Share via


Konfigurere og validere utelatelser for Microsoft Defender for endepunkt på macOS

Gjelder for:

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Denne artikkelen inneholder informasjon om hvordan du definerer unntak som gjelder for behovsbetingede skanninger, og sanntidsbeskyttelse og overvåking.

Viktig

Unntakene som er beskrevet i denne artikkelen, gjelder ikke for andre Funksjoner for Defender for Endpoint på Mac, inkludert gjenkjenning av endepunkt og svar (EDR). Filer som du utelater ved hjelp av metodene som er beskrevet i denne artikkelen, kan fortsatt utløse EDR-varsler og andre gjenkjenninger.

Du kan utelate bestemte filer, mapper, prosesser og prosessåpningsfiler fra Defender for Endpoint på Mac-skanninger.

Unntak kan være nyttig for å unngå feil gjenkjenning av filer eller programvare som er unike eller tilpasset organisasjonen. De kan også være nyttige for å redusere ytelsesproblemer forårsaket av Defender for Endpoint på Mac.

Hvis du vil begrense hvilken prosess og/eller bane og/eller utvidelse du må utelate, kan du bruke statistikk for beskyttelse i sanntid.

Advarsel

Når du definerer unntak, reduseres beskyttelsen som tilbys av Defender for Endpoint på Mac. Du bør alltid vurdere risikoene som er knyttet til implementering av utelatelser, og du bør bare utelate filer som du er sikker på ikke er ondsinnede.

Støttede utelatelsestyper

Tabellen nedenfor viser utelatelsestypene som støttes av Defender for Endpoint på Mac.

Utelukkelse Definisjon Eksempler
Filtype Alle filer med filtypen, hvor som helst på maskinen .test
Filen En bestemt fil identifisert av den fullstendige banen /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Mappen Alle filer under den angitte mappen (rekursivt) /var/log/

/var/*/

Prosessen En bestemt prosess (angitt enten med fullstendig bane eller filnavn) og alle filer som åpnes av den /bin/cat

cat

c?t

Fil-, mappe- og prosessutelukkelse støtter følgende jokertegn:

Jokertegn Beskrivelse Eksempler
* Samsvarer med et hvilket som helst antall tegn, inkludert ingen (obs! Hvis jokertegnet ikke brukes på slutten av banen, erstatter det bare én mappe) /var/*/tmp inneholder alle filer i /var/abc/tmp og underkataloger og /var/def/tmp underkataloger. Den inkluderer ikke /var/abc/log eller /var/def/log

/var/*/ inneholder alle filer i /var og underkatalogene.

? Samsvarer med et hvilket som helst enkelttegn file?.log inkluderer file1.log og file2.log, men ikke file123.log

Obs!

Når du bruker jokertegnet * på slutten av banen, vil det samsvare med alle filer og underkataloger under det overordnede jokertegnet.

Produktet forsøker å løse fastkoblinger ved evaluering av utelatelser. Fastkoblingsløsning fungerer ikke når utelukkelsen inneholder jokertegn eller målfilen (på Data volumet) ikke finnes.

Anbefalte fremgangsmåter for å legge til utelukkelser for beskyttelse mot skadelig programvare for Microsoft Defender for endepunkt på macOS.

  1. Skriv ned hvorfor en utelatelse ble lagt til på en sentral plassering der bare SecOps og/eller sikkerhetsadministrator har tilgang.

    F.eks. Innsender, dato, appnavn, årsak og utelukkelsesinformasjon.

  2. Pass på at du har en utløpsdato* for utelukkelsene

    *bortsett fra apper som ISV uttalte at det ikke er noen ekstra justering som kan gjøres for å hindre at den falske positive eller høyere prosessorutnyttelsen oppstår.

  3. Unngå å overføre tredjeparts utelukkelser for beskyttelse mot skadelig programvare fordi de ikke lenger gjelder eller gjelder for Microsoft Defender for endepunkt på macOS.

  4. Rekkefølgen på utelukkelser for å vurdere topp (sikrere) til bunnen (minst sikker):

    1. Indikatorer – Sertifikat – tillat

      1. Legg til en utvidet valideringskodesignering (EV).
    2. Indikatorer – hash for fil – tillat

      1. Hvis en prosess eller daemon ikke endres ofte, for eksempel at appen ikke har en månedlig sikkerhetsoppdatering.
    3. Bane & prosess

    4. Prosessen

    5. Bane

    6. Forlengelsen

Slik konfigurerer du listen over utelatelser

Fra administrasjonskonsollen for Microsoft Defender for endepunkt sikkerhetsinnstillinger

  1. Logg på Microsoft Defender-portalen.
  2. Gå til sikkerhetspolicyer > for endepunkt for konfigurasjonsbehandling > Opprett ny policy
    • Velg plattform: macOS
    • Velg mal: Microsoft Defender antivirusutelukkelse
  3. Velg Opprett policy
  4. Skriv inn et navn og en beskrivelse, og velg Neste
  5. Utvid antivirusmotor
  6. Velg Legg til
  7. Velg bane eller filtype eller filnavn
  8. Velg Konfigurer forekomst , og legg til utelukkelsene etter behov
  9. Velg neste
  10. Tilordne utelukkelsen til en gruppe og Velg neste
  11. Velg Lagre

Fra administrasjonskonsollen

Hvis du vil ha mer informasjon om hvordan du konfigurerer utelatelser fra JAMF, Intune eller en annen administrasjonskonsoll, kan du se Angi innstillinger for Defender for Endpoint på Mac.

Fra brukergrensesnittet

  1. Åpne Defender for endepunkt-programmet, og gå til Behandle innstillinger>Legg til eller fjern utelukkelse... som vist i følgende skjermbilde:

    Siden Behandle utelatelser

  2. Velg hvilken type utelukkelse du vil legge til, og følg instruksjonene.

Valider utelatelseslister med EICAR-testfilen

Du kan validere at utelatelseslistene fungerer ved å bruke curl til å laste ned en testfil.

I følgende Bash-kodesnutt erstatter test.txt du med en fil som overholder utelukkelsesreglene. Hvis du for eksempel har utelatt .testing utvidelsen, erstatter test.txt du med test.testing. Hvis du tester en bane, må du kontrollere at du kjører kommandoen i den banen.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Hvis Defender for Endpoint på Mac rapporterer skadelig programvare, fungerer ikke regelen. Hvis det ikke finnes noen rapport om skadelig programvare, og den nedlastede filen finnes, fungerer utelukkelsen. Du kan åpne filen for å bekrefte at innholdet er det samme som det som er beskrevet på nettstedet for EICAR-testfilen.

Hvis du ikke har Internett-tilgang, kan du opprette din egen EICAR-testfil. Skriv EICAR-strengen til en ny tekstfil med følgende Bash-kommando:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Du kan også kopiere strengen til en tom tekstfil og prøve å lagre den med filnavnet eller i mappen du prøver å utelate.

Tillat trusler

I tillegg til å utelate bestemt innhold fra å bli skannet, kan du også konfigurere produktet til ikke å oppdage enkelte typer trusler (identifisert av trusselnavnet). Du bør være forsiktig når du bruker denne funksjonaliteten, da den kan la enheten være ubeskyttet.

Hvis du vil legge til et trusselnavn i den tillatte listen, utfører du følgende kommando:

mdatp threat allowed add --name [threat-name]

Trusselnavnet som er knyttet til en gjenkjenning på enheten, kan hentes ved hjelp av følgende kommando:

mdatp threat list

Hvis du for eksempel vil legge til EICAR-Test-File (not a virus) (trusselnavnet knyttet til EICAR-gjenkjenningen) i den tillatte listen, utfører du følgende kommando:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.