Configurar e validar exclusões do Microsoft Defender para Ponto de Extremidade no LinuxConfigure and validate exclusions for Microsoft Defender for Endpoint on Linux

Aplica-se a:Applies to:

Deseja experimentar o Defender para Ponto de Extremidade?Want to experience Defender for Endpoint? Inscreva-se para uma avaliação gratuita.Sign up for a free trial.

Este artigo fornece informações sobre como definir exclusões que se aplicam a verificações sob demanda e proteção e monitoramento em tempo real.This article provides information on how to define exclusions that apply to on-demand scans, and real-time protection and monitoring.

Importante

As exclusões descritas neste artigo não se aplicam a outros Recursos do Defender para Ponto de Extremidade no Linux, incluindo detecção e resposta de ponto de extremidade (EDR).The exclusions described in this article don't apply to other Defender for Endpoint on Linux capabilities, including endpoint detection and response (EDR). Os arquivos que você excluir usando os métodos descritos neste artigo ainda podem disparar EDR alertas e outras detecções.Files that you exclude using the methods described in this article can still trigger EDR alerts and other detections.

Você pode excluir determinados arquivos, pastas, processos e arquivos abertos por processo do Defender para Ponto de Extremidade em verificações do Linux.You can exclude certain files, folders, processes, and process-opened files from Defender for Endpoint on Linux scans.

As exclusões podem ser úteis para evitar detecções incorretas em arquivos ou softwares exclusivos ou personalizados para sua organização.Exclusions can be useful to avoid incorrect detections on files or software that are unique or customized to your organization. Eles também podem ser úteis para atenuar problemas de desempenho causados pelo Defender para Ponto de Extremidade no Linux.They can also be useful for mitigating performance issues caused by Defender for Endpoint on Linux.

Aviso

Definir exclusões reduz a proteção oferecida pelo Defender para Ponto de Extremidade no Linux.Defining exclusions lowers the protection offered by Defender for Endpoint on Linux. Você sempre deve avaliar os riscos associados à implementação de exclusões, e você deve excluir apenas arquivos que você tem certeza de que não são mal-intencionados.You should always evaluate the risks that are associated with implementing exclusions, and you should only exclude files that you are confident are not malicious.

Tipos de exclusão com suporteSupported exclusion types

A tabela a seguir mostra os tipos de exclusão suportados pelo Defender para Ponto de Extremidade no Linux.The follow table shows the exclusion types supported by Defender for Endpoint on Linux.

ExclusãoExclusion DefiniçãoDefinition ExemplosExamples
Extensão de arquivoFile extension Todos os arquivos com a extensão, em qualquer lugar do dispositivoAll files with the extension, anywhere on the device .test
ArquivoFile Um arquivo específico identificado pelo caminho completoA specific file identified by the full path /var/log/test.log
/var/log/*.log
/var/log/install.?.log
FolderFolder Todos os arquivos na pasta especificada (recursivamente)All files under the specified folder (recursively) /var/log/
/var/*/
ProcessoProcess Um processo específico (especificado pelo caminho completo ou nome do arquivo) e todos os arquivos abertos por eleA specific process (specified either by the full path or file name) and all files opened by it /bin/cat
cat
c?t

Importante

Os caminhos acima devem ser links rígidos, não links simbólicos, para serem excluídos com êxito.The paths above must be hard links, not symbolic links, in order to be successfully excluded. Você pode verificar se um caminho é um link simbólico executando file <path-name> .You can check if a path is a symbolic link by running file <path-name>.

As exclusões de arquivo, pasta e processo suportam os seguintes caracteres curinga:File, folder, and process exclusions support the following wildcards:

CuringaWildcard DescriçãoDescription ExemploExample MatchesMatches Não se igualaDoes not match
* Corresponde a qualquer número de caracteres, incluindo nenhum (observe que quando esse caractere curinga é usado dentro de um caminho, ele substituirá apenas uma pasta)Matches any number of any characters including none (note that when this wildcard is used inside a path it will substitute only one folder) /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
?? Corresponde a qualquer caractere únicoMatches any single character file?.log file1.log
file2.log
file123.log

Como configurar a lista de exclusõesHow to configure the list of exclusions

No console de gerenciamentoFrom the management console

Para obter mais informações sobre como configurar exclusões de Puppet, Ansible ou outro console de gerenciamento, consulte Set preferences for Defender for Endpoint on Linux.For more information on how to configure exclusions from Puppet, Ansible, or another management console, see Set preferences for Defender for Endpoint on Linux.

Da linha de comandoFrom the command line

Execute o seguinte comando para ver as opções disponíveis para gerenciar exclusões:Run the following command to see the available switches for managing exclusions:

mdatp exclusion

Dica

Ao configurar exclusões com caracteres curinga, coloque o parâmetro entre aspas duplas para evitar a duplicação.When configuring exclusions with wildcards, enclose the parameter in double-quotes to prevent globbing.

Exemplos:Examples:

  • Adicione uma exclusão para uma extensão de arquivo:Add an exclusion for a file extension:

    mdatp exclusion extension add --name .txt
    
    Extension exclusion configured successfully
    
  • Adicione uma exclusão para um arquivo:Add an exclusion for a file:

    mdatp exclusion file add --path /var/log/dummy.log
    
    File exclusion configured successfully
    
  • Adicione uma exclusão para uma pasta:Add an exclusion for a folder:

    mdatp exclusion folder add --path /var/log/
    
    Folder exclusion configured successfully
    
  • Adicione uma exclusão para uma segunda pasta:Add an exclusion for a second folder:

    mdatp exclusion folder add --path /var/log/
    mdatp exclusion folder add --path /other/folder
    
    Folder exclusion configured successfully
    
  • Adicione uma exclusão para uma pasta com um caractere curinga:Add an exclusion for a folder with a wildcard in it:

    mdatp exclusion folder add --path "/var/*/"
    

    Observação

    Isso excluirá apenas caminhos um nível abaixo /var/, mas não pastas que estão mais profundamente aninhadas; por exemplo, /var/this-subfolder/but-not-this-subfolder.This will only exclude paths one level below /var/, but not folders which are more deeply nested; for example, /var/this-subfolder/but-not-this-subfolder.

    mdatp exclusion folder add --path "/var/"
    

    Observação

    Isso excluirá todos os caminhos cujos pais são /var/; por exemplo, /var/this-subfolder/and-this-subfolder-as-well.This will exclude all paths whose parent is /var/; for example, /var/this-subfolder/and-this-subfolder-as-well.

    Folder exclusion configured successfully
    
  • Adicione uma exclusão para um processo:Add an exclusion for a process:

    mdatp exclusion process add --name cat
    
    Process exclusion configured successfully
    
  • Adicione uma exclusão para um segundo processo:Add an exclusion for a second process:

    mdatp exclusion process add --name cat
    mdatp exclusion process add --name dog
    
    Process exclusion configured successfully
    

Validar listas de exclusões com o arquivo de teste EICARValidate exclusions lists with the EICAR test file

Você pode validar que suas listas de exclusão estão funcionando usando curl para baixar um arquivo de teste.You can validate that your exclusion lists are working by using curl to download a test file.

No trecho Bash a seguir, substitua por um arquivo que esteja em conformidade test.txt com suas regras de exclusão.In the following Bash snippet, replace test.txt with a file that conforms to your exclusion rules. Por exemplo, se você excluiu a .testing extensão, substitua test.txt por test.testing .For example, if you have excluded the .testing extension, replace test.txt with test.testing. Se você estiver testando um caminho, certifique-se de executar o comando nesse caminho.If you are testing a path, ensure that you run the command within that path.

curl -o test.txt https://www.eicar.org/download/eicar.com.txt

Se o Defender for Endpoint no Linux relata malware, a regra não está funcionando.If Defender for Endpoint on Linux reports malware, then the rule is not working. Se não houver nenhum relatório de malware e o arquivo baixado existir, a exclusão está funcionando.If there is no report of malware, and the downloaded file exists, then the exclusion is working. Você pode abrir o arquivo para confirmar se o conteúdo é igual ao descrito no site do arquivo de teste EICAR.You can open the file to confirm that the contents are the same as what is described on the EICAR test file website.

Se você não tiver acesso à Internet, poderá criar seu próprio arquivo de teste EICAR.If you do not have Internet access, you can create your own EICAR test file. Escreva a cadeia de caracteres EICAR em um novo arquivo de texto com o seguinte comando Bash:Write the EICAR string to a new text file with the following Bash command:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Você também pode copiar a cadeia de caracteres em um arquivo de texto em branco e tentar salvá-la com o nome do arquivo ou na pasta que você está tentando excluir.You can also copy the string into a blank text file and attempt to save it with the file name or in the folder you are attempting to exclude.

Permitir ameaçasAllow threats

Além de excluir determinado conteúdo de ser verificado, você também pode configurar o produto para não detectar algumas classes de ameaças (identificadas pelo nome da ameaça).In addition to excluding certain content from being scanned, you can also configure the product not to detect some classes of threats (identified by the threat name). Você deve ter cuidado ao usar essa funcionalidade, pois ela pode deixar seu dispositivo desprotegido.You should exercise caution when using this functionality, as it can leave your device unprotected.

Para adicionar um nome de ameaça à lista permitida, execute o seguinte comando:To add a threat name to the allowed list, execute the following command:

mdatp threat allowed add --name [threat-name]

O nome da ameaça associado a uma detecção em seu dispositivo pode ser obtido usando o seguinte comando:The threat name associated with a detection on your device can be obtained using the following command:

mdatp threat list

Por exemplo, para adicionar (o nome de ameaça associado à detecção EICAR) à lista de EICAR-Test-File (not a virus) permissão, execute o seguinte comando:For example, to add EICAR-Test-File (not a virus) (the threat name associated with the EICAR detection) to the allowed list, execute the following command:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"