Condividi tramite


Configurare e convalidare le esclusioni per Microsoft Defender per endpoint in macOS

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Questo articolo fornisce informazioni su come definire esclusioni applicabili alle analisi su richiesta e alla protezione e al monitoraggio in tempo reale.

Importante

Le esclusioni descritte in questo articolo non si applicano ad altre funzionalità di Defender per endpoint in Mac, tra cui il rilevamento e la risposta degli endpoint (EDR). I file esclusi usando i metodi descritti in questo articolo possono comunque attivare avvisi EDR e altri rilevamenti.

È possibile escludere determinati file, cartelle, processi e file aperti dal processo dalle analisi di Defender per endpoint in Mac.

Le esclusioni possono essere utili per evitare rilevamenti non corretti su file o software univoci o personalizzati per l'organizzazione. Possono anche essere utili per attenuare i problemi di prestazioni causati da Defender per endpoint su Mac.

Per limitare il processo e/o il percorso e/o l'estensione da escludere, usare le statistiche di protezione in tempo reale.

Avviso

La definizione delle esclusioni riduce la protezione offerta da Defender per endpoint su Mac. È consigliabile valutare sempre i rischi associati all'implementazione delle esclusioni e escludere solo i file sicuri che non siano dannosi.

Tipi di esclusione supportati

La tabella seguente illustra i tipi di esclusione supportati da Defender per endpoint in Mac.

Esclusione Definizione Esempi
Estensione del file Tutti i file con l'estensione, in qualsiasi punto del computer .test
File Un file specifico identificato dal percorso completo /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Cartella Tutti i file nella cartella specificata (in modo ricorsivo) /var/log/

/var/*/

Procedura Un processo specifico (specificato dal percorso completo o dal nome del file) e tutti i file da esso aperti /bin/cat

cat

c?t

Le esclusioni di file, cartelle e processi supportano i caratteri jolly seguenti:

Carattere jolly Descrizione Esempi
* Corrisponde a un numero qualsiasi di caratteri, tra cui nessuno (si noti che se questo carattere jolly non viene usato alla fine del percorso, sostituisce una sola cartella) /var/*/tmp include qualsiasi file in /var/abc/tmp e le relative sottodirectory e /var/def/tmp le relative sottodirectory. Non include /var/abc/log o /var/def/log

/var/*/ include qualsiasi file in /var e le relative sottodirectory.

? Corrisponde a qualsiasi carattere singolo file?.log include file1.log e file2.log, ma non file123.log

Nota

Quando si usa il carattere jolly * alla fine del percorso, corrisponderà a tutti i file e le sottodirectory nell'elemento padre del carattere jolly.

Il prodotto tenta di risolvere i collegamenti firm durante la valutazione delle esclusioni. La risoluzione firmlink non funziona quando l'esclusione contiene caratteri jolly o il file di destinazione (nel Data volume) non esiste.

Procedure consigliate per l'aggiunta di esclusioni antimalware per Microsoft Defender per endpoint in macOS.

  1. Annotare il motivo per cui un'esclusione è stata aggiunta a una posizione centrale in cui solo secOps e/o amministratore della sicurezza hanno accesso. Ad esempio, elencare le informazioni sull'invio, la data, il nome dell'app, il motivo e l'esclusione.

  2. Assicurarsi di avere una data di scadenza* per le esclusioni

    *ad eccezione delle app che l'ISV ha dichiarato che non è possibile apportare altre modifiche per evitare che si verifichi un falso positivo o un utilizzo della CPU superiore.

  3. Evitare di eseguire la migrazione di esclusioni antimalware non Microsoft perché potrebbero non essere più applicabili né applicabili a Microsoft Defender per endpoint in macOS.

  4. Ordine delle esclusioni da considerare dall'alto (più sicuro) al basso (meno sicuro):

    1. Indicatori - Certificato - Consenti

      1. Aggiungere una firma di codice EV (Extended Validation).
    2. Indicatori - Hash file - consenti

      1. Se un processo o un daemon non cambia spesso, ad esempio, l'app non ha un aggiornamento della sicurezza mensile.
    3. Processo di & percorso

    4. Procedura

    5. Percorso

    6. Extension

Come configurare l'elenco delle esclusioni

Usare la console di gestione delle impostazioni di sicurezza di Microsoft Defender per endpoint

  1. Accedere al portale di Microsoft Defender.

  2. Passare a Criteri di sicurezza >degli endpointdi gestione della configurazione>Crea nuovi criteri.

    • Selezionare Piattaforma: macOS
    • Seleziona modello: Esclusioni di Microsoft Defender Antivirus
  3. Selezionare Crea criteri.

  4. Immettere un nome e una descrizione e selezionare Avanti.

  5. Espandere Motore antivirus e quindi selezionare Aggiungi.

  6. Selezionare Percorso o Estensione file o Nome file.

  7. Selezionare Configura istanza e aggiungere le esclusioni in base alle esigenze. Quindi, scegliere Avanti.

  8. Assegnare l'esclusione a un gruppo e selezionare Avanti.

  9. Selezionare Salva.

Dalla console di gestione

Per altre informazioni su come configurare le esclusioni da JAMF, Intune o da un'altra console di gestione, vedere Impostare le preferenze per Defender per endpoint in Mac.

Dall'interfaccia utente

  1. Aprire l'applicazione Defender per endpoint e passare a Gestisci impostazioni>Aggiungi o Rimuovi esclusione..., come illustrato nello screenshot seguente:

    Pagina Gestisci esclusioni

  2. Selezionare il tipo di esclusione da aggiungere e seguire le istruzioni.

Convalidare gli elenchi di esclusioni con il file di test EICAR

È possibile verificare che gli elenchi di esclusione funzionino usando curl per scaricare un file di test.

Nel frammento di codice Bash seguente sostituire test.txt con un file conforme alle regole di esclusione. Ad esempio, se l'estensione è .testing stata esclusa, sostituire test.txt con test.testing. Se si sta testando un percorso, assicurarsi di eseguire il comando all'interno di tale percorso.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Se Defender per endpoint su Mac segnala malware, la regola non funziona. Se non è presente alcun report di malware e il file scaricato esiste, l'esclusione funziona. È possibile aprire il file per verificare che il contenuto sia uguale a quello descritto nel sito Web del file di test EICAR.

Se non si ha accesso a Internet, è possibile creare un file di test EICAR personalizzato. Scrivere la stringa EICAR in un nuovo file di testo con il comando Bash seguente:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

È anche possibile copiare la stringa in un file di testo vuoto e tentare di salvarla con il nome del file o nella cartella che si sta tentando di escludere.

Consenti minacce

Oltre ad escludere l'analisi di alcuni contenuti, è anche possibile configurare il prodotto per non rilevare alcune classi di minacce (identificate dal nome della minaccia). È consigliabile prestare attenzione quando si usa questa funzionalità, in quanto può lasciare il dispositivo non protetto.

Per aggiungere un nome di minaccia all'elenco consentito, eseguire il comando seguente:

mdatp threat allowed add --name [threat-name]

Il nome della minaccia associato a un rilevamento nel dispositivo può essere ottenuto usando il comando seguente:

mdatp threat list

Ad esempio, per aggiungere EICAR-Test-File (not a virus) (il nome della minaccia associato al rilevamento EICAR) all'elenco consentito, eseguire il comando seguente:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.