Uitsluitingen configureren en valideren voor Microsoft Defender voor Eindpunt in macOS
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Dit artikel bevat informatie over het definiëren van uitsluitingen die van toepassing zijn op scans op aanvraag en realtime beveiliging en bewaking.
Belangrijk
De uitsluitingen die in dit artikel worden beschreven, zijn niet van toepassing op andere mogelijkheden van Defender voor Eindpunt op Mac, waaronder eindpuntdetectie en -respons (EDR). Bestanden die u uitsluit met behulp van de methoden die in dit artikel worden beschreven, kunnen nog steeds EDR-waarschuwingen en andere detecties activeren.
U kunt bepaalde bestanden, mappen, processen en proces geopende bestanden uitsluiten van Defender voor Eindpunt op Mac-scans.
Uitsluitingen kunnen handig zijn om onjuiste detecties te voorkomen voor bestanden of software die uniek zijn of zijn aangepast aan uw organisatie. Ze kunnen ook handig zijn voor het beperken van prestatieproblemen die worden veroorzaakt door Defender voor Eindpunt op Mac.
Als u wilt beperken welk proces en/of pad en/of extensie u moet uitsluiten, gebruikt u realtime-protection-statistics.
Waarschuwing
Het definiëren van uitsluitingen verlaagt de beveiliging die wordt geboden door Defender voor Eindpunt op Mac. U moet altijd de risico's evalueren die zijn gekoppeld aan het implementeren van uitsluitingen en u moet alleen bestanden uitsluiten waarvan u zeker weet dat ze niet schadelijk zijn.
Ondersteunde uitsluitingstypen
In de volgende tabel ziet u de uitsluitingstypen die worden ondersteund door Defender voor Eindpunt op Mac.
| Uitsluiting | Definitie | Voorbeelden |
|---|---|---|
| Bestandsextensie | Alle bestanden met de extensie, overal op de computer | .test |
| Bestand | Een specifiek bestand dat wordt geïdentificeerd door het volledige pad | /var/log/test.log |
| Map | Alle bestanden in de opgegeven map (recursief) | /var/log/ |
| Proces | Een specifiek proces (opgegeven door het volledige pad of de bestandsnaam) en alle bestanden die door het proces zijn geopend | /bin/cat |
Uitsluitingen van bestanden, mappen en processen ondersteunen de volgende jokertekens:
| Jokerteken | Beschrijving | Voorbeelden |
|---|---|---|
| * | Komt overeen met een willekeurig aantal tekens, inclusief geen (als dit jokerteken niet wordt gebruikt aan het einde van het pad, wordt slechts één map vervangen) | /var/*/tmp bevat alle bestanden in /var/abc/tmp en de bijbehorende submappen, en /var/def/tmp de bijbehorende submappen. Het omvat /var/abc/log niet of /var/def/log
|
| ? | Komt overeen met een enkel teken | file?.log bevat file1.log en file2.log, maar niet file123.log |
Opmerking
Wanneer u het jokerteken * aan het einde van het pad gebruikt, komt dit overeen met alle bestanden en submappen onder het bovenliggende jokerteken.
Het product probeert firmlinks op te lossen bij het evalueren van uitsluitingen. Firmlink-resolutie werkt niet wanneer de uitsluiting jokertekens bevat of het doelbestand (op het Data volume) niet bestaat.
Aanbevolen procedures voor het toevoegen van antimalware-uitsluitingen voor Microsoft Defender voor Eindpunt in macOS.
Noteer waarom een uitsluiting is toegevoegd aan een centrale locatie waar alleen SecOps en/of Beveiligingsbeheerder toegang hebben.
bijvoorbeeld informatie over inzender, datum, app-naam, reden en uitsluiting.
Zorg ervoor dat u een vervaldatum* hebt voor de uitsluitingen
*behalve voor apps waarvoor de ISV heeft verklaard dat er geen extra tweaking kan worden uitgevoerd om te voorkomen dat het fout-positieve of hogere CPU-gebruik optreedt.
Vermijd het migreren van antimalware-uitsluitingen van derden, omdat deze mogelijk niet meer van toepassing zijn of niet meer van toepassing zijn op Microsoft Defender voor Eindpunt in macOS.
Volgorde van uitsluitingen die van boven (veiliger) naar beneden (minst veilig) moeten worden overwogen:
Indicatoren - Certificaat - toestaan
- Voeg een uitgebreide validatiecode (EV) toe.
Indicatoren - Bestands-hash - toestaan
- Als een proces of daemon niet vaak wordt gewijzigd, heeft de app bijvoorbeeld geen maandelijkse beveiligingsupdate.
Pad & proces
Proces
Pad
Extensie
De lijst met uitsluitingen configureren
Vanuit de beheerconsole van Microsoft Defender voor Eindpunt Beveiligingsinstellingen
- Meld u aan bij de Microsoft Defender-portal.
- Ga naar Configuratiebeheer > Eindpuntbeveiligingsbeleid > Creatie nieuw beleid
- Platform selecteren: macOS
- Sjabloon selecteren: antivirusuitsluitingen Microsoft Defender
- Selecteer Creatie beleid
- Voer een naam en beschrijving in en selecteer Volgende
- Antivirusengine uitvouwen
- Selecteer Toevoegen
- Selecteer Pad of Bestandsextensie of Bestandsnaam
- Selecteer Exemplaar configureren en voeg indien nodig de uitsluitingen toe
- Selecteer Volgende
- Wijs de uitsluiting toe aan een groep en selecteer Volgende
- Selecteer Opslaan
Vanuit de beheerconsole
Zie Voorkeuren instellen voor Defender voor Eindpunt op Mac voor meer informatie over het configureren van uitsluitingen van JAMF, Intune of een andere beheerconsole.
Vanuit de gebruikersinterface
Open de toepassing Defender voor Eindpunt en navigeer naar Instellingen> beherenUitsluiting toevoegen of verwijderen..., zoals wordt weergegeven in de volgende schermopname:
Selecteer het type uitsluiting dat u wilt toevoegen en volg de aanwijzingen.
Uitsluitingslijsten valideren met het EICAR-testbestand
U kunt controleren of uw uitsluitingslijsten werken met behulp van curl en een testbestand te downloaden.
Vervang vervolgens het Bash-fragment test.txt door een bestand dat voldoet aan uw uitsluitingsregels. Als u bijvoorbeeld de .testing-extensie hebt uitgesloten, vervangt u test.txt door test.testing. Als u een pad test, moet u ervoor zorgen dat u de opdracht binnen dat pad uitvoert.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Als Defender voor Eindpunt op Mac malware rapporteert, werkt de regel niet. Als er geen malware wordt gerapporteerd en het gedownloade bestand bestaat, werkt de uitsluiting. U kunt het bestand openen om te bevestigen dat de inhoud hetzelfde is als wat wordt beschreven op de EICAR-testbestandswebsite.
Als u geen internettoegang hebt, kunt u uw eigen EICAR-testbestand maken. Schrijf de EICAR-tekenreeks naar een nieuw tekstbestand met de volgende Bash-opdracht:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
U kunt de tekenreeks ook kopiëren naar een leeg tekstbestand en proberen deze op te slaan met de bestandsnaam of in de map die u probeert uit te sluiten.
Bedreigingen toestaan
Naast het uitsluiten dat bepaalde inhoud wordt gescand, kunt u het product ook zo configureren dat bepaalde klassen bedreigingen niet worden gedetecteerd (geïdentificeerd door de bedreigingsnaam). Wees voorzichtig bij het gebruik van deze functionaliteit, omdat uw apparaat hierdoor onbeveiligd kan raken.
Voer de volgende opdracht uit om een bedreigingsnaam toe te voegen aan de lijst met toegestane bedreigingen:
mdatp threat allowed add --name [threat-name]
De bedreigingsnaam die is gekoppeld aan een detectie op uw apparaat, kan worden verkregen met behulp van de volgende opdracht:
mdatp threat list
Als u bijvoorbeeld EICAR-Test-File (not a virus) (de bedreigingsnaam die is gekoppeld aan de EICAR-detectie) wilt toevoegen aan de lijst met toegestane bedreigingen, voert u de volgende opdracht uit:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor