次の方法で共有

macOS でのMicrosoft Defender for Endpointの除外の構成と検証

  • 適用対象: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

この記事では、オンデマンド スキャンに適用される除外と、リアルタイムの保護と監視を定義する方法について説明します。 この記事で説明する除外は、エンドポイント検出と応答 (EDR) など、macOS 上の他の Defender for Endpoint 機能には適用されません。 この記事で説明する方法を使用して除外するファイルは、引き続き EDR アラートやその他の検出をトリガーできます。

macOS スキャンでは、特定のファイル、フォルダー、プロセス、およびプロセスで開かれたファイルを Defender for Endpoint から除外できます。 除外は、organizationに固有またはカスタマイズされたファイルまたはソフトウェアで誤った検出を回避するのに役立ちます。 また、macOS 上の Defender for Endpoint によって発生するパフォーマンスの問題を軽減するのにも役立ちます。

除外する必要があるプロセスやパスや拡張機能を絞り込むには、 リアルタイム保護統計を使用します

警告

除外を定義すると、macOS 上の Defender for Endpoint によって提供される保護が低下します。 除外の実装に関連するリスクを常に評価し、悪意のないと確信しているファイルのみを除外する必要があります。

重要

複数のセキュリティ ソリューションを並行して実行する場合は、「 パフォーマンス、構成、およびサポートに関する考慮事項」を参照してください。

既に、Microsoft Defender for Endpointにオンボードされているデバイスの相互セキュリティ除外を構成している可能性があります。 競合を回避するために相互除外を設定する必要がある場合は、「既存のソリューションの除外リストにMicrosoft Defender for Endpointを追加する」を参照してください。

サポートされている除外の種類

次の表は、macOS 上の Defender for Endpoint でサポートされる除外の種類を示しています。

除外 定義
ファイル拡張子 拡張子を持つすべてのファイル(マシン上の任意の場所) .test
File 完全パスで識別される特定のファイル /var/log/test.log

/var/log/*.log

/var/log/install.?.log
フォルダー 指定したフォルダーの下にあるすべてのファイル (再帰的に) /var/log/

/var/*/
プロセス 特定のプロセス (完全なパスまたはファイル名で指定) と、そのプロセスによって開かれたすべてのファイル /bin/cat

cat

c?t

ファイル、フォルダー、およびプロセスの除外では、次のワイルドカードがサポートされています。

ワイルドカード 説明
* none を含む任意の数の文字と一致します (このワイルドカードがパスの末尾で使用されていない場合は、1 つのフォルダーのみを置き換えます) /var/*/tmp には、 /var/abc/tmp とそのサブディレクトリ内の任意のファイルと、 /var/def/tmp とそのサブディレクトリが含まれます。 /var/abc/log/var/def/log

/var/*/ には、 /var とそのサブディレクトリ内の任意のファイルが含まれます。
? 任意の 1 文字に一致します file?.log には file1.logfile2.logが含まれますが、含まれません file123.log

注:

パスの末尾に * ワイルドカードを使用すると、ワイルドカードの親の下にあるすべてのファイルとサブディレクトリと一致します。

製品は、除外を評価するときに、会社のリンクを解決しようとします。 除外にワイルドカードが含まれている場合、またはターゲット ファイル ( Data ボリューム上) が存在しない場合、ファーム リンク解決は機能しません。

macOS でMicrosoft Defender for Endpointにマルウェア対策の除外を追加するためのベスト プラクティス

  1. SecOps またはセキュリティ管理者のみがアクセスできる中央の場所に除外が追加された理由を書き留めます。 たとえば、提出者、日付、アプリ名、理由、除外情報を一覧表示します。

  2. 除外の有効期限* があることを確認します

    *ISV が、誤検知や CPU 使用率の向上を防ぐために行うことができる他の調整はないと述べたようにしたアプリを除きます。

  3. Microsoft 以外のマルウェア対策除外は、macOS 上のMicrosoft Defender for Endpointに適用されなくなり、適用されなくなる可能性があるため、移行は避けてください。

  4. 上位 (より安全) から下位 (最小限のセキュリティ) を考慮する除外の順序:

    1. インジケーター - 証明書 - 許可

      1. 拡張検証 (EV) コード署名を追加します。

    2. インジケーター - ファイル ハッシュ - 許可

      1. たとえば、プロセスやデーモンが頻繁に変更されない場合、アプリには毎月のセキュリティ更新プログラムはありません。

    3. パス & プロセス

    4. プロセス

    5. Path

    6. 拡張子

除外の一覧を構成する方法

[Microsoft Defender for Endpointセキュリティ設定] 管理コンソールを使用する

  1. Microsoft Defender ポータルにサインインします。

  2. [構成管理>Endpoint セキュリティ ポリシー>新しいポリシーの作成に関するページに移動します

    • [プラットフォーム: macOS] の選択
    • テンプレートの選択: ウイルス対策の除外をMicrosoft Defenderする

  3. [ポリシーを作成する] を選択します。

  4. 名前と説明を入力し、[ 次へ] を選択します。

  5. [ ウイルス対策エンジン] を展開し、[ 追加] を選択します。

  6. [ パス ] または [ ファイル拡張子] または [ ファイル名] を選択します

  7. [ インスタンスの構成] を選択 し、必要に応じて除外を追加します。 [次へ] を選択します。

  8. 除外をグループに割り当て、[ 次へ] を選択します。

  9. [保存] を選択します。

管理コンソールから

JAMF、Intune、またはその他の管理コンソールからの除外を構成する方法の詳細については、「Mac で Defender for Endpoint の基本設定を設定する」を参照してください。

ユーザー インターフェイスから

  1. 次のスクリーンショットに示すように、Defender for Endpoint アプリケーションを開き、[ 設定の管理>除外の追加または削除.... に移動します。

    [除外の管理] ページ

  2. 追加する除外の種類を選択し、プロンプトに従います。

EICAR テスト ファイルを使用して除外リストを検証する

除外リストが機能していることを検証するには、 curl を使用してテスト ファイルをダウンロードします。

次の Bash スニペットで、 test.txt を除外規則に準拠するファイルに置き換えます。 たとえば、 .testing 拡張機能を除外した場合は、 test.txttest.testing に置き換えます。 パスをテストする場合は、そのパス内でコマンドを実行してください。

curl -o test.txt https://secure.eicar.org/eicar.com.txt

macOS 上の Defender for Endpoint がマルウェアを報告した場合、ルールは機能しません。 マルウェアの報告がなく、ダウンロードしたファイルが存在する場合は、除外が機能しています。 ファイルを開いて、 内容が EICAR テスト ファイル Web サイトで説明されているものと同じであることを確認できます。

インターネットにアクセスできない場合は、独自の EICAR テスト ファイルを作成できます。 次の Bash コマンドを使用して、EICAR 文字列を新しいテキスト ファイルに書き込みます。

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

また、空のテキスト ファイルに文字列をコピーし、ファイル名または除外しようとしているフォルダーに保存することもできます。

脅威を許可する

特定のコンテンツをスキャン対象から除外するだけでなく、一部の脅威クラス (脅威名で識別) を検出しないように製品を構成することもできます。 この機能を使用する場合は、デバイスの保護が解除される可能性があるため、注意が必要です。

許可されたリストに脅威名を追加するには、次のコマンドを実行します。

mdatp threat allowed add --name [threat-name]

デバイス上の検出に関連付けられている脅威名は、次のコマンドを使用して取得できます。

mdatp threat list

たとえば、許可される一覧に EICAR-Test-File (not a virus) (EICAR 検出に関連付けられている脅威名) を追加するには、次のコマンドを実行します。

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。

  • Last updated on