وضع استكشاف الأخطاء وإصلاحها في Microsoft Defender لنقطة النهاية على macOS

ينطبق على:

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

توضح هذه المقالة كيفية تمكين وضع استكشاف الأخطاء وإصلاحها في Microsoft Defender لنقطة النهاية على macOS حتى يتمكن المسؤولون من استكشاف أخطاء ميزات مكافحة الفيروسات Microsoft Defender المختلفة وإصلاحها مؤقتا، حتى إذا كانت النهج التنظيمية تدير الأجهزة.

على سبيل المثال، إذا تم تمكين الحماية من العبث، فلا يمكن تعديل إعدادات معينة أو إيقاف تشغيلها، ولكن يمكنك استخدام وضع استكشاف الأخطاء وإصلاحها على الجهاز لتحرير هذه الإعدادات مؤقتا.

يتم تعطيل وضع استكشاف الأخطاء وإصلاحها بشكل افتراضي، ويتطلب منك تشغيله لجهاز (و/أو مجموعة من الأجهزة) لفترة محدودة. يعد وضع استكشاف الأخطاء وإصلاحها حصريا ميزة خاصة بالمؤسسة فقط، ويتطلب الوصول إلى مدخل Microsoft Defender.

ما الذي تحتاج إلى معرفته قبل البدء

أثناء وضع استكشاف الأخطاء وإصلاحها، يمكنك:

  • استخدم Microsoft Defender لنقطة النهاية على استكشاف الأخطاء وإصلاحها الوظيفي في macOS /توافق التطبيق (الإيجابيات الخاطئة).

  • يمكن للمسؤولين المحليين، باستخدام الأذونات المناسبة، تغيير تكوينات النهج المؤمنة التالية على نقاط النهاية الفردية:

    اعداد تمكين تعطيل/إزالة
    Real-Time الحماية/ الوضع السلبي / عند الطلب mdatp config real-time-protection --value enabled mdatp config real-time-protection --value disabled
    حماية الشبكة mdatp config network-protection enforcement-level --value block mdatp config network-protection enforcement-level --value disabled
    RealTimeProtectionStatistics mdatp config real-time-protection-statistics --value enabled mdatp config real-time-protection-statistics --value disabled
    العلامات mdatp edr tag set --name GROUP --value [name] mdatp edr tag remove --tag-name [name]
    معرفات المجموعة mdatp edr group-ids --group-id [group]
    نقطة النهاية DLP mdatp config data_loss_prevention --value enabled mdatp config data_loss_prevention --value disabled

أثناء وضع استكشاف الأخطاء وإصلاحها، لا يمكنك:

  • تعطيل الحماية من العبث Microsoft Defender لنقطة النهاية على macOS.
  • قم بإلغاء تثبيت Microsoft Defender لنقطة النهاية على macOS.

المتطلبات الأساسية

  • إصدار مدعوم من macOS Microsoft Defender لنقطة النهاية.
  • يجب أن يكون Microsoft Defender لنقطة النهاية مسجلا من قبل المستأجر وأن يكون نشطا على الجهاز.
  • أذونات "إدارة إعدادات الأمان في مركز الأمان" في Microsoft Defender لنقطة النهاية.
  • إصدار تحديث النظام الأساسي: 101.23122.0005 أو أحدث.

تمكين وضع استكشاف الأخطاء وإصلاحها على macOS

  1. انتقل إلى مدخل Microsoft Defender، وسجل الدخول.

  2. انتقل إلى صفحة الجهاز التي ترغب في تشغيل وضع استكشاف الأخطاء وإصلاحها. ثم حدد علامات الحذف (...) وحدد تشغيل وضع استكشاف الأخطاء وإصلاحها.

    لقطة شاشة تعرض لقطة شاشة لوضع استكشاف الأخطاء وإصلاحها على mac.

    ملاحظة

    يتوفر خيار تشغيل وضع استكشاف الأخطاء وإصلاحها على جميع الأجهزة، حتى إذا كان الجهاز لا يفي بالمتطلبات الأساسية لوضع استكشاف الأخطاء وإصلاحها.

  3. اقرأ المعلومات المعروضة في الجزء وبمجرد أن تصبح جاهزا، حدد إرسال لتأكيد رغبتك في تشغيل وضع استكشاف الأخطاء وإصلاحها لهذا الجهاز.

  4. سترى أنه قد يستغرق الأمر بضع دقائق حتى يصبح التغيير ساري المفعول ويتم عرض النص. خلال هذا الوقت، عند تحديد علامات الحذف مرة أخرى، سترى وضع تشغيل استكشاف الأخطاء وإصلاحها معلقا باللون الرمادي.

  5. بمجرد الانتهاء، تظهر صفحة الجهاز أن الجهاز الآن في وضع استكشاف الأخطاء وإصلاحها.

    إذا قام المستخدم النهائي بتسجيل الدخول على جهاز macOS، فسيرى النص التالي:

    بدأ وضع استكشاف الأخطاء وإصلاحها. يسمح لك هذا الوضع بتغيير الإعدادات التي يديرها المسؤول مؤقتا. تنتهي صلاحيتها في YEAR-MM-DDTHH:MM:SSZ.

    حدد موافق.

  6. بمجرد التمكين، يمكنك اختبار خيارات سطر الأوامر المختلفة القابلة للتبديل في وضع استكشاف الأخطاء وإصلاحها (وضع TS).

    على سبيل المثال، عند استخدام mdatp config real-time-protection --value disabled الأمر لتعطيل الحماية في الوقت الحقيقي، ستتم مطالبتك بإدخال كلمة المرور الخاصة بك. حدد موافق بعد إدخال كلمة المرور الخاصة بك.

    لقطة شاشة تعرض لقطة شاشة للحماية في الوقت الحقيقي التي يتم تعطيلها.

    سيتم عرض تقرير الإخراج المشابه للقطة الشاشة التالية على تشغيل صحة mdatp مع real_time_protection_enabled ك "خطأ" و tamper_protection "كتلة".

    لقطة شاشة تعرض لقطة شاشة لتقرير الإخراج لصحة mdatp قيد التشغيل.

استعلامات تتبع متقدمة للكشف

هناك بعض استعلامات التتبع المتقدمة التي تم إنشاؤها مسبقا لمنحك رؤية في أحداث استكشاف الأخطاء وإصلاحها التي تحدث في بيئتك. يمكنك استخدام هذه الاستعلامات لإنشاء قواعد الكشف لإنشاء تنبيهات عندما تكون الأجهزة في وضع استكشاف الأخطاء وإصلاحها.

الحصول على أحداث استكشاف الأخطاء وإصلاحها لجهاز معين

يمكنك استخدام الاستعلام التالي للبحث عن طريق deviceId أو deviceName عن طريق التعليق على الأسطر المعنية.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

الأجهزة الموجودة حاليا في وضع استكشاف الأخطاء وإصلاحها

يمكنك العثور على الأجهزة الموجودة حاليا في وضع استكشاف الأخطاء وإصلاحها باستخدام الاستعلام التالي:

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

عدد مثيلات وضع استكشاف الأخطاء وإصلاحها حسب الجهاز

يمكنك العثور على عدد مثيلات وضع استكشاف الأخطاء وإصلاحها لجهاز باستخدام الاستعلام التالي:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

العدد الإجمالي

يمكنك معرفة العدد الإجمالي لمثيلات وضع استكشاف الأخطاء وإصلاحها باستخدام الاستعلام التالي:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.