Поделиться через


Настройка и проверка исключений для Microsoft Defender для конечной точки в Linux

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

В этой статье содержатся сведения о том, как определить антивирусные и глобальные исключения для Microsoft Defender для конечной точки. Исключения антивирусной программы применяются к проверкам по запросу, защите в режиме реального времени (RTP) и мониторингу поведения (BM). Глобальные исключения применяются к защите в реальном времени (RTP), мониторингу поведения (BM) и обнаружению и реагированию конечных точек (EDR), тем самым останавливая все связанные обнаружения антивирусной программы, оповещения EDR и видимость для исключенного элемента.

Важно!

Исключения антивирусной программы, описанные в этой статье, применяются только к возможностям антивирусной программы, а не к обнаружению конечных точек и реагированию (EDR). Файлы, которые вы исключаете с помощью исключений антивирусной программы, описанных в этой статье, по-прежнему могут активировать оповещения EDR и другие обнаружения. Глобальные исключения, описанные в этом разделе, применяются к возможностям обнаружения и реагирования антивирусной программы и конечных точек, что приводит к остановке всех связанных антивирусной защиты, оповещений EDR и обнаружения. Глобальные исключения в настоящее время находятся в общедоступной предварительной версии и доступны в Defender для конечной точки версии или более поздней версии 101.23092.0012 в кругах Insiders Slow и Production. Для исключений EDR обратитесь в службу поддержки.

Некоторые файлы, папки, процессы и файлы, открытые процессом, можно исключить из Defender для конечной точки в Linux.

Исключения могут быть полезны, чтобы избежать неправильного обнаружения файлов или программного обеспечения, которые являются уникальными или настроенными для вашей организации. Глобальные исключения полезны для устранения проблем с производительностью, вызванных Defender для конечной точки в Linux.

Предупреждение

Определение исключений снижает защиту, предлагаемую Defender для конечной точки в Linux. Всегда следует оценивать риски, связанные с реализацией исключений, и исключать только файлы, которые, как вы уверены, не являются вредоносными.

Поддерживаемые области исключения

Как описано в предыдущем разделе, мы поддерживаем две области исключения: антивирусная (epp) и глобальная (global) исключения.

Исключения антивирусной программы можно использовать для исключения доверенных файлов и процессов из защиты в режиме реального времени, сохраняя видимость EDR. Глобальные исключения применяются на уровне датчика и для отключения звука событий, которые соответствуют условиям исключения на ранних этапах потока, перед любой обработкой, что приводит к остановке всех оповещений EDR и обнаружения антивирусной программы.

Примечание.

Глобальный (global) — это новый область исключений, который мы вводим в дополнение к антивирусным (epp) исключениям, которые уже поддерживаются корпорацией Майкрософт.

Категория исключения Область исключения Описание
Исключение антивирусной программы Антивирусная подсистема
(область: epp)
Исключает содержимое из проверок антивирусной программы (AV) и проверок по запросу.
Глобальное исключение Антивирусная программа, обнаружение конечных точек и обработчик ответов
(область: global)
Исключает события из защиты в режиме реального времени и видимости EDR. Не применяется к проверкам по запросу по умолчанию.

Поддерживаемые типы исключений

В следующей таблице показаны типы исключений, поддерживаемые Defender для конечной точки в Linux.

Исключения Определение Примеры
Расширение файла Все файлы с расширением в любом месте устройства (недоступны для глобальных исключений) .test
File Конкретный файл, определенный по полному пути /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Folder Все файлы в указанной папке (рекурсивно) /var/log/
/var/*/
Процесс Определенный процесс (указывается полным путем или именем файла) и все файлы, открытые им. /bin/cat
cat
c?t

Важно!

Для успешного исключения используемые пути должны быть жесткими, а не символическими ссылками. Вы можете проверка, является ли путь символьной ссылкой, выполнив команду file <path-name>.

Исключения файлов, папок и процессов поддерживают следующие подстановочные знаки:

Примечание.

Путь к файлу должен присутствовать перед добавлением или удалением исключений файлов с область в качестве глобального. Подстановочные знаки не поддерживаются при настройке глобальных исключений.

Подстановочный знак Описание Примеры
* Соответствует любому количеству символов, включая нет
(Обратите внимание, что если этот подстановочный знак не используется в конце пути, то он заменяет только одну папку)
/var/*/tmp содержит любой файл в /var/abc/tmp и его подкаталогах, а также /var/def/tmp подкаталогах и его подкаталогах. Он не включает /var/abc/log или /var/def/log

/var/*/ Включает только все файлы в своих подкаталогах, такие как /var/abc/, но не файлы непосредственно внутри /var.

? Соответствует любому отдельному символу file?.log включает file1.log и file2.log, но неfile123.log

Примечание.

Для антивирусных исключений при использовании подстановочного знака * в конце пути он будет соответствовать всем файлам и подкаталогам в родительском знаке подстановочного знака.

Настройка списка исключений

Использование консоль управления

Чтобы настроить исключения из Puppet, Ansible или другой консоль управления, см. следующий примерmdatp_managed.json.

{
   "exclusionSettings":{
     "exclusions":[
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/home/*/git<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/run<EXAMPLE DO NOT USE>",
           "scopes": [
              "global"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":false,
           "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
           "scopes": [
              "epp", "global"
           ]
        },
        {
           "$type":"excludedFileExtension",
           "extension":".pdf<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedFileName",
           "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
        }
     ],
     "mergePolicy":"admin_only"
   }
}

Дополнительные сведения см. в статье Настройка параметров Defender для конечной точки в Linux.

Использование командной строки

Выполните следующую команду, чтобы просмотреть доступные параметры для управления исключениями:

Примечание.

--scope является необязательным флагом с допустимым значением или eppglobal. Он предоставляет те же область, которые используются при добавлении исключения для удаления того же исключения. В подходе из командной строки, если область не указан, значение область задается как epp. Исключения, добавленные с помощью CLI до введения флага--scope, остаются неизменными, и их область считается epp.

mdatp exclusion

Совет

При настройке исключений с подстановочными знаками заключите параметр в двойные кавычки, чтобы предотвратить глобинг.

Примеры:

  • Добавьте исключение для расширения файла (исключение расширения не поддерживается для глобального исключения область).

    mdatp exclusion extension add --name .txt
    
    Extension exclusion configured successfully
    
    mdatp exclusion extension remove --name .txt
    
    Extension exclusion removed successfully
    
  • Добавление или удаление исключения для файла (путь к файлу уже должен присутствовать в случае добавления или удаления исключения с помощью глобального область).

    mdatp exclusion file add --path /var/log/dummy.log --scope epp
    
    File exclusion configured successfully
    
    mdatp exclusion file remove --path /var/log/dummy.log --scope epp
    
    File exclusion removed successfully"
    
    mdatp exclusion file add --path /var/log/dummy.log --scope global
    
    File exclusion configured successfully
    
    mdatp exclusion file remove --path /var/log/dummy.log --scope global
    
    File exclusion removed successfully"
    
  • Добавление и удаление исключения для папки:

    mdatp exclusion folder add --path /var/log/ --scope epp
    
    Folder exclusion configured successfully
    
    mdatp exclusion folder remove --path /var/log/ --scope epp
    
    Folder exclusion removed successfully
    
      mdatp exclusion folder add --path /var/log/ --scope global
    
    Folder exclusion configured successfully
    
    mdatp exclusion folder remove --path /var/log/ --scope global
    
    Folder exclusion removed successfully
    
  • Добавьте исключение для второй папки:

    mdatp exclusion folder add --path /var/log/ --scope epp
    mdatp exclusion folder add --path /other/folder  --scope global
    
    Folder exclusion configured successfully
    
  • Добавьте исключение для папки с подстановочным знаком:

    Примечание.

    Подстановочные знаки не поддерживаются при настройке глобальных исключений.

    mdatp exclusion folder add --path "/var/*/tmp"
    

    Примечание.

    При этом будут исключены только пути в /var/*/tmp/, но не папки, которые являются однородными элементами tmp; например, /var/this-subfolder/tmp, но не /var/this-subfolder/log.

    mdatp exclusion folder add --path "/var/" --scope epp
    

    ИЛИ

    mdatp exclusion folder add --path "/var/*/" --scope epp
    

    Примечание.

    При этом будут исключены все пути, родительским объектом которых является /var/; например, /var/this-subfolder/and-this-subfolder-as-well.

    Folder exclusion configured successfully
    
  • Добавьте исключение для процесса:

    mdatp exclusion process add --name /usr/bin/cat --scope global 
    
    Process exclusion configured successfully
    
    mdatp exclusion process remove --name /usr/bin/cat  --scope global
    
    Process exclusion removed successfully
    
      mdatp exclusion process add --name /usr/bin/cat --scope epp 
    
    Process exclusion configured successfully
    
    mdatp exclusion process remove --name /usr/bin/cat  --scope epp
    
    Process exclusion removed successfully
    
  • Добавьте исключение для второго процесса:

    mdatp exclusion process add --name cat --scope epp
    mdatp exclusion process add --name dog --scope global
    
    Process exclusion configured successfully
    

Проверка списков исключений с помощью тестового файла EICAR

Вы можете проверить, работают ли списки исключений, используя curl для скачивания тестового файла.

В следующем фрагменте кода Bash замените test.txt файлом, соответствующим правилам исключения. Например, если вы исключили расширение, замените .testingtest.txttest.testingна . Если вы тестируете путь, убедитесь, что вы выполните команду в этом пути.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Если Defender для конечной точки в Linux сообщает о вредоносных программах, правило не работает. Если нет отчета о вредоносных программах и скачанный файл существует, исключение работает. Вы можете открыть файл, чтобы убедиться, что содержимое совпадает с тем, что описано на веб-сайте тестового файла EICAR.

Если у вас нет доступа к Интернету, можно создать собственный тестовый файл EICAR. Запишите строку EICAR в новый текстовый файл с помощью следующей команды Bash:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Вы также можете скопировать строку в пустой текстовый файл и попытаться сохранить ее с именем файла или в папке, которую вы пытаетесь исключить.

Разрешить угрозы

Помимо исключения определенного содержимого из сканирования, можно также настроить продукт так, чтобы он не обнаруживал некоторые классы угроз (определяемых по имени угрозы). При использовании этой функции следует соблюдать осторожность, так как это может оставить устройство без защиты.

Чтобы добавить имя угрозы в список разрешенных, выполните следующую команду:

mdatp threat allowed add --name [threat-name]

Имя угрозы, связанной с обнаружением на устройстве, можно получить с помощью следующей команды:

mdatp threat list

Например, чтобы добавить EICAR-Test-File (not a virus) (имя угрозы, связанное с обнаружением EICAR) в список разрешенных, выполните следующую команду:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.