Freigeben über

Konfigurieren und Überprüfen von Ausschlüssen für Microsoft Defender for Endpoint unter Linux

  • Artikel

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Dieser Artikel enthält Informationen zum Definieren von Antiviren- und globalen Ausschlüssen für Microsoft Defender for Endpoint. Antivirenausschlüsse gelten für bedarfsgesteuerte Überprüfungen, Echtzeitschutz (Real-Time Protection, RTP) und Verhaltensüberwachung (BEHAVIOR Monitoring, BM). Globale Ausschlüsse gelten für Echtzeitschutz (Real-Time Protection, RTP), Verhaltensüberwachung (BEHAVIOR Monitoring, BM) und Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR), wodurch alle zugehörigen Antivirenerkennungen, EDR-Warnungen und Sichtbarkeit für das ausgeschlossene Element beendet werden.

Wichtig

Die in diesem Artikel beschriebenen Antivirenausschlüsse gelten nur für Antivirenfunktionen und nicht für Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR). Dateien, die Sie mithilfe der in diesem Artikel beschriebenen Antivirenausschlüsse ausschließen, können weiterhin EDR-Warnungen und andere Erkennungen auslösen. Globale Ausschlüsse, die in diesem Abschnitt beschrieben werden, gelten für Antiviren- und Endpunkterkennungs- und -antwortfunktionen, wodurch alle zugehörigen Antivirenschutz-, EDR-Warnungen und Erkennungen beendet werden. Globale Ausschlüsse befinden sich derzeit in der öffentlichen Vorschauphase und sind in Defender für Endpunkt-Version 101.23092.0012 oder höher in den Ringen "Insiders Slow" und "Production" verfügbar. Wenden Sie sich bei EDR-Ausschlüssen an den Support.

Sie können bestimmte Dateien, Ordner, Prozesse und geöffnete Dateien aus Defender für Endpunkt unter Linux ausschließen.

Ausschlüsse können nützlich sein, um falsche Erkennungen von Dateien oder Software zu vermeiden, die eindeutig oder an Ihre organization angepasst sind. Globale Ausschlüsse sind nützlich, um Leistungsprobleme zu beheben, die von Defender für Endpunkt unter Linux verursacht werden.

Warnung

Das Definieren von Ausschlüssen verringert den Schutz, der von Defender für Endpunkt unter Linux geboten wird. Sie sollten immer die Risiken auswerten, die mit der Implementierung von Ausschlüssen verbunden sind, und Sie sollten nur Dateien ausschließen, von denen Sie sicher sind, dass sie nicht böswillig sind.

Unterstützte Ausschlussbereiche

Wie in einem früheren Abschnitt beschrieben, unterstützen wir zwei Ausschlussbereiche: Antivirenausschlüsse (epp) und globale (global).

Antivirusausschlüsse können verwendet werden, um vertrauenswürdige Dateien und Prozesse vom Echtzeitschutz auszuschließen, während weiterhin EDR-Sichtbarkeit vorhanden ist. Globale Ausschlüsse werden auf Sensorebene und zum Stummschalten der Ereignisse angewendet, die zu einem frühen Zeitpunkt des Datenflusses den Ausschlussbedingungen entsprechen, bevor eine Verarbeitung durchgeführt wird, wodurch alle EDR-Warnungen und Antivirenerkennungen beendet werden.

Hinweis

Global (global) ist ein neuer Ausschlussbereich, den wir zusätzlich zu Antivirenausschlussbereichen (epp) einführen, die bereits von Microsoft unterstützt werden.

Ausschlusskategorie Ausschlussbereich Beschreibung
Antivirusausschluss Antivirus-Engine
(Geltungsbereich: epp)		 Schließt Inhalte von Antivirenscans und bedarfsgesteuerten Überprüfungen aus.
Globaler Ausschluss Antiviren- und Endpunkterkennungs- und Reaktionsmodul
(Bereich: global)		 Schließt Ereignisse vom Echtzeitschutz und der EDR-Sichtbarkeit aus. Gilt standardmäßig nicht für bedarfsgesteuerte Überprüfungen.

Wichtig

Globale Ausschlüsse gelten nicht für den Netzwerkschutz, sodass vom Netzwerkschutz generierte Warnungen weiterhin sichtbar sind. Um Prozesse vom Netzwerkschutz auszuschließen, verwenden Sie mdatp network-protection exclusion

Unterstützte Ausschlusstypen

In der folgenden Tabelle sind die Von Defender für Endpunkt unter Linux unterstützten Ausschlusstypen aufgeführt.

Ausschluss Definition Beispiele
Dateierweiterung Alle Dateien mit der Erweiterung, überall auf dem Gerät (für globale Ausschlüsse nicht verfügbar) .test
File Eine bestimmte Datei, die durch den vollständigen Pfad identifiziert wird /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Ordner Alle Dateien im angegebenen Ordner (rekursiv) /var/log/
/var/*/
Prozess Ein bestimmter Prozess (angegeben entweder durch den vollständigen Pfad oder Dateinamen) und alle dateien, die von diesem geöffnet werden.
Es wird empfohlen, einen vollständigen und vertrauenswürdigen Prozessstartpfad zu verwenden.		 /bin/cat
cat
c?t

Wichtig

Die verwendeten Pfade müssen feste Links und keine symbolischen Verknüpfungen sein, um erfolgreich ausgeschlossen zu werden. Sie können überprüfen, ob ein Pfad eine symbolische Verknüpfung ist, indem Sie ausführen file <path-name>. Schließen Sie beim Implementieren von globalen Prozessausschlüssen nur das aus, was erforderlich ist, um die Zuverlässigkeit und Sicherheit des Systems zu gewährleisten. Vergewissern Sie sich, dass der Prozess bekannt und vertrauenswürdig ist, geben Sie den vollständigen Pfad zum Prozessspeicherort an, und vergewissern Sie sich, dass der Prozess konsistent über denselben vertrauenswürdigen vollständigen Pfad gestartet wird.

Datei-, Ordner- und Prozessausschlüsse unterstützen die folgenden Wildcards:

Platzhalter Beschreibung Beispiele
* Entspricht einer beliebigen Anzahl beliebiger Zeichen, einschließlich keines.
(Beachten Sie, wenn dieser Wildcard nicht am Ende des Pfads verwendet wird, ersetzt er nur einen Ordner.)		 /var/*/tmp enthält alle Dateien in /var/abc/tmp und ihren Unterverzeichnissen sowie /var/def/tmp und ihren Unterverzeichnissen. Oder ist nicht enthalten /var/abc/log . /var/def/log

/var/*/ schließt nur Dateien in seinen Unterverzeichnissen ein, z /var/abc/. B. , aber keine Dateien direkt in /var.
? Entspricht jedem einzelnen Zeichen file?.log enthält file1.log und file2.log, aber nichtfile123.log

Hinweis

Beim Konfigurieren von globalen Ausschlüssen werden keine Wildcards unterstützt. Bei Antivirenausschlüssen stimmt dies bei Verwendung des *-Wildcards am Ende des Pfads mit allen Dateien und Unterverzeichnissen unter dem übergeordneten Element des Wildcards überein. Der Dateipfad muss vorhanden sein, bevor Dateiausschlüsse mit globalem Bereich hinzugefügt oder entfernt werden.

Konfigurieren der Liste der Ausschlüsse

Sie können Ausschlüsse mithilfe einer JSON-Verwaltungskonfiguration, der Defender für Endpunkt-Sicherheitseinstellungsverwaltung oder der Befehlszeile konfigurieren.

Verwenden des Verwaltungskonsole

In Unternehmensumgebungen können Ausschlüsse auch über ein Konfigurationsprofil verwaltet werden. In der Regel würden Sie ein Konfigurationsverwaltungstool wie Puppet, Ansible oder ein anderes Verwaltungskonsole verwenden, um eine Datei mit dem Namen mdatp_managed.json am Speicherort /etc/opt/microsoft/mdatp/managed/zu pushen. Weitere Informationen finden Sie unter Festlegen von Einstellungen für Defender für Endpunkt unter Linux. Weitere Informationen finden Sie im folgenden Beispiel von mdatp_managed.json.

{
   "exclusionSettings":{
     "exclusions":[
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/home/*/git<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/run<EXAMPLE DO NOT USE>",
           "scopes": [
              "global"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":false,
           "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
           "scopes": [
              "epp", "global"
           ]
        },
        {
           "$type":"excludedFileExtension",
           "extension":".pdf<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedFileName",
           "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
        }
     ],
     "mergePolicy":"admin_only"
   }
}

Verwenden der Verwaltung von Sicherheitseinstellungen in Defender für Endpunkt

Hinweis

Diese Methode befindet sich derzeit in der privaten Vorschau. Wenden Sie sich an , um dieses Feature zu xplatpreviewsupport@microsoft.comaktivieren. Überprüfen Sie unbedingt die Voraussetzungen: Voraussetzungen für die Verwaltung von Sicherheitseinstellungen in Defender für Endpunkt.

Sie können das Microsoft Intune Admin Center oder das Microsoft Defender-Portal verwenden, um Ausschlüsse als Endpunktsicherheitsrichtlinien zu verwalten und diese Richtlinien Microsoft Entra ID Gruppen zuzuweisen. Wenn Sie diese Methode zum ersten Mal verwenden, stellen Sie sicher, dass Sie die folgenden Schritte ausführen:

1. Konfigurieren Ihres Mandanten zur Unterstützung der Verwaltung von Sicherheitseinstellungen

  1. Navigieren Sie im Microsoft Defender-Portal zu Einstellungen>Endpunkte>Konfigurationsverwaltung>Erzwingungsbereich, und wählen Sie dann die Linux-Plattform aus.

  2. Markieren Sie Geräte mit dem MDE-Management Tag. Die meisten Geräte registrieren und erhalten die Richtlinie innerhalb von Minuten, obwohl einige bis zu 24 Stunden dauern können. Weitere Informationen finden Sie unter Verwenden Intune Endpunktsicherheitsrichtlinien zum Verwalten von Microsoft Defender for Endpoint auf Geräten, die nicht bei Intune registriert sind.

2. Erstellen einer Microsoft Entra Gruppe

Erstellen Sie eine dynamische Microsoft Entra Gruppe basierend auf dem Betriebssystemtyp, um sicherzustellen, dass alle In Defender für Endpunkt integrierten Geräte die entsprechenden Richtlinien erhalten. Diese dynamische Gruppe umfasst automatisch Geräte, die von Defender für Endpunkt verwaltet werden, sodass Administratoren keine neuen Richtlinien manuell erstellen müssen. Weitere Informationen finden Sie im folgenden Artikel: Erstellen von Microsoft Entra Gruppen.

3. Erstellen einer Endpunktsicherheitsrichtlinie

  1. Navigieren Sie im Microsoft Defender-Portal zu EndpunkteKonfigurationsverwaltung>Endpunktsicherheitsrichtlinien>, und wählen Sie dann Neue Richtlinie erstellen aus.

  2. Wählen Sie unter Plattform die Option Linux aus.

  3. Wählen Sie die erforderliche Ausschlussvorlage aus (Microsoft defender global exclusions (AV+EDR) für globale Ausschlüsse und Microsoft defender antivirus exclusions für Antivirenausschlüsse), und wählen Sie dann Richtlinie erstellen aus.

  4. Geben Sie auf der Seite Grundeinstellungen einen Namen und eine Beschreibung für das Profil ein, und klicken Sie dann auf Weiter.

  5. Erweitern Sie auf der Seite Einstellungen jede Gruppe von Einstellungen, und konfigurieren Sie die Einstellungen, die Sie mit diesem Profil verwalten möchten.

  6. Wenn Sie mit dem Konfigurieren der Einstellungen fertig sind, klicken Sie auf Weiter.

  7. Wählen Sie auf der Seite Zuweisungen die Gruppen aus, die dieses Profil erhalten. Wählen Sie dann Weiter aus.

  8. Wenn Sie fertig sind, wählen Sie auf der Seite Überprüfen + erstellendie Option Speichern aus. Das neue Profil wird in der Liste angezeigt, wenn Sie den Richtlinientyp für das Profil auswählen, das Sie erstellt haben.

Weitere Informationen finden Sie unter Verwalten von Endpunktsicherheitsrichtlinien in Microsoft Defender for Endpoint.

Verwenden der Befehlszeile

Führen Sie den folgenden Befehl aus, um die verfügbaren Optionen für die Verwaltung von Ausschlüssen anzuzeigen:

mdatp exclusion

Hinweis

--scope ist ein optionales Flag mit akzeptiertem Wert als epp oder global. Es bietet denselben Bereich, der beim Hinzufügen des Ausschlusses verwendet wird, um denselben Ausschluss zu entfernen. Wenn der Bereich im Befehlszeilenansatz nicht erwähnt wird, wird der Bereichswert auf eppfestgelegt. Ausschlüsse, die vor der Einführung des --scope Flags über die CLI hinzugefügt wurden, bleiben davon nicht betroffen, und ihr Bereich wird als betrachtet epp.

Tipp

Wenn Sie Ausschlüsse mit Platzhaltern konfigurieren, schließen Sie den Parameter in doppelte Anführungszeichen ein, um ein Globing zu verhindern.

Dieser Abschnitt enthält mehrere Beispiele.

Beispiel 1: Hinzufügen eines Ausschlusses für eine Dateierweiterung

Sie können einen Ausschluss für eine Dateierweiterung hinzufügen. Beachten Sie, dass Erweiterungsausschlüsse für den globalen Ausschlussbereich nicht unterstützt werden.

mdatp exclusion extension add --name .txt

Extension exclusion configured successfully

mdatp exclusion extension remove --name .txt

Extension exclusion removed successfully

Beispiel 2: Hinzufügen oder Entfernen eines Dateiausschlusses

Sie können einen Ausschluss für eine Datei hinzufügen oder entfernen. Der Dateipfad sollte bereits vorhanden sein, wenn Sie einen Ausschluss mit dem globalen Bereich hinzufügen oder entfernen.

mdatp exclusion file add --path /var/log/dummy.log --scope epp

File exclusion configured successfully

mdatp exclusion file remove --path /var/log/dummy.log --scope epp

File exclusion removed successfully"

mdatp exclusion file add --path /var/log/dummy.log --scope global

File exclusion configured successfully

mdatp exclusion file remove --path /var/log/dummy.log --scope global

File exclusion removed successfully"

Beispiel 3: Hinzufügen oder Entfernen eines Ordnerausschlusses

Sie können einen Ausschluss für einen Ordner hinzufügen oder entfernen.

mdatp exclusion folder add --path /var/log/ --scope epp

Folder exclusion configured successfully

mdatp exclusion folder remove --path /var/log/ --scope epp

Folder exclusion removed successfully

mdatp exclusion folder add --path /var/log/ --scope global

Folder exclusion configured successfully

mdatp exclusion folder remove --path /var/log/ --scope global

Folder exclusion removed successfully

Beispiel 4: Hinzufügen eines Ausschlusses für einen zweiten Ordner

Sie können einen Ausschluss für einen zweiten Ordner hinzufügen.

mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder  --scope global

Folder exclusion configured successfully

Beispiel 5: Hinzufügen eines Ordnerausschlusses mit einem Wildcard

Sie können einen Ausschluss für einen Ordner mit einem Wildcard hinzufügen. Beachten Sie, dass Beim Konfigurieren von globalen Ausschlüssen keine Wildcards unterstützt werden.

mdatp exclusion folder add --path "/var/*/tmp"

Der vorherige Befehl schließt Pfade unter */var/*/tmp/*aus, aber keine Ordner, die gleichgeordnet sind *tmp*. Beispielsweise */var/this-subfolder/tmp* ist ausgeschlossen, aber */var/this-subfolder/log* nicht ausgeschlossen.

mdatp exclusion folder add --path "/var/" --scope epp

OR

mdatp exclusion folder add --path "/var/*/" --scope epp

Der vorherige Befehl schließt alle Pfade aus, deren übergeordnetes Element ist */var/*, z */var/this-subfolder/and-this-subfolder-as-well*. B. .

Folder exclusion configured successfully

Beispiel 6: Hinzufügen eines Ausschlusses für einen Prozess

Sie können einen Ausschluss für einen Prozess hinzufügen.

mdatp exclusion process add --path /usr/bin/cat --scope global 

Process exclusion configured successfully

mdatp exclusion process remove --path /usr/bin/cat  --scope global

Hinweis

Nur der vollständige Pfad wird für das Festlegen des Prozessausschlusses mit global dem Bereich unterstützt. Nur --path Flag verwenden

Process exclusion removed successfully

mdatp exclusion process add --name cat --scope epp 

Process exclusion configured successfully

mdatp exclusion process remove --name cat --scope epp

Process exclusion removed successfully

Beispiel 7: Hinzufügen eines Ausschlusses für einen zweiten Prozess

Sie können einen Ausschluss für einen zweiten Prozess hinzufügen.

mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global

Process exclusion configured successfully

Überprüfen von Ausschlusslisten mit der EICAR-Testdatei

Sie können überprüfen, ob Ihre Ausschlusslisten funktionieren, indem Sie zum Herunterladen einer Testdatei verwenden curl .

Ersetzen Sie test.txt im folgenden Bash-Codeausschnitt durch eine Datei, die Ihren Ausschlussregeln entspricht. Wenn Sie beispielsweise die .testing Erweiterung ausgeschlossen haben, ersetzen Sie durch test.txttest.testing. Wenn Sie einen Pfad testen, stellen Sie sicher, dass Sie den Befehl innerhalb dieses Pfads ausführen.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Wenn Defender für Endpunkt unter Linux Schadsoftware meldet, funktioniert die Regel nicht. Wenn keine Schadsoftware gemeldet wird und die heruntergeladene Datei vorhanden ist, funktioniert der Ausschluss. Sie können die Datei öffnen, um zu bestätigen, dass der Inhalt mit den auf der EICAR-Testdateiwebsite beschriebenen Inhalten übereinstimmt.

Wenn Sie keinen Internetzugriff haben, können Sie Eine eigene EICAR-Testdatei erstellen. Schreiben Sie die EICAR-Zeichenfolge mit dem folgenden Bash-Befehl in eine neue Textdatei:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Sie können die Zeichenfolge auch in eine leere Textdatei kopieren und versuchen, sie mit dem Dateinamen oder in dem Ordner zu speichern, den Sie ausschließen möchten.

Bedrohung zulassen

Zusätzlich zum Ausschließen bestimmter Inhalte von der Überprüfung können Sie Defender für Endpunkt unter Linux auch so konfigurieren, dass einige Klassen von Bedrohungen, die durch den Bedrohungsnamen identifiziert werden, nicht erkannt werden.

Warnung

Seien Sie vorsichtig, wenn Sie diese Funktion verwenden, da ihr Gerät dadurch nicht geschützt werden kann.

Führen Sie den folgenden Befehl aus, um der Liste der zulässigen Bedrohungen einen Namen hinzuzufügen:

mdatp threat allowed add --name [threat-name]

Führen Sie den folgenden Befehl aus, um den Namen einer erkannten Bedrohung abzurufen:

mdatp threat list

Führen Sie beispielsweise den folgenden Befehl aus, um der Positivliste hinzuzufügen EICAR-Test-File (not a virus) :

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.