Megosztás a következőn keresztül:


Végponthoz készült Microsoft Defender kizárásainak konfigurálása és ellenőrzése macOS rendszeren

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Ez a cikk az igény szerinti vizsgálatokra, valamint a valós idejű védelemre és monitorozásra vonatkozó kizárások meghatározásáról nyújt tájékoztatást.

Fontos

A cikkben ismertetett kizárások nem vonatkoznak a Végponthoz készült Defender egyéb maces képességeire, beleértve a végpontészlelést és -választ (EDR). A cikkben ismertetett módszerekkel kizárt fájlok továbbra is aktiválhatnak EDR-riasztásokat és más észleléseket.

Kizárhat bizonyos fájlokat, mappákat, folyamatokat és folyamatmegnyitású fájlokat a Végponthoz készült Defenderből a Macen végzett vizsgálatokból.

A kizárások hasznosak lehetnek a szervezet egyedi vagy testre szabott fájljainak vagy szoftvereinek helytelen észlelésének elkerüléséhez. A Végponthoz készült Defender által okozott teljesítményproblémák csökkentéséhez is hasznosak lehetnek Macen.

A kizárandó folyamat és/vagy elérési út és/vagy kiterjesztés szűkítéséhez használjon valós idejű védelmi-statisztikákat.

Figyelmeztetés

A kizárások meghatározása csökkenti a Végponthoz készült Defender által kínált védelmet Macen. Mindig értékelje ki a kizárások implementálásával járó kockázatokat, és csak olyan fájlokat zárjon ki, amelyek biztosan nem rosszindulatúak.

Támogatott kizárási típusok

Az alábbi táblázat a Végponthoz készült Defender által támogatott kizárási típusokat mutatja be Macen.

Kirekesztés Definíció Példák
Fájlkiterjesztés Minden kiterjesztésű fájl, bárhol a gépen .test
Fájl A teljes elérési út által azonosított konkrét fájl /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Mappa A megadott mappában lévő összes fájl (rekurzív módon) /var/log/

/var/*/

Folyamat Egy adott folyamat (amelyet a teljes elérési út vagy a fájlnév határoz meg) és az általa megnyitott összes fájl /bin/cat

cat

c?t

A fájl-, mappa- és folyamatkizárások a következő helyettesítő karaktereket támogatják:

Helyettesítő Leírás Példák
* Tetszőleges számú karaktert tartalmaz, beleértve a egyiket sem (megjegyzés: ha ez a helyettesítő karakter nincs használatban az elérési út végén, akkor csak egy mappát helyettesít) /var/*/tmp A tartalmazza a fájlokat /var/abc/tmp és annak alkönyvtárait, valamint /var/def/tmp annak alkönyvtárait. Nem tartalmazza a /var/abc/log vagy a /var/def/log

/var/*/ tartalmazza a fájlokat /var és annak alkönyvtárait.

? Egyetlen karakterre illeszkedik file?.log tartalmazza a file1.log és file2.loga elemet, de nem file123.log

Megjegyzés:

Ha az elérési út végén a * helyettesítő karaktert használja, az megegyezik a helyettesítő karakter szülője alatti összes fájllal és alkönyvtáral.

A termék a kizárások kiértékelésekor megkísérli feloldani a firmlinkeket. A firmlink feloldása nem működik, ha a kizárás helyettesítő karaktereket tartalmaz, vagy a célfájl (a Data köteten) nem létezik.

Ajánlott eljárások kártevőirtó kizárások hozzáadásához a végponthoz készült Microsoft Defenderhez macOS rendszeren.

  1. Írja le, hogy miért lett hozzáadva kizárás egy olyan központi helyhez, ahol csak a SecOps és/vagy a biztonsági rendszergazda rendelkezik hozzáféréssel. Listázd például a beküldőt, a dátumot, az alkalmazás nevét, az okot és a kizárási információkat.

  2. Győződjön meg arról, hogy a kizárások lejárati dátuma*

    *kivéve azokat az alkalmazásokat, amelyeknél az ISV azt állította, hogy nincs más olyan finomhangolás, amely megakadályozná a hamis pozitív vagy magasabb processzorkihasználtságot.

  3. Kerülje a nem a Microsofttól származó kártevőirtó-kizárások migrálását, mivel előfordulhat, hogy a továbbiakban nem alkalmazhatók és nem alkalmazhatók a végponthoz készült Microsoft Defenderre macOS rendszeren.

  4. A kizárások sorrendje a legfelső (biztonságosabb) és az alsó (legkevésbé biztonságos) szempontok figyelembe vételével:

    1. Mutatók – Tanúsítvány – engedélyezés

      1. Adjon hozzá egy kiterjesztett érvényesítési (EV) kódaláírást.
    2. Mutatók – Fájlkivonat – engedélyezés

      1. Ha egy folyamat vagy démon nem változik gyakran, például az alkalmazás nem rendelkezik havi biztonsági frissítéssel.
    3. Elérési út & folyamat

    4. Folyamat

    5. Elérési út

    6. Kiterjesztés

A kizárások listájának konfigurálása

A Végponthoz készült Microsoft Defender biztonsági beállítások felügyeleti konzoljának használata

  1. Jelentkezzen be a Microsoft Defender portálra.

  2. Lépjen a Konfigurációkezelés>végpontbiztonsági szabályzatok>Új szabályzat létrehozása szakaszra.

    • Platform kiválasztása: macOS
    • Sablon kiválasztása: Microsoft Defender víruskereső kizárásai
  3. Válassza a Szabályzat létrehozása lehetőséget.

  4. Adjon meg egy nevet és egy leírást, majd válassza a Tovább gombot.

  5. Bontsa ki a Víruskereső motor elemet, majd válassza a Hozzáadás lehetőséget.

  6. Válassza az Elérési út , a Fájlkiterjesztés vagy a Fájlnév lehetőséget.

  7. Válassza a Példány konfigurálása lehetőséget, és szükség szerint adja hozzá a kizárásokat. Ezután válassza a Tovább gombot.

  8. Rendelje hozzá a kizárást egy csoporthoz, és válassza a Tovább gombot.

  9. Válassza a Mentés elemet.

A felügyeleti konzolról

A JAMF-ből, az Intune-ból vagy más felügyeleti konzolból való kizárások konfigurálásáról további információt a Végponthoz készült Defender beállításainak megadása Mac gépen című témakörben talál.

A felhasználói felületről

  1. Nyissa meg a Végponthoz készült Defender alkalmazást, és lépjen a Beállítások> kezeléseKizárás hozzáadása vagy eltávolítása... területre az alábbi képernyőképen látható módon:

    A Kizárások kezelése lap

  2. Válassza ki a hozzáadni kívánt kizárás típusát, és kövesse az utasításokat.

Kizárási listák ellenőrzése az EICAR tesztfájllal

A tesztfájl letöltésével curl ellenőrizheti, hogy a kizárási listák működnek-e.

A következő Bash-kódrészletben cserélje le test.txt a elemet egy olyan fájlra, amely megfelel a kizárási szabályoknak. Ha például kizárta a bővítményt, cserélje le a .testing értéket a következőre test.txttest.testing: . Ha egy elérési utat tesztel, győződjön meg arról, hogy az adott elérési úton futtatja a parancsot.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Ha a Végponthoz készült Defender Macen kártevőt jelent, akkor a szabály nem működik. Ha nincs kártevőről szóló jelentés, és a letöltött fájl létezik, akkor a kizárás működik. A fájlt megnyitva ellenőrizheti, hogy a tartalom megegyezik-e az EICAR-tesztfájl webhelyén ismertetett tartalommal.

Ha nincs internetkapcsolata, létrehozhatja saját EICAR-tesztfájlját. Írja be az EICAR-sztringet egy új szövegfájlba a következő Bash-paranccsal:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

A sztringet egy üres szövegfájlba is másolhatja, és megpróbálhatja menteni a fájlnévvel vagy a kizárni kívánt mappában.

Fenyegetések engedélyezése

Amellett, hogy kizár bizonyos tartalmakat a vizsgálatból, konfigurálhatja azt is, hogy a termék ne észlelje a fenyegetések egyes osztályait (amelyeket a fenyegetés neve azonosít). A funkció használatakor körültekintően járjon el, mivel az eszköz védtelen marad.

Ha fenyegetésnevet szeretne hozzáadni az engedélyezett listához, hajtsa végre a következő parancsot:

mdatp threat allowed add --name [threat-name]

Az eszközön az észleléshez társított fenyegetés neve a következő paranccsal kérhető le:

mdatp threat list

Ha például az EICAR-észleléshez társított fenyegetésnevet szeretné hozzáadni EICAR-Test-File (not a virus) az engedélyezett listához, hajtsa végre a következő parancsot:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.