Freigeben über


Konfigurieren und Überprüfen von Ausschlüssen für Microsoft Defender für Endpunkt unter macOS

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Dieser Artikel enthält Informationen zum Definieren von Ausschlüssen, die für bedarfsgesteuerte Überprüfungen gelten, sowie zum Echtzeitschutz und zur Überwachung.

Wichtig

Die in diesem Artikel beschriebenen Ausschlüsse gelten nicht für andere Defender für Endpunkt für Mac-Funktionen, einschließlich Endpunkterkennung und -reaktion (EDR). Dateien, die Sie mit den in diesem Artikel beschriebenen Methoden ausschließen, können weiterhin EDR-Warnungen und andere Erkennungen auslösen.

Sie können bestimmte Dateien, Ordner, Prozesse und von Prozessen geöffnete Dateien aus Defender für Endpunkt für Mac-Überprüfungen ausschließen.

Ausschlüsse können nützlich sein, um falsche Erkennungen von Dateien oder Software zu vermeiden, die für Ihre Organisation eindeutig oder angepasst sind. Sie können auch nützlich sein, um Leistungsprobleme zu beheben, die von Defender für Endpunkt auf dem Mac verursacht werden.

Verwenden Sie Echtzeitschutzstatistiken, um einzugrenzen, welchen Prozess und/oder Pfad bzw. welche Erweiterung Sie ausschließen müssen.

Warnung

Durch das Definieren von Ausschlüssen wird der Schutz verringert, den Defender für Endpunkt für Mac bietet. Sie sollten immer die Risiken auswerten, die mit der Implementierung von Ausschlüssen verbunden sind, und Sie sollten nur Dateien ausschließen, von denen Sie sicher sind, dass sie nicht böswillig sind.

Unterstützte Ausschlusstypen

In der folgenden Tabelle sind die Von Defender für Endpunkt für Mac unterstützten Ausschlusstypen aufgeführt.

Ausschluss Definition Beispiele
Dateierweiterung Alle Dateien mit der Erweiterung, überall auf dem Computer .test
File Eine bestimmte Datei, die durch den vollständigen Pfad identifiziert wird /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Ordner Alle Dateien im angegebenen Ordner (rekursiv) /var/log/

/var/*/

Prozess Ein bestimmter Prozess (entweder durch den vollständigen Pfad oder Dateinamen angegeben) und alle dateien, die von diesem geöffnet werden /bin/cat

cat

c?t

Datei-, Ordner- und Prozessausschlüsse unterstützen die folgenden Wildcards:

Platzhalter Beschreibung Beispiele
* Entspricht einer beliebigen Anzahl beliebiger Zeichen, einschließlich keines (beachten Sie, dass dieser Platzhalter nicht am Ende des Pfads verwendet wird und nur einen Ordner ersetzt). /var/*/tmp enthält alle Dateien in /var/abc/tmp und ihren Unterverzeichnissen sowie /var/def/tmp und ihren Unterverzeichnissen. Oder ist nicht enthalten /var/abc/log . /var/def/log

/var/*/ enthält alle Dateien in /var und ihren Unterverzeichnissen.

? Entspricht jedem einzelnen Zeichen file?.log enthält file1.log und file2.log, aber nicht file123.log

Hinweis

Wenn Sie den * -Wildcard am Ende des Pfads verwenden, werden alle Dateien und Unterverzeichnisse unter dem übergeordneten Element des Wildcards zugeordnet.

Das Produkt versucht, Firmlinks beim Auswerten von Ausschlüssen aufzulösen. Die Firmlink-Auflösung funktioniert nicht, wenn der Ausschluss Wildcards enthält oder die Zieldatei (auf dem Data Volume) nicht vorhanden ist.

Bewährte Methoden zum Hinzufügen von Antischadsoftwareausschlüssen für Microsoft Defender für Endpunkt unter macOS.

  1. Notieren Sie sich, warum ein Ausschluss an einem zentralen Ort hinzugefügt wurde, an dem nur SecOps und/oder Sicherheitsadministrator Zugriff haben. Listen Sie z. B. die Informationen zum Absender, zum Datum, zum App-Namen, zum Grund und zum Ausschluss auf.

  2. Stellen Sie sicher, dass sie ein Ablaufdatum* für die Ausschlüsse haben.

    *Mit Ausnahme von Apps, bei denen der ISV angegeben hat, dass keine anderen Optimierungen vorgenommen werden können, um die falsch positive oder höhere CPU-Auslastung zu verhindern.

  3. Vermeiden Sie die Migration von Nicht-Microsoft-Antischadsoftwareausschlüssen, da sie möglicherweise nicht mehr auf Microsoft Defender für Endpunkt unter macOS anwendbar sind.

  4. Reihenfolge der Ausschlüsse, die von oben (sicherer) nach unten (am wenigsten sicher) zu berücksichtigen sind:

    1. Indikatoren – Zertifikat – zulassen

      1. Fügen Sie eine Erweiterte Validierung (EV) Cosignatur hinzu.
    2. Indikatoren – Dateihash – Zulassen

      1. Wenn sich beispielsweise ein Prozess oder Daemon nicht häufig ändert, verfügt die App nicht über ein monatliches Sicherheitsupdate.
    3. Pfad & Prozess

    4. Prozess

    5. Pfad

    6. Erweiterung

Konfigurieren der Liste der Ausschlüsse

Verwenden der Verwaltungskonsole für Sicherheitseinstellungen von Microsoft Defender für Endpunkt

  1. Melden Sie sich beim Microsoft Defender-Portal an.

  2. Wechseln Sie zu Konfigurationsverwaltung>Endpunktsicherheitsrichtlinien>Neue Richtlinie erstellen.

    • Wählen Sie Plattform: macOS aus.
    • Vorlage auswählen: Microsoft Defender Antivirus-Ausschlüsse
  3. Wählen Sie Richtlinie erstellen.

  4. Geben Sie einen Namen und eine Beschreibung ein, und wählen Sie Weiter aus.

  5. Erweitern Sie Antivirus-Engine, und wählen Sie dann Hinzufügen aus.

  6. Wählen Sie Pfad , Dateierweiterung oder Dateiname aus.

  7. Wählen Sie Instanz konfigurieren aus, und fügen Sie die Ausschlüsse nach Bedarf hinzu. Wählen Sie dann Weiter aus.

  8. Weisen Sie den Ausschluss einer Gruppe zu, und wählen Sie Weiter aus.

  9. Klicken Sie auf Speichern.

Über die Verwaltungskonsole

Weitere Informationen zum Konfigurieren von Ausschlüssen aus JAMF, Intune oder einer anderen Verwaltungskonsole finden Sie unter Festlegen von Einstellungen für Defender für Endpunkt auf Mac.

Über die Benutzeroberfläche

  1. Öffnen Sie die Anwendung Defender für Endpunkt, und navigieren Sie zu Einstellungen> verwaltenAusschluss hinzufügen oder entfernen..., wie im folgenden Screenshot gezeigt:

    Seite

  2. Wählen Sie den Typ des Ausschlusses aus, den Sie hinzufügen möchten, und folgen Sie den Anweisungen.

Überprüfen von Ausschlusslisten mit der EICAR-Testdatei

Sie können überprüfen, ob Ihre Ausschlusslisten funktionieren, indem Sie zum Herunterladen einer Testdatei verwenden curl .

Ersetzen Sie test.txt im folgenden Bash-Codeausschnitt durch eine Datei, die Ihren Ausschlussregeln entspricht. Wenn Sie beispielsweise die .testing Erweiterung ausgeschlossen haben, ersetzen Sie durch test.txttest.testing. Wenn Sie einen Pfad testen, stellen Sie sicher, dass Sie den Befehl innerhalb dieses Pfads ausführen.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Wenn Defender für Endpunkt für Mac Schadsoftware meldet, funktioniert die Regel nicht. Wenn keine Schadsoftware gemeldet wird und die heruntergeladene Datei vorhanden ist, funktioniert der Ausschluss. Sie können die Datei öffnen, um zu bestätigen, dass der Inhalt mit den auf der EICAR-Testdateiwebsite beschriebenen Inhalten übereinstimmt.

Wenn Sie keinen Internetzugriff haben, können Sie Eine eigene EICAR-Testdatei erstellen. Schreiben Sie die EICAR-Zeichenfolge mit dem folgenden Bash-Befehl in eine neue Textdatei:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Sie können die Zeichenfolge auch in eine leere Textdatei kopieren und versuchen, sie mit dem Dateinamen oder in dem Ordner zu speichern, den Sie ausschließen möchten.

Bedrohungen zulassen

Zusätzlich zum Ausschließen bestimmter Inhalte von der Überprüfung können Sie das Produkt auch so konfigurieren, dass einige Klassen von Bedrohungen (identifiziert durch den Bedrohungsnamen) nicht erkannt werden. Sie sollten bei der Verwendung dieser Funktion vorsichtig sein, da Ihr Gerät dadurch nicht geschützt werden kann.

Führen Sie den folgenden Befehl aus, um der Liste der zulässigen Bedrohungen einen Namen hinzuzufügen:

mdatp threat allowed add --name [threat-name]

Der Bedrohungsname, der einer Erkennung auf Ihrem Gerät zugeordnet ist, kann mit dem folgenden Befehl abgerufen werden:

mdatp threat list

Führen Sie z. B. den folgenden Befehl aus, um (der Bedrohungsname, der der EICAR-Erkennung zugeordnet ist) zur Liste der zulässigen Elemente hinzuzufügen EICAR-Test-File (not a virus) :

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.