Mac 用の Microsoft Defender for Endpoint の除外の構成と検証Configure and validate exclusions for Microsoft Defender for Endpoint for Mac

重要

強化された Microsoft 365 セキュリティ センターが パブリック プレビューで利用可能になります。The improved Microsoft 365 security center is now available in public preview. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender、その他が Microsoft 365 セキュリティ センターに追加されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新しい機能について学習しますLearn what's new. このトピックは、Microsoft Defender for Endpoint と Microsoft 365 Defender の両方に適用される場合があります。This topic might apply to both Microsoft Defender for Endpoint and Microsoft 365 Defender. この記事 の「適用対象 」セクションを参照し、違いがある可能性がある特定のコールアウトを探してください。Refer to the Applies To section and look for specific call outs in this article where there might be differences.

適用対象:Applies to:

Defender for Endpoint を体験してみませんか?Want to experience Defender for Endpoint? 無料試用版にサインアップしてください。Sign up for a free trial.

この記事では、オンデマンド スキャンに適用される除外を定義する方法と、リアルタイムの保護と監視について情報を提供します。This article provides information on how to define exclusions that apply to on-demand scans, and real-time protection and monitoring.

重要

この記事で説明されている除外は、エンドポイントの検出と応答 (EDR) を含む、他の Defender for Endpoint for Mac 機能には適用されません。The exclusions described in this article don't apply to other Defender for Endpoint for Mac capabilities, including endpoint detection and response (EDR). この記事で説明されている方法を使用して除外したファイルは、引き続き EDR アラートや他の検出をトリガーできます。Files that you exclude using the methods described in this article can still trigger EDR alerts and other detections.

特定のファイル、フォルダー、プロセス、およびプロセスで開いたファイルを、Defender for Endpoint for Mac スキャンから除外できます。You can exclude certain files, folders, processes, and process-opened files from Defender for Endpoint for Mac scans.

除外の設定は、組織に固有の、または組織に合わせてカスタマイズされたファイルやソフトウェアの誤検出を防止するうえで役立ちます。Exclusions can be useful to avoid incorrect detections on files or software that are unique or customized to your organization. また、Defender for Endpoint for Mac によって引き起こされたパフォーマンスの問題を軽減する場合にも役立ちます。They can also be useful for mitigating performance issues caused by Defender for Endpoint for Mac.

警告

除外を定義すると、Defender for Endpoint for Mac によって提供される保護が低下します。Defining exclusions lowers the protection offered by Defender for Endpoint for Mac. 除外の設定に伴うリスクを常に評価し、危険でないことを確信できるファイルのみを除外する必要があります。You should always evaluate the risks that are associated with implementing exclusions, and you should only exclude files that you are confident are not malicious.

サポートされる除外の種類Supported exclusion types

次の表に、Defender for Endpoint for Mac でサポートされている除外の種類を示します。The follow table shows the exclusion types supported by Defender for Endpoint for Mac.

除外する項目Exclusion 定義Definition Examples
ファイル拡張子File extension 拡張子が付いたすべてのファイル (コンピューター上の任意の場所)All files with the extension, anywhere on the machine .test
ファイルFile 完全なパスで識別される特定のファイルA specific file identified by the full path /var/log/test.log
/var/log/*.log
/var/log/install.?.log
FolderFolder 指定したフォルダー内のすべてのファイル (再帰的)All files under the specified folder (recursively) /var/log/
/var/*/
ProcessProcess 特定のプロセス (完全なパスまたはファイル名で指定) と、そのプロセスで開いたすべてのファイルA specific process (specified either by the full path or file name) and all files opened by it /bin/cat
cat
c?t

ファイル、フォルダー、およびプロセスの除外は、次のワイルドカードをサポートしています。File, folder, and process exclusions support the following wildcards:

ワイルドカードWildcard 説明Description Example 一致Matches 一致しませんDoes not match
* none を含む任意の数の文字に一致します (パス内でこのワイルドカードを使用すると、1 つのフォルダーのみを置き換える点に注意してください)。Matches any number of any characters including none (note that when this wildcard is used inside a path it will substitute only one folder) /var/*/*.log /var/log/system.log /var/log/nested/system.log
?? 任意の 1 文字に一致しますMatches any single character file?.log file1.log
file2.log
file123.log

注意

製品は除外を評価するときに、firmlinks の解決を試みる。The product attempts to resolve firmlinks when evaluating exclusions. 除外にワイルドカードが含まれている場合や、(ボリューム上の) ターゲット ファイルが存在しない場合、固定リンク解決 Data は機能しません。Firmlink resolution does not work when the exclusion contains wildcards or the target file (on the Data volume) does not exist.

除外の一覧を構成する方法How to configure the list of exclusions

管理コンソールからFrom the management console

JAMF、Intune、または別の管理コンソールからの除外を構成する方法の詳細については 、「Mac用の Defender for Endpoint の基本設定を設定する」を参照してください。For more information on how to configure exclusions from JAMF, Intune, or another management console, see Set preferences for Defender for Endpoint for Mac.

ユーザー インターフェイスからFrom the user interface

次のスクリーンショットに示すように、Defender **** for Endpoint アプリケーションを開き、[管理] 設定の [除外の追加と削除] > **** に移動します。Open the Defender for Endpoint application and navigate to Manage settings > Add or Remove Exclusion..., as shown in the following screenshot:

除外の管理のスクリーンショット

追加する除外の種類を選択し、プロンプトに従います。Select the type of exclusion that you wish to add and follow the prompts.

EICAR テスト ファイルを使った除外一覧の検証Validate exclusions lists with the EICAR test file

テスト ファイルをダウンロードすることで、除外一覧が機能 curl しているのを検証できます。You can validate that your exclusion lists are working by using curl to download a test file.

次の Bash スニペットでは、除外 test.txt ルールに準拠したファイルに置き換えます。In the following Bash snippet, replace test.txt with a file that conforms to your exclusion rules. たとえば、拡張機能を除外した場合は、 .testing 次の値に置き換 test.txt える必要があります test.testingFor example, if you have excluded the .testing extension, replace test.txt with test.testing. パスをテストする場合は、そのパス内でコマンドを実行してください。If you are testing a path, ensure that you run the command within that path.

curl -o test.txt https://www.eicar.org/download/eicar.com.txt

Defender for Endpoint for Mac がマルウェアを報告する場合、ルールは機能していません。If Defender for Endpoint for Mac reports malware, then the rule is not working. マルウェアがレポートされず、ダウンロードしたファイルが存在する場合、除外は機能しています。If there is no report of malware, and the downloaded file exists, then the exclusion is working. ファイルを開き、内容が EICAR テスト ファイルの Web サイトで説明されている内容と 同じことを確認できますYou can open the file to confirm that the contents are the same as what is described on the EICAR test file website.

インターネットにアクセスできない場合は、独自の EICAR テスト ファイルを作成できます。If you do not have Internet access, you can create your own EICAR test file. 次の Bash コマンドを使用して、EICAR 文字列を新しいテキスト ファイルに書き込む。Write the EICAR string to a new text file with the following Bash command:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

この文字列を空のテキスト ファイルにコピーし、除外するファイルの名前を付けて、除外するフォルダーに保存することもできます。You can also copy the string into a blank text file and attempt to save it with the file name or in the folder you are attempting to exclude.

脅威を許可するAllow threats

特定のコンテンツをスキャン対象から除外する以外に、(脅威名で識別される) 一部の種類の脅威を検出しない製品を構成することもできます。In addition to excluding certain content from being scanned, you can also configure the product not to detect some classes of threats (identified by the threat name). この機能を使用する場合は、デバイスの保護を解除する可能性があります。You should exercise caution when using this functionality, as it can leave your device unprotected.

許可リストに脅威名を追加するには、次のコマンドを実行します。To add a threat name to the allowed list, execute the following command:

mdatp threat allowed add --name [threat-name]

デバイス上の検出に関連付けられた脅威の名前は、次のコマンドを使用して取得できます。The threat name associated with a detection on your device can be obtained using the following command:

mdatp threat list

たとえば、許可リストに (EICAR 検出に関連付けられた脅威名) を追加するには、次 EICAR-Test-File (not a virus) のコマンドを実行します。For example, to add EICAR-Test-File (not a virus) (the threat name associated with the EICAR detection) to the allowed list, execute the following command:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"