在Linux上設定和驗證 適用於端點的 Microsoft Defender排除專案
適用於:
- 適用於端點的 Microsoft Defender 伺服器
- 伺服器的 Microsoft Defender
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
本文提供如何定義 適用於端點的 Microsoft Defender 防病毒軟體和全域排除項目的資訊。 防病毒軟體排除專案適用於隨選掃描、即時保護 (RTP) ,以及行為監視 (BM) 。 全域排除範圍適用於 RTP) (即時保護、BM) (的行為監視,以及 EDR) (端點偵測和回應,因而停止所有相關聯的防病毒軟體偵測、EDR 警示,以及排除專案的可見度。
重要事項
本文所述的防病毒軟體排除專案僅適用於防病毒軟體功能,不適用於EDR) (端點偵測和回應。 您使用本文所述的防病毒軟體排除專案排除的檔案,仍然可以觸發 EDR 警示和其他偵測。 本節所述的全域排除範圍適用於防病毒軟體 和 端點偵測和回應功能,因此會停止所有相關聯的防病毒軟體保護、EDR 警示和偵測。 全域排除專案目前處於公開預覽狀態,可在適用於端點的 Defender 版本或更新版本 101.23092.0012 中,於測試人員緩慢和生產環境通道中取得。 針對 EDR 排除專案, 請連絡支持人員。
您可以從 Linux 上的適用於端點的 Defender 排除特定檔案、資料夾、進程和進程開啟的檔案。
排除項目有助於避免對組織唯一或自定義的檔案或軟體進行不正確的偵測。 全域排除適用於減輕 Linux 上適用於端點的 Defender 所造成的效能問題。
警告
定義排除專案會降低適用於Linux上適用於端點的Defender所提供的保護。 您應該一律評估與實作排除專案相關聯的風險,而且應該只排除您確信不是惡意的檔案。
支援的排除範圍
如先前章節所述,我們支援兩個排除範圍:防病毒軟體 (epp) 和全域 (global) 排除專案。
防病毒軟體排除專案可用來排除受信任的檔案和程式,而不受即時保護,同時仍具有EDR可見性。 全域排除專案會在感測器層級套用,並在完成任何處理之前,於流程初期將符合排除條件的事件設為靜音,進而停止所有 EDR 警示和防病毒軟體偵測。
注意事項
全域 (global) 是除了防毒 (epp) Microsoft已支援的排除範圍之外,我們引進的新排除範圍。
| 排除類別 | 排除範圍 | 描述 |
|---|---|---|
| 防病毒軟體排除 | 防病毒軟體引擎 (範圍:epp) |
從防病毒軟體掃描和隨選掃描中排除內容。 |
| 全域排除 | 防病毒軟體和端點偵測和回應引擎 (範圍:全域) |
從即時保護和 EDR 可見性排除事件。 默認不適用於隨選掃描。 |
重要事項
全域排除專案不適用於網路保護,因此仍會顯示網路保護所產生的警示。
若要從網路保護中排除程式,請使用 mdatp network-protection exclusion
支援的排除類型
下表顯示Linux上適用於端點的Defender所支援的排除類型。
| 排除 | 定義 | 範例 |
|---|---|---|
| 副檔名 | 所有具有擴充功能的檔案,在裝置上的任何位置 (無法用於全域排除) | .test |
| 檔案 | 完整路徑所識別的特定檔案 | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| 資料夾 | 指定資料夾下的所有檔案 (遞歸) | /var/log//var/*/ |
| 程序 | 特定進程 (由完整路徑或檔名指定,) 以及其開啟的所有檔案。 建議您使用完整且受信任的進程啟動路徑。 |
/bin/catcatc?t |
重要事項
使用的路徑必須是硬式連結,而不是符號連結,才能成功排除。 您可以執行 來檢查路徑是否為符號連結 file <path-name>。 實作全域程式排除專案時,請只排除確保系統可靠性和安全性所需的專案。 確認進程為已知且受信任、指定進程位置的完整路徑,並確認進程會一致地從相同的受信任完整路徑啟動。
檔案、資料夾和行程排除項目支援下列通配符:
| 萬用字元 | 描述 | 範例 |
|---|---|---|
| * | 符合任意數目的任何字元,包括無 (請注意,如果路徑結尾未使用此通配符,則只會取代一個資料夾) |
/var/*/tmp 包含中的任何檔案 /var/abc/tmp 及其子目錄,以及 /var/def/tmp 及其子目錄。 不包含 /var/abc/log 或 /var/def/log
|
| ? | 比對任何單一字元 |
file?.log包含和 file2.log,但不包含file1.logfile123.log |
注意事項
設定全域排除專案時不支援通配符。 針對防病毒軟體排除,在路徑結尾使用 * 通配符時,它會比對通配符父系下的所有檔案和子目錄。 新增或移除範圍為全域的檔案排除專案之前,檔案路徑必須存在。
如何設定排除清單
您可以使用管理 Json 設定、適用於端點的 Defender 安全性設定管理或命令行來設定排除專案。
使用管理主控台
在企業環境中,排除專案也可以透過組態配置檔來管理。 一般而言,您會使用 Puppet、Ansible 或其他管理控制台之類的組態管理工具,在位置/etc/opt/microsoft/mdatp/managed/推送名稱mdatp_managed.json為 的檔案。 如需詳細資訊, 請參閱在Linux上設定適用於端點的Defender喜好設定。 請參閱下列範 mdatp_managed.json例。
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
使用適用於端點的Defender安全性設定管理
注意事項
此方法目前為私人預覽版。 若要啟用這項功能,請連絡 。xplatpreviewsupport@microsoft.com 請務必檢閱必要條件: 適用於端點的Defender安全性設定管理必要條件
您可以使用 Microsoft Intune 系統管理中心或 Microsoft Defender 入口網站來管理排除專案作為端點安全策略,並將這些原則指派給 Microsoft Entra ID 群組。 如果您是第一次使用此方法,請務必完成下列步驟:
1.設定您的租使用者以支援安全性設定管理
在 Microsoft Defender 入口網站中,流覽至 [設定>端點>設定管理>強制範圍],然後選取 [Linux] 平臺。
使用標籤
MDE-Management裝置。 大部分的裝置都會在幾分鐘內註冊並接收原則,但有些可能需要 24 小時的時間。 如需詳細資訊,請參閱瞭解如何使用 Intune 端點安全策略來管理未向 Intune 註冊之裝置上的 適用於端點的 Microsoft Defender。
2.建立 Microsoft Entra 群組
根據作系統類型建立動態 Microsoft Entra 群組,以確保所有已上線至適用於端點的 Defender 的裝置都會收到適當的原則。 此動態群組會自動包含由適用於端點的Defender所管理的裝置,而不需要系統管理員手動建立新的原則。 如需詳細資訊,請參閱下列文章:建立 Microsoft Entra 群組
3.建立端點安全策略
在 Microsoft Defender 入口網站中,移至 [端點>設定管理>端點] 安全策略,然後選取 [建立新原則]。
針對 [平臺],選取 [Linux]。
選取全域排除
Microsoft defender antivirus exclusions和防毒排除)Microsoft defender global exclusions (AV+EDR)所需的排除範本 (,然後選取 [建立原則]。在 [基本] 頁面上,輸入新設定檔的名稱與描述,然後選擇 [下一步]。
在 [ 設定] 頁面上,展開每個設定群組,並使用此配置檔設定您要管理的設定。
完成設定後,請選取 [下一步]。
在 [ 指派] 頁面上,選取接收此配置檔的群組。 然後選取 [下一步]。
在 [ 檢閱 + 建立] 頁面上,當您完成時,選取 [ 儲存]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。
如需詳細資訊,請參閱:在 適用於端點的 Microsoft Defender 中管理端點安全策略。
使用命令行
執行下列命令,以查看可用的參數來管理排除專案:
mdatp exclusion
注意事項
--scope 是選擇性旗標,接受的值為 epp 或 global。 它提供在新增排除專案以移除相同排除範圍時所使用的相同範圍。 在命令行方法中,如果未提及範圍,則範圍值會設定為 epp。
在匯入旗標之前透過 CLI 新增的 --scope 排除專案不會受到影響,而且其範圍會被視為 epp。
提示
使用通配符設定排除範圍時,請以雙引弧括住 參數,以防止通配符。
本節包含數個範例。
範例 1:新增擴展名的排除範圍
您可以新增擴展名的排除範圍。 請記住,全域排除範圍不支援延伸模組排除專案。
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully
範例 2:新增或移除檔案排除
您可以新增或移除檔案的排除專案。 如果您要新增或移除全域範圍的排除專案,檔案路徑應該已經存在。
mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"
範例 3:新增或移除資料夾排除
您可以新增或移除資料夾的排除範圍。
mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully
範例 4:新增第二個資料夾的排除範圍
您可以新增第二個資料夾的排除範圍。
mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder --scope global
Folder exclusion configured successfully
範例 5:使用通配符新增資料夾排除專案
您可以使用通配符新增資料夾的排除範圍。 請記住,設定全域排除專案時不支援通配符。
mdatp exclusion folder add --path "/var/*/tmp"
上一個命令會排除 下方 */var/*/tmp/*的路徑,但不包括 屬於 同 *tmp*層級的資料夾。 例如, */var/this-subfolder/tmp* 已排除,但 */var/this-subfolder/log* 未排除。
mdatp exclusion folder add --path "/var/" --scope epp
OR
mdatp exclusion folder add --path "/var/*/" --scope epp
先前的命令會排除其父系為 */var/*的所有路徑,例如 */var/this-subfolder/and-this-subfolder-as-well*。
Folder exclusion configured successfully
範例 6:新增進程的排除範圍
您可以新增進程的排除專案。
mdatp exclusion process add --path /usr/bin/cat --scope global
Process exclusion configured successfully
mdatp exclusion process remove --path /usr/bin/cat --scope global
注意事項
只有完整路徑支援以範圍設定進程排除 global 。
僅 --path 使用旗標
Process exclusion removed successfully
mdatp exclusion process add --name cat --scope epp
Process exclusion configured successfully
mdatp exclusion process remove --name cat --scope epp
Process exclusion removed successfully
範例 7:新增第二個進程的排除範圍
您可以新增第二個進程的排除範圍。
mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global
Process exclusion configured successfully
使用 EICAR 測試檔案驗證排除清單
您可以使用 curl 下載測試檔案來驗證排除清單是否正常運作。
在下列 Bash 代碼段中,將 取代 test.txt 為符合排除規則的檔案。 例如,如果您已排除延伸模組 .testing ,請將 取代 test.txt 為 test.testing。 如果您要測試路徑,請確定您在該路徑內執行命令。
curl -o test.txt https://secure.eicar.org/eicar.com.txt
如果適用於Linux上的適用於端點的Defender報告惡意代碼,則規則無法運作。 如果沒有惡意代碼報告,且下載的檔案存在,則排除作業正在運作。 您可以開啟 檔案,確認內容與 EICAR 測試檔案網站上所述的內容相同。
如果您沒有因特網存取權,您可以建立自己的 EICAR 測試檔案。 使用下列 Bash 命令,將 EICAR 字串寫入新的文字檔:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
您也可以將字串複製到空白文本檔,並嘗試使用檔名或您嘗試排除的資料夾來儲存它。
允許威脅
除了排除要掃描的特定內容之外,您也可以在 Linux 上設定適用於端點的 Defender,不要偵測威脅名稱所識別的某些威脅類別。
警告
使用這項功能時請小心,因為它可以讓您的裝置不受保護。
若要將威脅名稱新增至允許的清單,請執行下列命令:
mdatp threat allowed add --name [threat-name]
若要取得偵測到的威脅名稱,請執行下列命令:
mdatp threat list
例如,若要將 新 EICAR-Test-File (not a virus) 增至allowlist,請執行下列命令:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
另請參閱
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。