Jaa

Microsoft Defender for Endpoint poissulkemisten määrittäminen ja vahvistaminen macOS:ssä

  • Artikkeli

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tässä artikkelissa on tietoja siitä, miten voit määrittää pyydettäessä tarkastuksia koskevat poikkeukset sekä reaaliaikaisen suojauksen ja seurannan.

Tärkeää

Tässä artikkelissa kuvatut poikkeukset eivät koske muita Defender for Endpoint on Mac -ominaisuuksia, mukaan lukien päätepisteen tunnistaminen ja vastaus (EDR). Tiedostot, jotka jätetään pois tässä artikkelissa kuvattujen menetelmien avulla, voivat silti käynnistää EDR-ilmoituksia ja muita tunnistuksia.

Voit sulkea pois tiettyjä tiedostoja, kansioita, prosesseja ja prosessin avaamia tiedostoja Defender for Endpointista Mac-skannauksissa.

Poissulkemisista voi olla hyötyä, kun vältetään virheelliset tunnistukset tiedostoissa tai ohjelmissa, jotka ovat yksilöllisiä tai mukautettuja organisaatiollesi. Niistä voi olla hyötyä myös Defender for Endpointin Macissa aiheuttamien suorituskykyongelmien lieventämisessä.

Jos haluat rajata, minkä prosessin ja/tai polun ja/tai laajennuksen on suljettava pois, käytä reaaliaikaisia suojaustilastoja.

Varoitus

Poissulkemisten määrittäminen alentaa Defenderin tarjoamaa suojausta Mac-päätepisteelle. Sinun tulee aina arvioida poissulkemisten toteuttamiseen liittyvät riskit, ja sinun tulisi jättää pois vain tiedostot, joiden olet varma olevan haitallisia.

Tuetut poissulkemistyypit

Seuraavassa taulukossa esitetään poissulkemistyypit, joita Defender tukee Macin päätepisteelle.

Syrjäytymisen Määritelmä Esimerkkejä
Tiedostopääte Kaikki tiedostot, joilla on laajennus, minne tahansa tietokoneessa .test
Tiedosto Koko polun tunnistama tietty tiedosto /var/log/test.log

/var/log/*.log

/var/log/install.?.log
Kansio Kaikki määritetyn kansion tiedostot (rekursiivisesti) /var/log/

/var/*/
Prosessi Tietty prosessi (määritetty joko koko polun tai tiedostonimen mukaan) ja kaikki sen avaamat tiedostot /bin/cat

cat

c?t

Tiedoston, kansion ja prosessin poikkeukset tukevat seuraavia yleismerkkejä:

Yleismerkki Kuvaus Esimerkkejä
* Vastaa mitä tahansa merkkien määrää, mukaan lukien ei mitään (huomaa, että jos tätä yleismerkkiä ei käytetä polun lopussa, se korvaa vain yhden kansion) /var/*/tmp sisältää kaikki -tiedostot /var/abc/tmp ja sen alihakemistot sekä /var/def/tmp sen alihakemistot. Se ei sisällä /var/abc/log tai /var/def/log

/var/*/ sisältää minkä tahansa -tiedoston /var ja sen alihakemistot.
? Vastaa mitä tahansa yksittäistä merkkiä file?.log sisältää file1.log ja file2.log, mutta ei file123.log

Huomautus

Kun *-yleismerkkiä käytetään polun lopussa, se vastaa kaikkia yleismerkin ylätason tiedostoja ja alihakemistoja.

Tuote yrittää ratkaista kiinteät linkit poissulkemisten arvioinnissa. Kiinteän linkin ratkaisu ei toimi, kun poissulkeminen sisältää yleismerkkejä tai kohdetiedostoa ( Data asemassa) ei ole.

Parhaat käytännöt haittaohjelmien torjuntapoikkeamien lisäämiseen Microsoft Defender for Endpoint macOS:ssä.

  1. Kirjoita ylös, miksi poikkeus lisättiin keskitettyyn sijaintiin, jossa vain SecOps- ja/tai Security Administrator -järjestelmänvalvojalla on käyttöoikeus.

    esimerkiksi lähettäjän, päivämäärän, sovelluksen nimen, syyn ja poissulkemisen tiedot.

  2. Varmista, että poissulkemisille on vanhentumispäivä*

    *lukuun ottamatta sovelluksia, joiden ohjelmistokehittäjä on todennut, että lisäsäätöjä ei ole tehtävissä, jotta epätosipositiivinen tai suurempi suorittimen käyttö estetään.

  3. Vältä kolmannen osapuolen haittaohjelmien torjunnan poissulkemisten siirtämistä, koska ne eivät ehkä ole enää sovellettavissa eikä sovellettavissa macOS-Microsoft Defender for Endpoint.

  4. Poissulkemisten järjestys, jota kannattaa pitää ylimpänä (turvallisempana) alhaalla (vähiten turvallinen):

    1. Ilmaisimet – Varmenne – salli

      1. Lisää laajennettu vahvistuskoodin allekirjoitus.

    2. Ilmaisimet - Tiedoston hajautusarvo - salli

      1. Jos prosessi tai daemon ei muutu usein, esim. sovelluksessa ei ole kuukausittaista tietoturvapäivitystä.

    3. Polun & prosessi

    4. Prosessi

    5. Polku

    6. Tiedostopääte

Poissulkemisten luettelon määrittäminen

suojausasetusten hallintakonsolin Microsoft Defender for Endpoint

  1. Kirjaudu Microsoft Defender portaaliin.
  2. Siirry kokoonpanon hallinnan > päätepisteen suojauskäytäntöihin > Create uusi käytäntö
    • Valitse ympäristö: macOS
    • Valitse malli: Microsoft Defender virustentorjunnan poikkeukset
  3. Valitse Create käytäntö
  4. Kirjoita nimi ja kuvaus ja valitse Seuraava
  5. Laajenna virustentorjuntaohjelma
  6. Valitse Lisää
  7. Valitse polku , tiedostotunniste tai tiedostonimi
  8. Valitse Määritä esiintymä ja lisää poikkeukset tarvittaessa
  9. Valitse Seuraava
  10. Määritä poissulkeminen ryhmälle ja valitse Seuraava
  11. Valitse Tallenna

Hallintakonsolista

Lisätietoja siitä, miten voit määrittää jamf-, Intune- tai muun hallintakonsolin poikkeukset, on kohdassa Defender for Endpointin asetusten määrittäminen Macissa.

Käyttöliittymästä

  1. Avaa Defender for Endpoint -sovellus ja siirry kohtaan Asetusten> hallintaLisää tai poista poissulkeminen... seuraavassa näyttökuvassa esitetyllä tavalla:

    Poissulkemisten hallinta -sivu

  2. Valitse lisättävän poissulkemisen tyyppi ja noudata kehotteita.

Vahvista poissulkemisluettelot EICAR-testitiedoston avulla

Voit varmistaa, että poissulkemisluettelot toimivat, lataamalla testitiedoston -toiminnolla curl .

Korvaa seuraavassa Bash-katkelmassa tiedostolla, test.txt joka on poissulkemissääntöjen mukainen. Jos olet esimerkiksi sulkenut laajennuksen .testing pois, korvaa test.txt kohteella test.testing. Jos testaat polkua, varmista, että suoritat komennon kyseisessä polussa.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Jos Defender for Endpoint Macissa raportoi haittaohjelmasta, sääntö ei toimi. Jos haittaohjelmasta ei ole raporttia ja ladattu tiedosto on olemassa, poissulkeminen toimii. Voit avata tiedoston ja vahvistaa, että sisältö on sama kuin EICAR-testitiedoston verkkosivuilla kuvatulla tavalla.

Jos sinulla ei ole Internet-yhteyttä, voit luoda oman EICAR-testitiedoston. Kirjoita EICAR-merkkijono uuteen tekstitiedostoon seuraavalla Bash-komennolla:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Voit myös kopioida merkkijonon tyhjään tekstitiedostoon ja yrittää tallentaa sen tiedostonimellä tai kansioon, jota yrität sulkea pois.

Salli uhat

Sen lisäksi, että voit sulkea pois tietyn sisällön skannaamisen, voit myös määrittää tuotteen olemaan tunnistamatta joitakin uhkien luokkia (uhan nimen tunnistama). Ole varovainen käyttäessäsi tätä toimintoa, sillä se voi jättää laitteen suojaamatta.

Voit lisätä uhkanimen sallittujen luetteloon suorittamalla seuraavan komennon:

mdatp threat allowed add --name [threat-name]

Laitteesi tunnistamiseen liittyvä uhkanimi voidaan saada käyttämällä seuraavaa komentoa:

mdatp threat list

Jos haluat esimerkiksi lisätä EICAR-Test-File (not a virus) (EICAR-tunnistamiseen liittyvän uhan nimen) sallittujen luetteloon, suorita seuraava komento:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.