本文介绍如何为Microsoft Defender for Endpoint定义防病毒和全局排除项。 防病毒排除适用于按需扫描、实时保护 (RTP) ,以及行为监视 (BM) 。 全局排除项适用于实时保护 (RTP) 、行为监视 (BM) ,以及终结点检测和响应 (EDR) ,从而停止所有关联的防病毒检测、EDR 警报和已排除项目的可见性。
重要
本文中所述的防病毒排除项仅适用于防病毒功能,不适用于终结点检测和响应 (EDR) 。 使用本文中所述的防病毒排除项排除Files仍会导致 EDR 警报和其他检测。 本部分所述的全局排除项适用于防病毒和 EDR 功能,从而停止所有相关的防病毒保护、EDR 警报和检测。 Linux、版本101.23092.0012或更高版本的 Defender for Endpoint 生产中提供了全局排除项。 对于仅限 EDR 的排除项, 请联系支持人员。
可以在 Linux 上从 Defender for Endpoint 中排除某些文件、文件夹、进程和进程打开的文件。
排除项可用于避免对组织唯一或自定义的文件或软件进行错误检测。 全局排除项有助于缓解 Linux 上 Defender for Endpoint 导致的性能问题。
警告
定义排除项会降低 Defender for Endpoint 在 Linux 上提供的保护。 应始终评估与实施排除项相关的风险,并且只应排除你确信不是恶意的文件。
重要
如果要并行运行多个安全解决方案,请参阅 性能、配置和支持注意事项。
你可能已经为载入到Microsoft Defender for Endpoint的设备配置了相互安全排除。 如果仍需要设置相互排除以避免冲突,请参阅将Microsoft Defender for Endpoint添加到现有解决方案的排除列表。
支持的排除范围
如前一部分所述,我们支持两个排除范围:防病毒 (epp) 和全局 (global) 排除范围。
防病毒排除可用于从实时保护中排除受信任的文件和进程,同时仍具有 EDR 可见性。 在完成任何处理之前,在传感器级别应用全局排除项,并将与流中的排除条件匹配的事件静音,从而停止所有 EDR 警报和防病毒检测。
注意
全局 (global) 是除防病毒 (epp) Microsoft已支持的排除范围外,还引入了新的排除范围。
| 排除类别 | 排除范围 | 说明 |
|---|---|---|
| 防病毒排除 | 防病毒引擎 (范围:epp) |
从按需扫描、实时保护 (RTP) 以及 BM) (行为监视中排除事件。 |
| 全局排除 | 防病毒和终结点检测以及响应引擎 (范围:全局) |
从实时保护和 EDR 可见性中排除事件。 默认情况下,不适用于按需扫描。 |
重要
全局排除项不适用于网络保护,因此网络保护生成的警报仍将可见。
若要从网络保护中排除进程,请使用 mdatp network-protection exclusion
支持的排除类型
下表显示了 Linux 上 Defender for Endpoint 支持的排除类型。
| 排除 | 定义 | 示例 |
|---|---|---|
| 文件扩展名 | 设备上任何位置具有 扩展名的所有文件 (不适用于全局排除) | .test |
| 文件 | 由完整路径标识的特定文件 | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Folder | 指定文件夹下的所有文件 (递归) | /var/log//var/*/ |
| 流程 | 特定进程 (由完整路径或文件名指定) 及其打开的所有文件。 可以使用完整路径或文件名添加防病毒排除项,但对于全局排除,仅使用完整和受信任的进程启动路径。 在这两种情况下,建议使用完整路径。 |
/bin/catcatc?t |
重要
使用的路径必须是硬链接,而不是符号链接,才能成功排除。 可以通过运行 file <path-name>来检查路径是否为符号链接。 实现全局进程排除时,仅排除确保系统可靠性和安全性所需的内容。 验证进程是否已知且受信任,指定进程位置的完整路径,并确认进程将从同一受信任的完整路径一致启动。
文件、文件夹和进程排除项支持以下通配符:
| 通配符 | 说明 | 示例 |
|---|---|---|
| * | 匹配任意数量的任意字符,包括无 (请注意,如果路径末尾未使用此通配符,则只替换一个文件夹) |
/var/*/tmp 包括 中的任何 /var/abc/tmp 文件及其子目录,以及 /var/def/tmp 及其子目录。 它不包括 /var/abc/log 或 /var/def/log
|
| ? | 匹配任何单个字符 |
file?.log 包括 file1.log 和 file2.log,但不包括file123.log |
注意
配置全局排除项时不支持通配符。 对于防病毒排除项,在路径末尾使用 * 通配符时,它将匹配通配符的父级下的所有文件和子目录。 在添加或删除范围为全局的文件排除项之前,需要存在文件路径。
如何配置排除项列表
可以使用管理 JSON 配置、Defender for Endpoint 安全设置管理或命令行配置排除项。
使用管理控制台
在企业环境中,也可以通过配置文件管理排除项。 通常,你会使用配置管理工具(如 Puppet、Ansible 或其他管理控制台)在 位置/etc/opt/microsoft/mdatp/managed/推送名称mdatp_managed.json为 的文件。 有关详细信息,请参阅在Linux上设置 Defender for Endpoint 的首选项。 请参阅以下示例 mdatp_managed.json。
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
使用 Defender for Endpoint 安全设置管理
注意
请务必查看先决条件: Defender for Endpoint 安全设置管理先决条件
可以使用Microsoft Intune管理中心或Microsoft Defender门户将排除项作为终结点安全策略进行管理,并将这些策略分配给Microsoft Entra ID组。 如果是首次使用此方法,请确保完成以下步骤:
1.配置租户以支持安全设置管理
在Microsoft Defender门户中,导航到“设置终结点>配置管理>强制范围”>,然后选择Linux平台。
使用
MDE-Management标记标记设备。 大多数设备在几分钟内注册并接收策略,但有些设备可能需要长达 24 小时的时间。 有关详细信息,请参阅了解如何使用Intune终结点安全策略来管理未使用 Intune 注册的设备上的Microsoft Defender for Endpoint。
2.创建Microsoft Entra组
根据操作系统类型创建动态Microsoft Entra组,以确保载入到 Defender for Endpoint 的所有设备都收到相应的策略。 此动态组自动包含 Defender for Endpoint 管理的设备,因此管理员无需手动创建新策略。 有关详细信息,请参阅以下文章:创建Microsoft Entra组
3.创建终结点安全策略
在Microsoft Defender门户中,转到“终结点>配置管理>终结点安全策略”,然后选择“创建新策略”。
对于“平台”,请选择“Linux”。
为全局排除项和
Microsoft defender antivirus exclusions防病毒排除)Microsoft defender global exclusions (AV+EDR)选择所需的排除模板 (,然后选择“创建策略”。在“基本信息”页上,输入配置文件的名称和说明,然后选择“下一步”。
在 “设置” 页上,展开每组设置,并配置要使用此配置文件管理的设置。
完成配置设置后,选择“下一步”。
在 “分配” 页上,选择接收此配置文件的组。 然后选择“下一步”。
在“ 查看 + 创建 ”页上,完成后,选择“ 保存”。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。
有关详细信息,请参阅:在 Microsoft Defender for Endpoint 中管理终结点安全策略。
使用命令行
运行以下命令以查看用于管理排除项的可用开关:
mdatp exclusion
注意
--scope 是一个可选标志,其接受值为 epp 或 global。 它提供添加排除项时使用的相同范围,以删除相同的排除项。 在命令行方法中,如果未提及范围,则范围值设置为 epp。
在引入标志之前通过 CLI 添加的 --scope 排除项不受影响,其范围被视为 epp。
提示
使用通配符配置排除项时,请将 参数括在双引号中以防止 globbing。
本部分包含几个示例。
示例 1:为文件扩展名添加排除项
可以为文件扩展名添加排除项。 请记住,全局排除范围不支持扩展排除。
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully
示例 2:添加或删除文件排除
可以添加或删除文件的排除项。 如果要添加或删除具有全局范围的排除项,则文件路径应已存在。
mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"
示例 3:添加或删除文件夹排除项
可以添加或删除文件夹的排除项。
mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully
示例 4:为第二个文件夹添加排除项
可以为第二个文件夹添加排除项。
mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder --scope global
Folder exclusion configured successfully
示例 5:使用通配符添加文件夹排除项
可以为具有通配符的文件夹添加排除项。 请记住,配置全局排除项时不支持通配符。
mdatp exclusion folder add --path "/var/*/tmp"
上一个命令排除 下 */var/*/tmp/*的路径,但不排除属于 同级 *tmp*的文件夹。 例如, */var/this-subfolder/tmp* 已排除,但 */var/this-subfolder/log* 未排除。
mdatp exclusion folder add --path "/var/" --scope epp
OR
mdatp exclusion folder add --path "/var/*/" --scope epp
上一个命令排除其父级为 */var/*的所有路径,例如 */var/this-subfolder/and-this-subfolder-as-well*。
Folder exclusion configured successfully
示例 6:为进程添加排除项
可以为进程添加排除项。
mdatp exclusion process add --path /usr/bin/cat --scope global
Process exclusion configured successfully
mdatp exclusion process remove --path /usr/bin/cat --scope global
注意
仅支持使用范围设置进程排除 global 的完整路径。
仅 --path 使用标志
Process exclusion removed successfully
mdatp exclusion process add --name cat --scope epp
Process exclusion configured successfully
mdatp exclusion process remove --name cat --scope epp
Process exclusion removed successfully
示例 7:为第二个进程添加排除项
可以为第二个进程添加排除项。
mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global
Process exclusion configured successfully
使用 EICAR 测试文件验证排除列表
可以使用 下载测试文件来验证排除列表是否正常工作 curl 。
在以下 Bash 代码片段中,将 替换为 test.txt 符合排除规则的文件。 例如,如果已排除扩展 .testing ,请将 替换为 test.txttest.testing。 如果要测试某个路径,请确保在该路径中运行 命令。
curl -o test.txt https://secure.eicar.org/eicar.com.txt
如果 Linux 上的 Defender for Endpoint 报告恶意软件,则规则不起作用。 如果没有恶意软件报告,并且下载的文件存在,则排除项有效。 可以打开该文件以确认内容与 EICAR 测试文件网站上所述的内容相同。
如果没有 Internet 访问权限,可以创建自己的 EICAR 测试文件。 使用以下 Bash 命令将 EICAR 字符串写入新的文本文件:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
还可以将字符串复制到空白文本文件中,并尝试使用文件名或尝试排除的文件夹中保存该字符串。
允许威胁
除了从扫描中排除某些内容之外,还可以在 Linux 上配置 Defender for Endpoint,以检测由威胁名称标识的某些类别的威胁。
警告
使用此功能时请谨慎操作,因为它可能会使设备不受保护。
若要向允许列表添加威胁名称,请运行以下命令:
mdatp threat allowed add --name [threat-name]
若要获取检测到的威胁的名称,请运行以下命令:
mdatp threat list
例如,若要添加到 EICAR-Test-File (not a virus) 允许列表,请运行以下命令:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"