Configurar e validar exclusões para Microsoft Defender para Ponto de Extremidade no Linux
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Este artigo fornece informações sobre como definir exclusões que se aplicam a verificações sob demanda e proteção e monitoramento em tempo real.
Importante
As exclusões descritas neste artigo não se aplicam a outros recursos do Defender para Ponto de Extremidade no Linux, incluindo EDR (detecção e resposta de ponto de extremidade). Os arquivos que você exclui usando os métodos descritos neste artigo ainda podem disparar alertas EDR e outras detecções. Para exclusões de EDR, entre em contato com o suporte.
Você pode excluir certos arquivos, pastas, processos e arquivos abertos por processo do Defender para Ponto de Extremidade em verificações do Linux.
Exclusões podem ser úteis para evitar detecções incorretas em arquivos ou softwares exclusivos ou personalizados para sua organização. Eles também podem ser úteis para atenuar problemas de desempenho causados pelo Defender para Ponto de Extremidade no Linux.
Aviso
Definir exclusões reduz a proteção oferecida pelo Defender para Ponto de Extremidade no Linux. Você sempre deve avaliar os riscos associados à implementação de exclusões, e você só deve excluir arquivos que você está confiante de que não são mal-intencionados.
Tipos de exclusão com suporte
A tabela a seguir mostra os tipos de exclusão compatíveis com o Defender para Ponto de Extremidade no Linux.
| Exclusão | Definição | Exemplos |
|---|---|---|
| Extensão de arquivo | Todos os arquivos com a extensão, em qualquer lugar do dispositivo | .test |
| Arquivo | Um arquivo específico identificado pelo caminho completo | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Pasta | Todos os arquivos na pasta especificada (recursivamente) | /var/log//var/*/ |
| Processo | Um processo específico (especificado pelo caminho completo ou pelo nome do arquivo) e todos os arquivos abertos por ele | /bin/catcatc?t |
Importante
Os caminhos acima devem ser links rígidos, não links simbólicos, para serem excluídos com êxito. Você pode marcar se um caminho for um link simbólico executando file <path-name>.
As exclusões de arquivo, pasta e processo dão suporte aos seguintes curingas:
| Curinga | Descrição | Exemplos |
|---|---|---|
| * | Corresponde a qualquer número de caracteres, incluindo nenhum (observe que se esse curinga não for usado no final do caminho, ele substituirá apenas uma pasta) | /var/*/tmp inclui qualquer arquivo em /var/abc/tmp e seus subdiretórios e /var/def/tmp seus subdiretórios. Ele não inclui /var/abc/log ou /var/def/log
|
| ? | Corresponde a qualquer caractere único | file?.log inclui file1.log e file2.log, mas nãofile123.log |
Observação
Ao usar o curinga * no final do caminho, ele corresponderá a todos os arquivos e subdiretórios sob o pai do curinga.
Como configurar a lista de exclusões
Do console de gerenciamento
Para obter mais informações sobre como configurar exclusões de Puppet, Ansible ou outro console de gerenciamento, consulte Definir preferências para Defender para Ponto de Extremidade no Linux.
Na linha de comando
Execute o seguinte comando para ver as opções disponíveis para gerenciar exclusões:
mdatp exclusion
Dica
Ao configurar exclusões com curingas, inclua o parâmetro em aspas duplas para evitar o globbing.
Exemplos:
Adicione uma exclusão para uma extensão de arquivo:
mdatp exclusion extension add --name .txtExtension exclusion configured successfullyAdicione uma exclusão para um arquivo:
mdatp exclusion file add --path /var/log/dummy.logFile exclusion configured successfullyAdicionar uma exclusão para uma pasta:
mdatp exclusion folder add --path /var/log/Folder exclusion configured successfullyAdicione uma exclusão para uma segunda pasta:
mdatp exclusion folder add --path /var/log/ mdatp exclusion folder add --path /other/folderFolder exclusion configured successfullyAdicione uma exclusão para uma pasta com um curinga nela:
mdatp exclusion folder add --path "/var/*/tmp"Observação
Isso só excluirá caminhos abaixo de /var/*/tmp/, mas não pastas que são irmãos de tmp; por exemplo, /var/this-subfolder/tmp, mas não /var/this-subfolder/log.
mdatp exclusion folder add --path "/var/"OU
mdatp exclusion folder add --path "/var/*/"Observação
Isso excluirá todos os caminhos cujo pai é /var/; por exemplo, /var/this-subfolder/and-this-subfolder-as-well.
Folder exclusion configured successfullyAdicionar uma exclusão para um processo:
mdatp exclusion process add --name catProcess exclusion configured successfullyAdicione uma exclusão para um segundo processo:
mdatp exclusion process add --name cat mdatp exclusion process add --name dogProcess exclusion configured successfully
Validar listas de exclusões com o arquivo de teste EICAR
Você pode validar que suas listas de exclusão estão funcionando usando curl para baixar um arquivo de teste.
No snippet bash a seguir, substitua por test.txt um arquivo que esteja em conformidade com suas regras de exclusão. Por exemplo, se você excluiu a .testing extensão, substitua por test.testingtest.txt . Se você estiver testando um caminho, verifique se você executa o comando dentro desse caminho.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Se o Defender para Ponto de Extremidade no Linux relatar malware, a regra não estará funcionando. Se não houver nenhum relatório de malware e o arquivo baixado existir, a exclusão estará funcionando. Você pode abrir o arquivo para confirmar se o conteúdo é o mesmo descrito no site do arquivo de teste do EICAR.
Se você não tiver acesso à Internet, poderá criar seu próprio arquivo de teste EICAR. Escreva a cadeia de caracteres EICAR em um novo arquivo de texto com o seguinte comando Bash:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Você também pode copiar a cadeia de caracteres em um arquivo de texto em branco e tentar salvá-la com o nome do arquivo ou na pasta que você está tentando excluir.
Permitir ameaças
Além de excluir determinado conteúdo de ser verificado, você também pode configurar o produto para não detectar algumas classes de ameaças (identificadas pelo nome da ameaça). Você deve ter cuidado ao usar essa funcionalidade, pois ela pode deixar seu dispositivo desprotegido.
Para adicionar um nome de ameaça à lista permitida, execute o seguinte comando:
mdatp threat allowed add --name [threat-name]
O nome da ameaça associado a uma detecção em seu dispositivo pode ser obtido usando o seguinte comando:
mdatp threat list
Por exemplo, para adicionar EICAR-Test-File (not a virus) (o nome da ameaça associado à detecção do EICAR) à lista permitida, execute o seguinte comando:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de