安全终端：MacOS和Linux中的进程排除

简介

从连接器版本1.11.0开始，安全终端在macOS和Linux上添加对进程排除的支持。过去，将AMP配置为忽略macOS或Linux应用程序的活动需要结合使用路径、文件扩展名和/或通配符排除规则。由于这些规则以文件和目录为目标，并且不能与程序或进程关联，因此每个程序通常需要多个规则，并且每条规则可能不必要地从多个程序中排除活动。流程排除提供了一种更直接、更精确的方法来排除应用程序的活动。如果使用得当，流程排除可以显着提高AMP性能，并将对系统安全的不利影响降至最低。

进程排除规则在安全终端Web控制台中管理。每条规则包括：

• 程序可执行文件的完整（绝对）路径，
• 进程的用户名（可选）和
• 是否应也排除子进程(默认值：否)

当“进程排除”(Process Exclusion)规则与正在运行的进程匹配时，该进程执行的所有活动以及（可选）其子进程都将从扫描中排除。

从连接器版本1.15.2开始，进程排除路径将接受通配符(“*”)。通配符将匹配一个文件或目录级别内的任意字符集。

重要！

随着Mac和Linux连接器1.11.0中添加进程排除，对现有路径、文件扩展名和通配符规则的解释也在改变。1.10.x和较旧连接器的行为没有变化。但是，1.11.0中的相同规则将不适用得那么广泛。有关详细信息，请参阅对路径、文件扩展名和通配符排除规则的更改部分。

准备处理排除项

升级您的macOS和Linux终端之前，有三个重要注意事项：

1. 1.10.x和更旧的连接器忽略进程排除规则。
2. 1.11.0及更高版本的连接器遵循进程排除规则，但对路径、文件扩展名和通配符规则的解释与较旧的连接器不同。这可能会对系统性能造成负面影响。
3. Mac连接器1.10.0和Linux连接器1.11.0引入了通用的执行时扫描优化，可减少(2)中描述的新解释的性能损失。

路径、文件扩展名和通配符排除规则的更改

在1.10.x和旧版连接器版本中：文件、路径和通配符规则排除目标文件或目录的扫描，以执行以下文件操作：

• 创建
• 修改
• 重命名
• 执行

在1.11.0及更高连接器版本中：路径、文件扩展名和通配符规则的解释已发生更改，因此在匹配时，文件执行将触发扫描，而不是被排除。文件创建、修改和重命名将继续排除。这种变化的动机是：

1. 在排除数据文件目录时，它可避免不必要地排除执行活动。
2. 它可以独立排除同一路径上的执行和非执行操作，从而更好地补充进程排除规则。
3. 它将这些规则的macOS和Linux解释与Windows上的AMP保持一致。

在大多数情况下，AMP的CPU使用率增长估计不到20%。在某些情况下，AMP的CPU使用率可能会降低。如果新连接器版本的通用执行时扫描优化比使用的排除规则更有效，则可以执行此操作。

连接器升级指南

对于以前使用排除项调整的系统，在升级到1.11.0（或更新版本）后需要注意，以确保系统性能仍令人满意。建议的升级步骤为：

1. 不进行任何排除更改，请升级连接器。
2. 升级后评估系统性能。
3. 如果升级后的系统性能令人满意，请删除以程序可执行文件而不是数据文件为目标的路径、文件扩展名和通配符排除规则。这些规则不再需要。然后可以添加新的进程排除规则，以便在方便的情况下进一步提高性能。
4. 如果升级后的系统性能不理想，请将目标程序可执行文件的路径、文件扩展名和通配符排除规则替换为相应的进程排除规则。系统性能应提高到与升级前相同或更好的水平。

在连接器分阶段升级的大型部署中，建议将修改或删除路径、文件扩展名和通配符排除规则推迟到所有连接器升级到1.11.0或更高版本之后。这可确保依赖现有排除规则的旧连接器在终端升级之前不会受到负面影响。

添加进程排除规则

可以使用安全终端Web门户创建进程排除规则。步骤为：

1. 查找要修改的排除集。点击“添加排除”(Add Exclusion)并选择“流程：文件扫描”。
   
   
   
   
2. 输入要排除的程序的绝对路径、将运行该程序的用户帐户（可选），以及该排除是否应应用于程序创建的所有子进程。
   

   从连接器版本1.15.2开始，路径中可以使用通配符(*)来表示单个目录中任意数量的字符。建议使用通配符来覆盖提供所需排除所需的最少字符数。通配符也可与目录中的字符一起使用，以进一步缩小排除范围。

   
3. 点击“添加排除”(Add Exclusion)添加更多规则（重复步骤1-2），或点击“保存”(Save)保存排除集。
   
   
   

流程排除最佳实践

• 切勿排除启动过程：启动过程（例如，在MacOS上为“launchd”，在Linux上为“init”或“systemmd”）负责在系统上创建所有其他进程，并位于进程层次结构的顶部。排除启动进程及其所有子进程将有效禁用AMP监控。
• 尽可能指定用户：如果“用户”字段留空，则排除项适用于运行指定程序的任何进程。虽然适用于任何用户的规则可能更加灵活，但这一范围很广可能会无意中排除应监控的活动。对于应用于共享程序(如运行时引擎（如“java”）和脚本解释器（如“bash”、“python”）)的规则，指定用户尤其重要。 指定用户限制范围并指示AMP在监控其他实例时忽略特定实例。
• 避免进程排除和路径/文件扩展/通配符规则之间的重叠：当从扫描中排除程序执行时，要维护的一个好保护措施是检测对受信任程序的修改并触发文件扫描。确保Path/File Extension/Wildcard规则未涵盖在Process Exclusion规则中指定的路径，确保不会无意中将文件修改排除在扫描之外。 
• 最小化规则数：虽然Mac & Linux连接器没有施加最大数量的进程排除规则限制，但更多规则可能会产生额外的评估开销。选择唯一标识要排除的应用的最高级别父进程，并使用“应用到子进程”选项将规则数量降至最低。     

与Windows实施的区别

添加进程排除支持并缩小路径、文件扩展名和通配符规则的范围，使macOS和Linux排除与Windows更加一致。但是，在实施方面仍存在重要差异：

1. macOS和Linux进程排除规则接受可选用户名以随进程可执行文件完整路径一起提供，而Windows接受可选SHA-256哈希值。MacOS和Linux当前不支持通过SHA-256哈希值排除进程。
2. 恶意活动和系统进程引擎是Windows专用的，因此这些排除类型在MacOS和Linux上不可用。