Režim řešení potíží v Microsoft Defender for Endpoint v macOS
Platí pro:
- Microsoft Defender XDR
- Plán 2 pro Microsoft Defender for Endpoint
- Plán 1 pro Microsoft Defender for Endpoint
- Microsoft Defender for Endpoint v macOS
Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Tento článek popisuje, jak povolit režim řešení potíží v Microsoft Defender for Endpoint v systému macOS, aby správci mohli dočasně řešit různé funkce Microsoft Defender Antivirové ochrany, a to i v případě, že zařízení spravují zásady organizace.
Pokud je například povolená ochrana před falšováním, určitá nastavení nejde změnit nebo vypnout, ale můžete tato nastavení dočasně upravit pomocí režimu řešení potíží na zařízení.
Režim řešení potíží je ve výchozím nastavení zakázaný a vyžaduje, abyste ho na omezenou dobu zapnuli pro zařízení (nebo skupinu zařízení). Režim řešení potíží je výhradně podniková funkce a vyžaduje přístup k portálu Microsoft Defender.
Co je potřeba vědět, než začnete
Během režimu řešení potíží můžete:
Použijte Microsoft Defender for Endpoint v řešení potíží s funkcemi systému macOS /kompatibilitou aplikací (falešně pozitivní výsledky).
Místní správci s příslušnými oprávněními můžou u jednotlivých koncových bodů změnit následující konfigurace uzamčené zásadami:
Nastavení Povolit Zakázat nebo odebrat ochrana Real-Time / pasivní režim / na vyžádání mdatp config real-time-protection --value enabledmdatp config real-time-protection --value disabledOchrana sítě mdatp config network-protection enforcement-level --value blockmdatp config network-protection enforcement-level --value disabledrealTimeProtectionStatistics mdatp config real-time-protection-statistics --value enabledmdatp config real-time-protection-statistics --value disabledTagy mdatp edr tag set --name GROUP --value [name]mdatp edr tag remove --tag-name [name]id skupiny mdatp edr group-ids --group-id [group]Ochrana před únikem informací před koncovým bodem mdatp config data_loss_prevention --value enabledmdatp config data_loss_prevention --value disabled
Během režimu řešení potíží nemůžete:
- Zakažte ochranu před falšováním pro Microsoft Defender for Endpoint v systému macOS.
- Odinstalujte Microsoft Defender for Endpoint v systému macOS.
Požadavky
- Podporovaná verze macOS pro Microsoft Defender for Endpoint.
- Microsoft Defender for Endpoint musí být v zařízení zaregistrované v tenantovi a aktivní.
- Oprávnění pro správu nastavení zabezpečení ve službě Security Center v Microsoft Defender for Endpoint.
- Verze aktualizace platformy: 101.23122.0005 nebo novější.
Povolení režimu řešení potíží v macOS
Přejděte na portál Microsoft Defender a přihlaste se.
Přejděte na stránku zařízení, u které chcete zapnout režim řešení potíží. Pak vyberte tři tečky(...) a vyberte Zapnout režim řešení potíží.
Poznámka
Možnost Zapnout režim řešení potíží je dostupná na všech zařízeních, a to i v případě, že zařízení nesplňuje požadavky pro režim řešení potíží.
Přečtěte si informace zobrazené v podokně a až budete připravení, vyberte Odeslat a potvrďte, že chcete pro dané zařízení zapnout režim řešení potíží.
Uvidíte, že může trvat několik minut, než se změna projeví v zobrazeném textu. Když během této doby znovu vyberete tři tečky, zobrazí se možnost Zapnout režim řešení potíží čeká na vyřízení šedě.
Po dokončení se na stránce zařízení zobrazí, že zařízení je teď v režimu řešení potíží.
Pokud je koncový uživatel přihlášený na zařízení s macOS, zobrazí se mu následující text:
Spustil se režim řešení potíží. Tento režim umožňuje dočasně změnit nastavení, která spravuje správce. Platnost vyprší v YEAR-MM-DDTHH:MM:SSZ.
Vyberte OK.
Po povolení můžete otestovat různé možnosti příkazového řádku, které se dají v režimu řešení potíží (režim TS) přepnout.
Když například pomocí
mdatp config real-time-protection --value disabledpříkazu zakážete ochranu v reálném čase, zobrazí se výzva k zadání hesla. Po zadání hesla vyberte OK .
Výstupní sestava podobná následujícímu snímku obrazovky se zobrazí při spuštění funkce mdatp health s
real_time_protection_enabledchybou false atamper_protectionblokem.
Rozšířené dotazy proaktivního vyhledávání pro detekci
Existuje několik předem připravených pokročilých dotazů proaktivního vyhledávání, které vám poskytnou přehled o událostech řešení potíží, ke kterým dochází ve vašem prostředí. Pomocí těchto dotazů můžete vytvořit pravidla detekce , která budou generovat výstrahy, když jsou zařízení v režimu řešení potíží.
Získání událostí řešení potíží pro konkrétní zařízení
Následující dotaz můžete použít k vyhledávání podle deviceId nebo deviceName okomentováním příslušných řádků.
//let deviceName = "<deviceName>"; // update with device name
let deviceId = "<deviceID>"; // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
_tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
_tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
_tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource
Zařízení aktuálně v režimu řešení potíží
Zařízení, která jsou aktuálně v režimu řešení potíží, můžete najít pomocí následujícího dotazu:
DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc
Počet instancí režimu řešení potíží podle zařízení
Počet instancí režimu řešení potíží pro zařízení můžete zjistit pomocí následujícího dotazu:
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d) // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_
Celkový počet
Celkový počet instancí režimu řešení potíží můžete zjistit pomocí následujícího dotazu:
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5 // choose your max # of TS mode instances for your time range
Doporučený obsah
- Microsoft Defender XDR pro koncový bod na Macu
- Microsoft Defender XDR pro integraci koncových bodů s Microsoft Defender XDR pro Cloud Apps
- Seznámení s inovativními funkcemi v Microsoft Edgi
- Chraňte svou síť
- Zapnutí ochrany sítě
- Webová ochrana
- Vytváření indikátorů
- Filtrování webového obsahu
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro