Režim řešení potíží v Microsoft Defender for Endpoint v macOS

Platí pro:

• Microsoft Defender XDR
• Plán 2 pro Microsoft Defender for Endpoint
• Plán 1 pro Microsoft Defender for Endpoint
• Microsoft Defender for Endpoint v macOS

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tento článek popisuje, jak povolit režim řešení potíží v Microsoft Defender for Endpoint v systému macOS, aby správci mohli dočasně řešit různé funkce Microsoft Defender Antivirové ochrany, a to i v případě, že zařízení spravují zásady organizace.

Pokud je například povolená ochrana před falšováním, určitá nastavení nejde změnit nebo vypnout, ale můžete tato nastavení dočasně upravit pomocí režimu řešení potíží na zařízení.

Režim řešení potíží je ve výchozím nastavení zakázaný a vyžaduje, abyste ho na omezenou dobu zapnuli pro zařízení (nebo skupinu zařízení). Režim řešení potíží je výhradně podniková funkce a vyžaduje přístup k portálu Microsoft Defender.

Co je potřeba vědět, než začnete

Během režimu řešení potíží můžete:

• Použijte Microsoft Defender for Endpoint v řešení potíží s funkcemi systému macOS /kompatibilitou aplikací (falešně pozitivní výsledky).

• Místní správci s příslušnými oprávněními můžou u jednotlivých koncových bodů změnit následující konfigurace uzamčené zásadami:

  Nastavení	Zapnout	Zakázat nebo odebrat
  ochrana Real-Time / pasivní režim / na vyžádání	mdatp config real-time-protection --value enabled	mdatp config real-time-protection --value disabled
  Ochrana sítě	mdatp config network-protection enforcement-level --value block	mdatp config network-protection enforcement-level --value disabled
  realTimeProtectionStatistics	mdatp config real-time-protection-statistics --value enabled	mdatp config real-time-protection-statistics --value disabled
  visačky	mdatp edr tag set --name GROUP --value [name]	mdatp edr tag remove --tag-name [name]
  id skupiny	mdatp edr group-ids --group-id [group]
  Ochrana před únikem informací před koncovým bodem	mdatp config data_loss_prevention --value enabled	mdatp config data_loss_prevention --value disabled

Během režimu řešení potíží nemůžete:

• Zakažte ochranu před falšováním pro Microsoft Defender for Endpoint v systému macOS.
• Odinstalujte Microsoft Defender for Endpoint v systému macOS.

Požadavky

• Podporovaná verze macOS pro Microsoft Defender for Endpoint.
• Microsoft Defender for Endpoint musí být v zařízení zaregistrované v tenantovi a aktivní.
• Oprávnění pro správu nastavení zabezpečení ve službě Security Center v Microsoft Defender for Endpoint.
• Verze aktualizace platformy: 101.23122.0005 nebo novější.

Povolení režimu řešení potíží v macOS

1. Přejděte na portál Microsoft Defender a přihlaste se.

2. Přejděte na stránku zařízení, u které chcete zapnout režim řešení potíží. Pak vyberte tři tečky(...) a vyberte Zapnout režim řešení potíží.

   

   Poznámka

   Možnost Zapnout režim řešení potíží je dostupná na všech zařízeních, a to i v případě, že zařízení nesplňuje požadavky pro režim řešení potíží.

3. Přečtěte si informace zobrazené v podokně a až budete připravení, vyberte Odeslat a potvrďte, že chcete pro dané zařízení zapnout režim řešení potíží.

4. Uvidíte, že může trvat několik minut, než se změna projeví v zobrazeném textu. Když během této doby znovu vyberete tři tečky, zobrazí se možnost Zapnout režim řešení potíží čeká na vyřízení šedě.

5. Po dokončení se na stránce zařízení zobrazí, že zařízení je teď v režimu řešení potíží.

   Pokud je koncový uživatel přihlášený na zařízení s macOS, zobrazí se mu následující text:

   Spustil se režim řešení potíží. Tento režim umožňuje dočasně změnit nastavení, která spravuje správce. Platnost vyprší v YEAR-MM-DDTHH:MM:SSZ.

   Vyberte OK.

6. Po povolení můžete otestovat různé možnosti příkazového řádku, které se dají v režimu řešení potíží (režim TS) přepnout.

   Když například pomocí mdatp config real-time-protection --value disabled příkazu zakážete ochranu v reálném čase, zobrazí se výzva k zadání hesla. Po zadání hesla vyberte OK .

   

   Výstupní sestava podobná následujícímu snímku obrazovky se zobrazí při spuštění funkce mdatp health s real_time_protection_enabled chybou false a tamper_protection blokem.

   

Rozšířené dotazy proaktivního vyhledávání pro detekci

Existuje několik předem připravených pokročilých dotazů proaktivního vyhledávání, které vám poskytnou přehled o událostech řešení potíží, ke kterým dochází ve vašem prostředí. Pomocí těchto dotazů můžete vytvořit pravidla detekce , která budou generovat výstrahy, když jsou zařízení v režimu řešení potíží.

Získání událostí řešení potíží pro konkrétní zařízení

Následující dotaz můžete použít k vyhledávání podle deviceId nebo deviceName okomentováním příslušných řádků.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Zařízení aktuálně v režimu řešení potíží

Zařízení, která jsou aktuálně v režimu řešení potíží, můžete najít pomocí následujícího dotazu:

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Počet instancí režimu řešení potíží podle zařízení

Počet instancí režimu řešení potíží pro zařízení můžete zjistit pomocí následujícího dotazu:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Celkový počet

Celkový počet instancí režimu řešení potíží můžete zjistit pomocí následujícího dotazu:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Doporučený obsah

• Microsoft Defender XDR pro koncový bod na Macu
• Microsoft Defender XDR pro integraci koncových bodů s Microsoft Defender XDR pro Cloud Apps
• Seznámení s inovativními funkcemi v Microsoft Edgi
• Chraňte svou síť
• Zapnutí ochrany sítě
• Webová ochrana
• Vytváření indikátorů
• Filtrování webového obsahu

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.