Configuración y validación de exclusiones para Microsoft Defender para punto de conexión en macOS

  • Artículo

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

En este artículo se proporciona información sobre cómo definir exclusiones que se aplican a los exámenes a petición y la protección y supervisión en tiempo real.

Importante

Las exclusiones descritas en este artículo no se aplican a otras funcionalidades de Defender para punto de conexión en Mac, incluida la detección y respuesta de puntos de conexión (EDR). Los archivos que se excluyen mediante los métodos descritos en este artículo todavía pueden desencadenar alertas de EDR y otras detecciones.

Puede excluir determinados archivos, carpetas, procesos y archivos abiertos por procesos de los exámenes de Defender para punto de conexión en Mac.

Las exclusiones pueden ser útiles para evitar detecciones incorrectas en archivos o software que son únicos o personalizados para su organización. También pueden ser útiles para mitigar los problemas de rendimiento causados por Defender para punto de conexión en Mac.

Para restringir qué proceso o ruta de acceso y/o extensión debe excluir, use las estadísticas de protección en tiempo real.

Advertencia

La definición de exclusiones reduce la protección que ofrece Defender para punto de conexión en Mac. Siempre debe evaluar los riesgos asociados a la implementación de exclusiones y solo debe excluir los archivos que esté seguro de que no son malintencionados.

Tipos de exclusión admitidos

En la tabla siguiente se muestran los tipos de exclusión admitidos por Defender para punto de conexión en Mac.

Exclusión Definición Ejemplos
Extensión de archivo Todos los archivos con la extensión, en cualquier lugar de la máquina .test
Archivo Un archivo específico identificado por la ruta de acceso completa /var/log/test.log

/var/log/*.log

/var/log/install.?.log
Folder Todos los archivos de la carpeta especificada (de forma recursiva) /var/log/

/var/*/
Proceso Un proceso específico (especificado por la ruta de acceso completa o el nombre de archivo) y todos los archivos abiertos por él /bin/cat

cat

c?t

Las exclusiones de archivos, carpetas y procesos admiten los siguientes caracteres comodín:

Carácter comodín Descripción Ejemplos
* Coincide con cualquier número de caracteres, incluido ninguno (tenga en cuenta que si este carácter comodín no se usa al final de la ruta de acceso, sustituirá solo una carpeta). /var/*/tmp incluye cualquier archivo en /var/abc/tmp y sus subdirectorios, y /var/def/tmp sus subdirectorios. No incluye /var/abc/log ni /var/def/log

/var/*/ incluye cualquier archivo en /var y sus subdirectorios.
? Coincide con cualquier carácter único file?.log incluye file1.log y file2.log, pero no file123.log

Nota:

Al usar el carácter comodín * al final de la ruta de acceso, coincidirá con todos los archivos y subdirectorios del elemento primario del carácter comodín.

El producto intenta resolver los vínculos firmes al evaluar las exclusiones. La resolución de vínculo firme no funciona cuando la exclusión contiene caracteres comodín o el archivo de destino (en el Data volumen) no existe.

Procedimientos recomendados para agregar exclusiones antimalware para Microsoft Defender para punto de conexión en macOS.

  1. Anote por qué se agregó una exclusión a una ubicación central donde solo SecOps o administrador de seguridad tienen acceso.

    Por ejemplo, información de remitente, fecha, nombre de la aplicación, motivo e información de exclusión.

  2. Asegúrese de tener una fecha de expiración* para las exclusiones.

    *Excepto en el caso de las aplicaciones que el ISV indica que no hay ningún ajuste adicional que se pueda realizar para evitar que se produzca el uso de cpu falso positivo o mayor.

  3. Evite migrar exclusiones antimalware de terceros, ya que es posible que ya no sean aplicables ni aplicables a Microsoft Defender para punto de conexión en macOS.

  4. Orden de exclusiones para tener en cuenta la parte superior (más segura) a la parte inferior (menos segura):

    1. Indicadores: certificado: permitir

      1. Agregue una firma de código de validación extendida (EV).

    2. Indicadores: hash de archivo: permitir

      1. Si un proceso o demonio no cambia con frecuencia, por ejemplo, la aplicación no tiene una actualización de seguridad mensual.

    3. Proceso de & de ruta de acceso

    4. Proceso

    5. Ruta de acceso

    6. Extensión

Configuración de la lista de exclusiones

Desde la consola de administración de configuración de seguridad de Microsoft Defender para punto de conexión

  1. Inicie sesión en el portal de Microsoft Defender.
  2. Vaya a Directivas de seguridad > de punto de conexión de administración > de configuración Create nueva directiva
    • Seleccionar plataforma: macOS
    • Seleccionar plantilla: exclusiones Microsoft Defender Antivirus
  3. Seleccionar directiva de Create
  4. Escriba un nombre y una descripción y seleccione Siguiente.
  5. Expandir motor antivirus
  6. Seleccione Agregar
  7. Seleccione Ruta de acceso, Extensión de archivo o Nombre de archivo.
  8. Seleccione Configurar instancia y agregue las exclusiones según sea necesario.
  9. Seleccione Siguiente
  10. Asignar la exclusión a un grupo y seleccionar siguiente
  11. Seleccione Guardar.

Desde la consola de administración

Para obtener más información sobre cómo configurar exclusiones de JAMF, Intune u otra consola de administración, consulte Establecer preferencias para Defender para punto de conexión en Mac.

Desde la interfaz de usuario

  1. Abra la aplicación Defender para punto de conexión y vaya a Administrar la configuración>Agregar o quitar exclusión..., como se muestra en la captura de pantalla siguiente:

    Página Administrar exclusiones

  2. Seleccione el tipo de exclusión que desea agregar y siga las indicaciones.

Validación de listas de exclusiones con el archivo de prueba EICAR

Puede validar que las listas de exclusión funcionan mediante curl para descargar un archivo de prueba.

En el siguiente fragmento de código de Bash, reemplace por test.txt un archivo que se ajuste a las reglas de exclusión. Por ejemplo, si ha excluido la .testing extensión, reemplace por test.txttest.testing. Si va a probar una ruta de acceso, asegúrese de ejecutar el comando dentro de esa ruta de acceso.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Si Defender para punto de conexión en Mac informa de malware, la regla no funciona. Si no hay ningún informe de malware y el archivo descargado existe, la exclusión funciona. Puede abrir el archivo para confirmar que el contenido es el mismo que el que se describe en el sitio web del archivo de prueba EICAR.

Si no tiene acceso a Internet, puede crear su propio archivo de prueba EICAR. Escriba la cadena EICAR en un nuevo archivo de texto con el siguiente comando de Bash:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

También puede copiar la cadena en un archivo de texto en blanco e intentar guardarlo con el nombre de archivo o en la carpeta que intenta excluir.

Permitir amenazas

Además de excluir cierto contenido del examen, también puede configurar el producto para que no detecte algunas clases de amenazas (identificadas por el nombre de la amenaza). Debe tener cuidado al usar esta funcionalidad, ya que puede dejar el dispositivo desprotegido.

Para agregar un nombre de amenaza a la lista permitida, ejecute el siguiente comando:

mdatp threat allowed add --name [threat-name]

El nombre de amenaza asociado a una detección en el dispositivo se puede obtener mediante el siguiente comando:

mdatp threat list

Por ejemplo, para agregar EICAR-Test-File (not a virus) (el nombre de amenaza asociado a la detección de EICAR) a la lista de permitidos, ejecute el siguiente comando:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.