Настройка и проверка исключений для Microsoft Defender для конечной точки в Linux
Применимо к:
- Сервер Microsoft Defender для конечной точки
- Microsoft Defender для серверов
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
В этой статье содержатся сведения о том, как определить антивирусные и глобальные исключения для Microsoft Defender для конечной точки. Исключения антивирусной программы применяются к проверкам по запросу, защите в режиме реального времени (RTP) и мониторингу поведения (BM). Глобальные исключения применяются к защите в реальном времени (RTP), мониторингу поведения (BM) и обнаружению и реагированию конечных точек (EDR), тем самым останавливая все связанные обнаружения антивирусной программы, оповещения EDR и видимость для исключенного элемента.
Важно!
Исключения антивирусной программы, описанные в этой статье, применяются только к возможностям антивирусной программы, а не к обнаружению конечных точек и реагированию (EDR). Файлы, которые вы исключаете с помощью исключений антивирусной программы, описанных в этой статье, по-прежнему могут активировать оповещения EDR и другие обнаружения. Глобальные исключения, описанные в этом разделе, применяются к возможностям обнаружения и реагирования антивирусной программы и конечных точек, что приводит к остановке всех связанных антивирусной защиты, оповещений EDR и обнаружения. Глобальные исключения в настоящее время находятся в общедоступной предварительной версии и доступны в Defender для конечной точки версии или более поздней версии 101.23092.0012 в кругах Insiders Slow и Production. Для исключений EDR обратитесь в службу поддержки.
Некоторые файлы, папки, процессы и файлы, открытые процессом, можно исключить из Defender для конечной точки в Linux.
Исключения могут быть полезны, чтобы избежать неправильного обнаружения файлов или программного обеспечения, которые являются уникальными или настроенными для вашей организации. Глобальные исключения полезны для устранения проблем с производительностью, вызванных Defender для конечной точки в Linux.
Предупреждение
Определение исключений снижает защиту, предлагаемую Defender для конечной точки в Linux. Всегда следует оценивать риски, связанные с реализацией исключений, и исключать только файлы, которые, как вы уверены, не являются вредоносными.
Поддерживаемые области исключения
Как описано в предыдущем разделе, мы поддерживаем две области исключения: антивирусная (epp) и глобальная (global) исключения.
Исключения антивирусной программы можно использовать для исключения доверенных файлов и процессов из защиты в режиме реального времени, сохраняя видимость EDR. Глобальные исключения применяются на уровне датчика и для отключения звука событий, соответствующих условиям исключения в начале потока, перед любой обработкой, что приводит к остановке всех оповещений EDR и обнаружения антивирусной программы.
Примечание.
Global (global) — это новый область исключений, который мы вводим в дополнение к антивирусным (epp) исключениям, которые уже поддерживаются корпорацией Майкрософт.
| Категория исключения | Область исключения | Описание |
|---|---|---|
| Исключение антивирусной программы | Антивирусная подсистема (область: epp) |
Исключает содержимое из проверок антивирусной программы и проверок по запросу. |
| Глобальное исключение | Антивирусная программа, обнаружение конечных точек и обработчик ответов (область: global) |
Исключает события из защиты в режиме реального времени и видимости EDR. Не применяется к проверкам по запросу по умолчанию. |
Важно!
Глобальные исключения не применяются к защите сети, поэтому оповещения, созданные защитой сети, по-прежнему будут видны.
Чтобы исключить процессы из защиты сети, используйте mdatp network-protection exclusion
Поддерживаемые типы исключений
В следующей таблице показаны типы исключений, поддерживаемые Defender для конечной точки в Linux.
| Исключения | Определение | Примеры |
|---|---|---|
| Расширение файла | Все файлы с расширением в любом месте устройства (недоступны для глобальных исключений) | .test |
| File | Конкретный файл, определенный по полному пути | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Folder | Все файлы в указанной папке (рекурсивно) | /var/log//var/*/ |
| Процесс | Определенный процесс (указывается полным путем или именем файла) и все файлы, открытые им. Рекомендуется использовать полный и доверенный путь запуска процесса. |
/bin/catcatc?t |
Важно!
Для успешного исключения используемые пути должны быть жесткими, а не символическими ссылками. Вы можете проверка, является ли путь символьной ссылкой, выполнив команду file <path-name>. При реализации исключений глобальных процессов исключите только то, что необходимо для обеспечения надежности и безопасности системы. Убедитесь, что процесс известен и является доверенным, укажите полный путь к расположению процесса и убедитесь, что процесс будет последовательно запускаться из того же доверенного полного пути.
Исключения файлов, папок и процессов поддерживают следующие подстановочные знаки:
| Подстановочный знак | Описание | Примеры |
|---|---|---|
| * | Соответствует любому количеству символов, включая нет (Обратите внимание, что если этот подстановочный знак не используется в конце пути, то он заменяет только одну папку) |
/var/*/tmp содержит любой файл в /var/abc/tmp и его подкаталогах, а также /var/def/tmp подкаталогах и его подкаталогах. Он не включает /var/abc/log или /var/def/log
|
| ? | Соответствует любому отдельному символу |
file?.log включает file1.log и file2.log, но неfile123.log |
Примечание.
Подстановочные знаки не поддерживаются при настройке глобальных исключений. Для исключений антивирусной программы при использовании подстановочного знака * в конце пути он соответствует всем файлам и подкаталогам в родительском элементе подстановочного знака. Путь к файлу должен присутствовать перед добавлением или удалением исключений файлов с область в качестве глобального.
Настройка списка исключений
Исключения можно настроить с помощью конфигурации JSON для управления, управления параметрами безопасности Defender для конечной точки или командной строки.
Использование консоль управления
В корпоративных средах исключениями также можно управлять с помощью профиля конфигурации. Как правило, для отправки файла с именем mdatp_managed.json в расположение /etc/opt/microsoft/mdatp/managed/используется средство управления конфигурацией, например Puppet, Ansible или другой консоль управления . Дополнительные сведения см. в статье Настройка параметров Defender для конечной точки в Linux. См. следующий пример .mdatp_managed.json
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Использование управления параметрами безопасности Defender для конечной точки
Примечание.
Этот метод сейчас находится в закрытой предварительной версии. Чтобы включить эту функцию, обратитесь к .xplatpreviewsupport@microsoft.com Обязательно ознакомьтесь с предварительными условиями: Предварительные требования к управлению параметрами безопасности Defender для конечной точки
Вы можете использовать Центр администрирования Microsoft Intune или портал Microsoft Defender для управления исключениями в качестве политик безопасности конечных точек и назначения этих политик Microsoft Entra ID группам. Если вы используете этот метод в первый раз, обязательно выполните следующие действия.
1. Настройка клиента для поддержки управления параметрами безопасности
На портале Microsoft Defender перейдите враздел Область принудительного примененияуправления>конфигурацией конечных> точек параметров>, а затем выберите платформу Linux.
Пометьте устройства тегом
MDE-Management. Большинство устройств регистрировать и получать политику в течение нескольких минут, хотя некоторые из них могут занять до 24 часов. Дополнительные сведения см. в статье Использование политик безопасности Intune конечных точек для управления Microsoft Defender для конечной точки на устройствах, которые не зарегистрированы в Intune.
2. Создание группы Microsoft Entra
Создайте динамическую группу Microsoft Entra на основе типа операционной системы, чтобы все устройства, подключенные к Defender для конечной точки, получали соответствующие политики. Эта динамическая группа автоматически включает устройства, управляемые Defender для конечной точки, что устраняет необходимость в том, чтобы администраторы вручную создавали новые политики. Дополнительные сведения см. в следующей статье Создание групп Microsoft Entra.
3. Создание политики безопасности конечной точки
На портале Microsoft Defender перейдите в раздел Политикибезопасности конечных точекуправление>конфигурацией конечных> точек, а затем выберите Создать политику.
В поле Платформа выберите Linux.
Выберите необходимый шаблон исключения (
Microsoft defender global exclusions (AV+EDR)для глобальных исключений иMicrosoft defender antivirus exclusionsдля исключений антивирусной программы), а затем щелкните Создать политику.На странице Основные сведения введите имя и описание профиля, а затем щелкните Далее.
На странице Параметры разверните каждую группу параметров и настройте параметры, которыми вы хотите управлять с помощью этого профиля.
Завершив настройку параметров, нажмите Далее.
На странице Назначения выберите группы, которые получают этот профиль. Нажмите кнопку Далее.
На странице Проверка и создание нажмите кнопку Сохранить. Выбрав тип политики для созданного профиля, вы увидите новый профиль в списке.
Дополнительные сведения см. в статье Управление политиками безопасности конечных точек в Microsoft Defender для конечной точки.
Использование командной строки
Выполните следующую команду, чтобы просмотреть доступные параметры для управления исключениями:
mdatp exclusion
Примечание.
--scope является необязательным флагом с допустимым значением или eppglobal. Он предоставляет те же область, которые используются при добавлении исключения для удаления того же исключения. В подходе из командной строки, если область не указан, значение область задается как epp.
Исключения, добавленные с помощью CLI до введения флага--scope, остаются неизменными, и их область считается epp.
Совет
При настройке исключений с подстановочными знаками заключите параметр в двойные кавычки, чтобы предотвратить глобинг.
В этом разделе содержится несколько примеров.
Пример 1. Добавление исключения для расширения файла
Вы можете добавить исключение для расширения файла. Помните, что исключения расширений не поддерживаются для глобальных область исключений.
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully
Пример 2. Добавление или удаление исключения файла
Вы можете добавить или удалить исключение для файла. Путь к файлу уже должен присутствовать, если вы добавляете или удаляете исключение с помощью глобального область.
mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"
Пример 3. Добавление или удаление исключения папки
Вы можете добавить или удалить исключение для папки.
mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully
Пример 4. Добавление исключения для второй папки
Можно добавить исключение для второй папки.
mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder --scope global
Folder exclusion configured successfully
Пример 5. Добавление исключения папки с подстановочным знаком
Вы можете добавить исключение для папки с подстановочным знаком. Помните, что при настройке глобальных исключений подстановочные знаки не поддерживаются.
mdatp exclusion folder add --path "/var/*/tmp"
Предыдущая команда исключает пути в */var/*/tmp/*, но не папки, которые являются дочерними элементами *tmp*. Например, */var/this-subfolder/tmp* исключается, но */var/this-subfolder/log* не исключается.
mdatp exclusion folder add --path "/var/" --scope epp
ИЛИ
mdatp exclusion folder add --path "/var/*/" --scope epp
Предыдущая команда исключает все пути, родительским объектом которых является */var/*, например */var/this-subfolder/and-this-subfolder-as-well*.
Folder exclusion configured successfully
Пример 6. Добавление исключения для процесса
Вы можете добавить исключение для процесса.
mdatp exclusion process add --path /usr/bin/cat --scope global
Process exclusion configured successfully
mdatp exclusion process remove --path /usr/bin/cat --scope global
Примечание.
Для настройки исключения процесса с global область поддерживается только полный путь.
Использовать только --path флаг
Process exclusion removed successfully
mdatp exclusion process add --name cat --scope epp
Process exclusion configured successfully
mdatp exclusion process remove --name cat --scope epp
Process exclusion removed successfully
Пример 7. Добавление исключения для второго процесса
Вы можете добавить исключение для второго процесса.
mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global
Process exclusion configured successfully
Проверка списков исключений с помощью тестового файла EICAR
Вы можете проверить, работают ли списки исключений, используя curl для скачивания тестового файла.
В следующем фрагменте кода Bash замените test.txt файлом, соответствующим правилам исключения. Например, если вы исключили расширение, замените .testingtest.txttest.testingна . Если вы тестируете путь, убедитесь, что вы выполните команду в этом пути.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Если Defender для конечной точки в Linux сообщает о вредоносных программах, правило не работает. Если нет отчета о вредоносных программах и скачанный файл существует, исключение работает. Вы можете открыть файл, чтобы убедиться, что содержимое совпадает с тем, что описано на веб-сайте тестового файла EICAR.
Если у вас нет доступа к Интернету, можно создать собственный тестовый файл EICAR. Запишите строку EICAR в новый текстовый файл с помощью следующей команды Bash:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Вы также можете скопировать строку в пустой текстовый файл и попытаться сохранить ее с именем файла или в папке, которую вы пытаетесь исключить.
Разрешить угрозу
Помимо исключения определенного содержимого из сканирования, можно также настроить Defender для конечной точки в Linux, чтобы не обнаруживать некоторые классы угроз, определяемые именем угрозы.
Предупреждение
Соблюдайте осторожность при использовании этой функции, так как это может оставить устройство без защиты.
Чтобы добавить имя угрозы в список разрешенных, выполните следующую команду:
mdatp threat allowed add --name [threat-name]
Чтобы получить имя обнаруженной угрозы, выполните следующую команду:
mdatp threat list
Например, чтобы добавить EICAR-Test-File (not a virus) в список разрешений, выполните следующую команду:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
См. также
- Microsoft Defender для конечной точки в Linux
- Установите параметры Microsoft Defender для конечной точки в Linux.
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.