macOS 上の Microsoft Defender for Endpoint の除外を構成して検証する

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

この記事では、オンデマンド スキャンに適用される除外と、リアルタイムの保護と監視を定義する方法について説明します。

特定のファイル、フォルダー、プロセス、プロセスで開かれたファイルを Defender for Endpoint on Mac スキャンから除外できます。

除外は、組織に固有またはカスタマイズされたファイルまたはソフトウェアで誤った検出を回避するのに役立ちます。 また、Defender for Endpoint on Mac によって発生するパフォーマンスの問題を軽減するのにも役立ちます。

除外する必要があるプロセスやパスや拡張機能を絞り込むには、 リアルタイム保護統計を使用します。

サポートされている除外の種類

次の表は、Defender for Endpoint on Mac でサポートされる除外の種類を示しています。

ファイル、フォルダー、およびプロセスの除外では、次のワイルドカードがサポートされています。

macOS 上の Microsoft Defender for Endpoint のマルウェア対策除外を追加するためのベスト プラクティス。

1. SecOps またはセキュリティ管理者のみがアクセスできる中央の場所に除外が追加された理由を書き留めます。 たとえば、提出者、日付、アプリ名、理由、除外情報を一覧表示します。

2. 除外の有効期限* があることを確認します

   *ISV が、誤検知や CPU 使用率の向上を防ぐために行うことができる他の調整はないと述べたようにしたアプリを除きます。

3. Microsoft 以外のマルウェア対策除外は、macOS 上の Microsoft Defender for Endpoint に適用されなくなり、適用されなくなる可能性があるため、移行は避けてください。

4. 上位 (より安全) から下位 (最小限のセキュリティ) を考慮する除外の順序:

   1. インジケーター - 証明書 - 許可

      1. 拡張検証 (EV) コード署名を追加します。

   2. インジケーター - ファイル ハッシュ - 許可

      1. たとえば、プロセスやデーモンが頻繁に変更されない場合、アプリには毎月のセキュリティ更新プログラムはありません。

   3. パス & プロセス

   4. プロセス

   5. Path

   6. 拡張子

除外の一覧を構成する方法

Microsoft Defender for Endpoint Security Settings 管理コンソールを使用する

1. Microsoft Defender ポータルにサインインします。

2. [構成管理>エンドポイント セキュリティ ポリシー][新しいポリシーの作成] の順に>移動します。

   • [プラットフォーム: macOS] の選択
   • テンプレートの選択: Microsoft Defender ウイルス対策の除外

3. [ポリシーを作成する] を選択します。

4. 名前と説明を入力し、[ 次へ] を選択します。

5. [ ウイルス対策エンジン] を展開し、[ 追加] を選択します。

6. [ パス ] または [ ファイル拡張子] または [ ファイル名] を選択します。

7. [ インスタンスの構成] を選択 し、必要に応じて除外を追加します。 [次へ] を選択します。

8. 除外をグループに割り当て、[ 次へ] を選択します。

9. [保存] を選択します。

管理コンソールから

JAMF、Intune、またはその他の管理コンソールからの除外を構成する方法の詳細については、「 Mac で Defender for Endpoint の基本設定を設定する」を参照してください。

ユーザー インターフェイスから

1. Defender for Endpoint アプリケーションを開き、次のスクリーンショットに示すように、[設定>の管理] [除外の追加と削除] に移動します。

   

2. 追加する除外の種類を選択し、プロンプトに従います。

EICAR テスト ファイルを使用して除外リストを検証する

を使用して curl テスト ファイルをダウンロードすることで、除外リストが機能していることを検証できます。

次の Bash スニペットで、 を除外規則に準拠するファイルに置き換えます test.txt 。 たとえば、拡張機能を除外した場合は、 を に.testingtest.testing置き換えますtest.txt。 パスをテストする場合は、そのパス内でコマンドを実行してください。

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Defender for Endpoint on Mac でマルウェアが報告された場合、ルールは機能しません。 マルウェアの報告がなく、ダウンロードしたファイルが存在する場合は、除外が機能しています。 ファイルを開いて、 内容が EICAR テスト ファイル Web サイトで説明されているものと同じであることを確認できます。

インターネットにアクセスできない場合は、独自の EICAR テスト ファイルを作成できます。 次の Bash コマンドを使用して、EICAR 文字列を新しいテキスト ファイルに書き込みます。

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

また、空のテキスト ファイルに文字列をコピーし、ファイル名または除外しようとしているフォルダーに保存することもできます。

脅威を許可する

特定のコンテンツをスキャン対象から除外するだけでなく、一部の脅威クラス (脅威名で識別) を検出しないように製品を構成することもできます。 この機能を使用する場合は、デバイスの保護が解除される可能性があるため、注意が必要です。

許可されたリストに脅威名を追加するには、次のコマンドを実行します。

mdatp threat allowed add --name [threat-name]

デバイス上の検出に関連付けられている脅威名は、次のコマンドを使用して取得できます。

mdatp threat list

たとえば、許可されるリストに (EICAR 検出に関連付けられている脅威名) を追加 EICAR-Test-File (not a virus) するには、次のコマンドを実行します。

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"