macOS でのMicrosoft Defender for Endpointの除外の構成と検証
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
この記事では、オンデマンド スキャンに適用される除外と、リアルタイムの保護と監視を定義する方法について説明します。
重要
この記事で説明する除外は、エンドポイント検出と応答 (EDR) など、他の Defender for Endpoint on Mac 機能には適用されません。 この記事で説明する方法を使用して除外するファイルは、引き続き EDR アラートやその他の検出をトリガーできます。
特定のファイル、フォルダー、プロセス、プロセスで開かれたファイルを Defender for Endpoint on Mac スキャンから除外できます。
除外は、organizationに固有またはカスタマイズされたファイルまたはソフトウェアで誤った検出を回避するのに役立ちます。 また、Defender for Endpoint on Mac によって発生するパフォーマンスの問題を軽減するのにも役立ちます。
除外する必要があるプロセスやパスや拡張機能を絞り込むには、 リアルタイム保護統計を使用してください。
警告
除外を定義すると、Defender for Endpoint on Mac によって提供される保護が低下します。 除外の実装に関連するリスクを常に評価し、悪意のないと確信しているファイルのみを除外する必要があります。
サポートされている除外の種類
次の表は、Defender for Endpoint on Mac でサポートされる除外の種類を示しています。
| 除外 | 定義 | 例 |
|---|---|---|
| ファイル拡張子 | 拡張子を持つすべてのファイル(マシン上の任意の場所) | .test |
| File | 完全パスで識別される特定のファイル | /var/log/test.log |
| フォルダー | 指定したフォルダーの下にあるすべてのファイル (再帰的に) | /var/log/ |
| プロセス | 特定のプロセス (完全なパスまたはファイル名で指定) と、そのプロセスによって開かれたすべてのファイル | /bin/cat |
ファイル、フォルダー、およびプロセスの除外では、次のワイルドカードがサポートされています。
| ワイルドカード | 説明 | 例 |
|---|---|---|
| * | none を含む任意の数の文字と一致します (このワイルドカードがパスの末尾で使用されていない場合は、1 つのフォルダーのみを置き換えます) | /var/*/tmp には、 内 /var/abc/tmp のすべてのファイルとそのサブディレクトリ、 /var/def/tmp およびそのサブディレクトリが含まれます。 含まれていない /var/abc/log か、 /var/def/log
|
| ? | 任意の 1 文字に一致します | file?.logには と がfile2.log含まれますが、 は含file1.logまれませんfile123.log |
注:
パスの末尾で * ワイルドカードを使用すると、ワイルドカードの親の下にあるすべてのファイルとサブディレクトリと一致します。
製品は、除外を評価するときに、firmlinks の解決を試みます。 除外にワイルドカードが含まれている場合、またはターゲット ファイル (ボリューム上) が存在しない場合、 Data Firmlink 解決は機能しません。
macOS でMicrosoft Defender for Endpointのマルウェア対策除外を追加するためのベスト プラクティス。
SecOps またはセキュリティ管理者のみがアクセスできる中央の場所に除外が追加された理由を書き留めます。
例: 提出者、日付、アプリ名、理由、除外情報。
除外の有効期限* があることを確認します
*ISV が、誤検知または CPU 使用率の増加を防ぐために行うことができる追加の調整がないと述べたようにしたアプリを除きます。
サード パーティのマルウェア対策除外は、macOS 上のMicrosoft Defender for Endpointに適用することも適用されなくなった可能性があるため、移行は避けてください。
上位 (より安全) から下位 (最小限のセキュリティ) を考慮する除外の順序:
インジケーター - 証明書 - 許可
- 拡張検証 (EV) コード署名を追加します。
インジケーター - ファイル ハッシュ - 許可
- プロセスまたはデーモンが頻繁に変更されない場合 (たとえば、アプリに毎月のセキュリティ更新プログラムがない場合)。
パス & プロセス
プロセス
Path
拡張子
除外の一覧を構成する方法
[Microsoft Defender for Endpointセキュリティ設定] 管理コンソール
- Microsoft Defender ポータルにログインします。
- [構成管理>エンドポイント セキュリティ ポリシー > ] Create新しいポリシーに移動します
- [プラットフォーム: macOS] の選択
- テンプレートの選択: ウイルス対策の除外をMicrosoft Defenderする
- [Create ポリシー] を選択します
- 名前と説明を入力し、[次へ] を選択します
- ウイルス対策エンジンを展開する
- [追加] を選択します。
- [パス] または [ファイル拡張子] または [ファイル名] を選択します
- [ インスタンスの構成] を選択 し、必要に応じて除外を追加します
- [次へ] を選択します。
- 除外をグループに割り当て、[次へ] を選択します
- [保存] を選びます。
管理コンソールから
JAMF、Intune、またはその他の管理コンソールからの除外を構成する方法の詳細については、「Mac で Defender for Endpoint の基本設定を設定する」を参照してください。
ユーザー インターフェイスから
Defender for Endpoint アプリケーションを開き、次のスクリーンショットに示すように、[設定>の管理] [除外の追加と削除] に移動します。
![[除外の管理] ページ](media/mdatp-37-exclusions.png)
追加する除外の種類を選択し、プロンプトに従います。
![[除外の管理] ページ](media/mdatp-37-exclusions.png#lightbox)
EICAR テスト ファイルを使用して除外リストを検証する
を使用して curl テスト ファイルをダウンロードすることで、除外リストが機能していることを検証できます。
次の Bash スニペットで、 を除外規則に準拠するファイルに置き換えます test.txt 。 たとえば、拡張機能を除外した場合は、 を に.testingtest.testing置き換えますtest.txt。 パスをテストする場合は、そのパス内でコマンドを実行してください。
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Defender for Endpoint on Mac でマルウェアが報告された場合、ルールは機能していません。 マルウェアの報告がなく、ダウンロードしたファイルが存在する場合、除外は機能しています。 ファイルを開いて、 内容が EICAR テスト ファイル Web サイトで説明されているものと同じであることを確認できます。
インターネットにアクセスできない場合は、独自の EICAR テスト ファイルを作成できます。 次の Bash コマンドを使用して、EICAR 文字列を新しいテキスト ファイルに書き込みます。
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
また、空のテキスト ファイルに文字列をコピーし、ファイル名または除外しようとしているフォルダーに保存することもできます。
脅威を許可する
特定のコンテンツをスキャン対象から除外するだけでなく、一部の脅威クラス (脅威名で識別) を検出しないように製品を構成することもできます。 この機能を使用する場合は、デバイスの保護が解除される可能性があるため、注意が必要です。
許可されたリストに脅威名を追加するには、次のコマンドを実行します。
mdatp threat allowed add --name [threat-name]
デバイス上の検出に関連付けられている脅威名は、次のコマンドを使用して取得できます。
mdatp threat list
たとえば、許可されるリストに (EICAR 検出に関連付けられている脅威名) を追加 EICAR-Test-File (not a virus) するには、次のコマンドを実行します。
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示