Zdroje informací pro Microsoft Defender for Endpoint v macOS
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Shromažďování diagnostických informací
Pokud můžete problém reprodukovat, zvyšte úroveň protokolování, nějakou dobu spusťte systém a pak obnovte výchozí úroveň protokolování.
Zvýšení úrovně protokolování:
mdatp log level set --level debugLog level configured successfullyReprodukujte problém.
Spuštěním příkazu
sudo mdatp diagnostic createzálohujte protokoly Microsoft Defender for Endpoint. Soubory se ukládají v archivu.zip. Tento příkaz také vytiskne cestu k souboru do zálohy po úspěšné operaci.Tip
Ve výchozím nastavení se diagnostické protokoly ukládají do
/Library/Application Support/Microsoft/Defender/wdavdiag/. Pokud chcete změnit adresář, ve kterém se ukládají diagnostické protokoly, předejte--path [directory]následujícímu příkazu a nahraďte[directory]požadovaným adresářem.sudo mdatp diagnostic createDiagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"Obnovte úroveň protokolování.
mdatp log level set --level infoLog level configured successfully
Problémy s instalací protokolování
Pokud během instalace dojde k chybě, instalační program hlásí pouze obecné selhání. Podrobný protokol se uloží do /Library/Logs/Microsoft/mdatp/install.log. Pokud během instalace narazíte na problémy, pošlete nám tento soubor při otevření vašeho případu podpory, abychom vám mohli pomoct s diagnostikou příčiny.
Další informace o řešení potíží s instalací najdete v tématu Řešení potíží s instalací Microsoft Defender for Endpoint v macOS.
Konfigurace z příkazového řádku
Podporované typy výstupu
Podporuje výstupní typy formátu tabulky a formátu JSON. Pro každý příkaz je k dispozici výchozí chování výstupu. Výstup můžete upravit v upřednostňovaném výstupním formátu pomocí následujících příkazů:
-output json
-output table
Důležité úlohy, jako je řízení nastavení produktu a aktivace kontrol na vyžádání, můžete provádět pomocí příkazového řádku:
| Skupina | Scénář | Příkaz |
|---|---|---|
| Konfigurace | Zapnutí/vypnutí antivirového softwaru v pasivním režimu | mdatp config passive-mode --value [enabled/disabled] |
| Konfigurace | Zapnutí nebo vypnutí ochrany v reálném čase | mdatp config real-time-protection --value [enabled/disabled] |
| Konfigurace | Zapnutí nebo vypnutí monitorování chování | mdatp config behavior-monitoring --value [enabled/disabled] |
| Konfigurace | Zapnutí/vypnutí cloudové ochrany | mdatp config cloud --value [enabled/disabled] |
| Konfigurace | Zapnutí/vypnutí diagnostiky produktu | mdatp config cloud-diagnostic --value [enabled/disabled] |
| Konfigurace | Zapnutí nebo vypnutí automatického odesílání vzorků | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
| Konfigurace | Zapnutí, audit nebo vypnutí ochrany proti pua | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
| Konfigurace | Přidání nebo odebrání antivirového vyloučení pro proces |
mdatp exclusion process [add/remove] --path [path-to-process]nebo mdatp exclusion process [add\|remove] --name [process-name] |
| Konfigurace | Přidání nebo odebrání antivirového vyloučení souboru | mdatp exclusion file [add/remove] --path [path-to-file] |
| Konfigurace | Přidání nebo odebrání vyloučení antivirového programu pro adresář | mdatp exclusion folder [add/remove] --path [path-to-directory] |
| Konfigurace | Přidání nebo odebrání antivirového vyloučení pro příponu souboru | mdatp exclusion extension [add/remove] --name [extension] |
| Konfigurace | Vypsat všechna vyloučení antivirového softwaru | mdatp exclusion list |
| Konfigurace | Konfigurace stupně paralelismu pro kontroly na vyžádání | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Konfigurace | Zapnutí/vypnutí kontrol po aktualizacích inteligentních informací zabezpečení | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Konfigurace | Zapnutí/vypnutí prohledávání archivu (pouze kontroly na vyžádání) | mdatp config scan-archives --value [enabled/disabled] |
| Konfigurace | Zapnutí nebo vypnutí výpočtu hodnoty hash souboru | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Ochrana | Kontrola cesty | mdatp scan custom --path [path] [--ignore-exclusions] |
| Ochrana | Rychlá kontrola | mdatp scan quick |
| Ochrana | Proveďte úplnou kontrolu. | mdatp scan full |
| Ochrana | Zrušení probíhající kontroly na vyžádání | mdatp scan cancel |
| Ochrana | Žádost o aktualizaci bezpečnostních informací | mdatp definitions update |
| Konfigurace | Přidání názvu hrozby do seznamu povolených | mdatp threat allowed add --name [threat-name] |
| Konfigurace | Odebrání názvu hrozby ze seznamu povolených | mdatp threat allowed remove --name [threat-name] |
| Konfigurace | Výpis všech povolených názvů hrozeb | mdatp threat allowed list |
| Historie ochrany | Tisk úplné historie ochrany | mdatp threat list |
| Historie ochrany | Získání podrobností o hrozbě | mdatp threat get --id [threat-id] |
| Správa karantény | Výpis všech souborů v karanténě | mdatp threat quarantine list |
| Správa karantény | Odebrání všech souborů z karantény | mdatp threat quarantine remove-all |
| Správa karantény | Přidání souboru zjištěného jako hrozby pro karanténu | mdatp threat quarantine add --id [threat-id] |
| Správa karantény | Odebrání souboru zjištěného jako hrozba z karantény | mdatp threat quarantine remove --id [threat-id] |
| Správa karantény | Obnovení souboru z karantény K dispozici ve verzi Defender for Endpoint před 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Správa karantény | Obnovení souboru z karantény pomocí ID hrozby K dispozici v Defenderu for Endpoint verze 101.23092.0012 nebo novější. | mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Správa karantény | Obnovení souboru z karantény pomocí původní cesty hrozby K dispozici v Defenderu for Endpoint verze 101.23092.0012 nebo novější. | mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Konfigurace ochrany sítě | Konfigurace úrovně vynucení ochrany sítě | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
| Správa ochrany sítě | Kontrola úspěšného spuštění ochrany sítě | mdatp health --field network_protection_status |
| Správa řízení zařízení | Je povolené řízení zařízení a jaké je výchozí vynucování? | mdatp device-control policy preferences list |
| Správa řízení zařízení | Jaké zásady řízení zařízení jsou povolené? | mdatp device-control policy rules list |
| Správa řízení zařízení | Jaké skupiny zásad řízení zařízení jsou povolené? | mdatp device-control policy groups list |
| Konfigurace | Zapnutí/vypnutí ochrany před únikem informací | mdatp config data_loss_prevention --value [enabled/disabled] |
| Diagnostika | Změna úrovně protokolu | mdatp log level set --level [error/warning/info/verbose] |
| Diagnostika | Generování diagnostických protokolů | mdatp diagnostic create --path [directory] |
| Stav | Kontrola stavu produktu | mdatp health |
| Stav | Kontrola konkrétního atributu produktu | mdatp health --field [attribute: healthy/licensed/engine_version...] |
| EDR | Vyloučení seznamu EDR (root) | mdatp edr exclusion list [processes|paths|extensions|all] |
| EDR | Nastavit nebo odebrat značku, podporuje se pouze skupina | mdatp edr tag set --name GROUP --value [name] |
| EDR | Odebrání značky skupiny ze zařízení | mdatp edr tag remove --tag-name [name] |
| EDR | Přidat ID skupiny | mdatp edr group-ids --group-id [group] |
Povolení automatického dokončování
Pokud chcete povolit automatické dokončování v Bash, spusťte následující příkaz a restartujte relaci terminálu:
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
Povolení automatického dokončování v ZSH:
Zkontrolujte, jestli je na vašem zařízení povolené automatické dokončování:
cat ~/.zshrc | grep autoloadPokud předchozí příkaz negeneruje žádný výstup, můžete automatické dokončování povolit pomocí následujícího příkazu:
echo "autoload -Uz compinit && compinit" >> ~/.zshrcSpuštěním následujících příkazů povolte automatické dokončování pro Microsoft Defender for Endpoint v systému macOS a restartujte relaci terminálu:
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
Adresář Microsoft Defender for Endpoint karantény klienta
/Library/Application Support/Microsoft/Defender/quarantine/ obsahuje soubory uložené v karanténě nástrojem mdatp. Soubory jsou pojmenované podle id sledování hrozeb. Aktuální id sledování se zobrazují pomocí mdatp threat list.
Odinstalace
Microsoft Defender for Endpoint v systému macOS můžete odinstalovat několika způsoby. I když je v JAMF k dispozici centrálně spravovaná odinstalace, zatím není k dispozici pro Microsoft Intune.
Veškerá odinstalace Microsoft Defender for Endpoint v systému macOS vyžaduje následující:
Vytvořte značku zařízení, pojmenujte ji vyřazené z provozu a přiřaďte ji k systému macOS, ve kterém probíhá odinstalace Microsoft Defender pro macOS.
Vytvořte skupinu zařízení a pojmenujte ji (např. vyřazený macOS z provozu) a přiřaďte skupinu uživatelů, která by je měla vidět.
Poznámka: Kroky 1 a 2 jsou volitelné, pokud nechcete, aby se tato zařízení po dobu 180 dnů vyřadila z inventáře zařízení.
Odeberte zásady Nastavení předvoleb, které obsahují ochranu před falšováním , nebo pomocí ruční konfigurace.
Offboarding každého zařízení na offboarding zařízení, která nejsou windows.
Odinstalace Microsoft Defender for Endpoint pro aplikace pro macOS
Odeberte zařízení ze skupiny pro zásady rozšíření systému , pokud se k jejich nastavení použil mdm.
Interaktivní odinstalace
- Otevřete Aplikace Finderu>. Klikněte pravým tlačítkem na Microsoft Defender for Endpoint a pak vyberte Přesunout do koše.
Z příkazového řádku
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
Použití JAMF Pro
Pokud chcete odinstalovat Microsoft Defender for Endpoint v systému macOS pomocí JAMF Pro, nahrajte profil pro offboarding.
Profil offboardingu by se měl nahrát bez jakýchkoli úprav a měl by být nastaven název domény předvolby na com.microsoft.wdav.atp.offboardinghodnotu , jak je znázorněno na následujícím obrázku:
Poznámka
Pokud máte potíže s odinstalací Defenderu for Endpoint na Macu a v sestavách vidíte položku pro Microsoft Defender Rozšíření zabezpečení koncového bodu, postupujte takto:
- Přeinstalujte aplikaci Microsoft Defender.
- Přetáhněte Microsoft Defender.app do koše.
- Spusťte tento příkaz:
sudo /Library/Application Support/Microsoft/Defender/uninstall/install_helper execute --path '/Library/Application Support/Microsoft/Defender/uninstall/uninstall' --args --post-uninstall-hook. - Restartujte zařízení.
Portál Microsoft Defender
Po zjištění hrozeb může bezpečnostní tým zobrazit detekce a v případě potřeby na zařízení na portálu Microsoft Defender (https://security.microsoft.com) provést akce reakce. Microsoft Defender kombinuje ochranu, detekci, vyšetřování a reakci na hrozby v centrálním umístění. Chcete-li se dozvědět více informací, podívejte se na následující zdroje:
- Přehled detekce koncových bodů a odezvy
- Blog technické komunity: Funkce EDR pro macOS jsou nyní k dispozici
- přehled portálu Microsoft Defender
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.