Kizárások konfigurálása és érvényesítése a Linuxon futó Végponthoz készült Microsoft Defender esetében
A következőkre vonatkozik:
- Végponthoz készült Microsoft Defender Server
- Microsoft Defender kiszolgálókhoz
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Ez a cikk a víruskereső és a globális kizárások Végponthoz készült Microsoft Defender definiálásáról nyújt tájékoztatást. A víruskereső kizárása az igény szerinti vizsgálatokra, a valós idejű védelemre (RTP) és a viselkedésmonitorozásra (BM) vonatkozik. A globális kizárások a valós idejű védelemre (RTP), a viselkedésmonitorozásra (BM), valamint a végpontészlelésre és -válaszra (EDR) vonatkoznak, így a kizárt elem összes kapcsolódó víruskereső-észlelése, EDR-riasztása és láthatósága leáll.
Fontos
A cikkben ismertetett víruskereső kizárások csak a víruskereső képességekre vonatkoznak, a végpontészlelésre és -válaszra (EDR) nem. Az ebben a cikkben ismertetett víruskereső kizárásokkal kizárt fájlok továbbra is aktiválhatnak EDR-riasztásokat és egyéb észleléseket. Az ebben a szakaszban ismertetett globális kizárások a víruskereső és végpontészlelési és -reagálási képességekre vonatkoznak, így leállítja az összes kapcsolódó víruskereső-védelmet, EDR-riasztást és -észlelést. A globális kizárások jelenleg nyilvános előzetes verzióban érhetők el, és a Végponthoz készült Defender verzióban vagy újabb verzióban 101.23092.0012 érhetők el az Insider Slow és a Production körökben. EDR-kizárások esetén forduljon az ügyfélszolgálathoz.
Kizárhat bizonyos fájlokat, mappákat, folyamatokat és folyamatmegnyitású fájlokat a Végponthoz készült Defenderből Linux rendszeren.
A kizárások hasznosak lehetnek a szervezet egyedi vagy testre szabott fájljainak vagy szoftvereinek helytelen észlelésének elkerüléséhez. A globális kizárások hasznosak a Végponthoz készült Defender által a Linuxon okozott teljesítményproblémák mérséklése érdekében.
Figyelmeztetés
A kizárások meghatározása csökkenti a Végponthoz készült Defender által nyújtott védelmet Linuxon. Mindig értékelje ki a kizárások implementálásával járó kockázatokat, és csak olyan fájlokat zárjon ki, amelyek biztosan nem rosszindulatúak.
Támogatott kizárási hatókörök
Egy korábbi szakaszban leírtak szerint két kizárási hatókört támogatunk: víruskereső (epp) és globális (global) kizárásokat.
A víruskereső kizárásokkal kizárhatja a megbízható fájlokat és folyamatokat a valós idejű védelemből, miközben az EDR láthatósága továbbra is fennáll. A globális kizárások az érzékelő szintjén vannak alkalmazva, és a folyamat korai szakaszában elnémítják azokat az eseményeket, amelyek megfelelnek a kizárási feltételeknek, mielőtt bármilyen feldolgozást végeznek, így leállítja az EDR-riasztásokat és a víruskereső-észleléseket.
Megjegyzés:
A globális (global) egy új kizárási hatókör, amelyet a Microsoft által már támogatott víruskereső (epp) kizárási hatókörök mellett vezetünk be.
| Kizárási kategória | Kizárási hatókör | Leírás |
|---|---|---|
| Víruskereső kizárása | Víruskereső motor (hatókör: epp) |
Kizárja a tartalmat a víruskeresőkből és az igény szerinti vizsgálatokból. |
| Globális kizárás | Víruskereső és végpontészlelési és válaszmotor (hatókör: globális) |
Kizárja az eseményeket a valós idejű védelemből és az EDR láthatóságából. Alapértelmezés szerint nem vonatkozik az igény szerinti vizsgálatokra. |
Fontos
A globális kizárások nem vonatkoznak a hálózatvédelemre, így a hálózatvédelem által generált riasztások továbbra is láthatók maradnak.
Ha ki szeretné zárni a folyamatokat a hálózatvédelemből, használja a mdatp network-protection exclusion
Támogatott kizárási típusok
Az alábbi táblázat a Végponthoz készült Defender által támogatott kizárási típusokat mutatja be Linux rendszeren.
| Kirekesztés | Definíció | Példák |
|---|---|---|
| Fájlkiterjesztés | Az összes kiterjesztésű fájl, bárhol az eszközön (globális kizárások esetén nem érhető el) | .test |
| Fájl | A teljes elérési út által azonosított konkrét fájl | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Mappa | A megadott mappában lévő összes fájl (rekurzív módon) | /var/log//var/*/ |
| Folyamat | Egy adott folyamat (amelyet a teljes elérési út vagy a fájlnév határoz meg) és az általa megnyitott összes fájl. Javasoljuk, hogy használja a teljes és megbízható folyamatindítási útvonalat. |
/bin/catcatc?t |
Fontos
A sikeres kizáráshoz a használt elérési utaknak nem szimbolikus hivatkozásoknak, hanem kemény hivatkozásoknak kell lenniük. Az parancs futtatásával file <path-name>ellenőrizheti, hogy az elérési út szimbolikus hivatkozás-e. A globális folyamatkizárások megvalósításakor csak azt zárja ki, ami a rendszer megbízhatóságának és biztonságának biztosításához szükséges. Ellenőrizze, hogy a folyamat ismert és megbízható-e, adja meg a folyamat helyének teljes elérési útját, és győződjön meg arról, hogy a folyamat következetesen ugyanabból a megbízható teljes elérési útból indul el.
A fájl-, mappa- és folyamatkizárások a következő helyettesítő karaktereket támogatják:
| Helyettesítő | Leírás | Példák |
|---|---|---|
| * | Tetszőleges számú karakternek felel meg, beleértve a nincs karaktert is (Vegye figyelembe, hogy ha ez a helyettesítő karakter nincs használatban az elérési út végén, akkor csak egy mappát helyettesít) |
/var/*/tmp A tartalmazza a fájlokat /var/abc/tmp és annak alkönyvtárait, valamint /var/def/tmp annak alkönyvtárait. Nem tartalmazza a /var/abc/log vagy a /var/def/log
|
| ? | Egyetlen karakterre illeszkedik |
file?.log tartalmazza a file1.log és file2.loga elemet, de nemfile123.log |
Megjegyzés:
A helyettesítő karakterek nem támogatottak a globális kizárások konfigurálásakor. A víruskereső kizárása esetén az elérési út végén található * helyettesítő karakter a helyettesítő karakter szülője alatti összes fájlra és alkönyvtárra illeszkedik. A fájlelérési utat meg kell jeleníteni, mielőtt globális hatókörrel rendelkező fájlkizárásokat ad hozzá vagy távolít el.
A kizárások listájának konfigurálása
A kizárásokat felügyeleti JSON-konfigurációval, végponthoz készült Defender biztonsági beállítások kezelésével vagy a parancssor használatával konfigurálhatja.
A felügyeleti konzol használata
Vállalati környezetekben a kizárások konfigurációs profillal is kezelhetők. Általában egy konfigurációkezelő eszközt, például a Puppetet, az Ansible-t vagy egy másik felügyeleti konzolt használva küldhet le egy nevű fájlt mdatp_managed.json a helyen /etc/opt/microsoft/mdatp/managed/. További információ: A Végponthoz készült Defender beállításainak megadása Linuxon. Tekintse meg a következő mintát: mdatp_managed.json.
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
A Végponthoz készült Defender biztonsági beállításainak kezelése
Megjegyzés:
Ez a metódus jelenleg privát előzetes verzióban érhető el. A funkció engedélyezéséhez forduljon a következőhöz xplatpreviewsupport@microsoft.com: . Mindenképpen tekintse át az előfeltételeket: A Végponthoz készült Defender biztonsági beállításainak kezelési előfeltételei
A Microsoft Intune Felügyeleti központban vagy a Microsoft Defender portálon végpontbiztonsági szabályzatként kezelheti a kizárásokat, és hozzárendelheti ezeket a szabályzatokat Microsoft Entra ID csoportokhoz. Ha első alkalommal használja ezt a módszert, mindenképpen hajtsa végre a következő lépéseket:
1. A bérlő konfigurálása a biztonsági beállítások kezeléséhez
A Microsoft Defender portálon lépjen a Beállítások>Végpontok>Konfigurációkezelés>kényszerítési hatóköre területre, majd válassza ki a Linux-platformot.
Eszközök címkézése a
MDE-Managementcímkével. A legtöbb eszköz percek alatt regisztrálja és fogadja a szabályzatot, de néhányuk akár 24 órát is igénybe vehet. További információ: Útmutató Intune végpontbiztonsági szabályzatok használatához a Végponthoz készült Microsoft Defender felügyeletéhez olyan eszközökön, amelyek nincsenek regisztrálva a Intune.
2. Microsoft Entra csoport létrehozása
Hozzon létre egy dinamikus Microsoft Entra csoportot az operációs rendszer típusa alapján, hogy a Végponthoz készült Defenderbe előkészített összes eszköz megkapja a megfelelő szabályzatokat. Ez a dinamikus csoport automatikusan magában foglalja a Végponthoz készült Defender által kezelt eszközöket, így nincs szükség arra, hogy a rendszergazdák manuálisan hozzanak létre új szabályzatokat. További információt a következő cikkben talál: Microsoft Entra-csoportok létrehozása
3. Végpontbiztonsági szabályzat létrehozása
A Microsoft Defender portálon lépjen a Végpontokkonfigurációkezelési>végpontbiztonsági szabályzatai> elemre, majd válassza az Új szabályzat létrehozása lehetőséget.
A Platform beállításnál válassza a Linux lehetőséget.
Válassza ki a szükséges kizárási sablont (
Microsoft defender global exclusions (AV+EDR)globális ésMicrosoft defender antivirus exclusionsvíruskereső kizárások esetén), majd válassza a Szabályzat létrehozása lehetőséget.Az Alapadatok lapon adja meg a profil nevét és leírását, majd válassza a Következő elemet.
A Beállítások lapon bontsa ki az egyes beállításokat, és konfigurálja az ezzel a profillal kezelni kívánt beállításokat.
Ha végzett a beállítások konfigurálásával, válassza ki a Következő lehetőséget.
A Hozzárendelések lapon válassza ki azokat a csoportokat, amelyek megkapják ezt a profilt. Ezután válassza a Tovább gombot.
Amikor elkészült, a Véleményezés és létrehozás lapon válassza a Mentés lehetőséget. Az új profil megjelenik a listában, amikor kiválasztja a szabályzattípust a létrehozott profil számára.
További információ: Végpontbiztonsági szabályzatok kezelése a Végponthoz készült Microsoft Defender-ben.
A parancssor használata
Futtassa a következő parancsot a kizárások kezeléséhez elérhető kapcsolók megtekintéséhez:
mdatp exclusion
Megjegyzés:
--scope A egy választható jelölő, amelynek elfogadott értéke epp vagy global. Ugyanazzal a hatókörrel rendelkezik, amelyet a kizárás hozzáadásakor használva eltávolítja ugyanazt a kizárást. A parancssori megközelítésben, ha a hatókör nincs megemlítve, a hatókör értéke a következő lesz epp: .
A cli-n keresztül a jelző bevezetése --scope előtt hozzáadott kizárások továbbra is változatlanok maradnak, és hatókörük a következőnek minősül epp: .
Tipp
Ha a kizárásokat helyettesítő karakterekkel konfigurálja, a paramétert dupla idézőjelek között kell megadnia, hogy megakadályozza a globbingot.
Ez a szakasz több példát is tartalmaz.
1. példa: Kizárás hozzáadása fájlkiterjesztéshez
A fájlkiterjesztéshez kizárást is hozzáadhat. Ne feledje, hogy a bővítménykizárások nem támogatottak a globális kizárási hatókörben.
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully
2. példa: Fájlkizárás hozzáadása vagy eltávolítása
Fájlkizárásokat adhat hozzá vagy távolíthat el. A fájl elérési útjának már jelen kell lennie, ha globális hatókörrel rendelkező kizárást ad hozzá vagy távolít el.
mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"
3. példa: Mappakizárás hozzáadása vagy eltávolítása
Egy mappa kizárását hozzáadhatja vagy eltávolíthatja.
mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully
4. példa: Kizárás hozzáadása egy második mappához
Egy második mappa kizárását is hozzáadhatja.
mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder --scope global
Folder exclusion configured successfully
5. példa: Mappakizárás hozzáadása helyettesítő karakterrel
Helyettesítő karakterrel adhat hozzá kizárást egy mappához. Ne feledje, hogy a helyettesítő karakterek nem támogatottak a globális kizárások konfigurálásakor.
mdatp exclusion folder add --path "/var/*/tmp"
Az előző parancs nem tartalmazza az elérési utakat a alatt */var/*/tmp/*, de a testvérmappáit *tmp*nem. A például */var/this-subfolder/tmp* ki van zárva, de */var/this-subfolder/log* nincs kizárva.
mdatp exclusion folder add --path "/var/" --scope epp
VAGY
mdatp exclusion folder add --path "/var/*/" --scope epp
Az előző parancs kizár minden olyan elérési utat, amelynek szülője */var/*, például */var/this-subfolder/and-this-subfolder-as-well*: .
Folder exclusion configured successfully
6. példa: Kizárás hozzáadása egy folyamathoz
Egy folyamathoz kizárást is hozzáadhat.
mdatp exclusion process add --path /usr/bin/cat --scope global
Process exclusion configured successfully
mdatp exclusion process remove --path /usr/bin/cat --scope global
Megjegyzés:
Csak a teljes elérési út támogatott a folyamatkizárás hatókörrel történő beállításához global .
Csak --path jelző használata
Process exclusion removed successfully
mdatp exclusion process add --name cat --scope epp
Process exclusion configured successfully
mdatp exclusion process remove --name cat --scope epp
Process exclusion removed successfully
7. példa: Kizárás hozzáadása egy második folyamathoz
Hozzáadhat egy kizárást egy második folyamathoz.
mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global
Process exclusion configured successfully
Kizárási listák ellenőrzése az EICAR tesztfájllal
A tesztfájl letöltésével curl ellenőrizheti, hogy a kizárási listák működnek-e.
A következő Bash-kódrészletben cserélje le test.txt a elemet egy olyan fájlra, amely megfelel a kizárási szabályoknak. Ha például kizárta a bővítményt, cserélje le a .testing értéket a következőre test.txttest.testing: . Ha egy elérési utat tesztel, győződjön meg arról, hogy az adott elérési úton futtatja a parancsot.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Ha a Végponthoz készült Defender Linuxon kártevőt jelent, akkor a szabály nem működik. Ha nincs kártevőről szóló jelentés, és a letöltött fájl létezik, akkor a kizárás működik. A fájlt megnyitva ellenőrizheti, hogy a tartalom megegyezik-e az EICAR-tesztfájl webhelyén ismertetett tartalommal.
Ha nincs internetkapcsolata, létrehozhatja saját EICAR-tesztfájlját. Írja be az EICAR-sztringet egy új szövegfájlba a következő Bash-paranccsal:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
A sztringet egy üres szövegfájlba is másolhatja, és megpróbálhatja menteni a fájlnévvel vagy a kizárni kívánt mappában.
Fenyegetés engedélyezése
Amellett, hogy kizár bizonyos tartalmakat a vizsgálatból, konfigurálhatja a Végponthoz készült Defendert Linuxon úgy is, hogy ne észlelje a fenyegetés neve által azonosított egyes fenyegetésosztályokat.
Figyelmeztetés
A funkció használatakor körültekintően járjon el, mivel az eszköz védtelen marad.
Ha fenyegetésnevet szeretne hozzáadni az engedélyezett listához, futtassa a következő parancsot:
mdatp threat allowed add --name [threat-name]
Egy észlelt fenyegetés nevének lekéréséhez futtassa a következő parancsot:
mdatp threat list
Ha például hozzá szeretne adni EICAR-Test-File (not a virus) az engedélyezési listához, futtassa a következő parancsot:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Lásd még
- Végponthoz készült Microsoft Defender Linuxon
- Végponthoz készült Microsoft Defender beállítása Linux rendszeren
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.