Настройка и проверка исключений для Microsoft Defender для конечной точки в Linux

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

В этой статье содержатся сведения об определении исключений, применяемых к проверкам по запросу, а также о защите и мониторинге в режиме реального времени.

Важно!

Исключения, описанные в этой статье, не применяются к другим возможностям Defender для конечной точки в Linux, включая обнаружение конечных точек и реагирование (EDR). Файлы, исключенные с помощью методов, описанных в этой статье, по-прежнему могут активировать оповещения EDR и другие обнаружения. Для исключений EDR обратитесь в службу поддержки.

Некоторые файлы, папки, процессы и файлы, открытые процессом, можно исключить из Defender для конечной точки при проверках Linux.

Исключения могут быть полезны, чтобы избежать неправильного обнаружения файлов или программного обеспечения, которые являются уникальными или настроенными для вашей организации. Они также могут быть полезны для устранения проблем с производительностью, вызванных Defender для конечной точки в Linux.

Предупреждение

Определение исключений снижает защиту, предлагаемую Defender для конечной точки в Linux. Всегда следует оценивать риски, связанные с реализацией исключений, и исключать только файлы, которые, как вы уверены, не являются вредоносными.

Поддерживаемые типы исключений

В следующей таблице показаны типы исключений, поддерживаемые Defender для конечной точки в Linux.

Исключения Определение Примеры
Расширение файла Все файлы с расширением в любом месте устройства .test
File Конкретный файл, определенный по полному пути /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Folder Все файлы в указанной папке (рекурсивно) /var/log/
/var/*/
Процесс Определенный процесс (указывается полным путем или именем файла) и все файлы, открытые им. /bin/cat
cat
c?t

Важно!

Для успешного исключения указанные выше пути должны быть жесткими, а не символическими ссылками. Вы можете проверка, является ли путь символьной ссылкой, выполнив команду file <path-name>.

Исключения файлов, папок и процессов поддерживают следующие подстановочные знаки:

Подстановочный знак Описание Примеры
* Соответствует любому количеству символов, включая ни один (обратите внимание, что если этот подстановочный знак не используется в конце пути, он будет заменять только одну папку). /var/*/tmp содержит любой файл в /var/abc/tmp и его подкаталогах, а также /var/def/tmp подкаталогах и его подкаталогах. Он не включает /var/abc/log или /var/def/log

/var/*/ включает любой файл в /var и его подкаталогах.

? Соответствует любому отдельному символу file?.log включает file1.log и file2.log, но неfile123.log

Примечание.

При использовании подстановочного знака * в конце пути он будет соответствовать всем файлам и подкаталогам в родительском элементе подстановочного знака.

Настройка списка исключений

Из консоль управления

Дополнительные сведения о настройке исключений из Puppet, Ansible или другого консоль управления см. в разделе Настройка параметров Defender для конечной точки в Linux.

Из командной строки

Выполните следующую команду, чтобы просмотреть доступные параметры для управления исключениями:

mdatp exclusion

Совет

При настройке исключений с подстановочными знаками заключите параметр в двойные кавычки, чтобы предотвратить глобинг.

Примеры:

  • Добавьте исключение для расширения файла:

    mdatp exclusion extension add --name .txt
    
    Extension exclusion configured successfully
    
  • Добавьте исключение для файла:

    mdatp exclusion file add --path /var/log/dummy.log
    
    File exclusion configured successfully
    
  • Добавьте исключение для папки:

    mdatp exclusion folder add --path /var/log/
    
    Folder exclusion configured successfully
    
  • Добавьте исключение для второй папки:

    mdatp exclusion folder add --path /var/log/
    mdatp exclusion folder add --path /other/folder
    
    Folder exclusion configured successfully
    
  • Добавьте исключение для папки с подстановочным знаком:

    mdatp exclusion folder add --path "/var/*/tmp"
    

    Примечание.

    При этом будут исключены только пути ниже /var/*/tmp/, но не папки, которые являются одноуровневой частью tmp; например, /var/this-subfolder/tmp, но не /var/this-subfolder/log.

    mdatp exclusion folder add --path "/var/"
    

    ИЛИ

    mdatp exclusion folder add --path "/var/*/"
    

    Примечание.

    При этом будут исключены все пути, родительским объектом которых является /var/; например, /var/this-subfolder/and-this-subfolder-as-well.

    Folder exclusion configured successfully
    
  • Добавьте исключение для процесса:

    mdatp exclusion process add --name cat
    
    Process exclusion configured successfully
    
  • Добавьте исключение для второго процесса:

    mdatp exclusion process add --name cat
    mdatp exclusion process add --name dog
    
    Process exclusion configured successfully
    

Проверка списков исключений с помощью тестового файла EICAR

Вы можете проверить, работают ли списки исключений, используя curl для скачивания тестового файла.

В следующем фрагменте кода Bash замените test.txt файлом, соответствующим правилам исключения. Например, если вы исключили расширение, замените .testingtest.txttest.testingна . Если вы тестируете путь, убедитесь, что вы выполните команду в этом пути.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Если Defender для конечной точки в Linux сообщает о вредоносных программах, правило не работает. Если нет отчета о вредоносных программах и скачанный файл существует, исключение работает. Вы можете открыть файл, чтобы убедиться, что содержимое совпадает с тем, что описано на веб-сайте тестового файла EICAR.

Если у вас нет доступа к Интернету, можно создать собственный тестовый файл EICAR. Запишите строку EICAR в новый текстовый файл с помощью следующей команды Bash:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Вы также можете скопировать строку в пустой текстовый файл и попытаться сохранить ее с именем файла или в папке, которая пытается исключить.

Разрешить угрозы

Помимо исключения определенного содержимого из сканирования, можно также настроить продукт так, чтобы он не обнаруживал некоторые классы угроз (определяемых по имени угрозы). При использовании этой функции следует соблюдать осторожность, так как это может оставить устройство без защиты.

Чтобы добавить имя угрозы в список разрешенных, выполните следующую команду:

mdatp threat allowed add --name [threat-name]

Имя угрозы, связанной с обнаружением на устройстве, можно получить с помощью следующей команды:

mdatp threat list

Например, чтобы добавить EICAR-Test-File (not a virus) (имя угрозы, связанное с обнаружением EICAR) в список разрешенных, выполните следующую команду:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.