Linux 上のエンドポイント向け Microsoft Defender の除外を構成および検証するConfigure and validate exclusions for Microsoft Defender for Endpoint on Linux

適用対象:Applies to:

Defender for Endpoint を体験してみませんか?Want to experience Defender for Endpoint? 無料試用版にサインアップしてください。Sign up for a free trial.

この記事では、オンデマンド スキャンに適用される除外を定義する方法、およびリアルタイムの保護と監視について情報を提供します。This article provides information on how to define exclusions that apply to on-demand scans, and real-time protection and monitoring.

重要

この記事で説明する除外は、エンドポイントの検出と応答 (EDR) を含む、他の Defender for Endpoint on Linux 機能には適用EDR。The exclusions described in this article don't apply to other Defender for Endpoint on Linux capabilities, including endpoint detection and response (EDR). この記事で説明する方法を使用して除外するファイルは、アラートや他の検出EDRトリガーできます。Files that you exclude using the methods described in this article can still trigger EDR alerts and other detections.

特定のファイル、フォルダー、プロセス、およびプロセスが開いたファイルは、Defender for Endpoint on Linux スキャンから除外できます。You can exclude certain files, folders, processes, and process-opened files from Defender for Endpoint on Linux scans.

除外は、組織に固有またはカスタマイズされたファイルまたはソフトウェアで誤った検出を回避するために役立ちます。Exclusions can be useful to avoid incorrect detections on files or software that are unique or customized to your organization. また、Defender for Endpoint on Linux によって引き起こされたパフォーマンスの問題を軽減する場合にも役立ちます。They can also be useful for mitigating performance issues caused by Defender for Endpoint on Linux.

警告

除外を定義すると、Defender for Endpoint on Linux によって提供される保護が低下します。Defining exclusions lowers the protection offered by Defender for Endpoint on Linux. 除外の実装に関連付けられているリスクは常に評価する必要があります。悪意がないと確信しているファイルのみを除外する必要があります。You should always evaluate the risks that are associated with implementing exclusions, and you should only exclude files that you are confident are not malicious.

サポートされる除外の種類Supported exclusion types

次の表に、Defender for Endpoint on Linux でサポートされる除外の種類を示します。The follow table shows the exclusion types supported by Defender for Endpoint on Linux.

除外Exclusion 定義Definition Examples
ファイル拡張子File extension 拡張子が付いたすべてのファイル(デバイス上の任意の場所)All files with the extension, anywhere on the device .test
FileFile 完全パスで識別される特定のファイルA specific file identified by the full path /var/log/test.log
/var/log/*.log
/var/log/install.?.log
FolderFolder 指定したフォルダーの下のすべてのファイル (再帰的)All files under the specified folder (recursively) /var/log/
/var/*/
プロセスProcess 特定のプロセス (完全なパスまたはファイル名で指定) と、そのプロセスで開くすべてのファイルA specific process (specified either by the full path or file name) and all files opened by it /bin/cat
cat
c?t

重要

正常に除外するには、上記のパスは、シンボリック リンクではなくハード リンクである必要があります。The paths above must be hard links, not symbolic links, in order to be successfully excluded. パスがシンボリック リンクである場合は、実行して確認できます file <path-name>You can check if a path is a symbolic link by running file <path-name>.

ファイル、フォルダー、およびプロセスの除外は、次のワイルドカードをサポートします。File, folder, and process exclusions support the following wildcards:

ワイルドカードWildcard 説明Description Example 一致Matches 一致しないDoes not match
* none を含む任意の数の文字と一致します (パス内でこのワイルドカードを使用すると、1 つのフォルダーのみを置き換える点に注意してください)Matches any number of any characters including none (note that when this wildcard is used inside a path it will substitute only one folder) /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
?? 任意の 1 文字に一致するMatches any single character file?.log file1.log
file2.log
file123.log

除外の一覧を構成する方法How to configure the list of exclusions

管理コンソールからFrom the management console

Puppet、Ansible、または別の管理コンソールから除外を構成する方法の詳細については、「Linux での Defender for Endpoint の設定」 を参照してくださいFor more information on how to configure exclusions from Puppet, Ansible, or another management console, see Set preferences for Defender for Endpoint on Linux.

コマンド ラインからFrom the command line

次のコマンドを実行して、除外を管理するために使用可能なスイッチを確認します。Run the following command to see the available switches for managing exclusions:

mdatp exclusion

ヒント

ワイルドカードを使用して除外を構成する場合は、パラメーターを二重引用符で囲み、グローブ化を防ぐ必要があります。When configuring exclusions with wildcards, enclose the parameter in double-quotes to prevent globbing.

例:Examples:

  • ファイル拡張子の除外を追加します。Add an exclusion for a file extension:

    mdatp exclusion extension add --name .txt
    
    Extension exclusion configured successfully
    
  • ファイルの除外を追加する:Add an exclusion for a file:

    mdatp exclusion file add --path /var/log/dummy.log
    
    File exclusion configured successfully
    
  • フォルダーの除外を追加します。Add an exclusion for a folder:

    mdatp exclusion folder add --path /var/log/
    
    Folder exclusion configured successfully
    
  • ワイルドカードが含まれているフォルダーの除外を追加します。Add an exclusion for a folder with a wildcard in it:

    mdatp exclusion folder add --path "/var/*/"
    

    注意

    これは 、/var/ より下の 1 つのレベルのパスのみを除外しますが、より深くネストされたフォルダーは除外されません。たとえば 、/var/this-subfolder/but-not-this-subfolder.This will only exclude paths one level below /var/, but not folders which are more deeply nested; for example, /var/this-subfolder/but-not-this-subfolder.

    mdatp exclusion folder add --path "/var/"
    

    注意

    これにより、親が /var/ であるすべてのパスが除外されます。たとえば 、/var/this-サブフォルダー/and-this-サブフォルダーも同様ですThis will exclude all paths whose parent is /var/; for example, /var/this-subfolder/and-this-subfolder-as-well.

    Folder exclusion configured successfully
    
  • プロセスの除外を追加します。Add an exclusion for a process:

    mdatp exclusion process add --name cat
    
    Process exclusion configured successfully
    

EICAR テスト ファイルを使用して除外リストを検証するValidate exclusions lists with the EICAR test file

除外リストが機能している場合は、テスト ファイルをダウンロード curl して検証できます。You can validate that your exclusion lists are working by using curl to download a test file.

次の Bash スニペットで、除外 test.txt ルールに準拠したファイルに置き換えます。In the following Bash snippet, replace test.txt with a file that conforms to your exclusion rules. たとえば、拡張機能を除外した場合は、 .testing に置き換 test.txt える test.testingFor example, if you have excluded the .testing extension, replace test.txt with test.testing. パスをテストする場合は、そのパス内でコマンドを実行してください。If you are testing a path, ensure that you run the command within that path.

curl -o test.txt https://www.eicar.org/download/eicar.com.txt

Defender for Endpoint on Linux がマルウェアを報告した場合、ルールは機能していません。If Defender for Endpoint on Linux reports malware, then the rule is not working. マルウェアの報告がない場合、ダウンロードしたファイルが存在する場合は、除外が機能しています。If there is no report of malware, and the downloaded file exists, then the exclusion is working. ファイルを開き、EICAR テスト ファイル Web サイトで説明されている内容と内容が同じ ことを確認できますYou can open the file to confirm that the contents are the same as what is described on the EICAR test file website.

インターネット にアクセスできない場合は、独自の EICAR テスト ファイルを作成できます。If you do not have Internet access, you can create your own EICAR test file. 次の Bash コマンドを使用して、EICAR 文字列を新しいテキスト ファイルに書き込む。Write the EICAR string to a new text file with the following Bash command:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

文字列を空白のテキスト ファイルにコピーして、ファイル名または除外するフォルダーに保存することもできます。You can also copy the string into a blank text file and attempt to save it with the file name or in the folder you are attempting to exclude.

脅威を許可するAllow threats

特定のコンテンツをスキャン対象から除外する以外に、脅威の一部のクラス (脅威名で識別される) を検出しない製品を構成することもできます。In addition to excluding certain content from being scanned, you can also configure the product not to detect some classes of threats (identified by the threat name). この機能を使用する場合は、デバイスの保護が解除される可能性があります。注意が必要です。You should exercise caution when using this functionality, as it can leave your device unprotected.

許可リストに脅威名を追加するには、次のコマンドを実行します。To add a threat name to the allowed list, execute the following command:

mdatp threat allowed add --name [threat-name]

デバイス上の検出に関連付けられた脅威名は、次のコマンドを使用して取得できます。The threat name associated with a detection on your device can be obtained using the following command:

mdatp threat list

たとえば、許可リストに (EICAR 検出に関連付けられている脅威名) を追加するには、 EICAR-Test-File (not a virus) 次のコマンドを実行します。For example, to add EICAR-Test-File (not a virus) (the threat name associated with the EICAR detection) to the allowed list, execute the following command:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"