在Linux上設定和驗證 適用於端點的 Microsoft Defender排除專案
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
本文提供如何定義 適用於端點的 Microsoft Defender 防病毒軟體和全域排除項目的資訊。 防病毒軟體排除專案適用於隨選掃描、即時保護 (RTP) ,以及行為監視 (BM) 。 全域排除範圍適用於 RTP) (即時保護、BM) (的行為監視,以及 EDR) (端點偵測和回應,因而停止所有相關聯的防病毒軟體偵測、EDR 警示,以及排除專案的可見度。
重要事項
本文所述的防病毒軟體排除專案僅適用於防病毒軟體功能,不適用於EDR) (端點偵測和回應。 您使用本文所述的防病毒軟體排除專案排除的檔案,仍然可以觸發 EDR 警示和其他偵測。 本節所述的全域排除範圍適用於防病毒軟體 和 端點偵測和回應功能,因此會停止所有相關聯的防病毒軟體保護、EDR 警示和偵測。 全域排除專案目前處於公開預覽狀態,可在適用於端點的 Defender 版本或更新版本 101.23092.0012 中,於測試人員緩慢和生產環境通道中取得。 針對 EDR 排除專案, 請連絡支持人員。
您可以從 Linux 上的適用於端點的 Defender 排除特定檔案、資料夾、進程和進程開啟的檔案。
排除項目有助於避免對組織唯一或自定義的檔案或軟體進行不正確的偵測。 全域排除適用於減輕 Linux 上適用於端點的 Defender 所造成的效能問題。
警告
定義排除專案會降低適用於Linux上適用於端點的Defender所提供的保護。 您應該一律評估與實作排除專案相關聯的風險,而且應該只排除您確信不是惡意的檔案。
支援的排除範圍
如先前章節所述,我們支援兩個排除範圍:防病毒軟體 (epp) 和全域 (global) 排除專案。
防病毒軟體排除專案可用來排除受信任的檔案和程式,而不受即時保護,同時仍具有EDR可見性。 全域排除專案會在感測器層級套用,並且在進行任何處理之前,在流程初期將符合排除條件的事件設為靜音,進而停止所有 EDR 警示和防病毒軟體偵測。
注意事項
全域 (global) 是除了防病毒軟體 (epp) Microsoft已支援的排除範圍之外,我們引進的新排除範圍。
| 排除類別 | 排除範圍 | 描述 |
|---|---|---|
| 防病毒軟體排除 | 防病毒軟體引擎 (範圍:epp) |
排除防病毒軟體 (防病毒軟體) 掃描和隨選掃描的內容。 |
| 全域排除 | 防病毒軟體和端點偵測和回應引擎 (範圍:全域) |
從即時保護和 EDR 可見性排除事件。 默認不適用於隨選掃描。 |
支援的排除類型
下表顯示Linux上適用於端點的Defender所支援的排除類型。
| 排除 | 定義 | 範例 |
|---|---|---|
| 副檔名 | 所有具有擴充功能的檔案,在裝置上的任何位置 (無法用於全域排除) | .test |
| 檔案 | 完整路徑所識別的特定檔案 | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| 資料夾 | 指定資料夾下的所有檔案 (遞歸) | /var/log//var/*/ |
| 程序 | 特定進程 (由完整路徑或檔名指定) 以及其開啟的所有檔案 | /bin/catcatc?t |
重要事項
使用的路徑必須是硬式連結,而不是符號連結,才能成功排除。 您可以執行 來檢查路徑是否為符號連結 file <path-name>。
檔案、資料夾和行程排除項目支援下列通配符:
注意事項
新增或移除範圍為全域的檔案排除專案之前,檔案路徑必須存在。 設定全域排除專案時不支援通配符。
| 萬用字元 | 描述 | 範例 |
|---|---|---|
| * | 符合任意數目的任何字元,包括無 (請注意,如果路徑結尾未使用此通配符,則只會取代一個資料夾) |
/var/*/tmp 包含中的任何檔案 /var/abc/tmp 及其子目錄,以及 /var/def/tmp 及其子目錄。 不包含 /var/abc/log 或 /var/def/log
|
| ? | 比對任何單一字元 |
file?.log包含和 file2.log,但不包含file1.logfile123.log |
注意事項
針對防病毒軟體排除專案,在路徑結尾使用 * 通配符時,它會比對通配符父系下的所有檔案和子目錄。
如何設定排除清單
使用管理主控台
若要設定 Puppet、Ansible 或其他管理控制台的排除專案,請參閱下列範例 mdatp_managed.json。
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
如需詳細資訊, 請參閱在Linux上設定適用於端點的Defender喜好設定。
使用命令行
執行下列命令,以查看可用的參數來管理排除專案:
注意事項
--scope 是選擇性旗標,接受的值為 epp 或 global。 它提供在新增排除專案以移除相同排除範圍時所使用的相同範圍。 在命令行方法中,如果未提及範圍,則範圍值會設定為 epp。
在匯入旗標之前透過 CLI 新增的 --scope 排除專案不會受到影響,而且其範圍會被視為 epp。
mdatp exclusion
提示
使用通配符設定排除範圍時,請以雙引弧括住 參數,以防止通配符。
範例:
新增延伸名的排除 ( 全域排除範圍不支援擴展名排除) :
mdatp exclusion extension add --name .txtExtension exclusion configured successfullymdatp exclusion extension remove --name .txtExtension exclusion removed successfully新增/移除檔案 的排除 (如果新增或移除全域範圍的排除專案,) 檔案路徑應該已經存在 :
mdatp exclusion file add --path /var/log/dummy.log --scope eppFile exclusion configured successfullymdatp exclusion file remove --path /var/log/dummy.log --scope eppFile exclusion removed successfully"mdatp exclusion file add --path /var/log/dummy.log --scope globalFile exclusion configured successfullymdatp exclusion file remove --path /var/log/dummy.log --scope globalFile exclusion removed successfully"新增/移除資料夾的排除專案:
mdatp exclusion folder add --path /var/log/ --scope eppFolder exclusion configured successfullymdatp exclusion folder remove --path /var/log/ --scope eppFolder exclusion removed successfullymdatp exclusion folder add --path /var/log/ --scope globalFolder exclusion configured successfullymdatp exclusion folder remove --path /var/log/ --scope globalFolder exclusion removed successfully新增第二個資料夾的排除專案:
mdatp exclusion folder add --path /var/log/ --scope epp mdatp exclusion folder add --path /other/folder --scope globalFolder exclusion configured successfully在資料夾中新增包含通配符的資料夾排除專案:
注意事項
設定全域排除專案時不支援通配符。
mdatp exclusion folder add --path "/var/*/tmp"注意事項
這隻會排除 /var/*/tmp/下的路徑,但不會排除屬於 tmp 同層級的資料夾;例如, /var/this-subfolder/tmp,但不是 /var/this-subfolder/log。
mdatp exclusion folder add --path "/var/" --scope eppOR
mdatp exclusion folder add --path "/var/*/" --scope epp注意事項
這會排除其父系為 /var/的所有路徑;例如, /var/this-subfolder/and-this-subfolder-well。
Folder exclusion configured successfully新增行程的排除專案:
mdatp exclusion process add --name /usr/bin/cat --scope globalProcess exclusion configured successfullymdatp exclusion process remove --name /usr/bin/cat --scope globalProcess exclusion removed successfullymdatp exclusion process add --name /usr/bin/cat --scope eppProcess exclusion configured successfullymdatp exclusion process remove --name /usr/bin/cat --scope eppProcess exclusion removed successfully新增第二個進程的排除專案:
mdatp exclusion process add --name cat --scope epp mdatp exclusion process add --name dog --scope globalProcess exclusion configured successfully
使用 EICAR 測試檔案驗證排除清單
您可以使用 curl 下載測試檔案來驗證排除清單是否正常運作。
在下列 Bash 代碼段中,將 取代 test.txt 為符合排除規則的檔案。 例如,如果您已排除延伸模組 .testing ,請將 取代 test.txt 為 test.testing。 如果您要測試路徑,請確定您在該路徑內執行命令。
curl -o test.txt https://secure.eicar.org/eicar.com.txt
如果適用於Linux上的適用於端點的Defender報告惡意代碼,則規則無法運作。 如果沒有惡意代碼報告,且下載的檔案存在,則排除作業正在運作。 您可以開啟 檔案,確認內容與 EICAR 測試檔案網站上所述的內容相同。
如果您沒有因特網存取權,您可以建立自己的 EICAR 測試檔案。 使用下列 Bash 命令,將 EICAR 字串寫入新的文字檔:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
您也可以將字串複製到空白文本檔,並嘗試使用檔名或您嘗試排除的資料夾來儲存它。
允許威脅
除了排除要掃描的特定內容之外,您也可以將產品設定為不要偵測威脅 (由威脅名稱) 識別的某些威脅類別。 使用這項功能時,您應該小心謹慎,因為它可能會讓您的裝置不受保護。
若要將威脅名稱新增至允許的清單,請執行下列命令:
mdatp threat allowed add --name [threat-name]
您可以使用下列命令,取得與裝置上偵測相關聯的威脅名稱:
mdatp threat list
例如,若要將 (與 EICAR 偵測) 相關聯的威脅名稱新 EICAR-Test-File (not a virus) 增至允許的清單,請執行下列命令:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。