Configurare e convalidare le esclusioni per Microsoft Defender per endpoint in Linux
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Questo articolo fornisce informazioni su come definire esclusioni applicabili alle analisi su richiesta e alla protezione e al monitoraggio in tempo reale.
Importante
Le esclusioni descritte in questo articolo non si applicano ad altre funzionalità di Defender per endpoint in Linux, tra cui il rilevamento degli endpoint e la risposta (EDR). I file esclusi usando i metodi descritti in questo articolo possono comunque attivare avvisi EDR e altri rilevamenti. Per le esclusioni EDR, contattare il supporto tecnico.
È possibile escludere determinati file, cartelle, processi e file aperti dal processo dalle analisi di Defender per endpoint in Linux.
Le esclusioni possono essere utili per evitare rilevamenti non corretti su file o software univoci o personalizzati per l'organizzazione. Possono anche essere utili per attenuare i problemi di prestazioni causati da Defender per endpoint in Linux.
Avviso
La definizione delle esclusioni riduce la protezione offerta da Defender per endpoint in Linux. È consigliabile valutare sempre i rischi associati all'implementazione delle esclusioni e escludere solo i file sicuri che non siano dannosi.
Tipi di esclusione supportati
La tabella seguente illustra i tipi di esclusione supportati da Defender per endpoint in Linux.
Esclusione | Definizione | Esempi |
---|---|---|
Estensione del file | Tutti i file con l'estensione, in qualsiasi punto del dispositivo | .test |
File | Un file specifico identificato dal percorso completo | /var/log/test.log /var/log/*.log /var/log/install.?.log |
Cartella | Tutti i file nella cartella specificata (in modo ricorsivo) | /var/log/ /var/*/ |
Procedura | Un processo specifico (specificato dal percorso completo o dal nome del file) e tutti i file da esso aperti | /bin/cat cat c?t |
Importante
I percorsi precedenti devono essere collegamenti reali, non collegamenti simbolici, per essere esclusi correttamente. È possibile controllare se un percorso è un collegamento simbolico eseguendo file <path-name>
.
Le esclusioni di file, cartelle e processi supportano i caratteri jolly seguenti:
Carattere jolly | Descrizione | Esempi |
---|---|---|
* | Corrisponde a un numero qualsiasi di caratteri, tra cui nessuno (si noti che se questo carattere jolly non viene usato alla fine del percorso, sostituirà solo una cartella) | /var/*/tmp include qualsiasi file in /var/abc/tmp e le relative sottodirectory e /var/def/tmp le relative sottodirectory. Non include /var/abc/log o /var/def/log
|
? | Corrisponde a qualsiasi carattere singolo | file?.log include file1.log e file2.log , ma nonfile123.log |
Nota
Quando si usa il carattere jolly * alla fine del percorso, corrisponderà a tutti i file e le sottodirectory nell'elemento padre del carattere jolly.
Come configurare l'elenco delle esclusioni
Dalla console di gestione
Per altre informazioni su come configurare le esclusioni da Puppet, Ansible o un'altra console di gestione, vedere Impostare le preferenze per Defender per endpoint in Linux.
Dalla riga di comando
Eseguire il comando seguente per visualizzare le opzioni disponibili per la gestione delle esclusioni:
mdatp exclusion
Consiglio
Quando si configurano esclusioni con caratteri jolly, racchiudere il parametro tra virgolette doppie per impedire il globbing.
Esempi:
Aggiungere un'esclusione per un'estensione di file:
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
Aggiungere un'esclusione per un file:
mdatp exclusion file add --path /var/log/dummy.log
File exclusion configured successfully
Aggiungere un'esclusione per una cartella:
mdatp exclusion folder add --path /var/log/
Folder exclusion configured successfully
Aggiungere un'esclusione per una seconda cartella:
mdatp exclusion folder add --path /var/log/ mdatp exclusion folder add --path /other/folder
Folder exclusion configured successfully
Aggiungere un'esclusione per una cartella con un carattere jolly:
mdatp exclusion folder add --path "/var/*/tmp"
Nota
Verranno esclusi solo i percorsi sotto /var/*/tmp/, ma non le cartelle di pari livello di tmp; Ad esempio, /var/this-subfolder/tmp, ma non /var/this-subfolder/log.
mdatp exclusion folder add --path "/var/"
OPPURE
mdatp exclusion folder add --path "/var/*/"
Nota
Verranno esclusi tutti i percorsi il cui padre è /var/; Ad esempio, /var/this-subfolder/and-this-subfolder-as-well.
Folder exclusion configured successfully
Aggiungere un'esclusione per un processo:
mdatp exclusion process add --name cat
Process exclusion configured successfully
Aggiungere un'esclusione per un secondo processo:
mdatp exclusion process add --name cat mdatp exclusion process add --name dog
Process exclusion configured successfully
Convalidare gli elenchi di esclusioni con il file di test EICAR
È possibile verificare che gli elenchi di esclusione funzionino usando curl
per scaricare un file di test.
Nel frammento di codice Bash seguente sostituire test.txt
con un file conforme alle regole di esclusione. Ad esempio, se l'estensione è .testing
stata esclusa, sostituire test.txt
con test.testing
. Se si sta testando un percorso, assicurarsi di eseguire il comando all'interno di tale percorso.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Se Defender per endpoint in Linux segnala malware, la regola non funziona. Se non è presente alcun report di malware e il file scaricato esiste, l'esclusione funziona. È possibile aprire il file per verificare che il contenuto sia uguale a quello descritto nel sito Web del file di test EICAR.
Se non si ha accesso a Internet, è possibile creare un file di test EICAR personalizzato. Scrivere la stringa EICAR in un nuovo file di testo con il comando Bash seguente:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
È anche possibile copiare la stringa in un file di testo vuoto e tentare di salvarla con il nome del file o nella cartella che si sta tentando di escludere.
Consenti minacce
Oltre ad escludere l'analisi di alcuni contenuti, è anche possibile configurare il prodotto per non rilevare alcune classi di minacce (identificate dal nome della minaccia). È consigliabile prestare attenzione quando si usa questa funzionalità, in quanto può lasciare il dispositivo non protetto.
Per aggiungere un nome di minaccia all'elenco consentito, eseguire il comando seguente:
mdatp threat allowed add --name [threat-name]
Il nome della minaccia associato a un rilevamento nel dispositivo può essere ottenuto usando il comando seguente:
mdatp threat list
Ad esempio, per aggiungere EICAR-Test-File (not a virus)
(il nome della minaccia associato al rilevamento EICAR) all'elenco consentito, eseguire il comando seguente:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per