Plánování kontrol s Microsoft Defender for Endpoint v systému macOS

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft 365 Defender

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Kontrolu hrozeb můžete zahájit kdykoli pomocí Microsoft Defender for Endpoint, ale pro váš podnik může být užitečné plánované nebo načasované kontroly. Můžete například naplánovat spuštění kontroly na začátku každého pracovního dne nebo týdne.

Naplánování kontroly se spuštěním

Plán skenování můžete vytvořit pomocí spuštěného démona na zařízení s macOS.

Další informace o formátu souboru .plist použitém zde najdete v tématu Informace o souborech seznamu vlastností informací na oficiálním webu apple pro vývojáře.

Naplánování rychlé kontroly

Následující kód ukazuje schéma, které potřebujete použít k naplánování rychlé kontroly.

1. Otevřete textový editor a použijte tento příklad jako vodítko pro vlastní naplánovaný soubor kontroly.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
     "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
       <key>Label</key>
       <string>com.microsoft.wdav.schedquickscan</string>
       <key>ProgramArguments</key>
       <array>
           <string>sh</string>
           <string>-c</string>
           <string>/usr/local/bin/mdatp scan quick</string>
       </array>
       <key>RunAtLoad</key>
       <true/>
       <key>StartCalendarInterval</key>
       <dict>
           <key>Day</key>
           <integer>3</integer>
           <key>Hour</key>
           <integer>2</integer>
           <key>Minute</key>
           <integer>0</integer>
           <key>Weekday</key>
           <integer>5</integer>
       </dict>
       <key>WorkingDirectory</key>
       <string>/usr/local/bin/</string>
   </dict>
   </plist>
   

2. Uložte soubor jako com.microsoft.wdav.schedquickscan.plist do adresáře /Library/LaunchDaemons.

Naplánování úplné kontroly

1. Otevřete textový editor a použijte tento příklad pro úplnou kontrolu.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
     "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
       <key>Label</key>
       <string>com.microsoft.wdav.schedfullscan</string>
       <key>ProgramArguments</key>
       <array>
           <string>sh</string>
           <string>-c</string>
           <string>/usr/local/bin/mdatp scan full</string>
       </array>
       <key>RunAtLoad</key>
       <true/>
       <key>StartCalendarInterval</key>
       <dict>
           <key>Day</key>
           <integer>3</integer>
           <key>Hour</key>
           <integer>2</integer>
           <key>Minute</key>
           <integer>50</integer>
           <key>Weekday</key>
           <integer>5</integer>
       </dict>
       <key>WorkingDirectory</key>
       <string>/usr/local/bin/</string>
   </dict>
   </plist>
   

2. Uložte soubor jako com.microsoft.wdav.schedfullscan.plist do adresáře /Library/LaunchDaemons.

Načtení souboru

1. Otevřete Terminál.

2. Zadejte následující příkazy pro načtení souboru:

   chown root:wheel /Library/LaunchDaemons/com.microsoft.wdav.sched*
   chmod 644 /Library/LaunchDaemons/com.microsoft.wdav.sched*
   xattr -c /Library/LaunchDaemons/com.microsoft.wdav.sched*     
   launchctl load -w /Library/LaunchDaemons/<your file name.plist>
   

3. Naplánovaná kontrola se spustí k datu, času a frekvenci, kterou jste definovali v seznamu p-list. V předchozích příkladech se kontrola spouští každý pátek ve 2:50.

   • Hodnota WeekdayStartCalendarInterval používá celé číslo k označení pátého dne v týdnu neboli pátek. Rozsah je mezi 1 a 7 a 7 představuje neděli.
   • Hodnota DayStartCalendarInterval používá celé číslo k označení třetího dne v měsíci. Rozsah je mezi 1 a 31.
   • Hodnota HourStartCalendarInterval používá celé číslo k označení druhé hodiny dne. Rozsah je mezi 0 a 23. Hodnota MinuteStartCalendarInterval používá celé číslo k označení padesáti minut hodiny. Rozsah je od 0 do 59.

Důležité

Agenti spuštění se spuštěným příkazem launchd se nespustí v naplánovaném čase, když je zařízení v režimu spánku. Místo toho se spustí, jakmile zařízení obnoví režim spánku.

Pokud je zařízení vypnuté, kontrola se spustí při příští naplánované kontrole.

Naplánování kontroly pomocí Intune

Můžete také naplánovat kontroly pomocí Microsoft Intune. Skript prostředí runMDATPQuickScan.sh, který je k dispozici v části Skripty pro Microsoft Defender for Endpoint, se zachovají, když se zařízení obnoví z režimu spánku.

Podrobnější pokyny k použití tohoto skriptu v podniku najdete v tématu Použití skriptů prostředí na zařízeních s macOS v Intune.