Konfigurera och validera undantag för Microsoft Defender för Endpoint på macOS

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Den här artikeln innehåller information om hur du definierar undantag som gäller för genomsökningar på begäran samt realtidsskydd och övervakning.

Viktigt

Undantagen som beskrivs i den här artikeln gäller inte för andra Defender för Endpoint på Mac-funktioner, inklusive slutpunktsidentifiering och svar (EDR). Filer som du exkluderar med hjälp av metoderna som beskrivs i den här artikeln kan fortfarande utlösa EDR-aviseringar och andra identifieringar.

Du kan exkludera vissa filer, mappar, processer och processöppnade filer från Defender för Endpoint på Mac-genomsökningar.

Undantag kan vara användbara för att undvika felaktiga identifieringar av filer eller programvara som är unika eller anpassade för din organisation. De kan också vara användbara för att minimera prestandaproblem som orsakas av Defender för Endpoint på Mac.

Om du vill begränsa vilken process och/eller sökväg och/eller tillägg som du behöver exkludera använder du realtidsskyddsstatistik.

Varning

Genom att definiera undantag sänks det skydd som erbjuds av Defender för Endpoint på Mac. Du bör alltid utvärdera de risker som är associerade med att implementera undantag, och du bör endast exkludera filer som du är säker på inte är skadliga.

Undantagstyper som stöds

I följande tabell visas de undantagstyper som stöds av Defender för Endpoint på Mac.

Uteslutning Definition Exempel
Filnamnstillägg Alla filer med tillägget, var som helst på datorn .test
Fil En specifik fil som identifieras av den fullständiga sökvägen /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Mapp Alla filer under den angivna mappen (rekursivt) /var/log/

/var/*/

Process En specifik process (anges antingen av den fullständiga sökvägen eller filnamnet) och alla filer som öppnas av den /bin/cat

cat

c?t

Fil-, mapp- och processundantag stöder följande jokertecken:

Jokertecken Beskrivning Exempel
* Matchar valfritt antal tecken inklusive inget (observera att om det här jokertecknet inte används i slutet av sökvägen ersätter det bara en mapp) /var/*/tmp innehåller alla filer i /var/abc/tmp och dess underkataloger samt /var/def/tmp dess underkataloger. Den inkluderar /var/abc/log inte eller /var/def/log

/var/*/ innehåller alla filer i /var och dess underkataloger.

? Matchar ett enskilt tecken file?.log inkluderar file1.log och file2.log, men inte file123.log

Obs!

När du använder jokertecknet * i slutet av sökvägen matchar det alla filer och underkataloger under det överordnade jokertecknet.

Produkten försöker lösa firmlinks vid utvärdering av undantag. Firmlink-upplösning fungerar inte när undantaget innehåller jokertecken eller om målfilen (på Data volymen) inte finns.

Metodtips för att lägga till undantag mot skadlig kod för Microsoft Defender för Endpoint på macOS.

  1. Skriv ned varför ett undantag har lagts till på en central plats där endast SecOps och/eller säkerhetsadministratör har åtkomst. Du kan till exempel visa information om inskickare, datum, appnamn, orsak och undantag.

  2. Se till att ha ett förfallodatum* för undantagen

    *förutom appar som ISV uppgav att det inte finns någon annan justering som kan göras för att förhindra att den falska positiva eller högre cpu-användningen inträffar.

  3. Undvik att migrera undantag för program mot skadlig kod som inte kommer från Microsoft eftersom de kanske inte längre är tillämpliga eller tillämpliga för Microsoft Defender för Endpoint på macOS.

  4. Ordningen på undantag som ska övervägas överst (säkrare) till botten (minst säkert):

    1. Indikatorer – Certifikat – tillåt

      1. Lägg till en utökad verifieringskodsignering (EV).
    2. Indikatorer – filhash – tillåt

      1. Om en process eller daemon inte ändras ofta, till exempel, har appen ingen månatlig säkerhetsuppdatering.
    3. Sökväg & process

    4. Process

    5. Sökväg

    6. Förlängning

Så här konfigurerar du listan över undantag

Använda hanteringskonsolen för Säkerhetsinställningar för Microsoft Defender för Endpoint

  1. Logga in på Microsoft Defender-portalen.

  2. Gå till Konfigurationshantering>Slutpunktssäkerhetsprinciper>Skapa ny princip.

    • Välj Plattform: macOS
    • Välj mall: Microsoft Defender Antivirus-undantag
  3. Välj Skapa princip.

  4. Ange ett namn och en beskrivning och välj Nästa.

  5. Expandera Antivirusmotorn och välj sedan Lägg till.

  6. Välj Sökväg , Filnamnstillägg eller Filnamn.

  7. Välj Konfigurera instans och lägg till undantagen efter behov. Välj sedan Nästa.

  8. Tilldela undantaget till en grupp och välj Nästa.

  9. Välj Spara.

Från hanteringskonsolen

Mer information om hur du konfigurerar undantag från JAMF, Intune eller en annan hanteringskonsol finns i Ange inställningar för Defender för Endpoint på Mac.

Från användargränssnittet

  1. Öppna Defender för Endpoint-programmet och gå till Hantera inställningar>Lägg till eller ta bort undantag..., som du ser på följande skärmbild:

    Sidan Hantera undantag

  2. Välj den typ av undantag som du vill lägga till och följ anvisningarna.

Verifiera undantagslistor med EICAR-testfilen

Du kan kontrollera att dina undantagslistor fungerar med hjälp curl av för att ladda ned en testfil.

I följande Bash-kodfragment ersätter test.txt du med en fil som följer dina undantagsregler. Om du till exempel har exkluderat .testing tillägget ersätter test.txt du med test.testing. Om du testar en sökväg kontrollerar du att du kör kommandot i den sökvägen.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Om Defender för Endpoint på Mac rapporterar skadlig kod fungerar inte regeln. Om det inte finns någon rapport om skadlig kod och den nedladdade filen finns fungerar undantaget. Du kan öppna filen för att bekräfta att innehållet är detsamma som det som beskrivs på EICAR-testfilens webbplats.

Om du inte har Internetåtkomst kan du skapa en egen EICAR-testfil. Skriv EICAR-strängen till en ny textfil med följande Bash-kommando:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Du kan också kopiera strängen till en tom textfil och försöka spara den med filnamnet eller i mappen som du försöker exkludera.

Tillåt hot

Förutom att utesluta att visst innehåll genomsöks kan du även konfigurera produkten så att den inte identifierar vissa typer av hot (identifieras med hotnamnet). Du bör vara försiktig när du använder den här funktionen eftersom den kan lämna enheten oskyddad.

Kör följande kommando för att lägga till ett hotnamn i listan över tillåtna:

mdatp threat allowed add --name [threat-name]

Hotnamnet som är associerat med en identifiering på enheten kan hämtas med följande kommando:

mdatp threat list

Om du till exempel vill lägga till EICAR-Test-File (not a virus) (hotnamnet som är associerat med EICAR-identifieringen) i listan över tillåtna kör du följande kommando:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Tips

Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.