Compartilhar via


Configurar e validar exclusões para Microsoft Defender para Ponto de Extremidade no Linux

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Este artigo fornece informações sobre como definir exclusões globais e antivírus para Microsoft Defender para Ponto de Extremidade. As exclusões de antivírus aplicam-se a análises a pedido, proteção em tempo real (RTP) e monitorização de comportamento (BM). As exclusões globais aplicam-se à proteção em tempo real (RTP), à monitorização de comportamento (BM) e à deteção e resposta de pontos finais (EDR), parando assim todas as deteções antivírus associadas, alertas EDR e visibilidade do item excluído.

Importante

As exclusões antivírus descritas neste artigo aplicam-se apenas a capacidades antivírus e não à deteção e resposta de pontos finais (EDR). Os ficheiros que excluir através das exclusões antivírus descritas neste artigo ainda podem acionar alertas EDR e outras deteções. As exclusões globais descritas nesta secção aplicam-se às capacidades de deteção e resposta de pontos finais e antivírus, parando assim toda a proteção antivírus associada, alertas EDR e deteções. As exclusões globais estão atualmente em pré-visualização pública e estão disponíveis na versão 101.23092.0012 do Defender para Endpoint ou posterior, nas cadências Insider Slow e Production. Para exclusões EDR, contacte o suporte.

Pode excluir determinados ficheiros, pastas, processos e ficheiros abertos por processos do Defender para Endpoint no Linux.

As exclusões podem ser úteis para evitar deteções incorretas em ficheiros ou software que são exclusivos ou personalizados para a sua organização. As exclusões globais são úteis para mitigar problemas de desempenho causados pelo Defender para Endpoint no Linux.

Aviso

Definir exclusões reduz a proteção oferecida pelo Defender para Endpoint no Linux. Deve sempre avaliar os riscos associados à implementação de exclusões e só deve excluir ficheiros que tenha a certeza de que não são maliciosos.

Âmbitos de exclusão suportados

Conforme descrito numa secção anterior, suportamos dois âmbitos de exclusão: exclusões de antivírus (epp) e globais (global).

As exclusões de antivírus podem ser utilizadas para excluir ficheiros e processos fidedignos da proteção em tempo real, ao mesmo tempo que têm visibilidade EDR. As exclusões globais são aplicadas ao nível do sensor e para desativar o som dos eventos que correspondem às condições de exclusão muito cedo no fluxo, antes de qualquer processamento ser feito, parando assim todos os alertas EDR e deteções antivírus.

Observação

Global (global) é um novo âmbito de exclusão que estamos a introduzir para além dos âmbitos de exclusão antivírus (epp) que já são suportados pela Microsoft.

Categoria de Exclusão Âmbito de Exclusão Descrição
Exclusão de Antivírus Motor antivírus
(âmbito: epp)
Exclui conteúdo de análises antivírus (AV) e análises a pedido.
Exclusão Global Deteções de antivírus e pontos finais e motor de resposta
(âmbito: global)
Exclui eventos da proteção em tempo real e da visibilidade EDR. Não se aplica a análises a pedido por predefinição.

Tipos de exclusão suportados

A tabela seguinte mostra os tipos de exclusão suportados pelo Defender para Endpoint no Linux.

Exclusão Definição Exemplos
Extensão de arquivo Todos os ficheiros com a extensão, em qualquer parte do dispositivo (não disponível para exclusões globais) .test
Arquivo Um ficheiro específico identificado pelo caminho completo /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Pasta Todos os ficheiros na pasta especificada (recursivamente) /var/log/
/var/*/
Processo Um processo específico (especificado pelo caminho completo ou nome do ficheiro) e todos os ficheiros abertos pelo mesmo /bin/cat
cat
c?t

Importante

Os caminhos utilizados têm de ser ligações fixas, não ligações simbólicas, para serem excluídos com êxito. Pode marcar se um caminho for uma ligação simbólica ao executar file <path-name>.

As exclusões de ficheiros, pastas e processos suportam os seguintes carateres universais:

Observação

O caminho do ficheiro tem de estar presente antes de adicionar ou remover exclusões de ficheiros com âmbito como global. Os carateres universais não são suportados ao configurar exclusões globais.

Curinga Descrição Exemplos
* Corresponde a qualquer número de carateres, incluindo nenhum
(tenha em atenção que, se este caráter universal não for utilizado no final do caminho, substitui apenas uma pasta)
/var/*/tmp inclui qualquer ficheiro no e respetivos /var/abc/tmp subdiretórios e /var/def/tmp respetivos subdiretórios. Não inclui /var/abc/log nem /var/def/log

/var/*/ inclui apenas quaisquer ficheiros nos respetivos subdiretórios, como /var/abc/, mas não ficheiros diretamente dentro /vardo .

? Corresponde a qualquer caráter individual file?.log inclui file1.log e file2.log, mas nãofile123.log

Observação

Para exclusões de antivírus, ao utilizar o caráter universal * no final do caminho, corresponderá a todos os ficheiros e subdiretórios no elemento principal do caráter universal.

Como configurar a lista de exclusões

Utilizar o console de gerenciamento

Para configurar exclusões do Puppet, do Ansible ou de outro console de gerenciamento, veja o exemplo seguintemdatp_managed.json.

{
   "exclusionSettings":{
     "exclusions":[
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/home/*/git<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/run<EXAMPLE DO NOT USE>",
           "scopes": [
              "global"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":false,
           "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
           "scopes": [
              "epp", "global"
           ]
        },
        {
           "$type":"excludedFileExtension",
           "extension":".pdf<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedFileName",
           "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
        }
     ],
     "mergePolicy":"admin_only"
   }
}

Para obter mais informações, consulte Definir preferências do Defender para Endpoint no Linux.

Utilizar a linha de comandos

Execute o seguinte comando para ver os comutadores disponíveis para gerir exclusões:

Observação

--scope é um sinalizador opcional com o valor aceite como epp ou global. Fornece o mesmo âmbito utilizado ao adicionar a exclusão para remover a mesma exclusão. Na abordagem da linha de comandos, se o âmbito não for mencionado, o valor de âmbito é definido como epp. As exclusões adicionadas através da CLI antes da introdução do --scope sinalizador permanecem inalteradas e o respetivo âmbito é considerado epp.

mdatp exclusion

Dica

Ao configurar exclusões com carateres universais, coloque o parâmetro entre aspas duplas para impedir a colocação de regozijantes.

Exemplos:

  • Adicione uma exclusão para uma extensão de ficheiro (a exclusão da extensão não é suportada para o âmbito de exclusão global):

    mdatp exclusion extension add --name .txt
    
    Extension exclusion configured successfully
    
    mdatp exclusion extension remove --name .txt
    
    Extension exclusion removed successfully
    
  • Adicionar/Remover uma exclusão para um ficheiro (O caminho do ficheiro já deve estar presente no caso de adicionar ou remover a exclusão com âmbito global) :

    mdatp exclusion file add --path /var/log/dummy.log --scope epp
    
    File exclusion configured successfully
    
    mdatp exclusion file remove --path /var/log/dummy.log --scope epp
    
    File exclusion removed successfully"
    
    mdatp exclusion file add --path /var/log/dummy.log --scope global
    
    File exclusion configured successfully
    
    mdatp exclusion file remove --path /var/log/dummy.log --scope global
    
    File exclusion removed successfully"
    
  • Adicionar/Remover uma exclusão de uma pasta:

    mdatp exclusion folder add --path /var/log/ --scope epp
    
    Folder exclusion configured successfully
    
    mdatp exclusion folder remove --path /var/log/ --scope epp
    
    Folder exclusion removed successfully
    
    mdatp exclusion folder add --path /var/log/ --scope global
    
    Folder exclusion configured successfully
    
    mdatp exclusion folder remove --path /var/log/ --scope global
    
    Folder exclusion removed successfully
    
  • Adicione uma exclusão para uma segunda pasta:

    mdatp exclusion folder add --path /var/log/ --scope epp
    mdatp exclusion folder add --path /other/folder  --scope global
    
    Folder exclusion configured successfully
    
  • Adicione uma exclusão para uma pasta com um caráter universal:

    Observação

    Os carateres universais não são suportados ao configurar exclusões globais.

    mdatp exclusion folder add --path "/var/*/tmp"
    

    Observação

    Isto só excluirá caminhos em /var/*/tmp/, mas não pastas que sejam irmãos de tmp; por exemplo, /var/this-subfolder/tmp, mas não /var/this-subfolder/log.

    mdatp exclusion folder add --path "/var/" --scope epp
    

    OU

    mdatp exclusion folder add --path "/var/*/" --scope epp
    

    Observação

    Isto excluirá todos os caminhos cujo principal é /var/; por exemplo, /var/this-subfolder/and-this-subfolder-as-well.

    Folder exclusion configured successfully
    
  • Adicionar uma exclusão para um processo:

    mdatp exclusion process add --name /usr/bin/cat --scope global 
    
    Process exclusion configured successfully
    
    mdatp exclusion process remove --name /usr/bin/cat  --scope global
    
    Process exclusion removed successfully
    
      mdatp exclusion process add --name /usr/bin/cat --scope epp 
    
    Process exclusion configured successfully
    
    mdatp exclusion process remove --name /usr/bin/cat  --scope epp
    
    Process exclusion removed successfully
    
  • Adicione uma exclusão para um segundo processo:

    mdatp exclusion process add --name cat --scope epp
    mdatp exclusion process add --name dog --scope global
    
    Process exclusion configured successfully
    

Validar listas de exclusões com o ficheiro de teste EICAR

Pode confirmar que as listas de exclusão estão a funcionar ao utilizar curl para transferir um ficheiro de teste.

No fragmento bash seguinte, substitua por test.txt um ficheiro que esteja em conformidade com as regras de exclusão. Por exemplo, se tiver excluído a .testing extensão, substitua por test.testingtest.txt . Se estiver a testar um caminho, certifique-se de que executa o comando nesse caminho.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Se o Defender para Endpoint no Linux comunica software maligno, a regra não está a funcionar. Se não existir nenhum relatório de software maligno e o ficheiro transferido existir, significa que a exclusão está a funcionar. Pode abrir o ficheiro para confirmar que os conteúdos são os mesmos que são descritos no site do ficheiro de teste EICAR.

Se não tiver acesso à Internet, pode criar o seu próprio ficheiro de teste EICAR. Escreva a cadeia EICAR num novo ficheiro de texto com o seguinte comando bash:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Também pode copiar a cadeia para um ficheiro de texto em branco e tentar guardá-la com o nome do ficheiro ou na pasta que está a tentar excluir.

Permitir ameaças

Além de excluir determinados conteúdos de serem analisados, também pode configurar o produto para não detetar algumas classes de ameaças (identificadas pelo nome da ameaça). Deve ter cuidado ao utilizar esta funcionalidade, uma vez que pode deixar o dispositivo desprotegido.

Para adicionar um nome de ameaça à lista de permitidos, execute o seguinte comando:

mdatp threat allowed add --name [threat-name]

O nome da ameaça associado a uma deteção no seu dispositivo pode ser obtido com o seguinte comando:

mdatp threat list

Por exemplo, para adicionar EICAR-Test-File (not a virus) (o nome da ameaça associado à deteção EICAR) à lista de permitidos, execute o seguinte comando:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.