Konfigurieren und Überprüfen von Ausschlüssen für Microsoft Defender für Endpunkt unter macOS
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Dieser Artikel enthält Informationen zum Definieren von Ausschlüssen, die für bedarfsgesteuerte Überprüfungen gelten, sowie zum Echtzeitschutz und zur Überwachung.
Wichtig
Die in diesem Artikel beschriebenen Ausschlüsse gelten nicht für andere Defender für Endpunkt für Mac-Funktionen, einschließlich Endpunkterkennung und -reaktion (EDR). Dateien, die Sie mit den in diesem Artikel beschriebenen Methoden ausschließen, können weiterhin EDR-Warnungen und andere Erkennungen auslösen.
Sie können bestimmte Dateien, Ordner, Prozesse und von Prozessen geöffnete Dateien aus Defender für Endpunkt für Mac-Überprüfungen ausschließen.
Ausschlüsse können nützlich sein, um falsche Erkennungen von Dateien oder Software zu vermeiden, die für Ihre Organisation eindeutig oder angepasst sind. Sie können auch nützlich sein, um Leistungsprobleme zu beheben, die von Defender für Endpunkt auf dem Mac verursacht werden.
Verwenden Sie Echtzeitschutzstatistiken, um einzugrenzen, welchen Prozess und/oder Pfad bzw. welche Erweiterung Sie ausschließen müssen.
Warnung
Durch das Definieren von Ausschlüssen wird der Schutz verringert, den Defender für Endpunkt für Mac bietet. Sie sollten immer die Risiken auswerten, die mit der Implementierung von Ausschlüssen verbunden sind, und Sie sollten nur Dateien ausschließen, von denen Sie sicher sind, dass sie nicht böswillig sind.
Unterstützte Ausschlusstypen
In der folgenden Tabelle sind die Von Defender für Endpunkt für Mac unterstützten Ausschlusstypen aufgeführt.
| Ausschluss | Definition | Beispiele |
|---|---|---|
| Dateierweiterung | Alle Dateien mit der Erweiterung, überall auf dem Computer | .test |
| File | Eine bestimmte Datei, die durch den vollständigen Pfad identifiziert wird | /var/log/test.log |
| Ordner | Alle Dateien im angegebenen Ordner (rekursiv) | /var/log/ |
| Prozess | Ein bestimmter Prozess (entweder durch den vollständigen Pfad oder Dateinamen angegeben) und alle dateien, die von diesem geöffnet werden | /bin/cat |
Datei-, Ordner- und Prozessausschlüsse unterstützen die folgenden Wildcards:
| Platzhalter | Beschreibung | Beispiele |
|---|---|---|
| * | Entspricht einer beliebigen Anzahl beliebiger Zeichen, einschließlich keines (beachten Sie, dass dieser Platzhalter nicht am Ende des Pfads verwendet wird und nur einen Ordner ersetzt). | /var/*/tmp enthält alle Dateien in /var/abc/tmp und ihren Unterverzeichnissen sowie /var/def/tmp und ihren Unterverzeichnissen. Oder ist nicht enthalten /var/abc/log . /var/def/log
|
| ? | Entspricht jedem einzelnen Zeichen | file?.log enthält file1.log und file2.log, aber nicht file123.log |
Hinweis
Wenn Sie den * -Wildcard am Ende des Pfads verwenden, werden alle Dateien und Unterverzeichnisse unter dem übergeordneten Element des Wildcards zugeordnet.
Das Produkt versucht, Firmlinks beim Auswerten von Ausschlüssen aufzulösen. Die Firmlink-Auflösung funktioniert nicht, wenn der Ausschluss Wildcards enthält oder die Zieldatei (auf dem Data Volume) nicht vorhanden ist.
Bewährte Methoden zum Hinzufügen von Antischadsoftwareausschlüssen für Microsoft Defender für Endpunkt unter macOS.
Notieren Sie sich, warum ein Ausschluss an einem zentralen Ort hinzugefügt wurde, an dem nur SecOps und/oder Sicherheitsadministrator Zugriff haben. Listen Sie z. B. die Informationen zum Absender, zum Datum, zum App-Namen, zum Grund und zum Ausschluss auf.
Stellen Sie sicher, dass sie ein Ablaufdatum* für die Ausschlüsse haben.
*Mit Ausnahme von Apps, bei denen der ISV angegeben hat, dass keine anderen Optimierungen vorgenommen werden können, um die falsch positive oder höhere CPU-Auslastung zu verhindern.
Vermeiden Sie die Migration von Nicht-Microsoft-Antischadsoftwareausschlüssen, da sie möglicherweise nicht mehr auf Microsoft Defender für Endpunkt unter macOS anwendbar sind.
Reihenfolge der Ausschlüsse, die von oben (sicherer) nach unten (am wenigsten sicher) zu berücksichtigen sind:
Indikatoren – Zertifikat – zulassen
- Fügen Sie eine Erweiterte Validierung (EV) Cosignatur hinzu.
Indikatoren – Dateihash – Zulassen
- Wenn sich beispielsweise ein Prozess oder Daemon nicht häufig ändert, verfügt die App nicht über ein monatliches Sicherheitsupdate.
Pfad & Prozess
Prozess
Pfad
Erweiterung
Konfigurieren der Liste der Ausschlüsse
Verwenden der Verwaltungskonsole für Sicherheitseinstellungen von Microsoft Defender für Endpunkt
Melden Sie sich beim Microsoft Defender-Portal an.
Wechseln Sie zu Konfigurationsverwaltung>Endpunktsicherheitsrichtlinien>Neue Richtlinie erstellen.
- Wählen Sie Plattform: macOS aus.
- Vorlage auswählen: Microsoft Defender Antivirus-Ausschlüsse
Wählen Sie Richtlinie erstellen.
Geben Sie einen Namen und eine Beschreibung ein, und wählen Sie Weiter aus.
Erweitern Sie Antivirus-Engine, und wählen Sie dann Hinzufügen aus.
Wählen Sie Pfad , Dateierweiterung oder Dateiname aus.
Wählen Sie Instanz konfigurieren aus, und fügen Sie die Ausschlüsse nach Bedarf hinzu. Wählen Sie dann Weiter aus.
Weisen Sie den Ausschluss einer Gruppe zu, und wählen Sie Weiter aus.
Klicken Sie auf Speichern.
Über die Verwaltungskonsole
Weitere Informationen zum Konfigurieren von Ausschlüssen aus JAMF, Intune oder einer anderen Verwaltungskonsole finden Sie unter Festlegen von Einstellungen für Defender für Endpunkt auf Mac.
Über die Benutzeroberfläche
Öffnen Sie die Anwendung Defender für Endpunkt, und navigieren Sie zu Einstellungen> verwaltenAusschluss hinzufügen oder entfernen..., wie im folgenden Screenshot gezeigt:
Wählen Sie den Typ des Ausschlusses aus, den Sie hinzufügen möchten, und folgen Sie den Anweisungen.
Überprüfen von Ausschlusslisten mit der EICAR-Testdatei
Sie können überprüfen, ob Ihre Ausschlusslisten funktionieren, indem Sie zum Herunterladen einer Testdatei verwenden curl .
Ersetzen Sie test.txt im folgenden Bash-Codeausschnitt durch eine Datei, die Ihren Ausschlussregeln entspricht. Wenn Sie beispielsweise die .testing Erweiterung ausgeschlossen haben, ersetzen Sie durch test.txttest.testing. Wenn Sie einen Pfad testen, stellen Sie sicher, dass Sie den Befehl innerhalb dieses Pfads ausführen.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Wenn Defender für Endpunkt für Mac Schadsoftware meldet, funktioniert die Regel nicht. Wenn keine Schadsoftware gemeldet wird und die heruntergeladene Datei vorhanden ist, funktioniert der Ausschluss. Sie können die Datei öffnen, um zu bestätigen, dass der Inhalt mit den auf der EICAR-Testdateiwebsite beschriebenen Inhalten übereinstimmt.
Wenn Sie keinen Internetzugriff haben, können Sie Eine eigene EICAR-Testdatei erstellen. Schreiben Sie die EICAR-Zeichenfolge mit dem folgenden Bash-Befehl in eine neue Textdatei:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Sie können die Zeichenfolge auch in eine leere Textdatei kopieren und versuchen, sie mit dem Dateinamen oder in dem Ordner zu speichern, den Sie ausschließen möchten.
Bedrohungen zulassen
Zusätzlich zum Ausschließen bestimmter Inhalte von der Überprüfung können Sie das Produkt auch so konfigurieren, dass einige Klassen von Bedrohungen (identifiziert durch den Bedrohungsnamen) nicht erkannt werden. Sie sollten bei der Verwendung dieser Funktion vorsichtig sein, da Ihr Gerät dadurch nicht geschützt werden kann.
Führen Sie den folgenden Befehl aus, um der Liste der zulässigen Bedrohungen einen Namen hinzuzufügen:
mdatp threat allowed add --name [threat-name]
Der Bedrohungsname, der einer Erkennung auf Ihrem Gerät zugeordnet ist, kann mit dem folgenden Befehl abgerufen werden:
mdatp threat list
Führen Sie z. B. den folgenden Befehl aus, um (der Bedrohungsname, der der EICAR-Erkennung zugeordnet ist) zur Liste der zulässigen Elemente hinzuzufügen EICAR-Test-File (not a virus) :
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für