Aracılığıyla paylaş

macOS'ta Uç Nokta için Microsoft Defender için dışlamaları yapılandırma ve doğrulama

  • Şunlara uygulanır: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Bu makalede, isteğe bağlı taramalar ve gerçek zamanlı koruma ve izleme için geçerli olan dışlamaların nasıl tanımlanacağı hakkında bilgi sağlanır. Bu makalede açıklanan dışlamalar, uç nokta algılama ve yanıt (EDR) dahil olmak üzere macOS üzerinde Uç Nokta için Defender özellikleri için geçerli değildir. Bu makalede açıklanan yöntemleri kullanarak dışladığınız dosyalar yine de EDR uyarılarını ve diğer algılamaları tetikleyebilir.

MacOS taramalarında uç nokta için Defender'da belirli dosyaları, klasörleri, işlemleri ve işlem tarafından açılan dosyaları dışlayabilirsiniz. Dışlamalar, kuruluşunuz için benzersiz veya özelleştirilmiş dosya veya yazılımlarda yanlış algılamalardan kaçınmak için yararlı olabilir. Bunlar, macOS'ta Uç Nokta için Defender'ın neden olduğu performans sorunlarını azaltmak için de yararlı olabilir.

Hangi işlemi ve/veya yolu ve/veya uzantıyı hariç tutmanız gerektiğini daraltmak için gerçek zamanlı koruma istatistiklerini kullanın.

Uyarı

Dışlamaların tanımlanması, macOS üzerinde Uç Nokta için Defender tarafından sunulan korumayı düşürür. Dışlamaları uygulamayla ilişkili riskleri her zaman değerlendirmeli ve yalnızca kötü amaçlı olmadığından emin olduğunuz dosyaları hariç tutmalısınız.

Önemli

Birden çok güvenlik çözümlerini yan yana çalıştırmak istiyorsanız bkz. Performans, yapılandırma ve destek konuları.

Uç Nokta için Microsoft Defender eklenen cihazlar için karşılıklı güvenlik dışlamalarını zaten yapılandırmış olabilirsiniz. Çakışmaları önlemek için yine de karşılıklı dışlamalar ayarlamanız gerekiyorsa bkz. Mevcut çözümünüz için dışlama listesine Uç Nokta için Microsoft Defender ekleme.

Desteklenen dışlama türleri

Aşağıdaki tabloda, macOS üzerinde Uç Nokta için Defender tarafından desteklenen dışlama türleri gösterilmektedir.

Dışlama Tanım Örnekler
Dosya uzantısı Uzantılı tüm dosyalar, makinenin herhangi bir yerinde .test
Dosya Tam yol tarafından tanımlanan belirli bir dosya /var/log/test.log

/var/log/*.log

/var/log/install.?.log
Klasör Belirtilen klasör altındaki tüm dosyalar (özyinelemeli olarak) /var/log/

/var/*/
Işlem Belirli bir işlem (tam yol veya dosya adıyla belirtilir) ve tarafından açılan tüm dosyalar /bin/cat

cat

c?t

Dosya, klasör ve işlem dışlamaları aşağıdaki joker karakterleri destekler:

Joker Açıklama Örnekler
* Hiçbiri dahil olmak üzere herhangi bir sayıda karakterle eşleşir (bu joker karakter yolun sonunda kullanılmazsa, yalnızca bir klasörü kullanır) /var/*/tmp içindeki tüm dosyaları /var/abc/tmp , alt dizinlerini ve /var/def/tmp alt dizinlerini içerir. Veya içermez /var/abc/log/var/def/log

/var/*/ ve alt dizinlerindeki /var tüm dosyaları içerir.
? Herhangi bir tek karakterle eşleşir file?.logve file2.logiçerirfile1.log, ancak içermezfile123.log

Not

Yolun sonundaki * joker karakteri kullanıldığında, joker karakterin üst öğesi altındaki tüm dosyalar ve alt dizinler eşleştirilir.

Ürün dışlamaları değerlendirirken kesin bağlantıları çözümlemeye çalışır. Dışlama joker karakterler içerdiğinde veya hedef dosya (birimde Data ) mevcut olmadığında kesin bağlantı çözümlemesi çalışmaz.

macOS'ta Uç Nokta için Microsoft Defender için kötü amaçlı yazılımdan koruma dışlamaları eklemeye yönelik en iyi yöntemler

  1. Yalnızca SecOps ve/veya Güvenlik Yöneticisinin erişimi olan merkezi bir konuma neden dışlama eklendiğini yazın. Örneğin, gönderici, tarih, uygulama adı, neden ve dışlama bilgilerini listeleyin.

  2. Dışlamalar için son kullanma tarihi* olduğundan emin olun

    *ISV'nin yanlış pozitif veya daha yüksek cpu kullanımının oluşmasını önlemek için yapılabilecek başka bir ayarlama olmadığını belirttiği uygulamalar dışında.

  3. Microsoft dışı kötü amaçlı yazılımdan koruma dışlamalarını geçirmekten kaçının çünkü artık macOS'ta Uç Nokta için Microsoft Defender için geçerli olmayabilir.

  4. Yukarıdan aşağıya (en az güvenli) dikkate alınacak dışlama sırası:

    1. Göstergeler - Sertifika - izin ver

      1. Genişletilmiş doğrulama (EV) kod imzalaması ekleyin.

    2. Göstergeler - Dosya karması - izin ver

      1. Örneğin, bir işlem veya daemon sık değişmezse, uygulamanın aylık güvenlik güncelleştirmesi yoktur.

    3. Yol & İşlemi

    4. Işlem

    5. Yol

    6. Uzantısı

Dışlama listesini yapılandırma

Uç Nokta için Microsoft Defender Güvenlik Ayarları yönetim konsolunu kullanma

  1. Microsoft Defender portalında oturum açın.

  2. Yapılandırma yönetimi>Uç Nokta Güvenlik İlkeleri>Yeni İlke oluştur'a gidin.

    • Platform: macOS'yi seçin
    • Şablon seçin: virüsten koruma dışlamalarını Microsoft Defender

  3. İlke Oluştur'u seçin.

  4. Bir ad ve açıklama girin ve İleri'yi seçin.

  5. Virüsten koruma altyapısını genişletin ve ekle'yi seçin.

  6. Yol veya Dosya uzantısı veya Dosya adı'nı seçin.

  7. Örneği yapılandır'ı seçin ve gerektiğinde dışlamaları ekleyin. Ardından İleri'yi seçin.

  8. Dışlamayı bir gruba atayın ve İleri'yi seçin.

  9. Kaydet'i seçin.

Yönetim konsolundan

JAMF, Intune veya başka bir yönetim konsolundan dışlamaları yapılandırma hakkında daha fazla bilgi için bkz. Mac'te Uç Nokta için Defender tercihlerini ayarlama.

Kullanıcı arabiriminden

  1. Uç Nokta için Defender uygulamasını açın ve aşağıdaki ekran görüntüsünde gösterildiği gibi Ayarları> YönetDışlama Ekle veya Kaldır... seçeneğine gidin:

    Dışlamaları yönet sayfası

  2. Eklemek istediğiniz dışlama türünü seçin ve istemleri izleyin.

EICAR test dosyasıyla dışlama listelerini doğrulama

Bir test dosyasını indirmek için kullanarak curl dışlama listelerinizin çalıştığını doğrulayabilirsiniz.

Aşağıdaki Bash kod parçacığında öğesini dışlama kurallarınıza uygun bir dosyayla değiştirin test.txt . Örneğin, uzantıyı .testing dışladıysanız değerini ile test.testingdeğiştirintest.txt. Bir yolu test ediyorsanız, komutu bu yol içinde çalıştırdığınızdan emin olun.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

macOS'ta Uç Nokta için Defender kötü amaçlı yazılım bildiriyorsa kural çalışmıyor demektir. Kötü amaçlı yazılım raporu yoksa ve indirilen dosya varsa, dışlama çalışıyor demektir. İçeriğin EICAR test dosyası web sitesinde açıklananla aynı olduğunu onaylamak için dosyayı açabilirsiniz.

İnternet erişiminiz yoksa kendi EICAR test dosyanızı oluşturabilirsiniz. Aşağıdaki Bash komutuyla EICAR dizesini yeni bir metin dosyasına yazın:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Ayrıca dizeyi boş bir metin dosyasına kopyalayabilir ve dosya adıyla veya dışlamaya çalıştığınız klasöre kaydetmeye çalışabilirsiniz.

Tehditlere izin ver

Belirli içeriklerin taranmasını dışlamanın yanı sıra, ürünü bazı tehdit sınıflarını (tehdit adıyla tanımlanır) algılamayacak şekilde de yapılandırabilirsiniz. Bu işlevi kullanırken dikkatli olmanız gerekir, bu nedenle cihazınız korumasız bırakılabilir.

İzin verilenler listesine bir tehdit adı eklemek için aşağıdaki komutu yürütür:

mdatp threat allowed add --name [threat-name]

Cihazınızdaki bir algılamayla ilişkili tehdit adı aşağıdaki komut kullanılarak alınabilir:

mdatp threat list

Örneğin, izin verilenler listesine (EICAR algılamasıyla ilişkili tehdit adı) eklemek EICAR-Test-File (not a virus) için aşağıdaki komutu yürütür:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
  • Last updated on