Udostępnij za pośrednictwem


Konfigurowanie i weryfikowanie wykluczeń dla usługi Microsoft Defender dla punktu końcowego w systemie macOS

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Ten artykuł zawiera informacje na temat definiowania wykluczeń dotyczących skanowania na żądanie oraz ochrony i monitorowania w czasie rzeczywistym.

Ważna

Wykluczenia opisane w tym artykule nie mają zastosowania do innych funkcji usługi Defender for Endpoint na komputerach Mac, w tym do wykrywania punktów końcowych i reagowania (EDR). Pliki wykluczone przy użyciu metod opisanych w tym artykule mogą nadal wyzwalać alerty EDR i inne wykrycia.

Niektóre pliki, foldery, procesy i pliki otwierane przez proces można wykluczyć ze skanowania usługi Defender for Endpoint na komputerach Mac.

Wykluczenia mogą być przydatne, aby uniknąć nieprawidłowych wykryć plików lub oprogramowania, które są unikatowe lub dostosowane do organizacji. Mogą one być również przydatne w przypadku ograniczania problemów z wydajnością spowodowanych przez usługę Defender for Endpoint na komputerach Mac.

Aby zawęzić proces i/lub ścieżkę i/lub rozszerzenie, które należy wykluczyć, użyj statystyk ochrony w czasie rzeczywistym.

Ostrzeżenie

Definiowanie wykluczeń obniża ochronę oferowaną przez usługę Defender for Endpoint na komputerach Mac. Należy zawsze oceniać ryzyko związane z implementowaniem wykluczeń i należy wykluczać tylko pliki, które są pewne, że nie są złośliwe.

Obsługiwane typy wykluczeń

W poniższej tabeli przedstawiono typy wykluczeń obsługiwane przez usługę Defender dla punktu końcowego na komputerze Mac.

Wykluczenia Definicja Przykłady
Formatem Wszystkie pliki z rozszerzeniem w dowolnym miejscu na maszynie .test
Plik Określony plik zidentyfikowany za pomocą pełnej ścieżki /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Folder Wszystkie pliki w określonym folderze (cyklicznie) /var/log/

/var/*/

Proces Określony proces (określony przez pełną ścieżkę lub nazwę pliku) i wszystkie otwarte przez niego pliki /bin/cat

cat

c?t

Wykluczenia plików, folderów i procesów obsługują następujące symbole wieloznaczne:

Symbol wieloznaczny Opis Przykłady
* Dopasowuje dowolną liczbę znaków, w tym brak (należy pamiętać, że jeśli ten symbol wieloznaczny nie jest używany na końcu ścieżki, zastępuje tylko jeden folder) /var/*/tmp zawiera dowolny plik i /var/abc/tmp jego podkatalogi oraz /var/def/tmp jego podkatalogi. Nie zawiera /var/abc/log ani /var/def/log

/var/*/ zawiera dowolny plik i /var jego podkatalogi.

? Dopasowuje dowolny pojedynczy znak file?.log zawiera file1.log i file2.log, ale nie file123.log

Uwaga

W przypadku korzystania z symbolu wieloznacznego * na końcu ścieżki będzie ona zgodna ze wszystkimi plikami i podkatalogami w obszarze nadrzędnym symbolu wieloznacznego.

Podczas oceny wykluczeń produkt próbuje rozwiązać problemy z firmlinkami. Rozwiązanie firmlink nie działa, gdy wykluczenie zawiera symbole wieloznaczne lub plik docelowy (na woluminie Data ) nie istnieje.

Najlepsze rozwiązania dotyczące dodawania wykluczeń ochrony przed złośliwym kodem dla usługi Microsoft Defender for Endpoint w systemie macOS.

  1. Zapisz, dlaczego wykluczenie zostało dodane do centralnej lokalizacji, w której dostęp mają tylko usługi SecOps i/lub administrator zabezpieczeń. Na przykład wyświetl listę osób przesyłających, datę, nazwę aplikacji, przyczynę i informacje o wykluczeniu.

  2. Upewnij się, że dla wykluczeń jest określona data wygaśnięcia*

    *z wyjątkiem aplikacji, które isv stwierdził, że nie ma innego dostosowania, które można zrobić, aby zapobiec fałszywie dodatnie lub wyższe wykorzystanie procesora cpu występuje.

  3. Unikaj migrowania wykluczeń ochrony przed złośliwym kodem innych niż Microsoft, ponieważ mogą one nie mieć już zastosowania ani mieć zastosowania do usługi Microsoft Defender for Endpoint w systemie macOS.

  4. Kolejność wykluczeń, które należy wziąć pod uwagę od góry (bezpieczniejsze) do dołu (najmniej bezpieczne):

    1. Wskaźniki — certyfikat — zezwalaj

      1. Dodaj podpisywanie kodu rozszerzonej weryfikacji (EV).
    2. Wskaźniki — skrót pliku — zezwalaj

      1. Jeśli proces lub demon nie zmienia się często, na przykład aplikacja nie ma miesięcznej aktualizacji zabezpieczeń.
    3. Proces & ścieżki

    4. Proces

    5. Ścieżka

    6. Rozszerzenie

Jak skonfigurować listę wykluczeń

Korzystanie z konsoli zarządzania ustawieniami zabezpieczeń usługi Microsoft Defender dla punktów końcowych

  1. Zaloguj się do portalu usługi Microsoft Defender.

  2. Przejdź do pozycji Zasady >zabezpieczeń punktu końcowegozarządzania konfiguracją>Utwórz nowe zasady.

    • Wybierz pozycję Platforma: macOS
    • Wybierz szablon: Wykluczenia programu antywirusowego Microsoft Defender
  3. Wybierz pozycję Utwórz zasady.

  4. Wprowadź nazwę i opis, a następnie wybierz pozycję Dalej.

  5. Rozwiń węzeł Aparat antywirusowy, a następnie wybierz pozycję Dodaj.

  6. Wybierz pozycję Ścieżka , Rozszerzenie pliku lub Nazwa pliku.

  7. Wybierz pozycję Konfiguruj wystąpienie i dodaj wykluczenia zgodnie z potrzebami. Następnie wybierz pozycję Dalej.

  8. Przypisz wykluczenie do grupy i wybierz pozycję Dalej.

  9. Wybierz Zapisz.

Z poziomu konsoli zarządzania

Aby uzyskać więcej informacji na temat konfigurowania wykluczeń z jamf, usługi Intune lub innej konsoli zarządzania, zobacz Ustawianie preferencji dla usługi Defender dla punktu końcowego na komputerze Mac.

Z interfejsu użytkownika

  1. Otwórz aplikację Defender for Endpoint i przejdź do pozycji Zarządzaj ustawieniami>Dodaj lub usuń wykluczenie..., jak pokazano na poniższym zrzucie ekranu:

    Strona Zarządzanie wykluczeniami

  2. Wybierz typ wykluczenia, który chcesz dodać, i postępuj zgodnie z monitami.

Weryfikowanie list wykluczeń przy użyciu pliku testowego EICAR

Możesz sprawdzić, czy listy wykluczeń działają, pobierając plik testowy za pomocą polecenia curl .

W poniższym fragmencie kodu powłoki Bash zastąp test.txt ciąg plikiem zgodnym z regułami wykluczeń. Jeśli na przykład wykluczono rozszerzenie, zastąp .testing ciąg test.txttest.testing. Jeśli testujesz ścieżkę, upewnij się, że uruchamiasz polecenie w tej ścieżce.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Jeśli usługa Defender for Endpoint na komputerach Mac zgłasza złośliwe oprogramowanie, reguła nie działa. Jeśli nie ma raportu o złośliwym oprogramowaniu i pobrany plik istnieje, wykluczenie działa. Możesz otworzyć plik, aby potwierdzić, że zawartość jest taka sama jak opisana w witrynie internetowej pliku testowego EICAR.

Jeśli nie masz dostępu do Internetu, możesz utworzyć własny plik testowy EICAR. Zapisz ciąg EICAR w nowym pliku tekstowym za pomocą następującego polecenia powłoki Bash:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Możesz również skopiować ciąg do pustego pliku tekstowego i spróbować go zapisać przy użyciu nazwy pliku lub folderu, który próbujesz wykluczyć.

Zezwalaj na zagrożenia

Oprócz wykluczenia pewnej zawartości ze skanowania można również skonfigurować produkt tak, aby nie wykrywał niektórych klas zagrożeń (identyfikowanych przez nazwę zagrożenia). Należy zachować ostrożność podczas korzystania z tej funkcji, ponieważ może pozostawić urządzenie bez ochrony.

Aby dodać nazwę zagrożenia do listy dozwolonych, wykonaj następujące polecenie:

mdatp threat allowed add --name [threat-name]

Nazwę zagrożenia skojarzoną z wykrywaniem na urządzeniu można uzyskać za pomocą następującego polecenia:

mdatp threat list

Aby na przykład dodać EICAR-Test-File (not a virus) (nazwę zagrożenia skojarzoną z wykrywaniem EICAR) do listy dozwolonych, wykonaj następujące polecenie:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Porada

Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.