Konfigurera och validera undantag för Microsoft Defender för slutpunkt i macOS
Gäller för:
- Microsoft Defender för slutpunktsplan 1
- Microsoft Defender för slutpunktsplan 2
- Microsoft 365 Defender
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Den här artikeln innehåller information om hur du definierar undantag som gäller för sökning på begäran, skydd och övervakning i realtid.
Viktigt
Undantag som beskrivs i den här artikeln gäller inte för andra Defender för Slutpunkt på Mac-funktioner, inklusive identifiering och åtgärd på slutpunkt (Identifiering och åtgärd på slutpunkt). Filer som du undantar med de metoder som beskrivs i den här artikeln kan fortfarande utlösa Identifiering och åtgärd på slutpunkt aviseringar och andra identifieringar.
Du kan utesluta vissa filer, mappar, processer och process öppna filer från Defender för Slutpunkt på Mac-genomsökningar.
Undantag kan vara bra för att undvika felaktiga identifieringar av filer eller programvara som är unika eller anpassade för din organisation. De kan också vara användbara för att minska prestandaproblem som orsakas av Defender för Endpoint på Mac.
Varning
När du definierar undantag sänks skyddet som erbjuds av Defender för Slutpunkt på Mac. Du bör alltid utvärdera riskerna som är associerade med att implementera undantag och du bör endast utesluta filer som du är säker på inte är skadliga.
Undantagstyper som stöds
I följande tabell visas de undantagstyper som stöds av Defender för slutpunkt på Mac.
| Exkludering | Definition | Exempel |
|---|---|---|
| Filnamnstillägg | Alla filer med tillägget, var som helst på datorn | .test |
| Fil | En specifik fil som identifieras med den fullständiga sökvägen | /var/log/test.log |
| Mapp | Alla filer under den angivna mappen (rekursivt) | /var/log/ |
| Process | En specifik process (anges antingen med den fullständiga sökvägen eller filnamnet) och alla filer som öppnas av den | /bin/cat |
Undantag för filer, mappar och processer stöder följande jokertecken:
| Jokertecken | Beskrivning | Exempel | Matchningar | Matchar inte |
|---|---|---|---|---|
| * | Matchar valbara antal tecken inklusive inga (observera att när det här jokertecknet används inuti en sökväg kommer det bara att ersätta en mapp) | /var/*/*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | Matchar ett enstaka tecken | file?.log |
file1.log |
file123.log |
Anteckning
Produkten försöker lösa företagslänkar vid utvärdering av undantag. Firmlink-upplösning fungerar inte när undantaget innehåller jokertecken eller målfilen (i Data volymen) inte finns.
Så här konfigurerar du listan med undantag
Från hanteringskonsolen
Mer information om hur du konfigurerar undantag från JAMF, Intune eller en annan hanteringskonsol finns i Ange inställningar för Defender för slutpunkt på Mac.
Från användargränssnittet
Öppna Defender för slutpunkt och gå till Hantera inställningar Lägg > till eller Ta bort undantag..., enligt följande skärmbild:

Välj den typ av undantag som du vill lägga till och följ anvisningarna.
Validera undantagslistor med EICAR-testfilen
Du kan verifiera att undantagslistorna fungerar genom att hämta curl en testfil.
I följande Bash-kodstycke ersätter test.txt du med en fil som överensstämmer med dina undantagsregler. Om du till exempel har utelämnat .testing tillägget ersätter du test.txt med test.testing . Om du testar en sökväg bör du kontrollera att du kör kommandot inom den sökvägen.
curl -o test.txt https://www.eicar.org/download/eicar.com.txt
Om Defender för Slutpunkt på Mac rapporterar skadlig programvara fungerar regeln inte. Om det inte finns någon rapport om skadlig programvara, och den nedladdade filen finns, fungerar undantaget. Du kan öppna filen för att bekräfta att innehållet är detsamma som det som beskrivs på EICAR-testfilens webbplats.
Om du inte har tillgång till Internet kan du skapa en egen EICAR-testfil. Skriv EICAR-strängen till en ny textfil med följande Bash-kommando:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Du kan också kopiera strängen till en tom textfil och försöka spara den med filnamnet eller i mappen som du försöker utelämna.
Tillåt hot
Förutom att utesluta att visst innehåll genomsöks kan du också konfigurera produkten så att den inte identifierar vissa klasser av hot (identifieras med hotnamnet). Var försiktig när du använder den här funktionen eftersom den kan lämna enheten oskyddad.
Kör följande kommando för att lägga till ett namn för hot i listan över tillåtna hot:
mdatp threat allowed add --name [threat-name]
Hotnamnet som är associerat med en identifiering på din enhet kan erhållas med följande kommando:
mdatp threat list
Om du till exempel vill lägga EICAR-Test-File (not a virus) till (hotnamnet som är associerat med EICAR-identifieringen) i listan över tillåtna, kör du följande kommando:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"