Microsoft Defender for Endpointin poissulkemisten määrittäminen ja vahvistaminen macOS:ssä

Artikkeli
06/15/2024

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tässä artikkelissa on tietoja siitä, miten voit määrittää pyydettäessä tarkastuksia koskevat poikkeukset sekä reaaliaikaisen suojauksen ja seurannan.

Tärkeää

Tässä artikkelissa kuvatut poikkeukset eivät koske muita Defender for Endpoint on Mac -ominaisuuksia, mukaan lukien päätepisteen tunnistaminen ja vastaus (EDR). Tiedostot, jotka jätetään pois tässä artikkelissa kuvattujen menetelmien avulla, voivat silti käynnistää EDR-ilmoituksia ja muita tunnistuksia.

Voit sulkea pois tiettyjä tiedostoja, kansioita, prosesseja ja prosessin avaamia tiedostoja Defender for Endpointista Mac-skannauksissa.

Poissulkemisista voi olla hyötyä, kun vältetään virheelliset tunnistukset tiedostoissa tai ohjelmissa, jotka ovat yksilöllisiä tai mukautettuja organisaatiollesi. Niistä voi olla hyötyä myös Defender for Endpointin Macissa aiheuttamien suorituskykyongelmien lieventämisessä.

Jos haluat rajata, minkä prosessin ja/tai polun ja/tai laajennuksen on suljettava pois, käytä reaaliaikaisia suojaustilastoja.

Varoitus

Poissulkemisten määrittäminen alentaa Defenderin tarjoamaa suojausta Mac-päätepisteelle. Sinun tulee aina arvioida poissulkemisten toteuttamiseen liittyvät riskit, ja sinun tulisi jättää pois vain tiedostot, joiden olet varma olevan haitallisia.

Tuetut poissulkemistyypit

Seuraavassa taulukossa esitetään poissulkemistyypit, joita Defender tukee Macin päätepisteelle.

Poissulkeminen	Määritelmä	Esimerkkejä
Tiedostopääte	Kaikki tiedostot, joilla on laajennus, minne tahansa tietokoneessa	`.test`
Tiedosto	Koko polun tunnistama tietty tiedosto	`/var/log/test.log` `/var/log/*.log` `/var/log/install.?.log`
Kansio	Kaikki määritetyn kansion tiedostot (rekursiivisesti)	`/var/log/` `/var/*/`
Prosessi	Tietty prosessi (määritetty joko koko polun tai tiedostonimen mukaan) ja kaikki sen avaamat tiedostot	`/bin/cat` `cat` `c?t`

Tiedoston, kansion ja prosessin poikkeukset tukevat seuraavia yleismerkkejä:

Yleismerkki Kuvaus Esimerkkejä

Vastaa mitä tahansa merkkien määrää, mukaan lukien ei mitään (huomaa, että jos tätä yleismerkkiä ei käytetä polun lopussa, se korvaa vain yhden kansion)

Yleismerkki	Kuvaus	Esimerkkejä
*	Vastaa mitä tahansa merkkien määrää, mukaan lukien ei mitään (huomaa, että jos tätä yleismerkkiä ei käytetä polun lopussa, se korvaa vain yhden kansion)	`/var//tmp` sisältää kaikki -tiedostot `/var/abc/tmp` ja sen alihakemistot sekä `/var/def/tmp` sen alihakemistot. Se ei sisällä `/var/abc/log` tai `/var/def/log` `/var//` sisältää minkä tahansa -tiedoston `/var` ja sen alihakemistot.
?	Vastaa mitä tahansa yksittäistä merkkiä	`file?.log` sisältää `file1.log` ja `file2.log`, mutta ei `file123.log`

/var/*/tmp sisältää kaikki -tiedostot /var/abc/tmp ja sen alihakemistot sekä /var/def/tmp sen alihakemistot. Se ei sisällä /var/abc/log tai /var/def/log

/var/*/ sisältää minkä tahansa -tiedoston /var ja sen alihakemistot.

? Vastaa mitä tahansa yksittäistä merkkiä file?.log sisältää file1.log ja file2.log, mutta ei file123.log

Huomautus

Kun *-yleismerkkiä käytetään polun lopussa, se vastaa kaikkia yleismerkin ylätason tiedostoja ja alihakemistoja.

Tuote yrittää ratkaista kiinteät linkit poissulkemisten arvioinnissa. Kiinteän linkin ratkaisu ei toimi, kun poissulkeminen sisältää yleismerkkejä tai kohdetiedostoa ( Data asemassa) ei ole.

Parhaat käytännöt haittaohjelmien torjuntapoikkeamien lisäämiseen Microsoft Defender for Endpointille macOS:ssä.

Kirjoita ylös, miksi poikkeus lisättiin keskitettyyn sijaintiin, jossa vain SecOps- ja/tai Security Administrator -järjestelmänvalvojalla on käyttöoikeus. Luettele esimerkiksi lähettäjän, päivämäärän, sovelluksen nimen, syyn ja poissulkemisen tiedot.
Varmista, että poissulkemisille on vanhentumispäivä*

*Lukuun ottamatta sovelluksia, joissa ISV on ilmoittanut, ei ole muita muokkauksia, jotka voisivat estää epätosi-positiivisen tai korkeamman suorittimen käytön.
Vältä muiden kuin Microsoftin haittaohjelmien torjuntaa koskevien poikkeusten siirtämistä, koska ne eivät välttämättä ole enää sovellettavissa eivätkä soveltuvat Microsoft Defender for Endpointiin macOS:ssä.
Poissulkemisten järjestys, jota kannattaa pitää ylimpänä (turvallisempana) alhaalla (vähiten turvallinen):
1. Ilmaisimet – Varmenne – salli
  1. Lisää laajennettu vahvistuskoodin allekirjoitus.
2. Ilmaisimet - Tiedoston hajautusarvo - salli
  1. Jos prosessi tai daemon ei muutu usein esimerkiksi, sovelluksella ei ole kuukausittaista tietoturvapäivitystä.
3. Polun & prosessi
4. Prosessi
5. Polku
6. Laajennus

Poissulkemisten luettelon määrittäminen

Microsoft Defender for Endpoint Security Settings -hallintakonsolin käyttäminen

Kirjaudu sisään Microsoft Defender -portaaliin.
Siirry määrityksen hallinnan>päätepisteen suojauskäytäntöihin>Luo uusi käytäntö.
- Valitse ympäristö: macOS
- Valitse malli: Microsoft Defenderin virustentorjunnan poikkeukset
Valitse Luo käytäntö.
Kirjoita nimi ja kuvaus ja valitse Seuraava.
Laajenna virustentorjuntaohjelma ja valitse sitten Lisää.
Valitse Polku , Tiedostotunniste tai Tiedostonimi.
Valitse Määritä esiintymä ja lisää poikkeukset tarvittaessa. Valitse sitten Seuraava.
Määritä poissulkeminen ryhmälle ja valitse Seuraava.
Valitse Tallenna.

Hallintakonsolista

Lisätietoja JAMF:n, Intunen tai muun hallintakonsolin poissulkemisten määrittämisestä on kohdassa Defender for Endpointin asetusten määrittäminen Macissa.

Käyttöliittymästä

Avaa Defender for Endpoint -sovellus ja siirry kohtaan Asetusten> hallintaLisää tai poista poissulkeminen... seuraavassa näyttökuvassa esitetyllä tavalla:
Valitse lisättävän poissulkemisen tyyppi ja noudata kehotteita.

Vahvista poissulkemisluettelot EICAR-testitiedoston avulla

Voit varmistaa, että poissulkemisluettelot toimivat, lataamalla testitiedoston -toiminnolla curl .

Korvaa seuraavassa Bash-katkelmassa tiedostolla, test.txt joka on poissulkemissääntöjen mukainen. Jos olet esimerkiksi sulkenut laajennuksen .testing pois, korvaa test.txt kohteella test.testing. Jos testaat polkua, varmista, että suoritat komennon kyseisessä polussa.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Jos Defender for Endpoint Macissa raportoi haittaohjelmasta, sääntö ei toimi. Jos haittaohjelmasta ei ole raporttia ja ladattu tiedosto on olemassa, poissulkeminen toimii. Voit avata tiedoston ja vahvistaa, että sisältö on sama kuin EICAR-testitiedoston verkkosivuilla kuvatulla tavalla.

Jos sinulla ei ole Internet-yhteyttä, voit luoda oman EICAR-testitiedoston. Kirjoita EICAR-merkkijono uuteen tekstitiedostoon seuraavalla Bash-komennolla:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Voit myös kopioida merkkijonon tyhjään tekstitiedostoon ja yrittää tallentaa sen tiedostonimellä tai kansioon, jota yrität sulkea pois.

Salli uhat

Sen lisäksi, että voit sulkea pois tietyn sisällön skannaamisen, voit myös määrittää tuotteen olemaan tunnistamatta joitakin uhkien luokkia (uhan nimen tunnistama). Ole varovainen käyttäessäsi tätä toimintoa, sillä se voi jättää laitteen suojaamatta.

Voit lisätä uhkanimen sallittujen luetteloon suorittamalla seuraavan komennon:

mdatp threat allowed add --name [threat-name]

Laitteesi tunnistamiseen liittyvä uhkanimi voidaan saada käyttämällä seuraavaa komentoa:

mdatp threat list

Jos haluat esimerkiksi lisätä EICAR-Test-File (not a virus) (EICAR-tunnistamiseen liittyvän uhan nimen) sallittujen luetteloon, suorita seuraava komento:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.

Jaa