Konfigurere og validere utelatelser for Microsoft Defender for Endpoint på macOS
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Denne artikkelen inneholder informasjon om hvordan du definerer unntak som gjelder for behovsbetingede skanninger, og sanntidsbeskyttelse og overvåking.
Viktig
Unntakene som er beskrevet i denne artikkelen, gjelder ikke for andre Funksjoner for Defender for Endpoint på Mac, inkludert gjenkjenning av endepunkt og svar (EDR). Filer som du utelater ved hjelp av metodene som er beskrevet i denne artikkelen, kan fortsatt utløse EDR-varsler og andre gjenkjenninger.
Du kan utelate bestemte filer, mapper, prosesser og prosessåpningsfiler fra Defender for Endpoint på Mac-skanninger.
Unntak kan være nyttig for å unngå feil gjenkjenning av filer eller programvare som er unike eller tilpasset organisasjonen. De kan også være nyttige for å redusere ytelsesproblemer forårsaket av Defender for Endpoint på Mac.
Hvis du vil begrense hvilken prosess og/eller bane og/eller utvidelse du må utelate, kan du bruke statistikk for beskyttelse i sanntid.
Advarsel
Når du definerer unntak, reduseres beskyttelsen som tilbys av Defender for Endpoint på Mac. Du bør alltid vurdere risikoene som er knyttet til implementering av utelatelser, og du bør bare utelate filer som du er sikker på ikke er ondsinnede.
Støttede utelatelsestyper
Tabellen nedenfor viser utelatelsestypene som støttes av Defender for Endpoint på Mac.
| Utelukkelse | Definisjon | Eksempler |
|---|---|---|
| Filtype | Alle filer med filtypen, hvor som helst på maskinen | .test |
| Fil | En bestemt fil identifisert av den fullstendige banen | /var/log/test.log |
| Mappe | Alle filer under den angitte mappen (rekursivt) | /var/log/ |
| Prosess | En bestemt prosess (angitt enten med fullstendig bane eller filnavn) og alle filer som åpnes av den | /bin/cat |
Fil-, mappe- og prosessutelukkelse støtter følgende jokertegn:
| Jokertegn | Beskrivelse | Eksempler |
|---|---|---|
| * | Samsvarer med et hvilket som helst antall tegn, inkludert ingen (obs! Hvis jokertegnet ikke brukes på slutten av banen, erstatter det bare én mappe) | /var/*/tmp inneholder alle filer i /var/abc/tmp og underkataloger og /var/def/tmp underkataloger. Den inkluderer /var/abc/log ikke eller /var/def/log
|
| ? | Samsvarer med et hvilket som helst enkelttegn | file?.log inkluderer file1.log og file2.log, men ikke file123.log |
Obs!
Når du bruker jokertegnet * på slutten av banen, vil det samsvare med alle filer og underkataloger under det overordnede jokertegnet.
Produktet forsøker å løse fastkoblinger ved evaluering av utelatelser. Fastkoblingsløsning fungerer ikke når utelukkelsen inneholder jokertegn eller målfilen (på Data volumet) ikke finnes.
Anbefalte fremgangsmåter for å legge til utelukkelser for beskyttelse mot skadelig programvare for Microsoft Defender for endepunkt på macOS.
Skriv ned hvorfor en utelatelse ble lagt til på en sentral plassering der bare SecOps og/eller sikkerhetsadministrator har tilgang. Du kan for eksempel vise innsenderen, datoen, appnavnet, årsaken og utelatelsesinformasjonen.
Pass på at du har en utløpsdato* for utelukkelsene
*bortsett fra apper som ISV uttalte at det ikke finnes noen annen justering som kan gjøres for å hindre at den falske positive eller høyere prosessorutnyttelsen oppstår.
Unngå å overføre utelukkelser som ikke er fra Microsofts beskyttelse mot skadelig programvare, siden de kanskje ikke lenger er gjeldende eller gjelder for Microsoft Defender for Endpoint på macOS.
Rekkefølgen på utelukkelser for å vurdere topp (sikrere) til bunnen (minst sikker):
Indikatorer – Sertifikat – tillat
- Legg til en utvidet valideringskodesignering (EV).
Indikatorer – hash for fil – tillat
- Hvis en prosess eller daemon ikke endres ofte, har for eksempel ikke appen en månedlig sikkerhetsoppdatering.
Bane & prosess
Prosess
Bane
Forlengelse
Slik konfigurerer du listen over utelatelser
Bruke administrasjonskonsollen for sikkerhetsinnstillinger for Microsoft Defender for endepunkt
Logg på Microsoft Defender-portalen.
Gå tilSikkerhetspolicyer> for endepunkt for konfigurasjonsbehandling>Opprett ny policy.
- Velg plattform: macOS
- Velg mal: Utelukkelser for Microsoft Defender Antivirus
Velg Opprett policy.
Skriv inn et navn og en beskrivelse, og velg Neste.
Utvid antivirusmotoren, og velg deretter Legg til.
Velg Bane eller Filtype eller Filnavn.
Velg Konfigurer forekomst , og legg til utelukkelsene etter behov. Velg deretter Neste.
Tilordne utelukkelsen til en gruppe og Velg neste.
Velg Lagre.
Fra administrasjonskonsollen
Hvis du vil ha mer informasjon om hvordan du konfigurerer utelatelser fra JAMF, Intune eller en annen administrasjonskonsoll, kan du se Angi innstillinger for Defender for Endpoint på Mac.
Fra brukergrensesnittet
Åpne Defender for endepunkt-programmet, og gå til Behandle innstillinger>Legg til eller fjern utelukkelse... som vist i følgende skjermbilde:
Velg hvilken type utelukkelse du vil legge til, og følg instruksjonene.
Valider utelatelseslister med EICAR-testfilen
Du kan validere at utelatelseslistene fungerer ved å bruke curl til å laste ned en testfil.
I følgende Bash-kodesnutt erstatter test.txt du med en fil som overholder utelukkelsesreglene. Hvis du for eksempel har utelatt .testing utvidelsen, erstatter test.txt du med test.testing. Hvis du tester en bane, må du kontrollere at du kjører kommandoen i den banen.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Hvis Defender for Endpoint på Mac rapporterer skadelig programvare, fungerer ikke regelen. Hvis det ikke finnes noen rapport om skadelig programvare, og den nedlastede filen finnes, fungerer utelukkelsen. Du kan åpne filen for å bekrefte at innholdet er det samme som det som er beskrevet på nettstedet for EICAR-testfilen.
Hvis du ikke har Internett-tilgang, kan du opprette din egen EICAR-testfil. Skriv EICAR-strengen til en ny tekstfil med følgende Bash-kommando:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Du kan også kopiere strengen til en tom tekstfil og prøve å lagre den med filnavnet eller i mappen du prøver å utelate.
Tillat trusler
I tillegg til å utelate bestemt innhold fra å bli skannet, kan du også konfigurere produktet til ikke å oppdage enkelte typer trusler (identifisert av trusselnavnet). Du bør være forsiktig når du bruker denne funksjonaliteten, da den kan la enheten være ubeskyttet.
Hvis du vil legge til et trusselnavn i den tillatte listen, utfører du følgende kommando:
mdatp threat allowed add --name [threat-name]
Trusselnavnet som er knyttet til en gjenkjenning på enheten, kan hentes ved hjelp av følgende kommando:
mdatp threat list
Hvis du for eksempel vil legge til EICAR-Test-File (not a virus) (trusselnavnet knyttet til EICAR-gjenkjenningen) i den tillatte listen, utfører du følgende kommando:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Tips
Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for