Configurar e validar exclusões para Microsoft Defender para Endpoint no Linux

Artigo
04/26/2024

Aplica-se a:

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Este artigo fornece informações sobre como definir exclusões que se aplicam a análises a pedido e proteção e monitorização em tempo real.

Importante

As exclusões descritas neste artigo não se aplicam a outras capacidades do Defender para Endpoint no Linux, incluindo a deteção e resposta de pontos finais (EDR). Os ficheiros que excluir através dos métodos descritos neste artigo ainda podem acionar alertas EDR e outras deteções. Para exclusões EDR, contacte o suporte.

Pode excluir determinados ficheiros, pastas, processos e ficheiros abertos por processos do Defender para Endpoint em análises do Linux.

As exclusões podem ser úteis para evitar deteções incorretas em ficheiros ou software que são exclusivos ou personalizados para a sua organização. Também podem ser úteis para mitigar problemas de desempenho causados pelo Defender para Endpoint no Linux.

Aviso

Definir exclusões reduz a proteção oferecida pelo Defender para Endpoint no Linux. Deve sempre avaliar os riscos associados à implementação de exclusões e só deve excluir ficheiros que tenha a certeza de que não são maliciosos.

Tipos de exclusão suportados

A tabela seguinte mostra os tipos de exclusão suportados pelo Defender para Endpoint no Linux.

Exclusão	Definição	Exemplos
Extensão de ficheiro	Todos os ficheiros com a extensão, em qualquer lugar no dispositivo	`.test`
Ficheiro	Um ficheiro específico identificado pelo caminho completo	`/var/log/test.log` `/var/log/*.log` `/var/log/install.?.log`
Pasta	Todos os ficheiros na pasta especificada (recursivamente)	`/var/log/` `/var/*/`
Processo	Um processo específico (especificado pelo caminho completo ou nome do ficheiro) e todos os ficheiros abertos pelo mesmo	`/bin/cat` `cat` `c?t`

Importante

Os caminhos acima têm de ser ligações fixas, não ligações simbólicas, para serem excluídos com êxito. Pode verificar se um caminho é uma ligação simbólica ao executar file <path-name>.

As exclusões de ficheiros, pastas e processos suportam os seguintes carateres universais:

Caráter universal Descrição Exemplos

Corresponde a qualquer número de carateres, incluindo nenhum (tenha em atenção que, se este caráter universal não for utilizado no final do caminho, substituirá apenas uma pasta)

Caráter universal	Descrição	Exemplos
*	Corresponde a qualquer número de carateres, incluindo nenhum (tenha em atenção que, se este caráter universal não for utilizado no final do caminho, substituirá apenas uma pasta)	`/var//tmp` inclui qualquer ficheiro no e respetivos `/var/abc/tmp` subdiretórios e `/var/def/tmp` respetivos subdiretórios. Não inclui `/var/abc/log` nem `/var/def/log` `/var//` inclui qualquer ficheiro no `/var` e respetivos subdiretórios.
?	Corresponde a qualquer caráter individual	`file?.log` inclui `file1.log` e `file2.log`, mas não`file123.log`

/var/*/tmp inclui qualquer ficheiro no e respetivos /var/abc/tmp subdiretórios e /var/def/tmp respetivos subdiretórios. Não inclui /var/abc/log nem /var/def/log

/var/*/ inclui qualquer ficheiro no /var e respetivos subdiretórios.

? Corresponde a qualquer caráter individual file?.log inclui file1.log e file2.log, mas nãofile123.log

Nota

Ao utilizar o caráter universal * no final do caminho, corresponderá a todos os ficheiros e subdiretórios sob o elemento principal do caráter universal.

Como configurar a lista de exclusões

A partir da consola de gestão

Para obter mais informações sobre como configurar exclusões do Puppet, do Ansible ou de outra consola de gestão, consulte Definir preferências do Defender para Endpoint no Linux.

A partir da linha de comandos

Execute o seguinte comando para ver os comutadores disponíveis para gerir exclusões:

mdatp exclusion

Sugestão

Ao configurar exclusões com carateres universais, coloque o parâmetro entre aspas duplas para impedir a colocação de regozijantes.

Exemplos:

Adicione uma exclusão para uma extensão de ficheiro:

mdatp exclusion extension add --name .txt

Extension exclusion configured successfully

Adicionar uma exclusão para um ficheiro:

mdatp exclusion file add --path /var/log/dummy.log

File exclusion configured successfully

Adicionar uma exclusão para uma pasta:

mdatp exclusion folder add --path /var/log/

Folder exclusion configured successfully

Adicione uma exclusão para uma segunda pasta:

mdatp exclusion folder add --path /var/log/
mdatp exclusion folder add --path /other/folder

Folder exclusion configured successfully

Adicione uma exclusão para uma pasta com um caráter universal:
```
mdatp exclusion folder add --path "/var/*/tmp"
```
Nota

Isto só excluirá caminhos abaixo de /var/*/tmp/, mas não pastas que sejam irmãos de tmp; por exemplo, /var/this-subfolder/tmp, mas não /var/this-subfolder/log.
```
mdatp exclusion folder add --path "/var/"
```
OU
```
mdatp exclusion folder add --path "/var/*/"
```
Nota

Isto excluirá todos os caminhos cujo principal é /var/; por exemplo, /var/this-subfolder/and-this-subfolder-as-well.
```
Folder exclusion configured successfully
```

Adicionar uma exclusão para um processo:

mdatp exclusion process add --name cat

Process exclusion configured successfully

Adicione uma exclusão para um segundo processo:

mdatp exclusion process add --name cat
mdatp exclusion process add --name dog

Process exclusion configured successfully

Validar listas de exclusões com o ficheiro de teste EICAR

Pode confirmar que as listas de exclusão estão a funcionar ao utilizar curl para transferir um ficheiro de teste.

No fragmento bash seguinte, substitua por test.txt um ficheiro que esteja em conformidade com as regras de exclusão. Por exemplo, se tiver excluído a .testing extensão, substitua por test.testingtest.txt . Se estiver a testar um caminho, certifique-se de que executa o comando nesse caminho.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Se o Defender para Endpoint no Linux comunica software maligno, a regra não está a funcionar. Se não existir nenhum relatório de software maligno e o ficheiro transferido existir, significa que a exclusão está a funcionar. Pode abrir o ficheiro para confirmar que os conteúdos são os mesmos que são descritos no site do ficheiro de teste EICAR.

Se não tiver acesso à Internet, pode criar o seu próprio ficheiro de teste EICAR. Escreva a cadeia EICAR num novo ficheiro de texto com o seguinte comando bash:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Também pode copiar a cadeia para um ficheiro de texto em branco e tentar guardá-la com o nome do ficheiro ou na pasta que está a tentar excluir.

Permitir ameaças

Além de excluir determinados conteúdos de serem analisados, também pode configurar o produto para não detetar algumas classes de ameaças (identificadas pelo nome da ameaça). Deve ter cuidado ao utilizar esta funcionalidade, uma vez que pode deixar o dispositivo desprotegido.

Para adicionar um nome de ameaça à lista de permitidos, execute o seguinte comando:

mdatp threat allowed add --name [threat-name]

O nome da ameaça associado a uma deteção no seu dispositivo pode ser obtido com o seguinte comando:

mdatp threat list

Por exemplo, para adicionar EICAR-Test-File (not a virus) (o nome da ameaça associado à deteção EICAR) à lista de permitidos, execute o seguinte comando:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.

Partilhar via