Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje, jak povolit režim řešení potíží v Microsoft Defender for Endpoint v systému macOS, aby správci mohli dočasně řešit různé funkce Microsoft Defender Antivirové ochrany, a to i v případě, že zařízení spravují zásady organizace.
Pokud je například povolená ochrana před falšováním, určitá nastavení nejde změnit nebo vypnout, ale můžete tato nastavení dočasně upravit pomocí režimu řešení potíží na zařízení.
Režim řešení potíží je ve výchozím nastavení zakázaný a vyžaduje, abyste ho na omezenou dobu zapnuli pro zařízení (nebo skupinu zařízení). Režim řešení potíží je výhradně podniková funkce a vyžaduje přístup k portálu Microsoft Defender.
Co je potřeba vědět, než začnete
Během režimu řešení potíží můžete:
Použijte Microsoft Defender for Endpoint v řešení potíží s funkcemi systému macOS /kompatibilitou aplikací (falešně pozitivní výsledky).
Místní správci s příslušnými oprávněními můžou u jednotlivých koncových bodů změnit následující konfigurace uzamčené zásadami:
Nastavení Povolit Zakázat nebo odebrat ochrana Real-Time / pasivní režim / na vyžádání mdatp config real-time-protection --value enabledmdatp config real-time-protection --value disabledOchrana sítě mdatp config network-protection enforcement-level --value blockmdatp config network-protection enforcement-level --value disabledrealTimeProtectionStatistics mdatp config real-time-protection-statistics --value enabledmdatp config real-time-protection-statistics --value disabledTagy mdatp edr tag set --name GROUP --value [name]mdatp edr tag remove --tag-name [name]id skupiny mdatp edr group-ids --group-id [group]Ochrana před únikem informací před koncovým bodem mdatp config data_loss_prevention --value enabledmdatp config data_loss_prevention --value disabled
Během režimu řešení potíží nemůžete:
- Zakažte ochranu před falšováním pro Microsoft Defender for Endpoint v systému macOS.
- Odinstalujte Microsoft Defender for Endpoint v systému macOS.
Požadavky
- Podporovaná verze macOS pro Microsoft Defender for Endpoint.
- Microsoft Defender for Endpoint musí být v zařízení zaregistrované v tenantovi a aktivní.
- Oprávnění pro správu nastavení zabezpečení ve službě Security Center v Microsoft Defender for Endpoint.
- Verze aktualizace platformy: 101.23122.0005 nebo novější.
Povolení režimu řešení potíží v macOS
Přejděte na portál Microsoft Defender a přihlaste se.
Přejděte na stránku zařízení, u které chcete zapnout režim řešení potíží. Pak vyberte tři tečky(...) a vyberte Zapnout režim řešení potíží.
Poznámka
Možnost Zapnout režim řešení potíží je dostupná na všech zařízeních, a to i v případě, že zařízení nesplňuje požadavky pro režim řešení potíží. Další informace najdete v části Problémy s režimem řešení potíží dále v tomto článku.
Přečtěte si informace zobrazené v podokně a až budete připravení, vyberte Odeslat a potvrďte, že chcete pro dané zařízení zapnout režim řešení potíží.
Uvidíte, že může trvat několik minut, než se změna projeví v zobrazeném textu. Když během této doby znovu vyberete tři tečky, zobrazí se možnost Zapnout režim řešení potíží čeká na vyřízení šedě.
Po dokončení se na stránce zařízení zobrazí, že zařízení je teď v režimu řešení potíží.
Pokud je koncový uživatel přihlášený na zařízení s macOS, zobrazí se mu následující text:
Spustil se režim řešení potíží. Tento režim umožňuje dočasně změnit nastavení, která spravuje správce. Platnost vyprší v YEAR-MM-DDTHH:MM:SSZ.
Vyberte OK.
Po povolení můžete otestovat různé možnosti příkazového řádku, které se dají v režimu řešení potíží (režim TS) přepnout.
Když například pomocí
mdatp config real-time-protection --value disabledpříkazu zakážete ochranu v reálném čase, zobrazí se výzva k zadání hesla. Po zadání hesla vyberte OK .
Výstupní sestava podobná následujícímu snímku obrazovky se zobrazí při spuštění funkce mdatp health s
real_time_protection_enabledchybou false atamper_protectionblokem.
Rozšířené dotazy proaktivního vyhledávání pro detekci
Existuje několik předem připravených pokročilých dotazů proaktivního vyhledávání, které vám poskytnou přehled o událostech řešení potíží, ke kterým dochází ve vašem prostředí. Pomocí těchto dotazů můžete vytvořit pravidla detekce , která budou generovat výstrahy, když jsou zařízení v režimu řešení potíží.
Získání událostí řešení potíží pro konkrétní zařízení
Následující dotaz můžete použít k vyhledávání podle deviceId nebo deviceName okomentováním příslušných řádků.
//let deviceName = "<deviceName>"; // update with device name
let deviceId = "<deviceID>"; // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
_tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
_tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
_tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource
Zařízení aktuálně v režimu řešení potíží
Zařízení, která jsou aktuálně v režimu řešení potíží, můžete najít pomocí následujícího dotazu:
DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc
Počet instancí režimu řešení potíží podle zařízení
Počet instancí režimu řešení potíží pro zařízení můžete zjistit pomocí následujícího dotazu:
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d) // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_
Celkový počet
Celkový počet instancí režimu řešení potíží můžete zjistit pomocí následujícího dotazu:
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5 // choose your max # of TS mode instances for your time range
Problémy s režimem řešení potíží
Pokud nemůžete povolit režim řešení potíží, proveďte na cílovém počítači Mac následující postup při řešení potíží:
Spuštěním následujícího příkazu ověřte verzi aplikace:
mdatp health --field app_versionJak už jsme zmínili, potřebujete verzi Aktualizace platformy: 101.23122.0005 nebo novější.
Spuštěním následujících příkazů ověřte, že je zařízení zaregistrované a aktivní:
mdatp health --field edr_machine_id mdatp connectivity testVšechny koncové body by se měly zobrazovat [OK].
Spuštěním následujícího příkazu ověřte zdroj konfigurace:
mdatp health --field managed_byMDE označuje, Microsoft Defender for Endpoint Připojit a má prioritu. MEM označuje Microsoft Intune nebo Apple Jamf.
Ověřte požadované cesty k profilu:
- /Library/Preferences/com.microsoft.mdeattach.plist
- /Library/Managed Preferences/com.microsoft.wdav*.plist
Pokud chcete zvýšit úroveň protokolování a shromáždit diagnostiku, spusťte následující příkazy a zkuste znovu povolit režim řešení potíží:
sudo mdatp log level set --level debug
sudo mdatp diagnostic create
sudo mdatp log level set --level info