موارد Microsoft Defender لنقطة النهاية على macOS
ينطبق على:
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
إذا كان بإمكانك إعادة إنتاج مشكلة، فقم بزيادة مستوى التسجيل، وقم بتشغيل النظام لبعض الوقت، ثم قم باستعادة مستوى التسجيل إلى الوضع الافتراضي.
زيادة مستوى التسجيل:
mdatp log level set --level debug
Log level configured successfully
إعادة إنتاج المشكلة.
قم بتشغيل
sudo mdatp diagnostic create
لنسخ سجلات Microsoft Defender لنقطة النهاية احتياطيا. يتم تخزين الملفات داخل.zip
أرشيف. يقوم هذا الأمر أيضا بطباعة مسار الملف إلى النسخ الاحتياطي بعد نجاح العملية.تلميح
بشكل افتراضي، يتم حفظ سجلات التشخيص في
/Library/Application Support/Microsoft/Defender/wdavdiag/
. لتغيير الدليل حيث يتم حفظ سجلات التشخيص، مرر--path [directory]
إلى الأمر أدناه، واستبدل[directory]
بالدليل المطلوب.sudo mdatp diagnostic create
Diagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"
استعادة مستوى التسجيل.
mdatp log level set --level info
Log level configured successfully
إذا حدث خطأ أثناء التثبيت، يبلغ المثبت عن فشل عام فقط. يتم حفظ السجل التفصيلي في /Library/Logs/Microsoft/mdatp/install.log
. إذا واجهت مشكلات أثناء التثبيت، فأرسل لنا هذا الملف عند فتح حالة الدعم حتى نتمكن من المساعدة في تشخيص السبب.
لمزيد من استكشاف مشكلات التثبيت وإصلاحها، راجع استكشاف مشكلات التثبيت وإصلاحها Microsoft Defender لنقطة النهاية على macOS.
يدعم أنواع إخراج تنسيق الجدول وJSON. لكل أمر، هناك سلوك إخراج افتراضي. يمكنك تعديل الإخراج بتنسيق الإخراج المفضل لديك باستخدام الأوامر التالية:
-output json
-output table
يمكن تنفيذ المهام الهامة، مثل التحكم في إعدادات المنتج وتشغيل عمليات الفحص عند الطلب، باستخدام سطر الأوامر:
مجموعة | السيناريو | أمر |
---|---|---|
التكوين | تشغيل/إيقاف تشغيل برنامج الحماية من الفيروسات في الوضع السلبي | mdatp config passive-mode --value [enabled/disabled] |
التكوين | تشغيل/إيقاف تشغيل الحماية في الوقت الحقيقي | mdatp config real-time-protection --value [enabled/disabled] |
التكوين | تشغيل/إيقاف تشغيل مراقبة السلوك | mdatp config behavior-monitoring --value [enabled/disabled] |
التكوين | تشغيل/إيقاف تشغيل الحماية السحابية | mdatp config cloud --value [enabled/disabled] |
التكوين | تشغيل/إيقاف تشغيل تشخيصات المنتج | mdatp config cloud-diagnostic --value [enabled/disabled] |
التكوين | تشغيل/إيقاف تشغيل إرسال العينة التلقائي | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
التكوين | تشغيل/تدقيق/إيقاف تشغيل حماية PUA | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
التكوين | إضافة/إزالة استثناء من برنامج الحماية من الفيروسات لعملية |
mdatp exclusion process [add/remove] --path [path-to-process] أو mdatp exclusion process [add\|remove] --name [process-name] |
التكوين | إضافة/إزالة استثناء من برنامج الحماية من الفيروسات لملف | mdatp exclusion file [add/remove] --path [path-to-file] |
التكوين | إضافة/إزالة استثناء من برنامج الحماية من الفيروسات لدليل | mdatp exclusion folder [add/remove] --path [path-to-directory] |
التكوين | إضافة/إزالة استثناء من برنامج الحماية من الفيروسات لملحق ملف | mdatp exclusion extension [add/remove] --name [extension] |
التكوين | سرد جميع استثناءات مكافحة الفيروسات | mdatp exclusion list |
التكوين | تكوين درجة التوازي للمسح الضوئي عند الطلب | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
التكوين | تشغيل/إيقاف تشغيل عمليات الفحص بعد تحديثات التحليل الذكي للأمان | mdatp config scan-after-definition-update --value [enabled/disabled] |
التكوين | تشغيل/إيقاف تشغيل فحص الأرشيف (عمليات الفحص عند الطلب فقط) | mdatp config scan-archives --value [enabled/disabled] |
التكوين | تشغيل/إيقاف تشغيل حساب تجزئة الملف | mdatp config enable-file-hash-computation --value [enabled/disabled] |
حماية | مسح مسار ضوئيا | mdatp scan custom --path [path] [--ignore-exclusions] |
حماية | إجراء فحص سريع | mdatp scan quick |
حماية | إجراء فحص كامل | mdatp scan full |
حماية | إلغاء فحص مستمر عند الطلب | mdatp scan cancel |
حماية | طلب تحديث معلومات الأمان | mdatp definitions update |
التكوين | إضافة اسم تهديد إلى القائمة المسموح بها | mdatp threat allowed add --name [threat-name] |
التكوين | إزالة اسم تهديد من القائمة المسموح بها | mdatp threat allowed remove --name [threat-name] |
التكوين | سرد جميع أسماء التهديدات المسموح بها | mdatp threat allowed list |
محفوظات الحماية | طباعة محفوظات الحماية الكاملة | mdatp threat list |
محفوظات الحماية | الحصول على تفاصيل التهديد | mdatp threat get --id [threat-id] |
إدارة العزل | سرد جميع الملفات المعزولة | mdatp threat quarantine list |
إدارة العزل | إزالة كافة الملفات من العزل | mdatp threat quarantine remove-all |
إدارة العزل | إضافة ملف تم اكتشافه كتهديد إلى العزل | mdatp threat quarantine add --id [threat-id] |
إدارة العزل | إزالة ملف تم اكتشافه كتهديد من العزل | mdatp threat quarantine remove --id [threat-id] |
إدارة العزل | استعادة ملف من العزل. متوفر في إصدار Defender لنقطة النهاية قبل 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
إدارة العزل | استعادة ملف من العزل باستخدام معرف التهديد. متوفر في Defender لنقطة النهاية الإصدار 101.23092.0012 أو أحدث. | mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder] |
إدارة العزل | استعادة ملف من العزل باستخدام المسار الأصلي للمخاطر. متوفر في Defender لنقطة النهاية الإصدار 101.23092.0012 أو أحدث. | mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
تكوين حماية الشبكة | تكوين مستوى فرض حماية الشبكة | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
إدارة حماية الشبكة | التحقق من بدء حماية الشبكة بنجاح | mdatp health --field network_protection_status |
إدارة التحكم في الجهاز | هل تم تمكين التحكم في الجهاز، وما هو الإنفاذ الافتراضي؟ | mdatp device-control policy preferences list |
إدارة التحكم في الجهاز | ما نهج التحكم في الجهاز الذي تم تمكينه؟ | mdatp device-control policy rules list |
إدارة التحكم في الجهاز | ما هي مجموعات نهج التحكم في الجهاز التي تم تمكينها؟ | mdatp device-control policy groups list |
التكوين | تشغيل/إيقاف تشغيل منع فقدان البيانات | mdatp config data_loss_prevention --value [enabled/disabled] |
تشخيص | تغيير مستوى السجل | mdatp log level set --level [error/warning/info/verbose] |
تشخيص | إنشاء سجلات التشخيص | mdatp diagnostic create --path [directory] |
الحماية | التحقق من صحة المنتج | mdatp health |
الحماية | التحقق من وجود سمة منتج معينة | mdatp health --field [attribute: healthy/licensed/engine_version...] |
EDR | استثناءات قائمة EDR (الجذر) | mdatp edr exclusion list [processes|paths|extensions|all] |
EDR | تعيين/إزالة العلامة، يتم دعم GROUP فقط | mdatp edr tag set --name GROUP --value [name] |
EDR | إزالة علامة المجموعة من الجهاز | mdatp edr tag remove --tag-name [name] |
EDR | إضافة معرف المجموعة | mdatp edr group-ids --group-id [group] |
لتمكين الإكمال التلقائي في bash، قم بتشغيل الأمر التالي وأعد تشغيل جلسة Terminal:
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
لتمكين الإكمال التلقائي في zsh:
تحقق مما إذا كان الإكمال التلقائي ممكنا على جهازك:
cat ~/.zshrc | grep autoload
إذا لم ينتج الأمر السابق أي إخراج، يمكنك تمكين الإكمال التلقائي باستخدام الأمر التالي:
echo "autoload -Uz compinit && compinit" >> ~/.zshrc
قم بتشغيل الأوامر التالية لتمكين الإكمال التلقائي Microsoft Defender لنقطة النهاية على macOS وإعادة تشغيل جلسة Terminal:
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
/Library/Application Support/Microsoft/Defender/quarantine/
يحتوي على الملفات المعزولة بواسطة mdatp
. تتم تسمية الملفات بعد معرف تعقب التهديدات. يتم عرض معرفات التتبع الحالية مع mdatp threat list
.
هناك عدة طرق لإلغاء تثبيت Microsoft Defender لنقطة النهاية على macOS. على الرغم من توفر إلغاء التثبيت المدار مركزيا على JAMF، إلا أنه غير متوفر بعد Microsoft Intune.
تتطلب جميع إزالة تثبيت Microsoft Defender لنقطة النهاية على macOS ما يلي:
قم بإنشاء علامة جهاز، وقم بتسمية العلامة التي تم إيقاف تشغيلها وتعيينها إلى macOS حيث يتم إلغاء تثبيت Microsoft Defender لنظام التشغيل macOS.
قم بإنشاء مجموعة أجهزة وقم بتسميته (على سبيل المثال، macOS الذي تم إيقاف تشغيله) وقم بتعيين مجموعة مستخدمين يجب أن تكون قادرة على رؤيتها.
ملاحظة: الخطوتان 1 و2 اختياريتان إذا كنت لا تريد رؤية هذه الأجهزة التي تم إيقافها في "مخزون الجهاز" لمدة 180 يوما.
قم بإزالة نهج "تعيين التفضيلات" التي تحتوي على الحماية من العبث أو من خلال التكوين اليدوي.
إلغاء إلحاق كل جهاز لكل أجهزة غير تابعة ل Windows.
إلغاء تثبيت Microsoft Defender لنقطة النهاية لتطبيقات macOS
قم بإزالة الجهاز من المجموعة لنهج ملحق النظام إذا تم استخدام MDM لتعيينها.
- افتح تطبيقات الباحث>. انقر بزر الماوس الأيمن فوق Microsoft Defender لنقطة النهاية، ثم حدد نقل إلى سلة المهملات.
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
لإلغاء تثبيت Microsoft Defender لنقطة النهاية على macOS باستخدام JAMF Pro، قم بتحميل ملف تعريف إلغاء الإلحاق.
يجب تحميل ملف تعريف إلغاء الإلحاق دون أي تعديلات، ومع تعيين اسم مجال التفضيل إلى com.microsoft.wdav.atp.offboarding
، كما هو موضح في الصورة التالية:
ملاحظة
إذا واجهت مشكلة في إلغاء تثبيت Defender لنقطة النهاية على Mac، وكنت ترى في تقاريرك عنصرا لملحق أمان نقطة النهاية Microsoft Defender، فاتبع الخطوات التالية:
- أعد تثبيت تطبيق Microsoft Defender.
- اسحب Microsoft Defender.app إلى سلة المهملات.
- قم بتشغيل هذا الأمر:
sudo /Library/Application Support/Microsoft/Defender/uninstall/install_helper execute --path '/Library/Application Support/Microsoft/Defender/uninstall/uninstall' --args --post-uninstall-hook
. - أعد تشغيل الجهاز.
عند اكتشاف التهديدات، يمكن لفريق الأمان عرض عمليات الكشف، وإذا لزم الأمر، واتخاذ إجراءات الاستجابة على جهاز في مدخل Microsoft Defender (https://security.microsoft.com). يجمع Microsoft Defender بين الحماية والكشف والتحقيق والاستجابة للتهديدات في موقع مركزي. لمزيد من المعلومات، راجع الموارد التالية:
- نظرة عامة على الكشف عن نقطة النهاية والاستجابة لها
- مدونة مجتمع التكنولوجيا: وصلت الآن قدرات EDR لنظام التشغيل macOS
- نظرة عامة على مدخل Microsoft Defender
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.