Konfigurera och validera undantag för Microsoft Defender för slutpunkt i macOS

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Den här artikeln innehåller information om hur du definierar undantag som gäller för sökning på begäran, skydd och övervakning i realtid.

Viktigt

Undantag som beskrivs i den här artikeln gäller inte för andra Defender för Slutpunkt på Mac-funktioner, inklusive identifiering och åtgärd på slutpunkt (Identifiering och åtgärd på slutpunkt). Filer som du undantar med de metoder som beskrivs i den här artikeln kan fortfarande utlösa Identifiering och åtgärd på slutpunkt aviseringar och andra identifieringar.

Du kan utesluta vissa filer, mappar, processer och process öppna filer från Defender för Slutpunkt på Mac-genomsökningar.

Undantag kan vara bra för att undvika felaktiga identifieringar av filer eller programvara som är unika eller anpassade för din organisation. De kan också vara användbara för att minska prestandaproblem som orsakas av Defender för Endpoint på Mac.

Varning

När du definierar undantag sänks skyddet som erbjuds av Defender för Slutpunkt på Mac. Du bör alltid utvärdera riskerna som är associerade med att implementera undantag och du bör endast utesluta filer som du är säker på inte är skadliga.

Undantagstyper som stöds

I följande tabell visas de undantagstyper som stöds av Defender för slutpunkt på Mac.

Exkludering Definition Exempel
Filnamnstillägg Alla filer med tillägget, var som helst på datorn .test
Fil En specifik fil som identifieras med den fullständiga sökvägen /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Mapp Alla filer under den angivna mappen (rekursivt) /var/log/

/var/*/

Process En specifik process (anges antingen med den fullständiga sökvägen eller filnamnet) och alla filer som öppnas av den /bin/cat

cat

c?t

Undantag för filer, mappar och processer stöder följande jokertecken:

Jokertecken Beskrivning Exempel Matchningar Matchar inte
* Matchar valbara antal tecken inklusive inga (observera att när det här jokertecknet används inuti en sökväg kommer det bara att ersätta en mapp) /var/*/*.log /var/log/system.log /var/log/nested/system.log
? Matchar ett enstaka tecken file?.log file1.log

file2.log

file123.log

Anteckning

Produkten försöker lösa företagslänkar vid utvärdering av undantag. Firmlink-upplösning fungerar inte när undantaget innehåller jokertecken eller målfilen (i Data volymen) inte finns.

Så här konfigurerar du listan med undantag

Från hanteringskonsolen

Mer information om hur du konfigurerar undantag från JAMF, Intune eller en annan hanteringskonsol finns i Ange inställningar för Defender för slutpunkt på Mac.

Från användargränssnittet

Öppna Defender för slutpunkt och gå till Hantera inställningar Lägg > till eller Ta bort undantag..., enligt följande skärmbild:

Skärmbild av Hantera undantag.

Välj den typ av undantag som du vill lägga till och följ anvisningarna.

Validera undantagslistor med EICAR-testfilen

Du kan verifiera att undantagslistorna fungerar genom att hämta curl en testfil.

I följande Bash-kodstycke ersätter test.txt du med en fil som överensstämmer med dina undantagsregler. Om du till exempel har utelämnat .testing tillägget ersätter du test.txt med test.testing . Om du testar en sökväg bör du kontrollera att du kör kommandot inom den sökvägen.

curl -o test.txt https://www.eicar.org/download/eicar.com.txt

Om Defender för Slutpunkt på Mac rapporterar skadlig programvara fungerar regeln inte. Om det inte finns någon rapport om skadlig programvara, och den nedladdade filen finns, fungerar undantaget. Du kan öppna filen för att bekräfta att innehållet är detsamma som det som beskrivs på EICAR-testfilens webbplats.

Om du inte har tillgång till Internet kan du skapa en egen EICAR-testfil. Skriv EICAR-strängen till en ny textfil med följande Bash-kommando:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Du kan också kopiera strängen till en tom textfil och försöka spara den med filnamnet eller i mappen som du försöker utelämna.

Tillåt hot

Förutom att utesluta att visst innehåll genomsöks kan du också konfigurera produkten så att den inte identifierar vissa klasser av hot (identifieras med hotnamnet). Var försiktig när du använder den här funktionen eftersom den kan lämna enheten oskyddad.

Kör följande kommando för att lägga till ett namn för hot i listan över tillåtna hot:

mdatp threat allowed add --name [threat-name]

Hotnamnet som är associerat med en identifiering på din enhet kan erhållas med följande kommando:

mdatp threat list

Om du till exempel vill lägga EICAR-Test-File (not a virus) till (hotnamnet som är associerat med EICAR-identifieringen) i listan över tillåtna, kör du följande kommando:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"