تكوين الاستثناءات والتحقق من صحتها ل Microsoft Defender لنقطة النهاية على macOS

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2
• Microsoft Defender XDR

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

توفر هذه المقالة معلومات حول كيفية تحديد الاستثناءات التي تنطبق على عمليات الفحص عند الطلب، والحماية والمراقبة في الوقت الحقيقي.

هام

لا تنطبق الاستثناءات الموضحة في هذه المقالة على إمكانات Defender لنقطة النهاية الأخرى على Mac، بما في ذلك اكتشاف نقطة النهاية والاستجابة لها (EDR). لا يزال بإمكان الملفات التي تستبعدها باستخدام الأساليب الموضحة في هذه المقالة تشغيل تنبيهات EDR واكتشافات أخرى.

يمكنك استبعاد بعض الملفات والمجلدات والعمليات والملفات التي تم فتحها من Defender لنقطة النهاية على عمليات فحص Mac.

يمكن أن تكون الاستثناءات مفيدة لتجنب الاكتشافات غير الصحيحة على الملفات أو البرامج الفريدة أو المخصصة لمؤسستك. يمكن أن تكون مفيدة أيضا للتخفيف من مشكلات الأداء التي يسببها Defender لنقطة النهاية على Mac.

لتضييق نطاق العملية و/أو المسار و/أو الملحق الذي تحتاج إلى استبعاده، استخدم إحصائيات الحماية في الوقت الحقيقي.

تحذير

يؤدي تحديد الاستثناءات إلى خفض الحماية التي يوفرها Defender لنقطة النهاية على Mac. يجب عليك دائما تقييم المخاطر المرتبطة بتنفيذ الاستثناءات، ويجب عليك فقط استبعاد الملفات التي تثق بأنها ليست ضارة.

أنواع الاستبعاد المدعومة

يعرض الجدول التالي أنواع الاستبعاد التي يدعمها Defender لنقطة النهاية على Mac.

الاستبعاد	التعريف	أمثلة
ملحق الملف	جميع الملفات ذات الملحق، في أي مكان على الجهاز	.test
ملف	ملف محدد تم تحديده بواسطة المسار الكامل	/var/log/test.log /var/log/*.log /var/log/install.?.log
مجلد	كافة الملفات ضمن المجلد المحدد (بشكل متكرر)	/var/log/ /var/*/
عملية	عملية معينة (محددة إما بواسطة المسار الكامل أو اسم الملف) وجميع الملفات التي تم فتحها بواسطةها	/bin/cat cat c?t

تدعم استثناءات الملفات والمجلدات والعملية أحرف البدل التالية:

بدل	الوصف	أمثلة
*	يطابق أي عدد من الأحرف بما في ذلك بلا (لاحظ أنه إذا لم يتم استخدام حرف البدل هذا في نهاية المسار، فإنه يستبدل مجلدا واحدا فقط)	/var/*/tmp يتضمن أي ملف في /var/abc/tmp ودلائله الفرعية ودلائله /var/def/tmp الفرعية. لا يتضمن /var/abc/log أو /var/def/log /var/*/ يتضمن أي ملف في /var ودلائله الفرعية.
?	يطابق أي حرف واحد	file?.log يتضمن file1.log و file2.log، ولكن ليس file123.log

ملاحظة

عند استخدام حرف البدل * في نهاية المسار، سيتطابق مع جميع الملفات والدلائل الفرعية ضمن أصل حرف البدل.

يحاول المنتج حل الارتباطات الثابتة عند تقييم الاستثناءات. لا تعمل دقة الارتباط الثابت عندما يحتوي الاستبعاد على أحرف بدل أو يكون الملف الهدف (على Data وحدة التخزين) غير موجود.

أفضل الممارسات لإضافة استثناءات مكافحة البرامج الضارة ل Microsoft Defender لنقطة النهاية على macOS.

1. دون سبب إضافة استثناء إلى موقع مركزي حيث يكون ل SecOps و/أو مسؤول الأمان فقط حق الوصول. على سبيل المثال، قم بإدراج معلومات المرسل والتاريخ واسم التطبيق والسبب والاستبعاد.

2. تأكد من أن يكون لديك تاريخ انتهاء صلاحية* للاستبعادات

   *باستثناء التطبيقات التي ذكر ISV أنه لا يوجد تعديل آخر يمكن القيام به لمنع حدوث استخدام وحدة المعالجة المركزية الإيجابي أو الأعلى الخاطئ.

3. تجنب ترحيل استثناءات مكافحة البرامج الضارة غير التابعة ل Microsoft لأنها قد لا تكون قابلة للتطبيق ولا قابلة للتطبيق على Microsoft Defender لنقطة النهاية على macOS.

4. ترتيب الاستثناءات للنظر في أعلى (أكثر أمانا) إلى الأسفل (الأقل أمانا):

   1. المؤشرات - الشهادة - السماح

      1. إضافة توقيع رمز التحقق الموسع (EV).

   2. المؤشرات - تجزئة الملف - السماح

      1. إذا لم تتغير العملية أو البرنامج الخفي في كثير من الأحيان، على سبيل المثال، لا يحتوي التطبيق على تحديث أمان شهري.

   3. عملية & المسار

   4. عملية

   5. مسار

   6. امتداد

كيفية تكوين قائمة الاستثناءات

استخدام وحدة تحكم إدارة إعدادات أمان Microsoft Defender لنقطة النهاية

1. سجل الدخول إلى مدخل Microsoft Defender.

2. انتقل إلى إدارة> التكويننهج أمان> نقطة النهايةإنشاء نهج جديد.

   • حدد Platform: macOS
   • تحديد قالب: استثناءات برنامج الحماية من الفيروسات من Microsoft Defender

3. حدد إنشاء نهج.

4. أدخل اسما ووصفا وحدد التالي.

5. قم بتوسيع محرك مكافحة الفيروسات، ثم حدد إضافة.

6. حدد Path أو File extension أو File name.

7. حدد Configure instance وأضف الاستثناءات حسب الحاجة. ثم حدد التالي.

8. قم بتعيين الاستبعاد إلى مجموعة وحدد التالي.

9. حدد حفظ.

من وحدة تحكم الإدارة

لمزيد من المعلومات حول كيفية تكوين الاستثناءات من JAMF أو Intune أو وحدة تحكم إدارة أخرى، راجع تعيين تفضيلات Defender لنقطة النهاية على Mac.

من واجهة المستخدم

1. افتح تطبيق Defender لنقطة النهاية وانتقل إلى إدارة الإعدادات>إضافة استثناء أو إزالته...، كما هو موضح في لقطة الشاشة التالية:

   

2. حدد نوع الاستبعاد الذي ترغب في إضافته واتبع المطالبات.

التحقق من صحة قوائم الاستثناءات باستخدام ملف اختبار EICAR

يمكنك التحقق من أن قوائم الاستبعاد الخاصة بك تعمل باستخدام curl لتنزيل ملف اختبار.

في القصاصة البرمجية Bash التالية، استبدل test.txt بملف يتوافق مع قواعد الاستبعاد الخاصة بك. على سبيل المثال، إذا كنت قد استبعدت الملحق .testing ، فاستبدل test.txt ب test.testing. إذا كنت تختبر مسارا، فتأكد من تشغيل الأمر داخل هذا المسار.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

إذا أبلغ Defender لنقطة النهاية على Mac عن برامج ضارة، فلن تعمل القاعدة. إذا لم يكن هناك تقرير عن البرامج الضارة، وكان الملف الذي تم تنزيله موجودا، فإن الاستبعاد يعمل. يمكنك فتح الملف للتأكد من أن المحتويات هي نفسها التي تم وصفها على موقع ويب ملف اختبار EICAR.

إذا لم يكن لديك وصول إلى الإنترنت، يمكنك إنشاء ملف اختبار EICAR الخاص بك. اكتب سلسلة EICAR إلى ملف نصي جديد باستخدام أمر Bash التالي:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

يمكنك أيضا نسخ السلسلة إلى ملف نصي فارغ ومحاولة حفظها باسم الملف أو في المجلد الذي تحاول استبعاده.

السماح بالتهديدات

بالإضافة إلى استبعاد محتوى معين من الفحص، يمكنك أيضا تكوين المنتج لعدم الكشف عن بعض فئات التهديدات (التي تم تحديدها بواسطة اسم التهديد). يجب توخي الحذر عند استخدام هذه الوظيفة، حيث يمكن أن تترك جهازك دون حماية.

لإضافة اسم تهديد إلى القائمة المسموح بها، قم بتنفيذ الأمر التالي:

mdatp threat allowed add --name [threat-name]

يمكن الحصول على اسم التهديد المقترن بالكشف على جهازك باستخدام الأمر التالي:

mdatp threat list

على سبيل المثال، لإضافة EICAR-Test-File (not a virus) (اسم التهديد المقترن باكتشاف EICAR) إلى القائمة المسموح بها، قم بتنفيذ الأمر التالي:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

تلميح

هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.