Konfigurace a ověření vyloučení pro Microsoft Defender for Endpoint v macOS

Článek
06/14/2024

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tento článek obsahuje informace o tom, jak definovat vyloučení, která se vztahují na kontroly na vyžádání, a ochranu a monitorování v reálném čase.

Důležité

Vyloučení popsaná v tomto článku se nevztahují na jiné funkce Defenderu for Endpoint na Macu, včetně detekce a odezvy koncových bodů (EDR). Soubory, které vyloučíte pomocí metod popsaných v tomto článku, můžou přesto aktivovat upozornění EDR a další detekce.

Z kontrol Defenderu for Endpoint na Macu můžete vyloučit určité soubory, složky, procesy a soubory otevřené procesy.

Vyloučení můžou být užitečná, když se chcete vyhnout nesprávné detekci souborů nebo softwaru, které jsou jedinečné nebo přizpůsobené vaší organizaci. Můžou být také užitečné při zmírnění problémů s výkonem způsobených defenderem for Endpoint na Macu.

Pokud chcete zúžit, který proces nebo cestu a/nebo rozšíření potřebujete vyloučit, použijte statistiku ochrany v reálném čase.

Upozornění

Definováním vyloučení snížíte ochranu, kterou defender for Endpoint nabízí na Macu. Vždy byste měli vyhodnotit rizika spojená s implementací vyloučení a vyloučit pouze soubory, o které jste přesvědčeni, že nejsou škodlivé.

Podporované typy vyloučení

Následující tabulka uvádí typy vyloučení podporované defenderem for Endpoint na Macu.

Vyloučení	Vysvětlení	Příklady
Přípona souboru	Všechny soubory s příponou, kdekoli na počítači	`.test`
Soubor	Konkrétní soubor identifikovaný úplnou cestou	`/var/log/test.log` `/var/log/*.log` `/var/log/install.?.log`
Složka	Všechny soubory v zadané složce (rekurzivně)	`/var/log/` `/var/*/`
Proces	Konkrétní proces (zadaný úplnou cestou nebo názvem souboru) a všechny soubory, které otevřel	`/bin/cat` `cat` `c?t`

Vyloučení souborů, složek a procesů podporují následující zástupné cardy:

Zástupný znak Popis Příklady

Odpovídá libovolnému počtu znaků včetně žádného (poznámka: Pokud se tento zástupný znak nepoužívá na konci cesty, nahradí pouze jednu složku).

Zástupný znak	Popis	Příklady
*	Odpovídá libovolnému počtu znaků včetně žádného (poznámka: Pokud se tento zástupný znak nepoužívá na konci cesty, nahradí pouze jednu složku).	`/var//tmp` zahrnuje všechny soubory v `/var/abc/tmp` podadresářích a jejich podadresářích a `/var/def/tmp` podadresářích. Neobsahuje `/var/abc/log` nebo `/var/def/log` `/var//` zahrnuje všechny soubory v `/var` a jeho podadresářích.
?	Odpovídá jakémukoli jednomu znaku.	`file?.log` zahrnuje `file1.log` a `file2.log`, ale ne `file123.log`

/var/*/tmp zahrnuje všechny soubory v /var/abc/tmp podadresářích a jejich podadresářích a /var/def/tmp podadresářích. Neobsahuje /var/abc/log nebo /var/def/log

/var/*/ zahrnuje všechny soubory v /var a jeho podadresářích.

? Odpovídá jakémukoli jednomu znaku. file?.log zahrnuje file1.log a file2.log, ale ne file123.log

Poznámka

Při použití zástupného znaku * na konci cesty bude odpovídat všem souborům a podadresářům pod nadřazeným zástupným znakem.

Produkt se při vyhodnocování vyloučení pokouší vyřešit pevné odkazy. Řešení firmlink nefunguje, pokud vyloučení obsahuje zástupné é soubory nebo cílový soubor (na svazku Data ) neexistuje.

Osvědčené postupy pro přidávání antimalwarových vyloučení pro Microsoft Defender for Endpoint v systému macOS

Poznamenejte si, proč bylo vyloučení přidáno do centrálního umístění, ke kterým mají přístup jenom funkce SecOps nebo Správce zabezpečení. Uveďte například informace o uživateli, datu, názvu aplikace, důvodu a vyloučení.
Ujistěte se, že máte datum vypršení platnosti* pro vyloučení.

*s výjimkou aplikací, které isv uvedl, že neexistuje žádná další úprava, kterou by bylo možné provést, aby se zabránilo falešně pozitivnímu nebo vyššímu využití procesoru.
Vyhněte se migraci antimalwarových vyloučení jiných společností než Microsoft, protože už nemusí být použitelná ani použitelná pro Microsoft Defender for Endpoint v systému macOS.
Pořadí vyloučení, které se má zvážit od nejvyšších (bezpečnějších) dolů (nejméně bezpečných):
1. Indikátory – Certifikát – povolit
  1. Přidejte podepisování kódu rozšířeného ověřování (EV).
2. Indikátory – hodnota hash souboru – povolit
  1. Pokud se například proces nebo proces démon často nemění, aplikace nemá měsíční aktualizaci zabezpečení.
3. Proces & cesty
4. Proces
5. Cesta
6. Prodloužení

Postup konfigurace seznamu vyloučení

Použití konzoly pro správu nastavení zabezpečení microsoft defenderu for Endpoint

Přihlaste se k portálu Microsoft Defender.
Přejděte na správa> konfiguraceZásady> zabezpečení koncových bodůVytvořit nové zásady.
- Vyberte Platforma: macOS.
- Vybrat šablonu: Vyloučení antivirové ochrany v programu Microsoft Defender
Vyberte Vytvořit zásadu.
Zadejte název a popis a vyberte Další.
Rozbalte antivirový modul a pak vyberte Přidat.
Vyberte Cesta nebo Přípona souboru nebo Název souboru.
Vyberte Konfigurovat instanci a podle potřeby přidejte vyloučení. Pak vyberte Další.
Přiřaďte vyloučení skupině a vyberte Další.
Vyberte Uložit.

Z konzoly pro správu

Další informace o tom, jak nakonfigurovat vyloučení z JAMF, Intune nebo jiné konzoly pro správu, najdete v tématu Nastavení předvoleb pro Defender for Endpoint na Macu.

Z uživatelského rozhraní

Otevřete aplikaci Defender for Endpoint a přejděte do části Správa nastavení>Přidat nebo odebrat vyloučení..., jak je znázorněno na následujícím snímku obrazovky:
Vyberte typ vyloučení, který chcete přidat, a postupujte podle pokynů.

Ověření seznamů vyloučení pomocí testovacího souboru EICAR

Pomocí nástroje ke stažení testovacího souboru můžete ověřit, jestli seznamy vyloučení fungují curl .

V následujícím fragmentu kódu Bash nahraďte test.txt souborem, který odpovídá vašim pravidlům vyloučení. Pokud jste například vyloučili .testing rozšíření, nahraďte test.txt parametrem test.testing. Pokud testujete cestu, ujistěte se, že jste v této cestě spustili příkaz.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Pokud Defender for Endpoint na Macu hlásí malware, pravidlo nefunguje. Pokud neexistuje žádná zpráva o malwaru a stažený soubor existuje, vyloučení funguje. Soubor můžete otevřít a ověřit, že obsah je stejný jako obsah, který je popsán na webu testovacího souboru EICAR.

Pokud nemáte přístup k internetu, můžete si vytvořit vlastní testovací soubor EICAR. Pomocí následujícího příkazu Bash zapište řetězec EICAR do nového textového souboru:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Řetězec můžete také zkopírovat do prázdného textového souboru a pokusit se ho uložit s názvem souboru nebo do složky, kterou se pokoušíte vyloučit.

Povolit hrozby

Kromě vyloučení určitého obsahu ze skenování můžete také nakonfigurovat produkt tak, aby nezjistil některé třídy hrozeb (identifikované názvem hrozby). Při používání této funkce byste měli být opatrní, protože může vaše zařízení zůstat nechráněné.

Pokud chcete přidat název hrozby do seznamu povolených, spusťte následující příkaz:

mdatp threat allowed add --name [threat-name]

Název hrozby přidružené k detekci na vašem zařízení můžete získat pomocí následujícího příkazu:

mdatp threat list

Pokud chcete například přidat EICAR-Test-File (not a virus) (název hrozby přidružené k detekci EICAR) do seznamu povolených, spusťte následující příkaz:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.

Sdílet prostřednictvím