Plánování kontrol s Microsoft Defender for Endpoint v systému macOS
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Naplánování kontroly integrované do Microsoft Defender for Endpoint v macOS
Kontrolu hrozeb můžete zahájit kdykoli pomocí Microsoft Defender for Endpoint, ale pro váš podnik může být užitečné plánované nebo načasované kontroly. Můžete například naplánovat spuštění kontroly na začátku každého pracovního dne nebo týdne.
Existují tři typy plánovaných kontrol, které se dají konfigurovat: hodinová, denní a týdenní. Hodinové a denní naplánované kontroly se vždy spouštějí jako rychlé kontroly, týdenní kontroly se dají nakonfigurovat tak, aby byly rychlé nebo úplné. Je možné mít všechny tři typy naplánovaných kontrol najednou. Podívejte se na ukázky v tomto článku.
Požadavky:
- Verze aktualizace platformy: 101.23122.0005 nebo novější
Naplánování kontroly pomocí Microsoft Defender for Endpoint v systému macOS
Můžete vytvořit naplánovanou kontrolu pro macOS, která je integrovaná v Microsoft Defender for Endpoint v systému macOS.
Další informace o zde použitém .plist formátu souboru najdete v části Informace o souborech seznamu vlastností informací na oficiálním webu apple pro vývojáře.
Následující ukázka ukazuje denní nebo týdenní konfiguraci naplánované kontroly v macOS.
Tip
Plány jsou založené na místním časovém pásmu zařízení.
| Parametr | Přijatelné hodnoty pro tento parametr jsou: |
|---|---|
scheduledScan |
enabled nebo disabled |
scanType |
quick nebo full |
ignoreExclusions |
true nebo false |
| lowPriorityScheduledScan |
true nebo false |
dayOfWeek |
Rozsah je mezi 0 a 8. - 0:Každodenní- 1:Neděle- 2:Pondělí- 3:Úterý- 4:Středa- 5:Čtvrtek- 6:Pátek- 7:Sobota- 8:Nikdy |
timeOfDay |
Určuje denní čas jako počet hodnot minutes after midnight, které se mají provést naplánované kontroly. Čas odkazuje na místní čas v počítači. Pokud hodnotu pro tento parametr nezadáte, naplánovaná kontrola se spustí ve výchozí dobu dvě hodiny po půlnoci. |
interval |
0 (nikdy), every 1 (hodina) až every 24 (hodiny, jedno skenování za den) |
randomizeScanStartTime |
Platí pouze pro denní rychlé kontroly nebo týdenní rychlé/úplné kontroly. Čas zahájení kontroly můžete náhodně určit až podle zadaného počtu hodin. Pokud je například prohledávání naplánováno na 14:00 a randomizeScanStartTime je nastaveno na hodnotu 2, zahájí se prohledávání náhodně mezi 14:00 a 16:00. |
Naplánovaná kontrola se spustí k datu, času a frekvenci, kterou jste definovali v nástroji plist.
Příklad 1: Naplánování denní rychlé a týdenní úplné kontroly pomocí plistu
V následujícím příkladu je konfigurace denní rychlé kontroly nastavená tak, aby běžela 885 minut po půlnoci (14:45). Týdenní konfigurace je nastavená tak, aby se úplná kontrola spustila ve středu v 880 minut po půlnoci (14:40). A je nastavená tak, aby ignorovala vyloučení a spustila kontrolu s nízkou prioritou.
Následující kód ukazuje schéma, které je potřeba použít k naplánování kontrol podle výše uvedených požadavků.
- Otevřete textový editor a použijte tento příklad jako vodítko pro vlastní naplánovaný naskenovací soubor.
Pro Intune
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>880</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>885</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Uložte soubor jako
com.microsoft.wdav.mobileconfig.
Pro JamF a další MDM třetích stran
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Uložte soubor jako
com.microsoft.wdav.plist.Zkontrolujte, jestli je naplánovaná kontrola nakonfigurovaná prostřednictvím nastavení předvoleb.
mdatp health --details scheduled_scanVe výsledcích byste měli vidět [spravované].
Příklad 2: Naplánování hodinové rychlé kontroly, denní rychlé kontroly a týdenní úplné kontroly pomocí plistu
V následujícím příkladu se hodinová rychlá kontrola spustí každých 6 hodin, denní konfigurace rychlé kontroly se nastaví tak, aby běžela 885 minut po půlnoci (14:45) a týdenní úplná kontrola se spustí ve středu v 880 minut po půlnoci (14:40).
Pro Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Uložte soubor jako
com.microsoft.wdav.mobileconfig.
Pro JamF a další MDM třetích stran
- Otevřete textový editor a použijte tento příklad.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Uložte soubor jako
com.microsoft.wdav.plist.Zkontrolujte, jestli je naplánovaná kontrola nakonfigurovaná prostřednictvím nastavení předvoleb.
mdatp health --details scheduled_scanVe výsledcích byste měli vidět [spravované].
Možnost 3: Konfigurace plánovaných kontrol pomocí nástroje rozhraní příkazového řádku
Povolení funkce naplánované kontroly:
| Verze | Příkaz |
|---|---|
| Verze 101.23122.x nebo novější | sudo mdatp config scheduled-scan settings feature --value enabled |
Naplánování hodinových rychlých kontrol:
| Verze | Příkaz |
|---|---|
| Verze 101.23122.x nebo novější | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
Naplánování denních rychlých kontrol:
| Verze | Příkaz |
|---|---|
| Verze 101.23122.x nebo novější | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
Naplánování týdenních kontrol:
| Verze | Příkaz |
|---|---|
| Verze 101.23122.x nebo novější | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
Další možnosti konfigurace:
Kontrola aktualizací definic před plánovanými kontrolami:
sudo mdatp config scheduled-scan settings check-for-definitions --value truePoužití vláken s nízkou prioritou pro plánovanou kontrolu:
sudo mdatp config scheduled-scan settings low-priority --value true
Kontrola spuštění naplánované kontroly
Použijte následující příkaz:
mdatp scan list
\<snip\>
Důležité
Naplánované kontroly se nespouštějí v naplánovaný čas, když je zařízení v režimu spánku. Místo toho se naplánované kontroly spustí při obnovení zařízení z režimu spánku. Pokud je zařízení vypnuté, kontrola se spustí v další naplánované době kontroly.
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.