Konfigurer og valider udeladelser for Microsoft Defender for Endpoint på macOS

Artikel
06/14/2024

Gælder for:

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Denne artikel indeholder oplysninger om, hvordan du definerer undtagelser, der gælder for on-demand-scanninger, og beskyttelse og overvågning i realtid.

Vigtigt!

De undtagelser, der er beskrevet i denne artikel, gælder ikke for andre Defender for Endpoint på Mac-funktioner, herunder registrering af slutpunkter og svar (EDR). Filer, som du udelader ved hjælp af de metoder, der er beskrevet i denne artikel, kan stadig udløse EDR-beskeder og andre registreringer.

Du kan udelade visse filer, mapper, processer og procesåbnede filer fra Defender for Endpoint på Mac-scanninger.

Udeladelser kan være nyttige for at undgå forkerte registreringer af filer eller software, der er unikke eller tilpasset din organisation. De kan også være nyttige til at afhjælpe problemer med ydeevnen, der skyldes Defender for Endpoint på Mac.

Hvis du vil indsnævre, hvilken proces og/eller sti og/eller udvidelse du skal ekskludere, skal du bruge statistik for beskyttelse i realtid.

Advarsel

Definition af udeladelser reducerer den beskyttelse, der tilbydes af Defender for Endpoint på Mac. Du bør altid evaluere de risici, der er forbundet med implementering af undtagelser, og du bør kun ekskludere filer, som du er sikker på ikke er skadelige.

Understøttede udeladelsestyper

I følgende tabel vises de udeladelsestyper, der understøttes af Defender for Endpoint på Mac.

Eksklusion	Definition	Eksempler
Filtypenavn	Alle filer med udvidelsen, hvor som helst på maskinen	`.test`
Filer	En bestemt fil, der er identificeret af den fulde sti	`/var/log/test.log` `/var/log/*.log` `/var/log/install.?.log`
Mappe	Alle filer under den angivne mappe (rekursivt)	`/var/log/` `/var/*/`
Proces	En bestemt proces (angivet enten af den fulde sti eller det fulde filnavn) og alle filer, der er åbnet af den	`/bin/cat` `cat` `c?t`

Fil-, mappe- og procesudeladelser understøtter følgende jokertegn:

Wildcard Beskrivelse Eksempler

Matcher et vilkårligt antal tegn, herunder ingen (bemærk, at hvis dette jokertegn ikke bruges i slutningen af stien, erstatter det kun én mappe)

Wildcard	Beskrivelse	Eksempler
*	Matcher et vilkårligt antal tegn, herunder ingen (bemærk, at hvis dette jokertegn ikke bruges i slutningen af stien, erstatter det kun én mappe)	`/var//tmp` indeholder alle filer i `/var/abc/tmp` og dens undermapper og `/var/def/tmp` dens undermapper. Den indeholder `/var/abc/log` ikke eller `/var/def/log` `/var//` indeholder alle filer i `/var` og dens undermapper.
?	Matcher et vilkårligt tegn	`file?.log` omfatter `file1.log` og `file2.log`, men ikke `file123.log`

/var/*/tmp indeholder alle filer i /var/abc/tmp og dens undermapper og /var/def/tmp dens undermapper. Den indeholder /var/abc/log ikke eller /var/def/log

/var/*/ indeholder alle filer i /var og dens undermapper.

? Matcher et vilkårligt tegn file?.log omfatter file1.log og file2.log, men ikke file123.log

Bemærk!

Ved hjælp af jokertegnet * i slutningen af stien svarer det til alle filer og undermapper under jokertegnets overordnede.

Produktet forsøger at løse faste links, når udeladelser evalueres. Løsning af faste links fungerer ikke, når udeladelse indeholder jokertegn, eller destinationsfilen (på diskenheden Data ) ikke findes.

Bedste praksis for tilføjelse af antimalwareudeladelser for Microsoft Defender for Endpoint på macOS.

Skriv ned, hvorfor en udeladelse blev føjet til en central placering, hvor kun SecOps- og/eller Sikkerhedsadministrator har adgang. Du kan f.eks. angive indsenderen, datoen, appens navn, årsag og udeladelsesoplysninger.
Sørg for at have en udløbsdato* for undtagelserne

* Bortset fra apps, isv erklærede, at der ikke er andre tweaking, der kunne gøres for at forhindre falske positive eller højere CPU-udnyttelse forekomme.
Undgå at overflytte ikke-Microsoft-antimalwareudeladelser, da de muligvis ikke længere er relevante eller relevante for Microsoft Defender for Endpoint på macOS.
Rækkefølgen af undtagelser, der skal overvejes fra top til bund (mere sikker) (mindst sikker):
1. Indikatorer – Certifikat – tillad
  1. Tilføj en udvidet valideringskodesignering (EV).
2. Indikatorer – Filhash – tillad
  1. Hvis en proces eller daemon ikke ændres ofte, har appen f.eks. ikke en månedlig sikkerhedsopdatering.
3. Sti & proces
4. Proces
5. Sti
6. Forlængelse

Sådan konfigurerer du listen over udeladelser

Brug administrationskonsollen Microsoft Defender for Endpoint sikkerhedsindstillinger

Log på Microsoft Defender-portalen.
Gå til Konfigurationsstyring>Slutpunkt Sikkerhedspolitikker>Opret ny politik.
- Vælg platform: macOS
- Vælg skabelon: Microsoft Defender antivirusudeladelser
Vælg Opret politik.
Angiv et navn og en beskrivelse, og vælg Næste.
Udvid Antivirusprogram, og vælg derefter Tilføj.
Vælg Sti eller Filtypenavn eller Filnavn.
Vælg Konfigurer forekomst , og tilføj udeladelser efter behov. Vælg derefter Næste.
Tildel udeladelse til en gruppe, og vælg Næste.
Vælg Gem.

Fra administrationskonsollen

Du kan finde flere oplysninger om, hvordan du konfigurerer undtagelser fra JAMF, Intune eller en anden administrationskonsol, under Angiv indstillinger for Defender for Endpoint på Mac.

Fra brugergrænsefladen

Åbn Defender for Endpoint-programmet, og naviger til Administrer indstillinger>Tilføj eller Fjern udeladelse... som vist på følgende skærmbillede:
Vælg den type udeladelse, du vil tilføje, og følg prompterne.

Valider udeladelseslister med EICAR-testfilen

Du kan validere, at dine udeladelseslister fungerer, ved at bruge curl til at downloade en testfil.

I følgende Bash-kodestykke skal du erstatte test.txt med en fil, der overholder dine regler for udelukkelse. Hvis du f.eks. har udeladt filtypenavnet .testing , skal du erstatte test.txt med test.testing. Hvis du tester en sti, skal du kontrollere, at du kører kommandoen i den pågældende sti.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Hvis Defender for Endpoint på Mac rapporterer malware, fungerer reglen ikke. Hvis der ikke er nogen rapport over malware, og den downloadede fil findes, fungerer udelukkelsen. Du kan åbne filen for at bekræfte, at indholdet er det samme som det, der er beskrevet på webstedet for EICAR-testfilen.

Hvis du ikke har internetadgang, kan du oprette din egen EICAR-testfil. Skriv EICAR-strengen til en ny tekstfil med følgende Bash-kommando:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Du kan også kopiere strengen til en tom tekstfil og forsøge at gemme den med filnavnet eller i den mappe, du forsøger at udelade.

Tillad trusler

Ud over at udelukke bestemt indhold fra at blive scannet kan du også konfigurere produktet til ikke at registrere visse klasser af trusler (identificeret af trusselsnavnet). Du skal være forsigtig, når du bruger denne funktionalitet, da den kan efterlade din enhed ubeskyttet.

Hvis du vil føje et trusselsnavn til listen over tilladte, skal du udføre følgende kommando:

mdatp threat allowed add --name [threat-name]

Det trusselsnavn, der er knyttet til en registrering på din enhed, kan hentes ved hjælp af følgende kommando:

mdatp threat list

Hvis du f.eks. vil føje EICAR-Test-File (not a virus) (trusselsnavnet, der er knyttet til EICAR-registreringen) til den tilladte liste, skal du udføre følgende kommando:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.

Del via