Configurar e validar exclusões para Microsoft Defender para Ponto de Extremidade no macOS
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Este artigo fornece informações sobre como definir exclusões que se aplicam a verificações sob demanda e proteção e monitoramento em tempo real.
Importante
As exclusões descritas neste artigo não se aplicam a outros recursos do Defender para Ponto de Extremidade no Mac, incluindo EDR (detecção e resposta de ponto de extremidade). Os arquivos que você exclui usando os métodos descritos neste artigo ainda podem disparar alertas EDR e outras detecções.
Você pode excluir determinados arquivos, pastas, processos e arquivos abertos por processo do Defender para Ponto de Extremidade em verificações mac.
Exclusões podem ser úteis para evitar detecções incorretas em arquivos ou softwares exclusivos ou personalizados para sua organização. Eles também podem ser úteis para atenuar problemas de desempenho causados pelo Defender para Ponto de Extremidade no Mac.
Para restringir qual processo e/ou caminho e/ou extensão você precisa excluir, use em tempo real-proteção-estatísticas.
Aviso
Definir exclusões reduz a proteção oferecida pelo Defender para Ponto de Extremidade no Mac. Você sempre deve avaliar os riscos associados à implementação de exclusões, e você só deve excluir arquivos que você está confiante de que não são mal-intencionados.
Tipos de exclusão com suporte
A tabela a seguir mostra os tipos de exclusão compatíveis com o Defender para Ponto de Extremidade no Mac.
| Exclusão | Definição | Exemplos |
|---|---|---|
| Extensão de arquivo | Todos os arquivos com a extensão, em qualquer lugar do computador | .test |
| Arquivo | Um arquivo específico identificado pelo caminho completo | /var/log/test.log |
| Pasta | Todos os arquivos na pasta especificada (recursivamente) | /var/log/ |
| Processo | Um processo específico (especificado pelo caminho completo ou pelo nome do arquivo) e todos os arquivos abertos por ele | /bin/cat |
As exclusões de arquivo, pasta e processo dão suporte aos seguintes curingas:
| Curinga | Descrição | Exemplos |
|---|---|---|
| * | Corresponde a qualquer número de caracteres, incluindo nenhum (observe que se esse curinga não for usado no final do caminho, ele substituirá apenas uma pasta) | /var/*/tmp inclui qualquer arquivo em /var/abc/tmp e seus subdiretórios e /var/def/tmp seus subdiretórios. Ele não inclui /var/abc/log ou /var/def/log
|
| ? | Corresponde a qualquer caractere único | file?.log inclui file1.log e file2.log, mas não file123.log |
Observação
Ao usar o curinga * no final do caminho, ele corresponderá a todos os arquivos e subdiretórios sob o pai do curinga.
O produto tenta resolve firmlinks ao avaliar exclusões. A resolução firmlink não funciona quando a exclusão contém curingas ou o arquivo de destino (no Data volume) não existe.
Melhores práticas para adicionar exclusões antimalware para Microsoft Defender para Ponto de Extremidade no macOS.
Anote por que uma exclusão foi adicionada a um local central em que apenas SecOps e/ou Administrador de Segurança têm acesso.
por exemplo, informações de envio, data, nome do aplicativo, motivo e exclusão.
Certifique-se de ter uma data de validade* para as exclusões
*exceto para aplicativos que o ISV afirmou que não há ajustes adicionais que possam ser feitos para impedir que a utilização de cpu false positivo ou superior ocorra.
Evite migrar exclusões antimalware de terceiros, pois elas podem não ser mais aplicáveis nem aplicáveis a Microsoft Defender para Ponto de Extremidade no macOS.
Ordem de exclusões para considerar a parte superior (mais segura) para baixo (menos segura):
Indicadores – Certificado – permitir
- Adicione uma assinatura de código EV (validação estendida).
Indicadores – Hash de arquivo – permitir
- Se um processo ou daemon não for alterado com frequência, por exemplo, o aplicativo não terá uma atualização de segurança mensal.
Processo de & de Caminho
Processo
Caminho
Extensão
Como configurar a lista de exclusões
No console de gerenciamento configurações de segurança do Microsoft Defender para Ponto de Extremidade
- Faça logon no portal Microsoft Defender.
- Acesse Políticas > de Segurança do ponto de extremidade de gerenciamento > de configuração Create nova política
- Selecione Plataforma: macOS
- Selecionar Modelo: Microsoft Defender exclusões antivírus
- Selecionar política de Create
- Insira um nome e uma descrição e selecione Avançar
- Expandir mecanismo antivírus
- Selecione Adicionar.
- Selecione Caminho ou Extensão de arquivo ou Nome do arquivo
- Selecione Configurar instância e adicione as exclusões conforme necessário
- Selecione Avançar
- Atribuir a exclusão a um grupo e selecionar Avançar
- Selecione Salvar
Do console de gerenciamento
Para obter mais informações sobre como configurar exclusões de JAMF, Intune ou outra console de gerenciamento, consulte Definir preferências para Defender para Ponto de Extremidade no Mac.
Na interface do usuário
Abra o aplicativo Defender para Ponto de Extremidade e navegue até Gerenciar configurações>Adicionar ou Remover Exclusão..., conforme mostrado na seguinte captura de tela:
Selecione o tipo de exclusão que você deseja adicionar e siga os prompts.
Validar listas de exclusões com o arquivo de teste EICAR
Você pode validar que suas listas de exclusão estão funcionando usando curl para baixar um arquivo de teste.
No snippet bash a seguir, substitua por test.txt um arquivo que esteja em conformidade com suas regras de exclusão. Por exemplo, se você excluiu a .testing extensão, substitua por test.testingtest.txt . Se você estiver testando um caminho, verifique se você executa o comando dentro desse caminho.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Se o Defender para Ponto de Extremidade no Mac relatar malware, a regra não estará funcionando. Se não houver nenhum relatório de malware e o arquivo baixado existir, a exclusão estará funcionando. Você pode abrir o arquivo para confirmar se o conteúdo é o mesmo descrito no site do arquivo de teste do EICAR.
Se você não tiver acesso à Internet, poderá criar seu próprio arquivo de teste EICAR. Escreva a cadeia de caracteres EICAR em um novo arquivo de texto com o seguinte comando Bash:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Você também pode copiar a cadeia de caracteres em um arquivo de texto em branco e tentar salvá-la com o nome do arquivo ou na pasta que você está tentando excluir.
Permitir ameaças
Além de excluir determinado conteúdo de ser verificado, você também pode configurar o produto para não detectar algumas classes de ameaças (identificadas pelo nome da ameaça). Você deve ter cuidado ao usar essa funcionalidade, pois ela pode deixar seu dispositivo desprotegido.
Para adicionar um nome de ameaça à lista permitida, execute o seguinte comando:
mdatp threat allowed add --name [threat-name]
O nome da ameaça associado a uma detecção em seu dispositivo pode ser obtido usando o seguinte comando:
mdatp threat list
Por exemplo, para adicionar EICAR-Test-File (not a virus) (o nome da ameaça associado à detecção do EICAR) à lista permitida, execute o seguinte comando:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de