Végponthoz készült Microsoft Defender kizárásainak konfigurálása és ellenőrzése macOS rendszeren
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Ez a cikk az igény szerinti vizsgálatokra, valamint a valós idejű védelemre és monitorozásra vonatkozó kizárások meghatározásáról nyújt tájékoztatást.
Fontos
A cikkben ismertetett kizárások nem vonatkoznak a Végponthoz készült Defender egyéb maces képességeire, beleértve a végpontészlelést és -választ (EDR). A cikkben ismertetett módszerekkel kizárt fájlok továbbra is aktiválhatnak EDR-riasztásokat és más észleléseket.
Kizárhat bizonyos fájlokat, mappákat, folyamatokat és folyamatmegnyitású fájlokat a Végponthoz készült Defenderből a Macen végzett vizsgálatokból.
A kizárások hasznosak lehetnek a szervezet egyedi vagy testre szabott fájljainak vagy szoftvereinek helytelen észlelésének elkerüléséhez. A Végponthoz készült Defender által okozott teljesítményproblémák csökkentéséhez is hasznosak lehetnek Macen.
A kizárandó folyamat és/vagy elérési út és/vagy kiterjesztés szűkítéséhez használjon valós idejű védelmi-statisztikákat.
Figyelmeztetés
A kizárások meghatározása csökkenti a Végponthoz készült Defender által kínált védelmet Macen. Mindig értékelje ki a kizárások implementálásával járó kockázatokat, és csak olyan fájlokat zárjon ki, amelyek biztosan nem rosszindulatúak.
Az alábbi táblázat a Végponthoz készült Defender által támogatott kizárási típusokat mutatja be Macen.
Kirekesztés | Definíció | Példák |
---|---|---|
Fájlkiterjesztés | Minden kiterjesztésű fájl, bárhol a gépen | .test |
Fájl | A teljes elérési út által azonosított konkrét fájl | /var/log/test.log |
Mappa | A megadott mappában lévő összes fájl (rekurzív módon) | /var/log/ |
Folyamat | Egy adott folyamat (amelyet a teljes elérési út vagy a fájlnév határoz meg) és az általa megnyitott összes fájl | /bin/cat |
A fájl-, mappa- és folyamatkizárások a következő helyettesítő karaktereket támogatják:
Helyettesítő | Leírás | Példák |
---|---|---|
* | Tetszőleges számú karaktert tartalmaz, beleértve a egyiket sem (megjegyzés: ha ez a helyettesítő karakter nincs használatban az elérési út végén, akkor csak egy mappát helyettesít) |
/var/*/tmp A tartalmazza a fájlokat /var/abc/tmp és annak alkönyvtárait, valamint /var/def/tmp annak alkönyvtárait. Nem tartalmazza a /var/abc/log vagy a /var/def/log
|
? | Egyetlen karakterre illeszkedik |
file?.log tartalmazza a file1.log és file2.log a elemet, de nem file123.log |
Megjegyzés
Ha az elérési út végén a * helyettesítő karaktert használja, az megegyezik a helyettesítő karakter szülője alatti összes fájllal és alkönyvtáral.
A termék a kizárások kiértékelésekor megkísérli feloldani a firmlinkeket. A firmlink feloldása nem működik, ha a kizárás helyettesítő karaktereket tartalmaz, vagy a célfájl (a Data
köteten) nem létezik.
Ajánlott eljárások kártevőirtó kizárások hozzáadásához a végponthoz készült Microsoft Defenderhez macOS rendszeren.
Írja le, hogy miért lett hozzáadva kizárás egy olyan központi helyhez, ahol csak a SecOps és/vagy a biztonsági rendszergazda rendelkezik hozzáféréssel. Listázd például a beküldőt, a dátumot, az alkalmazás nevét, az okot és a kizárási információkat.
Győződjön meg arról, hogy a kizárások lejárati dátuma*
*kivéve azokat az alkalmazásokat, amelyeknél az ISV azt állította, hogy nincs más olyan finomhangolás, amely megakadályozná a hamis pozitív vagy magasabb processzorkihasználtságot.
Kerülje a nem a Microsofttól származó kártevőirtó-kizárások migrálását, mivel előfordulhat, hogy a továbbiakban nem alkalmazhatók és nem alkalmazhatók a végponthoz készült Microsoft Defenderre macOS rendszeren.
A kizárások sorrendje a legfelső (biztonságosabb) és az alsó (legkevésbé biztonságos) szempontok figyelembe vételével:
Mutatók – Tanúsítvány – engedélyezés
- Adjon hozzá egy kiterjesztett érvényesítési (EV) kódaláírást.
Mutatók – Fájlkivonat – engedélyezés
- Ha egy folyamat vagy démon nem változik gyakran, például az alkalmazás nem rendelkezik havi biztonsági frissítéssel.
Elérési út & folyamat
Folyamat
Elérési út
Kiterjesztés
Jelentkezzen be a Microsoft Defender portálra.
Lépjen a Konfigurációkezelés>végpontbiztonsági szabályzatok>Új szabályzat létrehozása szakaszra.
- Platform kiválasztása: macOS
- Sablon kiválasztása: Microsoft Defender víruskereső kizárásai
Válassza a Szabályzat létrehozása lehetőséget.
Adjon meg egy nevet és egy leírást, majd válassza a Tovább gombot.
Bontsa ki a Víruskereső motor elemet, majd válassza a Hozzáadás lehetőséget.
Válassza az Elérési út , a Fájlkiterjesztés vagy a Fájlnév lehetőséget.
Válassza a Példány konfigurálása lehetőséget, és szükség szerint adja hozzá a kizárásokat. Ezután válassza a Tovább gombot.
Rendelje hozzá a kizárást egy csoporthoz, és válassza a Tovább gombot.
Válassza a Mentés elemet.
A JAMF-ből, az Intune-ból vagy más felügyeleti konzolból való kizárások konfigurálásáról további információt a Végponthoz készült Defender beállításainak megadása Mac gépen című témakörben talál.
Nyissa meg a Végponthoz készült Defender alkalmazást, és lépjen a Beállítások> kezeléseKizárás hozzáadása vagy eltávolítása... területre az alábbi képernyőképen látható módon:
Válassza ki a hozzáadni kívánt kizárás típusát, és kövesse az utasításokat.
A tesztfájl letöltésével curl
ellenőrizheti, hogy a kizárási listák működnek-e.
A következő Bash-kódrészletben cserélje le test.txt
a elemet egy olyan fájlra, amely megfelel a kizárási szabályoknak. Ha például kizárta a bővítményt, cserélje le a .testing
értéket a következőre test.txt
test.testing
: . Ha egy elérési utat tesztel, győződjön meg arról, hogy az adott elérési úton futtatja a parancsot.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Ha a Végponthoz készült Defender Macen kártevőt jelent, akkor a szabály nem működik. Ha nincs kártevőről szóló jelentés, és a letöltött fájl létezik, akkor a kizárás működik. A fájlt megnyitva ellenőrizheti, hogy a tartalom megegyezik-e az EICAR-tesztfájl webhelyén ismertetett tartalommal.
Ha nincs internetkapcsolata, létrehozhatja saját EICAR-tesztfájlját. Írja be az EICAR-sztringet egy új szövegfájlba a következő Bash-paranccsal:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
A sztringet egy üres szövegfájlba is másolhatja, és megpróbálhatja menteni a fájlnévvel vagy a kizárni kívánt mappában.
Amellett, hogy kizár bizonyos tartalmakat a vizsgálatból, konfigurálhatja azt is, hogy a termék ne észlelje a fenyegetések egyes osztályait (amelyeket a fenyegetés neve azonosít). A funkció használatakor körültekintően járjon el, mivel az eszköz védtelen marad.
Ha fenyegetésnevet szeretne hozzáadni az engedélyezett listához, hajtsa végre a következő parancsot:
mdatp threat allowed add --name [threat-name]
Az eszközön az észleléshez társított fenyegetés neve a következő paranccsal kérhető le:
mdatp threat list
Ha például az EICAR-észleléshez társított fenyegetésnevet szeretné hozzáadni EICAR-Test-File (not a virus)
az engedélyezett listához, hajtsa végre a következő parancsot:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Tipp.
Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.