Dela via


Konfigurera och validera undantag för Microsoft Defender för Endpoint på Linux

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Den här artikeln innehåller information om hur du definierar antivirusprogram och globala undantag för Microsoft Defender för Endpoint. Antivirusundantag gäller för genomsökningar på begäran, realtidsskydd (RTP) och beteendeövervakning (BM). Globala undantag gäller för realtidsskydd (RTP), beteendeövervakning (BM) och slutpunktsidentifiering och svar (EDR), vilket stoppar alla associerade antivirusidentifieringar, EDR-aviseringar och synlighet för det undantagna objektet.

Viktigt

De antivirusundantag som beskrivs i den här artikeln gäller endast antivirusfunktioner och inte slutpunktsidentifiering och svar (EDR). Filer som du exkluderar med hjälp av antivirusundantag som beskrivs i den här artikeln kan fortfarande utlösa EDR-aviseringar och andra identifieringar. Globala undantag som beskrivs i det här avsnittet gäller för funktioner för identifiering och svar av antivirus och slutpunkt, vilket stoppar alla associerade antivirusskydd, EDR-aviseringar och identifieringar. Globala undantag är för närvarande i offentlig förhandsversion och är tillgängliga i Defender för Endpoint-versionen 101.23092.0012 eller senare i ringarna Insiders Slow och Production. Kontakta supporten för EDR-undantag.

Du kan exkludera vissa filer, mappar, processer och processöppnade filer från Defender för Endpoint i Linux.

Undantag kan vara användbara för att undvika felaktiga identifieringar av filer eller programvara som är unika eller anpassade för din organisation. Globala undantag är användbara för att minimera prestandaproblem som orsakas av Defender för Endpoint i Linux.

Varning

Genom att definiera undantag sänks det skydd som erbjuds av Defender för Endpoint i Linux. Du bör alltid utvärdera de risker som är associerade med att implementera undantag, och du bör endast undanta filer som du är säker på inte är skadliga.

Undantagsomfång som stöds

Enligt beskrivningen i ett tidigare avsnitt stöder vi två undantagsomfång: antivirus (epp) och globala (global) undantag.

Antivirusundantag kan användas för att undanta betrodda filer och processer från realtidsskydd samtidigt som EDR fortfarande är synligt. Globala undantag tillämpas på sensornivå och för att stänga av de händelser som matchar undantagsvillkoren tidigt i flödet, innan någon bearbetning görs, vilket stoppar alla EDR-aviseringar och antivirusidentifieringar.

Obs!

Global (global) är ett nytt undantagsomfång som vi introducerar utöver undantagsomfång för antivirus (epp) som redan stöds av Microsoft.

Exkluderingskategori Undantagsomfång Beskrivning
Antivirusundantag Antivirusmotor
(omfattning: epp)
Undantar innehåll från antivirusgenomsökningar och genomsökningar på begäran.
Globalt undantag Antivirus- och slutpunktsidentifieringar och svarsmotor
(omfång: global)
Utesluter händelser från realtidsskydd och EDR-synlighet. Gäller inte för genomsökningar på begäran som standard.

Viktigt

Globala undantag gäller inte för nätverksskydd, så aviseringar som genereras av nätverksskyddet visas fortfarande. Om du vill undanta processer från nätverksskydd använder du mdatp network-protection exclusion

Undantagstyper som stöds

I följande tabell visas de undantagstyper som stöds av Defender för Endpoint i Linux.

Uteslutning Definition Exempel
Filnamnstillägg Alla filer med tillägget, var som helst på enheten (inte tillgängligt för globala undantag) .test
Fil En specifik fil som identifieras av den fullständiga sökvägen /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Mapp Alla filer under den angivna mappen (rekursivt) /var/log/
/var/*/
Process En specifik process (anges antingen av den fullständiga sökvägen eller filnamnet) och alla filer som öppnas av den.
Vi rekommenderar att du använder en fullständig och betrodd processstartsökväg.
/bin/cat
cat
c?t

Viktigt

Sökvägarna som används måste vara hårda länkar, inte symboliska länkar, för att kunna uteslutas. Du kan kontrollera om en sökväg är en symbolisk länk genom att köra file <path-name>. När du implementerar globala processundantag undantar du endast det som är nödvändigt för att säkerställa systemets tillförlitlighet och säkerhet. Kontrollera att processen är känd och betrodd, ange den fullständiga sökvägen till processplatsen och bekräfta att processen konsekvent startas från samma betrodda fullständiga sökväg.

Fil-, mapp- och processundantag stöder följande jokertecken:

Jokertecken Beskrivning Exempel
* Matchar valfritt antal tecken, inklusive inget
(Observera att om det här jokertecknet inte används i slutet av sökvägen ersätter det bara en mapp)
/var/*/tmp innehåller alla filer i /var/abc/tmp och dess underkataloger samt /var/def/tmp dess underkataloger. Den inkluderar /var/abc/log inte eller /var/def/log

/var/*/ innehåller endast filer i dess underkataloger, till exempel /var/abc/, men inte filer direkt i /var.

? Matchar ett enskilt tecken file?.log inkluderar file1.log och file2.log, men intefile123.log

Obs!

Jokertecken stöds inte när globala undantag konfigureras. För antivirusundantag matchar det alla filer och underkataloger under det överordnade jokertecknet när du använder jokertecknet * i slutet av sökvägen. Filsökvägen måste finnas innan du lägger till eller tar bort filundantag med omfång som global.

Så här konfigurerar du listan över undantag

Du kan konfigurera undantag med hjälp av en hanterings-Json-konfiguration, hantering av säkerhetsinställningar för Defender för Endpoint eller kommandoraden.

Använda hanteringskonsolen

I företagsmiljöer kan undantag också hanteras via en konfigurationsprofil. Vanligtvis använder du ett konfigurationshanteringsverktyg som Puppet, Ansible eller en annan hanteringskonsol för att skicka en fil med namnet mdatp_managed.json på platsen /etc/opt/microsoft/mdatp/managed/. Mer information finns i Ange inställningar för Defender för Endpoint i Linux. Se följande exempel på mdatp_managed.json.

{
   "exclusionSettings":{
     "exclusions":[
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/home/*/git<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/run<EXAMPLE DO NOT USE>",
           "scopes": [
              "global"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":false,
           "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
           "scopes": [
              "epp", "global"
           ]
        },
        {
           "$type":"excludedFileExtension",
           "extension":".pdf<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedFileName",
           "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
        }
     ],
     "mergePolicy":"admin_only"
   }
}

Använda hantering av säkerhetsinställningar för Defender för Endpoint

Obs!

Den här metoden är för närvarande i privat förhandsversion. Om du vill aktivera den här funktionen kontaktar xplatpreviewsupport@microsoft.comdu . Se till att granska förutsättningarna: Krav för hantering av Säkerhetsinställningar för Defender för Endpoint

Du kan använda Microsoft Intune administrationscenter eller Microsoft Defender-portalen för att hantera undantag som slutpunktssäkerhetsprinciper och tilldela dessa principer till Microsoft Entra ID grupper. Om du använder den här metoden för första gången ska du utföra följande steg:

1. Konfigurera din klientorganisation så att den stöder hantering av säkerhetsinställningar

  1. I Microsoft Defender-portalen går du till Inställningar> SlutpunkterTvingande omfång förkonfigurationshantering>> och väljer sedan Linux-plattformen.

  2. Tagga enheter med taggen MDE-Management . De flesta enheter registrerar och tar emot principen inom några minuter, även om vissa kan ta upp till 24 timmar. Mer information finns i Lär dig hur du använder Intune slutpunktssäkerhetsprinciper för att hantera Microsoft Defender för Endpoint på enheter som inte har registrerats med Intune.

2. Skapa en Microsoft Entra grupp

Skapa en dynamisk Microsoft Entra grupp baserat på operativsystemtypen för att säkerställa att alla enheter som registrerats i Defender för Endpoint får lämpliga principer. Den här dynamiska gruppen innehåller automatiskt enheter som hanteras av Defender för Endpoint, vilket eliminerar behovet av att administratörer skapar nya principer manuellt. Mer information finns i följande artikel: Skapa Microsoft Entra-grupper

3. Skapa en slutpunktssäkerhetsprincip

  1. I Microsoft Defender-portalen går du till Slutpunkter Konfigurationshantering>>Endpoint Security-principer och väljer sedan Skapa ny princip.

  2. För Plattform väljer du Linux.

  3. Välj den undantagsmall som krävs (Microsoft defender global exclusions (AV+EDR) för globala undantag och Microsoft defender antivirus exclusions för antivirusundantag) och välj sedan Skapa princip.

  4. På sidan Grundläggande inställningar anger du ett namn och en beskrivning för profilen. Välj sedan Nästa.

  5. På sidan Inställningar expanderar du varje grupp med inställningar och konfigurerar de inställningar som du vill hantera med den här profilen.

  6. När du har konfigurerat inställningarna väljer du Nästa.

  7. På sidan Tilldelningar väljer du de grupper som tar emot den här profilen. Välj sedan Nästa.

  8. På sidan Granska + skapa väljer du Spara när du är klar. Den nya profilen visas i listan när du väljer policytypen för den profil du har skapat.

Mer information finns i Hantera principer för slutpunktssäkerhet i Microsoft Defender för Endpoint.

Använda kommandoraden

Kör följande kommando för att se tillgängliga växlar för att hantera undantag:

mdatp exclusion

Obs!

--scope är en valfri flagga med godkänt värde som epp eller global. Det ger samma omfång som används när du lägger till undantaget för att ta bort samma undantag. Om omfånget inte anges i kommandoradsmetoden anges omfångsvärdet som epp. Undantag som läggs till via CLI innan flaggan införs --scope påverkas inte och deras omfång anses vara epp.

Tips

När du konfigurerar undantag med jokertecken omger du parametern med dubbla citattecken för att förhindra globbning.

Det här avsnittet innehåller flera exempel.

Exempel 1: Lägg till ett undantag för ett filnamnstillägg

Du kan lägga till ett undantag för ett filnamnstillägg. Tänk på att tilläggsundantag inte stöds för det globala undantagsomfånget.

mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully

Exempel 2: Lägga till eller ta bort ett filundantag

Du kan lägga till eller ta bort ett undantag för en fil. Filsökvägen bör redan finnas om du lägger till eller tar bort ett undantag med det globala omfånget.

mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"

Exempel 3: Lägg till eller ta bort ett mappundantag

Du kan lägga till eller ta bort ett undantag för en mapp.

mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully

Exempel 4: Lägg till ett undantag för en andra mapp

Du kan lägga till ett undantag för en andra mapp.

mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder  --scope global
Folder exclusion configured successfully

Exempel 5: Lägg till ett mappundantag med jokertecken

Du kan lägga till ett undantag för en mapp med jokertecken. Tänk på att jokertecken inte stöds när du konfigurerar globala undantag.

mdatp exclusion folder add --path "/var/*/tmp"

Föregående kommando exkluderar sökvägar under */var/*/tmp/*, men inte mappar som är syskon *tmp*till . Till exempel */var/this-subfolder/tmp* exkluderas, men */var/this-subfolder/log* utesluts inte.

mdatp exclusion folder add --path "/var/" --scope epp

ELLER

mdatp exclusion folder add --path "/var/*/" --scope epp

Föregående kommando exkluderar alla sökvägar vars överordnade är */var/*, till exempel */var/this-subfolder/and-this-subfolder-as-well*.

Folder exclusion configured successfully

Exempel 6: Lägga till ett undantag för en process

Du kan lägga till ett undantag för en process.

mdatp exclusion process add --path /usr/bin/cat --scope global 
Process exclusion configured successfully
mdatp exclusion process remove --path /usr/bin/cat  --scope global

Obs!

Endast fullständig sökväg stöds för att ange processundantag med global omfång. Använd endast --path flagga

Process exclusion removed successfully
mdatp exclusion process add --name cat --scope epp 
Process exclusion configured successfully
mdatp exclusion process remove --name cat --scope epp
Process exclusion removed successfully

Exempel 7: Lägg till ett undantag för en andra process

Du kan lägga till ett undantag för en andra process.

mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global
Process exclusion configured successfully

Verifiera undantagslistor med EICAR-testfilen

Du kan kontrollera att dina undantagslistor fungerar med hjälp curl av för att ladda ned en testfil.

I följande Bash-kodfragment ersätter test.txt du med en fil som följer dina undantagsregler. Om du till exempel har exkluderat .testing tillägget ersätter test.txt du med test.testing. Om du testar en sökväg kontrollerar du att du kör kommandot i den sökvägen.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Om Defender för Endpoint på Linux rapporterar skadlig kod fungerar inte regeln. Om det inte finns någon rapport om skadlig kod och den nedladdade filen finns fungerar undantaget. Du kan öppna filen för att bekräfta att innehållet är detsamma som det som beskrivs på EICAR-testfilens webbplats.

Om du inte har Internetåtkomst kan du skapa en egen EICAR-testfil. Skriv EICAR-strängen till en ny textfil med följande Bash-kommando:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Du kan också kopiera strängen till en tom textfil och försöka spara den med filnamnet eller i mappen som du försöker exkludera.

Tillåt ett hot

Förutom att utesluta att visst innehåll genomsöks kan du även konfigurera Defender för Endpoint på Linux för att inte identifiera vissa hotklasser som identifieras med hotnamnet.

Varning

Var försiktig när du använder den här funktionen eftersom den kan lämna enheten oskyddad.

Kör följande kommando för att lägga till ett hotnamn i listan över tillåtna:

mdatp threat allowed add --name [threat-name]

Kör följande kommando för att hämta namnet på ett identifierat hot:

mdatp threat list

Om du till exempel vill lägga EICAR-Test-File (not a virus) till i listan över tillåtna kör du följande kommando:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.