog --scope global
Process exclusion configured successfully
Проверка списков исключений с помощью тестового файла EICAR
Вы можете проверить, работают ли списки исключений, используя curl
для скачивания тестового файла.
В следующем фрагменте кода Bash замените test.txt
файлом, соответствующим правилам исключения. Например, если вы исключили расширение, замените .testing
test.txt
test.testing
на . Если вы тестируете путь, убедитесь, что вы выполните команду в этом пути.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Если Defender для конечной точки в Linux сообщает о вредоносных программах, правило не работает. Если нет отчета о вредоносных программах и скачанный файл существует, исключение работает. Вы можете открыть файл, чтобы убедиться, что содержимое совпадает с тем, что описано на веб-сайте тестового файла EICAR.
Если у вас нет доступа к Интернету, можно создать собственный тестовый файл EICAR. Запишите строку EICAR в новый текстовый файл с помощью следующей команды Bash:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Вы также можете скопировать строку в пустой текстовый файл и попытаться сохранить ее с именем файла или в папке, которую вы пытаетесь исключить.
Разрешить угрозы
Помимо исключения определенного содержимого из сканирования, можно также настроить продукт так, чтобы он не обнаруживал некоторые классы угроз (определяемых по имени угрозы). При использовании этой функции следует соблюдать осторожность, так как это может оставить устройство без защиты.
Чтобы добавить имя угрозы в список разрешенных, выполните следующую команду:
mdatp threat allowed add --name [threat-name]
Имя угрозы, связанной с обнаружением на устройстве, можно получить с помощью следующей команды:
mdatp threat list
Например, чтобы добавить EICAR-Test-File (not a virus)
(имя угрозы, связанное с обнаружением EICAR) в список разрешенных, выполните следующую команду:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.