مشاركة عبر

موارد Microsoft Defender لنقطة النهاية على macOS

  • مقالة

ينطبق على:

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

جمع المعلومات التشخيصية

إذا كان بإمكانك إعادة إنتاج مشكلة، فقم بزيادة مستوى التسجيل، وقم بتشغيل النظام لبعض الوقت، ثم قم باستعادة مستوى التسجيل إلى الوضع الافتراضي.

  1. زيادة مستوى التسجيل:

    mdatp log level set --level debug

    Log level configured successfully

  2. إعادة إنتاج المشكلة.

  3. قم بتشغيل sudo mdatp diagnostic create لنسخ سجلات Microsoft Defender لنقطة النهاية احتياطيا. يتم تخزين الملفات داخل .zip أرشيف. يقوم هذا الأمر أيضا بطباعة مسار الملف إلى النسخ الاحتياطي بعد نجاح العملية.

    تلميح

    بشكل افتراضي، يتم حفظ سجلات التشخيص في /Library/Application Support/Microsoft/Defender/wdavdiag/. لتغيير الدليل حيث يتم حفظ سجلات التشخيص، مرر --path [directory] إلى الأمر أدناه، واستبدل [directory] بالدليل المطلوب.

    sudo mdatp diagnostic create

    Diagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"

  4. استعادة مستوى التسجيل.

    mdatp log level set --level info

    Log level configured successfully

مشكلات تثبيت التسجيل

إذا حدث خطأ أثناء التثبيت، يبلغ المثبت عن فشل عام فقط. يتم حفظ السجل التفصيلي في /Library/Logs/Microsoft/mdatp/install.log. إذا واجهت مشكلات أثناء التثبيت، فأرسل لنا هذا الملف عند فتح حالة الدعم حتى نتمكن من المساعدة في تشخيص السبب.

لمزيد من استكشاف مشكلات التثبيت وإصلاحها، راجع استكشاف مشكلات التثبيت وإصلاحها Microsoft Defender لنقطة النهاية على macOS.

التكوين من سطر الأوامر

أنواع الإخراج المدعومة

يدعم أنواع إخراج تنسيق الجدول وJSON. لكل أمر، هناك سلوك إخراج افتراضي. يمكنك تعديل الإخراج بتنسيق الإخراج المفضل لديك باستخدام الأوامر التالية:

-output json

-output table

يمكن تنفيذ المهام الهامة، مثل التحكم في إعدادات المنتج وتشغيل عمليات الفحص عند الطلب، باستخدام سطر الأوامر:

مجموعة السيناريو أمر
التكوين تشغيل/إيقاف تشغيل برنامج الحماية من الفيروسات في الوضع السلبي mdatp config passive-mode --value [enabled/disabled]
التكوين تشغيل/إيقاف تشغيل الحماية في الوقت الحقيقي mdatp config real-time-protection --value [enabled/disabled]
التكوين تشغيل/إيقاف تشغيل مراقبة السلوك mdatp config behavior-monitoring --value [enabled/disabled]
التكوين تشغيل/إيقاف تشغيل الحماية السحابية mdatp config cloud --value [enabled/disabled]
التكوين تشغيل/إيقاف تشغيل تشخيصات المنتج mdatp config cloud-diagnostic --value [enabled/disabled]
التكوين تشغيل/إيقاف تشغيل إرسال العينة التلقائي mdatp config cloud-automatic-sample-submission --value [enabled/disabled]
التكوين تشغيل/تدقيق/إيقاف تشغيل حماية PUA mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off
التكوين إضافة/إزالة استثناء من برنامج الحماية من الفيروسات لعملية mdatp exclusion process [add/remove] --path [path-to-process]أو mdatp exclusion process [add\|remove] --name [process-name]
التكوين إضافة/إزالة استثناء من برنامج الحماية من الفيروسات لملف mdatp exclusion file [add/remove] --path [path-to-file]
التكوين إضافة/إزالة استثناء من برنامج الحماية من الفيروسات لدليل mdatp exclusion folder [add/remove] --path [path-to-directory]
التكوين إضافة/إزالة استثناء من برنامج الحماية من الفيروسات لملحق ملف mdatp exclusion extension [add/remove] --name [extension]
التكوين سرد جميع استثناءات مكافحة الفيروسات mdatp exclusion list
التكوين تكوين درجة التوازي للمسح الضوئي عند الطلب mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]
التكوين تشغيل/إيقاف تشغيل عمليات الفحص بعد تحديثات التحليل الذكي للأمان mdatp config scan-after-definition-update --value [enabled/disabled]
التكوين تشغيل/إيقاف تشغيل فحص الأرشيف (عمليات الفحص عند الطلب فقط) mdatp config scan-archives --value [enabled/disabled]
التكوين تشغيل/إيقاف تشغيل حساب تجزئة الملف mdatp config enable-file-hash-computation --value [enabled/disabled]
حماية مسح مسار ضوئيا mdatp scan custom --path [path] [--ignore-exclusions]
حماية إجراء فحص سريع mdatp scan quick
حماية إجراء فحص كامل mdatp scan full
حماية إلغاء فحص مستمر عند الطلب mdatp scan cancel
حماية طلب تحديث معلومات الأمان mdatp definitions update
التكوين إضافة اسم تهديد إلى القائمة المسموح بها mdatp threat allowed add --name [threat-name]
التكوين إزالة اسم تهديد من القائمة المسموح بها mdatp threat allowed remove --name [threat-name]
التكوين سرد جميع أسماء التهديدات المسموح بها mdatp threat allowed list
محفوظات الحماية طباعة محفوظات الحماية الكاملة mdatp threat list
محفوظات الحماية الحصول على تفاصيل التهديد mdatp threat get --id [threat-id]
إدارة العزل سرد جميع الملفات المعزولة mdatp threat quarantine list
إدارة العزل إزالة كافة الملفات من العزل mdatp threat quarantine remove-all
إدارة العزل إضافة ملف تم اكتشافه كتهديد إلى العزل mdatp threat quarantine add --id [threat-id]
إدارة العزل إزالة ملف تم اكتشافه كتهديد من العزل mdatp threat quarantine remove --id [threat-id]
إدارة العزل استعادة ملف من العزل. متوفر في إصدار Defender لنقطة النهاية قبل 101.23092.0012. mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
إدارة العزل استعادة ملف من العزل باستخدام معرف التهديد. متوفر في Defender لنقطة النهاية الإصدار 101.23092.0012 أو أحدث. mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder]
إدارة العزل استعادة ملف من العزل باستخدام المسار الأصلي للمخاطر. متوفر في Defender لنقطة النهاية الإصدار 101.23092.0012 أو أحدث. mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder]
تكوين حماية الشبكة تكوين مستوى فرض حماية الشبكة mdatp config network-protection enforcement-level --value [Block/Audit/Disabled]
إدارة حماية الشبكة التحقق من بدء حماية الشبكة بنجاح mdatp health --field network_protection_status
إدارة التحكم في الجهاز هل تم تمكين التحكم في الجهاز، وما هو الإنفاذ الافتراضي؟ mdatp device-control policy preferences list
إدارة التحكم في الجهاز ما نهج التحكم في الجهاز الذي تم تمكينه؟ mdatp device-control policy rules list
إدارة التحكم في الجهاز ما هي مجموعات نهج التحكم في الجهاز التي تم تمكينها؟ mdatp device-control policy groups list
التكوين تشغيل/إيقاف تشغيل منع فقدان البيانات mdatp config data_loss_prevention --value [enabled/disabled]
تشخيص تغيير مستوى السجل mdatp log level set --level [error/warning/info/verbose]
تشخيص إنشاء سجلات التشخيص mdatp diagnostic create --path [directory]
الحماية التحقق من صحة المنتج mdatp health
الحماية التحقق من وجود سمة منتج معينة mdatp health --field [attribute: healthy/licensed/engine_version...]
EDR استثناءات قائمة EDR (الجذر) mdatp edr exclusion list [processes|paths|extensions|all]
EDR تعيين/إزالة العلامة، يتم دعم GROUP فقط mdatp edr tag set --name GROUP --value [name]
EDR إزالة علامة المجموعة من الجهاز mdatp edr tag remove --tag-name [name]
EDR إضافة معرف المجموعة mdatp edr group-ids --group-id [group]

كيفية تمكين الإكمال التلقائي

لتمكين الإكمال التلقائي في bash، قم بتشغيل الأمر التالي وأعد تشغيل جلسة Terminal:

echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile

لتمكين الإكمال التلقائي في zsh:

  • تحقق مما إذا كان الإكمال التلقائي ممكنا على جهازك:

    cat ~/.zshrc | grep autoload

  • إذا لم ينتج الأمر السابق أي إخراج، يمكنك تمكين الإكمال التلقائي باستخدام الأمر التالي:

    echo "autoload -Uz compinit && compinit" >> ~/.zshrc

  • قم بتشغيل الأوامر التالية لتمكين الإكمال التلقائي Microsoft Defender لنقطة النهاية على macOS وإعادة تشغيل جلسة Terminal:

    sudo mkdir -p /usr/local/share/zsh/site-functions

sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp

دليل عزل Microsoft Defender لنقطة النهاية العميل

/Library/Application Support/Microsoft/Defender/quarantine/ يحتوي على الملفات المعزولة بواسطة mdatp. تتم تسمية الملفات بعد معرف تعقب التهديدات. يتم عرض معرفات التتبع الحالية مع mdatp threat list.

إلغاء التثبيت

هناك عدة طرق لإلغاء تثبيت Microsoft Defender لنقطة النهاية على macOS. على الرغم من توفر إلغاء التثبيت المدار مركزيا على JAMF، إلا أنه غير متوفر بعد Microsoft Intune.

تتطلب جميع إزالة تثبيت Microsoft Defender لنقطة النهاية على macOS ما يلي:

  1. قم بإنشاء علامة جهاز، وقم بتسمية العلامة التي تم إيقاف تشغيلها وتعيينها إلى macOS حيث يتم إلغاء تثبيت Microsoft Defender لنظام التشغيل macOS.

  2. قم بإنشاء مجموعة أجهزة وقم بتسميته (على سبيل المثال، macOS الذي تم إيقاف تشغيله) وقم بتعيين مجموعة مستخدمين يجب أن تكون قادرة على رؤيتها.

    ملاحظة: الخطوتان 1 و2 اختياريتان إذا كنت لا تريد رؤية هذه الأجهزة التي تم إيقافها في "مخزون الجهاز" لمدة 180 يوما.

  3. قم بإزالة نهج "تعيين التفضيلات" التي تحتوي على الحماية من العبث أو من خلال التكوين اليدوي.

  4. إلغاء إلحاق كل جهاز لكل أجهزة غير تابعة ل Windows.

  5. إلغاء تثبيت Microsoft Defender لنقطة النهاية لتطبيقات macOS

  6. قم بإزالة الجهاز من المجموعة لنهج ملحق النظام إذا تم استخدام MDM لتعيينها.

إلغاء التثبيت التفاعلي

  • افتح تطبيقات الباحث>. انقر بزر الماوس الأيمن فوق Microsoft Defender لنقطة النهاية، ثم حدد نقل إلى سلة المهملات.

من سطر الأوامر

  • sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'

استخدام JAMF Pro

لإلغاء تثبيت Microsoft Defender لنقطة النهاية على macOS باستخدام JAMF Pro، قم بتحميل ملف تعريف إلغاء الإلحاق.

يجب تحميل ملف تعريف إلغاء الإلحاق دون أي تعديلات، ومع تعيين اسم مجال التفضيل إلى com.microsoft.wdav.atp.offboarding، كما هو موضح في الصورة التالية:

لقطة شاشة لشاشة إلغاء إلحاق JAMF

ملاحظة

إذا واجهت مشكلة في إلغاء تثبيت Defender لنقطة النهاية على Mac، وكنت ترى في تقاريرك عنصرا لملحق أمان نقطة النهاية Microsoft Defender، فاتبع الخطوات التالية:

  1. أعد تثبيت تطبيق Microsoft Defender.
  2. اسحب Microsoft Defender.app إلى سلة المهملات.
  3. قم بتشغيل هذا الأمر: sudo /Library/Application Support/Microsoft/Defender/uninstall/install_helper execute --path '/Library/Application Support/Microsoft/Defender/uninstall/uninstall' --args --post-uninstall-hook.
  4. أعد تشغيل الجهاز.

مدخل Microsoft Defender

عند اكتشاف التهديدات، يمكن لفريق الأمان عرض عمليات الكشف، وإذا لزم الأمر، واتخاذ إجراءات الاستجابة على جهاز في مدخل Microsoft Defender (https://security.microsoft.com). يجمع Microsoft Defender بين الحماية والكشف والتحقيق والاستجابة للتهديدات في موقع مركزي. لمزيد من المعلومات، راجع الموارد التالية:

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.