Konfigurera och validera undantag för Microsoft Defender för Slutpunkt i Linux

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Den här artikeln innehåller information om hur du definierar undantag som gäller för sökning på begäran, skydd och övervakning i realtid.

Viktigt

Undantagen som beskrivs i den här artikeln gäller inte för andra Defender för Endpoint på Linux-funktioner, inklusive identifiering och åtgärd på slutpunkt (Identifiering och åtgärd på slutpunkt). Filer som du undantar med de metoder som beskrivs i den här artikeln kan fortfarande utlösa Identifiering och åtgärd på slutpunkt aviseringar och andra identifieringar.

Du kan utesluta vissa filer, mappar, processer och process öppna filer från Defender för Slutpunkt på Linux-genomsökningar.

Undantag kan vara bra för att undvika felaktiga identifieringar av filer eller programvara som är unika eller anpassade för din organisation. De kan också vara användbara för att minska prestandaproblem som orsakas av Defender för Endpoint på Linux.

Varning

När du definierar undantag sänks skyddet som erbjuds av Defender för Endpoint på Linux. Du bör alltid utvärdera riskerna som är associerade med att implementera undantag och du bör endast utesluta filer som du är säker på inte är skadliga.

Undantagstyper som stöds

I följande tabell visas de undantagstyper som stöds av Defender för Slutpunkt på Linux.

Exkludering Definition Exempel
Filnamnstillägg Alla filer med tillägget, var som helst på enheten .test
Fil En specifik fil som identifieras med den fullständiga sökvägen /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Mapp Alla filer under den angivna mappen (rekursivt) /var/log/
/var/*/
Process En specifik process (anges antingen med den fullständiga sökvägen eller filnamnet) och alla filer som öppnas av den /bin/cat
cat
c?t

Viktigt

Sökvägarna ovan måste vara hårda länkar, inte symboliska länkar, för att uteslutas. Du kan kontrollera om en sökväg är en symbolisk länk genom att köra file <path-name> .

Undantag för filer, mappar och processer stöder följande jokertecken:

Jokertecken Beskrivning Exempel Matchningar Matchar inte
* Matchar valbara antal tecken inklusive inga (observera att när det här jokertecknet används inuti en sökväg kommer det bara att ersätta en mapp) /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
? Matchar ett enstaka tecken file?.log file1.log
file2.log
file123.log

Så här konfigurerar du listan med undantag

Från hanteringskonsolen

Mer information om hur du konfigurerar undantag från Gör en klient, en ansible eller en annan hanteringskonsol finns i Ange inställningar för Defender för slutpunkt i Linux.

Från kommandoraden

Kör följande kommando för att se tillgängliga växlar för hantering av undantag:

mdatp exclusion

Tips

När du konfigurerar undantag med jokertecken omsluter du parametern med dubbla citattecken för att förhindra globbing.

Exempel:

  • Lägga till ett undantag för ett filnamnstillägg:

    mdatp exclusion extension add --name .txt
    
    Extension exclusion configured successfully
    
  • Lägga till ett undantag för en fil:

    mdatp exclusion file add --path /var/log/dummy.log
    
    File exclusion configured successfully
    
  • Lägga till ett undantag för en mapp:

    mdatp exclusion folder add --path /var/log/
    
    Folder exclusion configured successfully
    
  • Lägga till ett undantag för en andra mapp:

    mdatp exclusion folder add --path /var/log/
    mdatp exclusion folder add --path /other/folder
    
    Folder exclusion configured successfully
    
  • Lägga till ett undantag för en mapp med ett jokertecken i den:

    mdatp exclusion folder add --path "/var/*/"
    

    Anteckning

    Detta exkluderar endast sökvägar en nivå under /var/, men inte mappar som är djupare kapslade; exempel: /var/this-subfolder/but-not-this-subfolder.

    mdatp exclusion folder add --path "/var/"
    

    Anteckning

    Detta exkluderar alla sökvägar vars överordnade är /var/; Exempel: /var/this-subfolder/and-this-subfolder-as-well.

    Folder exclusion configured successfully
    
  • Lägg till ett undantag för en process:

    mdatp exclusion process add --name cat
    
    Process exclusion configured successfully
    
  • Lägg till ett undantag för en andra process:

    mdatp exclusion process add --name cat
    mdatp exclusion process add --name dog
    
    Process exclusion configured successfully
    

Validera undantagslistor med EICAR-testfilen

Du kan verifiera att undantagslistorna fungerar genom att hämta curl en testfil.

I följande Bash-kodstycke ersätter test.txt du med en fil som överensstämmer med dina undantagsregler. Om du till exempel har utelämnat .testing tillägget ersätter du test.txt med test.testing . Om du testar en sökväg bör du kontrollera att du kör kommandot inom den sökvägen.

curl -o test.txt https://www.eicar.org/download/eicar.com.txt

Om Defender för Slutpunkt på Linux rapporterar skadlig programvara fungerar regeln inte. Om det inte finns någon rapport om skadlig programvara, och den nedladdade filen finns, fungerar undantaget. Du kan öppna filen för att bekräfta att innehållet är detsamma som det som beskrivs på EICAR-testfilens webbplats.

Om du inte har tillgång till Internet kan du skapa en egen EICAR-testfil. Skriv EICAR-strängen till en ny textfil med följande Bash-kommando:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Du kan också kopiera strängen till en tom textfil och försöka spara den med filnamnet eller i mappen som du försöker utelämna.

Tillåt hot

Förutom att utesluta att visst innehåll genomsöks kan du också konfigurera produkten så att den inte identifierar vissa klasser av hot (identifieras med hotnamnet). Var försiktig när du använder den här funktionen eftersom den kan lämna enheten oskyddad.

Kör följande kommando för att lägga till ett namn för hot i listan över tillåtna hot:

mdatp threat allowed add --name [threat-name]

Hotnamnet som är associerat med en identifiering på din enhet kan erhållas med följande kommando:

mdatp threat list

Om du till exempel vill lägga EICAR-Test-File (not a virus) till (hotnamnet som är associerat med EICAR-identifieringen) i listan över tillåtna, kör du följande kommando:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"