次の方法で共有


macOS 上の Microsoft Defender for Endpoint の除外を構成して検証する

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

この記事では、オンデマンド スキャンに適用される除外と、リアルタイムの保護と監視を定義する方法について説明します。

重要

この記事で説明する除外は、エンドポイント検出と応答 (EDR) など、他の Defender for Endpoint on Mac 機能には適用されません。 この記事で説明する方法を使用して除外するファイルは、引き続き EDR アラートやその他の検出をトリガーできます。

特定のファイル、フォルダー、プロセス、プロセスで開かれたファイルを Defender for Endpoint on Mac スキャンから除外できます。

除外は、組織に固有またはカスタマイズされたファイルまたはソフトウェアで誤った検出を回避するのに役立ちます。 また、Defender for Endpoint on Mac によって発生するパフォーマンスの問題を軽減するのにも役立ちます。

除外する必要があるプロセスやパスや拡張機能を絞り込むには、 リアルタイム保護統計を使用します

警告

除外を定義すると、Defender for Endpoint on Mac によって提供される保護が低下します。 除外の実装に関連するリスクを常に評価し、悪意のないと確信しているファイルのみを除外する必要があります。

サポートされている除外の種類

次の表は、Defender for Endpoint on Mac でサポートされる除外の種類を示しています。

除外 定義
ファイル拡張子 拡張子を持つすべてのファイル(マシン上の任意の場所) .test
File 完全パスで識別される特定のファイル /var/log/test.log

/var/log/*.log

/var/log/install.?.log

フォルダー 指定したフォルダーの下にあるすべてのファイル (再帰的に) /var/log/

/var/*/

プロセス 特定のプロセス (完全なパスまたはファイル名で指定) と、そのプロセスによって開かれたすべてのファイル /bin/cat

cat

c?t

ファイル、フォルダー、およびプロセスの除外では、次のワイルドカードがサポートされています。

ワイルドカード 説明
* none を含む任意の数の文字と一致します (このワイルドカードがパスの末尾で使用されていない場合は、1 つのフォルダーのみを置き換えます) /var/*/tmp には、 内 /var/abc/tmp のすべてのファイルとそのサブディレクトリ、 /var/def/tmp およびそのサブディレクトリが含まれます。 または は含 /var/abc/log まれません。 /var/def/log

/var/*/ には、 内 /var のすべてのファイルとそのサブディレクトリが含まれます。

? 任意の 1 文字に一致します file?.logには と がfile2.log含まれますが、 は含file1.logまれませんfile123.log

注:

パスの末尾で * ワイルドカードを使用すると、ワイルドカードの親の下にあるすべてのファイルとサブディレクトリと一致します。

製品は、除外を評価するときに、firmlinks の解決を試みます。 除外にワイルドカードが含まれている場合、またはターゲット ファイル (ボリューム上) が存在しない場合、 Data Firmlink 解決は機能しません。

macOS 上の Microsoft Defender for Endpoint のマルウェア対策除外を追加するためのベスト プラクティス。

  1. SecOps またはセキュリティ管理者のみがアクセスできる中央の場所に除外が追加された理由を書き留めます。 たとえば、提出者、日付、アプリ名、理由、除外情報を一覧表示します。

  2. 除外の有効期限* があることを確認します

    *ISV が、誤検知や CPU 使用率の向上を防ぐために行うことができる他の調整はないと述べたようにしたアプリを除きます。

  3. Microsoft 以外のマルウェア対策除外は、macOS 上の Microsoft Defender for Endpoint に適用されなくなり、適用されなくなる可能性があるため、移行は避けてください。

  4. 上位 (より安全) から下位 (最小限のセキュリティ) を考慮する除外の順序:

    1. インジケーター - 証明書 - 許可

      1. 拡張検証 (EV) コード署名を追加します。
    2. インジケーター - ファイル ハッシュ - 許可

      1. たとえば、プロセスやデーモンが頻繁に変更されない場合、アプリには毎月のセキュリティ更新プログラムはありません。
    3. パス & プロセス

    4. プロセス

    5. Path

    6. 拡張子

除外の一覧を構成する方法

Microsoft Defender for Endpoint Security Settings 管理コンソールを使用する

  1. Microsoft Defender ポータルにサインインします。

  2. [構成管理>エンドポイント セキュリティ ポリシー][新しいポリシーの作成] の順に>移動します。

    • [プラットフォーム: macOS] の選択
    • テンプレートの選択: Microsoft Defender ウイルス対策の除外
  3. [ポリシーを作成する] を選択します。

  4. 名前と説明を入力し、[ 次へ] を選択します。

  5. [ ウイルス対策エンジン] を展開し、[ 追加] を選択します。

  6. [ パス ] または [ ファイル拡張子] または [ ファイル名] を選択します

  7. [ インスタンスの構成] を選択 し、必要に応じて除外を追加します。 [次へ] を選択します。

  8. 除外をグループに割り当て、[ 次へ] を選択します。

  9. [保存] を選択します。

管理コンソールから

JAMF、Intune、またはその他の管理コンソールからの除外を構成する方法の詳細については、「 Mac で Defender for Endpoint の基本設定を設定する」を参照してください。

ユーザー インターフェイスから

  1. Defender for Endpoint アプリケーションを開き、次のスクリーンショットに示すように、[設定>の管理] [除外の追加と削除] に移動します。

    [除外の管理] ページ

  2. 追加する除外の種類を選択し、プロンプトに従います。

EICAR テスト ファイルを使用して除外リストを検証する

を使用して curl テスト ファイルをダウンロードすることで、除外リストが機能していることを検証できます。

次の Bash スニペットで、 を除外規則に準拠するファイルに置き換えます test.txt 。 たとえば、拡張機能を除外した場合は、 を に.testingtest.testing置き換えますtest.txt。 パスをテストする場合は、そのパス内でコマンドを実行してください。

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Defender for Endpoint on Mac でマルウェアが報告された場合、ルールは機能しません。 マルウェアの報告がなく、ダウンロードしたファイルが存在する場合は、除外が機能しています。 ファイルを開いて、 内容が EICAR テスト ファイル Web サイトで説明されているものと同じであることを確認できます。

インターネットにアクセスできない場合は、独自の EICAR テスト ファイルを作成できます。 次の Bash コマンドを使用して、EICAR 文字列を新しいテキスト ファイルに書き込みます。

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

また、空のテキスト ファイルに文字列をコピーし、ファイル名または除外しようとしているフォルダーに保存することもできます。

脅威を許可する

特定のコンテンツをスキャン対象から除外するだけでなく、一部の脅威クラス (脅威名で識別) を検出しないように製品を構成することもできます。 この機能を使用する場合は、デバイスの保護が解除される可能性があるため、注意が必要です。

許可されたリストに脅威名を追加するには、次のコマンドを実行します。

mdatp threat allowed add --name [threat-name]

デバイス上の検出に関連付けられている脅威名は、次のコマンドを使用して取得できます。

mdatp threat list

たとえば、許可されるリストに (EICAR 検出に関連付けられている脅威名) を追加 EICAR-Test-File (not a virus) するには、次のコマンドを実行します。

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。