Číst v angličtině

Sdílet prostřednictvím


Zdroje informací pro Microsoft Defender for Endpoint v macOS

Platí pro:

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Shromažďování diagnostických informací

Pokud můžete problém reprodukovat, zvyšte úroveň protokolování, nějakou dobu spusťte systém a pak obnovte výchozí úroveň protokolování.

  1. Zvýšení úrovně protokolování:

    mdatp log level set --level debug
    
    Log level configured successfully
    
  2. Reprodukujte problém.

  3. Spuštěním příkazu sudo mdatp diagnostic create zálohujte protokoly Microsoft Defender for Endpoint. Soubory se ukládají v archivu .zip . Tento příkaz také vytiskne cestu k souboru do zálohy po úspěšné operaci.

    Tip

    Ve výchozím nastavení se diagnostické protokoly ukládají do /Library/Application Support/Microsoft/Defender/wdavdiag/. Pokud chcete změnit adresář, ve kterém se ukládají diagnostické protokoly, předejte --path [directory] následujícímu příkazu a nahraďte [directory] požadovaným adresářem.

    sudo mdatp diagnostic create
    
    Diagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"
    
  4. Obnovte úroveň protokolování.

    mdatp log level set --level info
    
    Log level configured successfully
    

Problémy s instalací protokolování

Pokud během instalace dojde k chybě, instalační program hlásí pouze obecné selhání. Podrobný protokol se uloží do /Library/Logs/Microsoft/mdatp/install.log. Pokud během instalace narazíte na problémy, pošlete nám tento soubor při otevření vašeho případu podpory, abychom vám mohli pomoct s diagnostikou příčiny.

Další informace o řešení potíží s instalací najdete v tématu Řešení potíží s instalací Microsoft Defender for Endpoint v macOS.

Konfigurace z příkazového řádku

Podporované typy výstupu

Podporuje výstupní typy formátu tabulky a formátu JSON. Pro každý příkaz je k dispozici výchozí chování výstupu. Výstup můžete upravit v upřednostňovaném výstupním formátu pomocí následujících příkazů:

-output json

-output table

Důležité úlohy, jako je řízení nastavení produktu a aktivace kontrol na vyžádání, můžete provádět pomocí příkazového řádku:

Skupina Scénář Příkaz
Konfigurace Zapnutí/vypnutí antivirového softwaru v pasivním režimu mdatp config passive-mode --value [enabled/disabled]
Konfigurace Zapnutí nebo vypnutí ochrany v reálném čase mdatp config real-time-protection --value [enabled/disabled]
Konfigurace Zapnutí nebo vypnutí monitorování chování mdatp config behavior-monitoring --value [enabled/disabled]
Konfigurace Zapnutí/vypnutí cloudové ochrany mdatp config cloud --value [enabled/disabled]
Konfigurace Zapnutí/vypnutí diagnostiky produktu mdatp config cloud-diagnostic --value [enabled/disabled]
Konfigurace Zapnutí nebo vypnutí automatického odesílání vzorků mdatp config cloud-automatic-sample-submission --value [enabled/disabled]
Konfigurace Zapnutí, audit nebo vypnutí ochrany proti pua mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off
Konfigurace Přidání nebo odebrání antivirového vyloučení pro proces mdatp exclusion process [add/remove] --path [path-to-process]nebo mdatp exclusion process [add\|remove] --name [process-name]
Konfigurace Přidání nebo odebrání antivirového vyloučení souboru mdatp exclusion file [add/remove] --path [path-to-file]
Konfigurace Přidání nebo odebrání vyloučení antivirového programu pro adresář mdatp exclusion folder [add/remove] --path [path-to-directory]
Konfigurace Přidání nebo odebrání antivirového vyloučení pro příponu souboru mdatp exclusion extension [add/remove] --name [extension]
Konfigurace Vypsat všechna vyloučení antivirového softwaru mdatp exclusion list
Konfigurace Konfigurace stupně paralelismu pro kontroly na vyžádání mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]
Konfigurace Zapnutí/vypnutí kontrol po aktualizacích inteligentních informací zabezpečení mdatp config scan-after-definition-update --value [enabled/disabled]
Konfigurace Zapnutí/vypnutí prohledávání archivu (pouze kontroly na vyžádání) mdatp config scan-archives --value [enabled/disabled]
Konfigurace Zapnutí nebo vypnutí výpočtu hodnoty hash souboru mdatp config enable-file-hash-computation --value [enabled/disabled]
Ochrana Kontrola cesty mdatp scan custom --path [path] [--ignore-exclusions]
Ochrana Rychlá kontrola mdatp scan quick
Ochrana Proveďte úplnou kontrolu. mdatp scan full
Ochrana Zrušení probíhající kontroly na vyžádání mdatp scan cancel
Ochrana Žádost o aktualizaci bezpečnostních informací mdatp definitions update
Konfigurace Přidání názvu hrozby do seznamu povolených mdatp threat allowed add --name [threat-name]
Konfigurace Odebrání názvu hrozby ze seznamu povolených mdatp threat allowed remove --name [threat-name]
Konfigurace Výpis všech povolených názvů hrozeb mdatp threat allowed list
Historie ochrany Tisk úplné historie ochrany mdatp threat list
Historie ochrany Získání podrobností o hrozbě mdatp threat get --id [threat-id]
Správa karantény Výpis všech souborů v karanténě mdatp threat quarantine list
Správa karantény Odebrání všech souborů z karantény mdatp threat quarantine remove-all
Správa karantény Přidání souboru zjištěného jako hrozby pro karanténu mdatp threat quarantine add --id [threat-id]
Správa karantény Odebrání souboru zjištěného jako hrozba z karantény mdatp threat quarantine remove --id [threat-id]
Správa karantény Obnovení souboru z karantény K dispozici ve verzi Defender for Endpoint před 101.23092.0012. mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
Správa karantény Obnovení souboru z karantény pomocí ID hrozby K dispozici v Defenderu for Endpoint verze 101.23092.0012 nebo novější. mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder]
Správa karantény Obnovení souboru z karantény pomocí původní cesty hrozby K dispozici v Defenderu for Endpoint verze 101.23092.0012 nebo novější. mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder]
Konfigurace ochrany sítě Konfigurace úrovně vynucení ochrany sítě mdatp config network-protection enforcement-level --value [Block/Audit/Disabled]
Správa ochrany sítě Kontrola úspěšného spuštění ochrany sítě mdatp health --field network_protection_status
Správa řízení zařízení Je povolené řízení zařízení a jaké je výchozí vynucování? mdatp device-control policy preferences list
Správa řízení zařízení Jaké zásady řízení zařízení jsou povolené? mdatp device-control policy rules list
Správa řízení zařízení Jaké skupiny zásad řízení zařízení jsou povolené? mdatp device-control policy groups list
Konfigurace Zapnutí/vypnutí ochrany před únikem informací mdatp config data_loss_prevention --value [enabled/disabled]
Diagnostika Změna úrovně protokolu mdatp log level set --level [error/warning/info/verbose]
Diagnostika Generování diagnostických protokolů mdatp diagnostic create --path [directory]
Stav Kontrola stavu produktu mdatp health
Stav Kontrola konkrétního atributu produktu mdatp health --field [attribute: healthy/licensed/engine_version...]
EDR Vyloučení seznamu EDR (root) mdatp edr exclusion list [processes|paths|extensions|all]
EDR Nastavit nebo odebrat značku, podporuje se pouze skupina mdatp edr tag set --name GROUP --value [name]
EDR Odebrání značky skupiny ze zařízení mdatp edr tag remove --tag-name [name]
EDR Přidat ID skupiny mdatp edr group-ids --group-id [group]

Povolení automatického dokončování

Pokud chcete povolit automatické dokončování v Bash, spusťte následující příkaz a restartujte relaci terminálu:

echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile

Povolení automatického dokončování v ZSH:

  • Zkontrolujte, jestli je na vašem zařízení povolené automatické dokončování:

    cat ~/.zshrc | grep autoload
    
  • Pokud předchozí příkaz negeneruje žádný výstup, můžete automatické dokončování povolit pomocí následujícího příkazu:

    echo "autoload -Uz compinit && compinit" >> ~/.zshrc
    
  • Spuštěním následujících příkazů povolte automatické dokončování pro Microsoft Defender for Endpoint v systému macOS a restartujte relaci terminálu:

    sudo mkdir -p /usr/local/share/zsh/site-functions
    
    sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
    

Adresář Microsoft Defender for Endpoint karantény klienta

/Library/Application Support/Microsoft/Defender/quarantine/ obsahuje soubory uložené v karanténě nástrojem mdatp. Soubory jsou pojmenované podle id sledování hrozeb. Aktuální id sledování se zobrazují pomocí mdatp threat list.

Odinstalace

Microsoft Defender for Endpoint v systému macOS můžete odinstalovat několika způsoby. I když je v JAMF k dispozici centrálně spravovaná odinstalace, zatím není k dispozici pro Microsoft Intune.

Veškerá odinstalace Microsoft Defender for Endpoint v systému macOS vyžaduje následující:

  1. Vytvořte značku zařízení, pojmenujte ji vyřazené z provozu a přiřaďte ji k systému macOS, ve kterém probíhá odinstalace Microsoft Defender pro macOS.

  2. Vytvořte skupinu zařízení a pojmenujte ji (např. vyřazený macOS z provozu) a přiřaďte skupinu uživatelů, která by je měla vidět.

    Poznámka: Kroky 1 a 2 jsou volitelné, pokud nechcete, aby se tato zařízení po dobu 180 dnů vyřadila z inventáře zařízení.

  3. Odeberte zásady Nastavení předvoleb, které obsahují ochranu před falšováním , nebo pomocí ruční konfigurace.

  4. Offboarding každého zařízení na offboarding zařízení, která nejsou windows.

  5. Odinstalace Microsoft Defender for Endpoint pro aplikace pro macOS

  6. Odeberte zařízení ze skupiny pro zásady rozšíření systému , pokud se k jejich nastavení použil mdm.

Interaktivní odinstalace

  • Otevřete Aplikace Finderu>. Klikněte pravým tlačítkem na Microsoft Defender for Endpoint a pak vyberte Přesunout do koše.

Z příkazového řádku

  • sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'

Použití JAMF Pro

Pokud chcete odinstalovat Microsoft Defender for Endpoint v systému macOS pomocí JAMF Pro, nahrajte profil pro offboarding.

Profil offboardingu by se měl nahrát bez jakýchkoli úprav a měl by být nastaven název domény předvolby na com.microsoft.wdav.atp.offboardinghodnotu , jak je znázorněno na následujícím obrázku:

Snímek obrazovky pro offboarding JAMF

Poznámka

Pokud máte potíže s odinstalací Defenderu for Endpoint na Macu a v sestavách vidíte položku pro Microsoft Defender Rozšíření zabezpečení koncového bodu, postupujte takto:

  1. Přeinstalujte aplikaci Microsoft Defender.
  2. Přetáhněte Microsoft Defender.app do koše.
  3. Spusťte tento příkaz: sudo /Library/Application Support/Microsoft/Defender/uninstall/install_helper execute --path '/Library/Application Support/Microsoft/Defender/uninstall/uninstall' --args --post-uninstall-hook.
  4. Restartujte zařízení.

Portál Microsoft Defender

Po zjištění hrozeb může bezpečnostní tým zobrazit detekce a v případě potřeby na zařízení na portálu Microsoft Defender (https://security.microsoft.com) provést akce reakce. Microsoft Defender kombinuje ochranu, detekci, vyšetřování a reakci na hrozby v centrálním umístění. Chcete-li se dozvědět více informací, podívejte se na následující zdroje:

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.