本文提供如何定義套用至隨選掃描的排除項目,以及即時保護和監視的資訊。 本文所述的排除項目不適用於 macOS 上的其他適用於端點的 Defender 功能,包括端點偵測和回應 (EDR) 。 您使用本文所述方法排除的檔案仍可觸發 EDR 警示和其他偵測。
您可以在 macOS 掃描上從適用於端點的 Defender 中排除特定檔案、資料夾、進程和進程開啟的檔案。 排除項目有助於避免對唯一或針對組織自訂的檔案或軟體進行不正確的偵測。 它們也可用於減輕 macOS 上適用於端點的 Defender 所造成的效能問題。
若要縮小需要排除的進程和/或路徑和/或延伸模組的範圍,請使用 real-time-protection-statistics。
警告
定義排除項目會降低適用於端點的 Defender 在 macOS 上提供的保護。 您應該一律評估與實作排除相關聯的風險,而且您應該只排除您確信不是惡意的檔案。
重要事項
如果您想要並存執行多個安全性解決方案,請參閱 效能、組態和支援的考量。
您可能已經為上線至 適用於端點的 Microsoft Defender 的裝置設定相互安全性排除。 如果您仍然需要設定相互排除以避免衝突,請參閱 將適用於端點的 Microsoft Defender新增至現有解決方案的排除清單。
支援的排除類型
下表顯示適用於端點的 Defender 在 macOS 上支援的排除類型。
| 排除 | 定義 | 範例 |
|---|---|---|
| 副檔名 | 所有具有副檔名的檔案,位於電腦上的任何位置 | .test |
| 檔案 | 完整路徑所識別的特定檔案 | /var/log/test.log |
| 資料夾 | 指定資料夾下的所有檔案 (遞迴) | /var/log/ |
| 程序 | 特定進程 (由完整路徑或檔案名稱) 以及它開啟的所有檔案指定 | /bin/cat |
檔案、資料夾和程序排除支援下列萬用字元:
| 萬用字元 | 描述 | 範例 |
|---|---|---|
| * | 符合任意數量的任何字元,包括無 (注意,如果此萬用字元未在路徑結尾使用,則只會取代一個資料夾) |
/var/*/tmp包括其子目錄及其/var/def/tmp子目錄中/var/abc/tmp的任何檔案。 它不包括 /var/abc/log 或 /var/def/log
|
| ? | 匹配任何單個字符 |
file?.log 包括 file1.log 和 file2.log,但不包括 file123.log |
注意事項
在路徑結尾使用 * 萬用字元,它會比對萬用字元父項下的所有檔案和子目錄。
產品在評估排除項目時會嘗試解析確定鏈結。 當排除包含萬用字元或磁碟區 (的目標 Data 檔案) 不存在時,確定連結解析無法運作。
在 macOS 上為 適用於端點的 Microsoft Defender 新增反惡意程式碼排除項目的最佳做法
寫下排除項目為何新增至只有 SecOps 和/或安全性系統管理員可以存取的中央位置。 例如,列出提交者、日期、應用程式名稱、原因和排除資訊。
確保排除事項的到期日*。
*除了 ISV 聲明沒有其他調整可以防止發生誤報或更高的 CPU 使用率的應用程序。
避免遷移非Microsoft反惡意軟體排除項目,因為它們可能不再適用或不適用於 macOS 上的適用於端點的 Microsoft Defender。
要考慮的排除順序:最安全的 (更安全的) 到最不安全的 (最不安全的) :
指標 - 憑證 - 允許
- 新增 EV) 程式碼簽署 (延伸驗證。
指標 - 檔案雜湊 - 允許
- 例如,如果進程或常駐程式不經常變更,則應用程式沒有每月安全性更新。
路徑 & 流程
程序
路徑
副檔名
如何設定排除清單
使用適用於端點的 Microsoft Defender 安全性設定管理主控台
移至 組態管理>端點安全原則建立>新原則。
- 選擇平台:macOS
- 選取 [範本:Microsoft Defender 防病毒軟體排除專案]
選取 [建立原則]。
輸入名稱和描述,然後選取 下一步。
展開 [ 防毒引擎],然後選取 [新增]。
選取 路徑 或 副檔名 或 檔案名稱。
選取 [設定執行個體] ,然後視需要新增排除專案。 然後選取 [下一步]。
將排除專案指派給群組,然後選取 [ 下一步]。
選取 [儲存]。
從管理主控台
如需如何從 JAMF、Intune 或其他管理主控台設定排除專案的詳細資訊,請參閱 在 Mac 上設定適用於端點的 Defender 喜好設定。
從使用者介面
開啟適用於端點的 Defender 應用程式,然後流覽至 [管理設定>] [新增或移除排除...],如下列螢幕擷取畫面所示:
選取您要新增的排除類型,然後依照提示進行操作。
使用 EICAR 測試檔案驗證排除清單
您可以 來 curl 驗證排除清單是否正常運作,以下載測試檔案。
在下列 Bash 程式碼片段中,取代 test.txt 為符合排除規則的檔案。 例如,如果您已排除 .testing 副檔名,請將 取代 test.txt 為 test.testing。 如果您要測試路徑,請確定您在該路徑內執行命令。
curl -o test.txt https://secure.eicar.org/eicar.com.txt
如果 macOS 上的適用於端點的 Defender 報告惡意代碼,則規則無法運作。 如果沒有惡意軟體報告,且下載的檔案存在,則排除功能正在運作。 您可以開啟檔案以確認內容與 EICAR測試檔案網站上描述的內容相同。
如果您無法訪問互聯網,您可以創建自己的 EICAR 測試文件。 使用下列 Bash 指令將 EICAR 字串寫入新的文字檔:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
您也可以將字串複製到空白文字檔案中,並嘗試將其與檔案名稱或您嘗試排除的資料夾一起儲存。
允許威脅
除了從掃描中排除某些內容之外,您還可以將產品配置為不偵測威脅名稱) 所識別 (某些威脅類別。 使用此功能時應小心謹慎,因為它可能會使您的裝置不受保護。
若要將威脅名稱新增至允許清單,請執行下列命令:
mdatp threat allowed add --name [threat-name]
您可以使用下列命令取得與裝置上偵測相關聯的威脅名稱:
mdatp threat list
例如,若要將 (與 EICAR 偵測) 相關聯的威脅名稱新增至 EICAR-Test-File (not a virus) 允許清單,請執行下列命令:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。