Zdroje informací pro Microsoft Defender for Endpoint v macOS

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender XDR

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Shromažďování diagnostických informací

Pokud můžete problém reprodukovat, zvyšte úroveň protokolování, nějakou dobu spusťte systém a obnovte výchozí úroveň protokolování.

1. Zvýšení úrovně protokolování:

   mdatp log level set --level debug
   

   Log level configured successfully
   

2. Reprodukujte problém.

3. Spuštěním příkazu sudo mdatp diagnostic create zálohujte protokoly Microsoft Defender for Endpoint. Soubory budou uloženy v archivu .zip. Tento příkaz také vytiskne cestu k souboru do zálohy, jakmile bude operace úspěšná.

   Tip

   Ve výchozím nastavení se diagnostické protokoly ukládají do /Library/Application Support/Microsoft/Defender/wdavdiag/. Pokud chcete změnit adresář, ve kterém se ukládají diagnostické protokoly, předejte --path [directory] následujícímu příkazu a nahraďte [directory] požadovaným adresářem.

   sudo mdatp diagnostic create
   

   Diagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"
   

4. Úroveň protokolování obnovení:

   mdatp log level set --level info
   

   Log level configured successfully
   

Problémy s instalací protokolování

Pokud během instalace dojde k chybě, instalační program bude hlásit pouze obecné selhání.

Podrobný protokol se uloží do /Library/Logs/Microsoft/mdatp/install.log. Pokud během instalace narazíte na problémy, pošlete nám tento soubor, abychom vám mohli pomoct s diagnostikou příčiny. Další informace o řešení potíží s instalací najdete v tématu Řešení potíží s instalací pro Microsoft Defender for Endpoint v macOS.

Odinstalování

Poznámka

Před odinstalací Microsoft Defender for Endpoint v systému macOS proveďte offboarding pro jednotlivá zařízení bez Windows.

Microsoft Defender for Endpoint v systému macOS můžete odinstalovat několika způsoby. Všimněte si, že i když je v JAMF k dispozici centrálně spravovaná odinstalace, zatím není k dispozici pro Microsoft Intune.

Interaktivní odinstalace

• Otevřete Aplikace Finderu>. Klikněte pravým tlačítkem na Microsoft Defender for Endpoint > Přesunout do koše.

Podporované typy výstupu

Podporuje výstupní typy formátu tabulky a formátu JSON. Pro každý příkaz je k dispozici výchozí chování výstupu. Výstup můžete upravit v upřednostňovaném výstupním formátu pomocí následujících příkazů:

-output json

-output table

Z příkazového řádku

• sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'

Použití JAMF Pro

Pokud chcete odinstalovat Microsoft Defender for Endpoint v systému macOS pomocí JAMF Pro, nahrajte profil offboardingu.

Profil offboardingu by se měl nahrát bez jakýchkoli úprav a s názvem domény předvolby nastaveným na com.microsoft.wdav.atp.offboarding:

Konfigurace z příkazového řádku

Důležité úlohy, jako je řízení nastavení produktu a aktivace kontrol na vyžádání, je možné provádět z příkazového řádku:

Skupina	Scénář	Příkaz
Konfigurace	Zapnutí/vypnutí pasivního antivirového režimu	mdatp config passive-mode --value [enabled/disabled]
Konfigurace	Zapnutí nebo vypnutí ochrany v reálném čase	mdatp config real-time-protection --value [enabled/disabled]
Konfigurace	Zapnutí/vypnutí cloudové ochrany	mdatp config cloud --value [enabled/disabled]
Konfigurace	Zapnutí/vypnutí diagnostiky produktu	mdatp config cloud-diagnostic --value [enabled/disabled]
Konfigurace	Zapnutí nebo vypnutí automatického odesílání vzorků	mdatp config cloud-automatic-sample-submission --value [enabled/disabled]
Konfigurace	Zapnutí, audit nebo vypnutí ochrany proti pua	mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off
Konfigurace	Přidání nebo odebrání antivirového vyloučení pro proces	mdatp exclusion process [add/remove] --path [path-to-process]Nebo mdatp exclusion process [add\|remove] --name [process-name]
Konfigurace	Přidání nebo odebrání antivirového vyloučení souboru	mdatp exclusion file [add/remove] --path [path-to-file]
Konfigurace	Přidání nebo odebrání vyloučení antivirového programu pro adresář	mdatp exclusion folder [add/remove] --path [path-to-directory]
Konfigurace	Přidání nebo odebrání antivirového vyloučení pro příponu souboru	mdatp exclusion extension [add/remove] --name [extension]
Konfigurace	Vypsat všechna vyloučení antivirového softwaru	mdatp exclusion list
Konfigurace	Konfigurace stupně paralelismu pro kontroly na vyžádání	mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]
Konfigurace	Zapnutí/vypnutí kontrol po aktualizacích inteligentních informací zabezpečení	mdatp config scan-after-definition-update --value [enabled/disabled]
Konfigurace	Zapnutí/vypnutí prohledávání archivu (pouze kontroly na vyžádání)	mdatp config scan-archives --value [enabled/disabled]
Konfigurace	Zapnutí nebo vypnutí výpočtu hodnoty hash souboru	mdatp config enable-file-hash-computation --value [enabled/disabled]
Ochranu	Kontrola cesty	mdatp scan custom --path [path] [--ignore-exclusions]
Ochranu	Rychlá kontrola	mdatp scan quick
Ochranu	Proveďte úplnou kontrolu.	mdatp scan full
Ochranu	Zrušení probíhající kontroly na vyžádání	mdatp scan cancel
Ochranu	Žádost o aktualizaci bezpečnostních informací	mdatp definitions update
Konfigurace	Přidání názvu hrozby do seznamu povolených	mdatp threat allowed add --name [threat-name]
Konfigurace	Odebrání názvu hrozby ze seznamu povolených	mdatp threat allowed remove --name [threat-name]
Konfigurace	Výpis všech povolených názvů hrozeb	mdatp threat allowed list
Historie ochrany	Tisk úplné historie ochrany	mdatp threat list
Historie ochrany	Získání podrobností o hrozbě	mdatp threat get --id [threat-id]
Správa karantény	Výpis všech souborů v karanténě	mdatp threat quarantine list
Správa karantény	Odebrání všech souborů z karantény	mdatp threat quarantine remove-all
Správa karantény	Přidání souboru zjištěného jako hrozby pro karanténu	mdatp threat quarantine add --id [threat-id]
Správa karantény	Odebrání souboru zjištěného jako hrozba z karantény	mdatp threat quarantine remove --id [threat-id]
Správa karantény	Obnovení souboru z karantény K dispozici ve verzi Defenderu for Endpoint nižší než 101.23092.0012.	mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
Správa karantény	Obnovení souboru z karantény pomocí ID hrozby K dispozici v Defenderu for Endpoint verze 101.23092.0012 nebo novější.	mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder]
Správa karantény	Obnovení souboru z karantény pomocí původní cesty hrozby K dispozici v Defenderu for Endpoint verze 101.23092.0012 nebo novější.	mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder]
Konfigurace ochrany sítě	Konfigurace úrovně vynucení ochrany sítě	mdatp config network-protection enforcement-level --value [Block/Audit/Disabled]
Správa ochrany sítě	Kontrola úspěšného spuštění ochrany sítě	mdatp health --field network_protection_status
Správa řízení zařízení	Je povolené řízení zařízení a jaké je výchozí vynucování?	mdatp device-control policy preferences list
Správa řízení zařízení	Jaké zásady řízení zařízení jsou povolené?	mdatp device-control policy rules list
Správa řízení zařízení	Jaké skupiny zásad řízení zařízení jsou povolené?	mdatp device-control policy groups list
Konfigurace	Zapnutí/vypnutí ochrany před únikem informací	mdatp config data_loss_prevention --value [enabled/disabled]
Diagnostika	Změna úrovně protokolu	mdatp log level set --level [error/warning/info/verbose]
Diagnostika	Generování diagnostických protokolů	mdatp diagnostic create --path [directory]
Stav	Kontrola stavu produktu	mdatp health
Stav	Kontrola konkrétního atributu produktu	mdatp health --field [attribute: healthy/licensed/engine_version...]
EDR	Vyloučení seznamu EDR (root)	mdatp edr exclusion list [processes|paths|extensions|all]
EDR	Nastavit nebo odebrat značku, podporuje se pouze skupina	mdatp edr tag set --name GROUP --value [name]
EDR	Odebrání značky skupiny ze zařízení	mdatp edr tag remove --tag-name [name]
EDR	Přidat ID skupiny	mdatp edr group-ids --group-id [group]

Povolení automatického dokončování

Pokud chcete povolit automatické dokončování v Bash, spusťte následující příkaz a restartujte relaci terminálu:

echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile

Povolení automatického dokončování v ZSH:

• Zkontrolujte, jestli je na vašem zařízení povolené automatické dokončování:

  cat ~/.zshrc | grep autoload
  

• Pokud předchozí příkaz nevytváří žádný výstup, můžete automatické dokončování povolit pomocí následujícího příkazu:

  echo "autoload -Uz compinit && compinit" >> ~/.zshrc
  

• Spuštěním následujících příkazů povolte automatické dokončování pro Microsoft Defender for Endpoint v systému macOS a restartujte relaci terminálu:

  sudo mkdir -p /usr/local/share/zsh/site-functions
  
  sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
  

Adresář Microsoft Defender for Endpoint karantény klienta

/Library/Application Support/Microsoft/Defender/quarantine/ obsahuje soubory uložené v karanténě nástrojem mdatp. Soubory jsou pojmenované podle id sledování hrozeb. Aktuální id sledování se zobrazuje pomocí mdatp threat list.

Microsoft Defender for Endpoint informace o portálu

Blog Microsoft Defender for Endpoint o možnostech EDR pro macOS teď obsahuje podrobné pokyny k tomu, co očekávat.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.