本文提供如何定義適用於端點的 Microsoft Defender 防病毒軟體和全域排除專案的相關資訊。 防毒排除適用於隨選掃描、即時保護 (RTP) ,以及 BM) (行為監控。 全域排除適用於 RTP) (即時保護、行為監控 (BM) ,以及端點偵測和回應 (EDR) ,從而停止所有相關聯的防毒偵測、EDR 警示,以及排除項目的可見度。
重要事項
本文所述的防病毒軟體排除項目僅適用於防病毒軟體功能,而不適用於端點偵測和回應 (EDR) 。 您使用本文所述的防病毒軟體排除項目排除的檔案,仍可能導致 EDR 警示和其他偵測。 本節所述的全域排除項目適用於防毒和 EDR 功能,從而停止所有相關的防毒保護、EDR 警示和偵測。 全域排除專案可在 Linux 101.23092.0012 版或更新版本上的適用於端點的 Defender 的生產環境中使用。 如需僅限 EDR 的排除項目, 請連絡支援人員。
您可以從適用於端點的 Linux 上的 Defender 中排除特定檔案、資料夾、進程和進程開啟的檔案。
排除項目有助於避免對唯一或針對組織自訂的檔案或軟體進行不正確的偵測。 全域排除有助於減輕 Linux 上適用於端點的 Defender 所造成的效能問題。
警告
定義排除項目會降低 Linux 上適用於端點的 Defender 所提供的保護。 您應該一律評估與實作排除相關聯的風險,而且您應該只排除您確信不是惡意的檔案。
重要事項
如果您想要並存執行多個安全性解決方案,請參閱 效能、組態和支援的考量。
您可能已經為上線至 適用於端點的 Microsoft Defender 的裝置設定相互安全性排除。 如果您仍然需要設定相互排除以避免衝突,請參閱 將適用於端點的 Microsoft Defender新增至現有解決方案的排除清單。
支援的排除範圍
如先前一節所述,我們支援兩種排除範圍:防毒 (epp) 和全域 (global) 排除。
防毒排除可用於將受信任的檔案和進程排除在即時保護之外,同時仍具有 EDR 可見性。 全域排除會在感應器層級套用,並在完成任何處理之前,在流程早期將符合排除條件的事件靜音,從而停止所有 EDR 警示和防毒偵測。
注意事項
全域 (global) 是除了防毒軟體 (epp) Microsoft已支援的排除範圍之外,我們還引進了新的排除範圍。
| 排除類別 | 排除範圍 | 描述 |
|---|---|---|
| 防毒排除 | 防毒引擎 (範圍:EPP) |
從隨需掃描、RTP) (即時保護,以及 BM) (行為監控中排除事件。 |
| 全球排除 | 防病毒和端點檢測和響應引擎 (範圍:全球) |
從即時保護和 EDR 可見性中排除事件。 預設不適用於隨選掃描。 |
重要事項
全域排除不適用於網路保護,因此網路保護所產生的警示仍會顯示。
若要從網路保護中排除進程,請使用 mdatp network-protection exclusion
支援的排除類型
下表顯示適用於端點的 Defender 在 Linux 上支援的排除類型。
| 排除 | 定義 | 範例 |
|---|---|---|
| 副檔名 | 裝置上任何位置的所有副檔名檔案 (無法用於全域排除) | .test |
| 檔案 | 完整路徑所識別的特定檔案 | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| 資料夾 | 指定資料夾下的所有檔案 (遞迴) | /var/log//var/*/ |
| 程序 | 特定進程 (由完整路徑或檔案名稱) 以及它開啟的所有檔案指定。 可以使用完整路徑或檔案名稱來新增防毒排除項目,但對於全域排除項目,請僅使用完整且受信任的進程啟動路徑。 在這兩種情況下,建議使用完整路徑。 |
/bin/catcatc?t |
重要事項
使用的路徑必須是硬式連結,而不是符號連結,才能成功排除。 您可以執行 file <path-name>來檢查路徑是否為符號連結。 實作廣域處理程序排除時,請僅排除確保系統可靠性及安全性所需的內容。 確認進程已知且受信任,指定進程位置的完整路徑,並確認進程將一致地從相同的受信任完整路徑啟動。
檔案、資料夾和程序排除支援下列萬用字元:
| 萬用字元 | 描述 | 範例 |
|---|---|---|
| * | 匹配任意數量的任何字符,包括無 (請注意,如果此萬用字元未在路徑結尾使用,則它只會取代一個資料夾) |
/var/*/tmp包括其子目錄及其/var/def/tmp子目錄中/var/abc/tmp的任何檔案。 它不包括 /var/abc/log 或 /var/def/log
|
| ? | 匹配任何單個字符 |
file?.log 包括 file1.log 和 file2.log,但不包括file123.log |
注意事項
設定全域排除時不支援萬用字元。 針對防毒排除項目,在路徑結尾使用 * 萬用字元時,它會比對萬用字元父項下的所有檔案和子目錄。 在新增或移除範圍為全域的檔案排除專案之前,必須先存在檔案路徑。
如何設定排除清單
您可以使用管理 JSON 設定、適用於端點的 Defender 安全性設定管理或命令列來設定排除專案。
使用管理主控台
在企業環境中,也可以透過組態設定檔來管理排除項目。 通常,您會使用 Puppet、Ansible 或其他管理主控台等組態管理工具,將名稱 mdatp_managed.json 為 該位置 /etc/opt/microsoft/mdatp/managed/的檔案推送。 如需詳細資訊,請參閱 在 Linux 上設定適用於端點的 Defender 喜好設定。 請參考以下範例 mdatp_managed.json。
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
使用適用於端點的 Defender 安全性設定管理
注意事項
請務必檢閱必要條件: 適用於端點的 Defender 安全性設定管理必要條件
您可以使用 Microsoft Intune 系統管理中心或 Microsoft Defender 入口網站,將排除項目管理為端點安全性原則,並將這些原則指派給 Microsoft Entra ID 群組。 如果您是第一次使用此方法,請務必完成以下步驟:
1. 設定租用戶以支援安全性設定管理
在 Microsoft Defender 入口網站中,流覽至 [設定>端點]> [設定管理] [強制>執行範圍],然後選取 Linux 平臺。
使用標籤標記
MDE-Management裝置。 大多數裝置都會在幾分鐘內註冊並收到原則,但有些裝置可能需要長達 24 小時的時間。 如需詳細資訊,請參閱瞭解如何使用 Intune 端點安全性原則來管理未向 Intune 註冊之裝置上適用於端點的 Microsoft Defender。
2. 建立 Microsoft Entra 群組
根據作業系統類型建立動態 Microsoft Entra 群組,以確保上線至適用於端點的 Defender 的所有裝置都會收到適當的原則。 此動態群組會自動包含適用於端點的 Defender 所管理的裝置,系統管理員不需要手動建立新原則。 如需詳細資訊,請參閱下列文章:建立 Microsoft Entra 群組
3. 建立端點安全策略
在 Microsoft Defender 入口網站中,移至 [端點>設定管理>] 端點安全性原則,然後選取 [建立新的原則]。
針對 Platform (平台),選取 Linux。
選取全域排除和
Microsoft defender antivirus exclusions防病毒軟體排除) 所需的排除範本 (Microsoft defender global exclusions (AV+EDR),然後選取 [建立原則]。在 [基本] 頁面上,輸入新設定檔的名稱與描述,然後選擇 [下一步]。
在 [ 設定 ] 頁面上,展開每個設定群組,並設定您要使用此設定檔管理的設定。
完成設定後,請選取 [下一步]。
在 [指派 ] 頁面上,選取接收此設定檔的群組。 然後選取 [下一步]。
在 [ 檢閱 + 建立 ] 頁面上,當您完成時,選取 [儲存]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。
如需詳細資訊,請參閱:在適用於端點的 Microsoft Defender 中管理端點安全性原則。
使用指令列
執行下列命令,以查看用於管理排除項目的可用參數:
mdatp exclusion
注意事項
--scope 是可接受的值 epp 為 或 global的選用旗標。 它提供新增排除項目時使用的相同範圍,以移除相同的排除項目。 在命令列方法中,如果未提及範圍,則範圍值會設定為 epp。
在引入 --scope 旗標之前透過CLI新增的排除項不受影響,並考慮 epp其範圍。
提示
使用萬用字元設定排除專案時,請將參數括在雙引號中,以防止通配符號。
本節包括幾個範例。
範例 1:新增副檔名的排除項目
您可以新增副檔名的排除項目。 請記住,全域排除範圍不支援延伸模組排除。
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully
範例 2:新增或移除檔案排除
您可以新增或移除檔案的排除項目。 如果您要新增或移除具有全域範圍的排除項目,檔案路徑應該已經存在。
mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"
範例 3:新增或移除資料夾排除
您可以新增或移除資料夾的排除項目。
mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully
範例 4:新增第二個資料夾的排除項目
您可以新增第二個資料夾的排除項目。
mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder --scope global
Folder exclusion configured successfully
範例 5:使用萬用字元新增資料夾排除
您可以為具有萬用字元的資料夾新增排除項目。 請記住,設定全域排除時不支援萬用字元。
mdatp exclusion folder add --path "/var/*/tmp"
上一個命令會排除 下的路徑 */var/*/tmp/*,但不會排除 的 *tmp*同層級資料夾。 例如, */var/this-subfolder/tmp* 已排除,但 */var/this-subfolder/log* 未排除。
mdatp exclusion folder add --path "/var/" --scope epp
OR
mdatp exclusion folder add --path "/var/*/" --scope epp
上一個命令排除了父項為 */var/*的所有路徑,例如 */var/this-subfolder/and-this-subfolder-as-well*。
Folder exclusion configured successfully
範例 6:新增處理程序的排除項目
您可以新增處理程序的排除項目。
mdatp exclusion process add --path /usr/bin/cat --scope global
Process exclusion configured successfully
mdatp exclusion process remove --path /usr/bin/cat --scope global
注意事項
僅支援完整路徑來設定具有範圍的 global 進程排除。
僅 --path 使用旗標
Process exclusion removed successfully
mdatp exclusion process add --name cat --scope epp
Process exclusion configured successfully
mdatp exclusion process remove --name cat --scope epp
Process exclusion removed successfully
範例 7:新增第二個處理程序的排除項目
您可以新增第二個處理程序的排除項目。
mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global
Process exclusion configured successfully
使用 EICAR 測試檔案驗證排除清單
您可以 來 curl 驗證排除清單是否正常運作,以下載測試檔案。
在下列 Bash 程式碼片段中,取代 test.txt 為符合排除規則的檔案。 例如,如果您已排除 .testing 副檔名,請將 取代 test.txt 為 test.testing。 如果您要測試路徑,請確定您在該路徑內執行命令。
curl -o test.txt https://secure.eicar.org/eicar.com.txt
如果 Linux 上的適用於端點的 Defender 報告惡意代碼,則規則無法運作。 如果沒有惡意軟體報告,且下載的檔案存在,則排除功能正在運作。 您可以開啟檔案以確認內容與 EICAR測試檔案網站上描述的內容相同。
如果您無法訪問互聯網,您可以創建自己的 EICAR 測試文件。 使用下列 Bash 指令將 EICAR 字串寫入新的文字檔:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
您也可以將字串複製到空白文字檔案中,並嘗試將其與檔案名稱或您嘗試排除的資料夾一起儲存。
允許威脅
除了排除掃描之外的特定內容之外,您也可以在 Linux 上設定適用於端點的 Defender,以不偵測威脅名稱所識別的某些威脅類別。
警告
使用此功能時請務必小心,因為它可能會使您的裝置不受保護。
若要將威脅名稱新增至允許清單,請執行下列命令:
mdatp threat allowed add --name [threat-name]
若要取得偵測到的威脅名稱,請執行下列命令:
mdatp threat list
例如,若要新增至 EICAR-Test-File (not a virus) 允許清單,請執行下列命令:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
另請參閱
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。