Fejlfindingstilstand i Microsoft Defender for Endpoint på macOS

Gælder for:

• Microsoft Defender XDR
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint på macOS

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

I denne artikel beskrives det, hvordan du aktiverer fejlfindingstilstanden i Microsoft Defender for Endpoint på macOS, så administratorer kan foretage fejlfinding af forskellige Microsoft Defender Antivirus-funktioner midlertidigt, selvom organisationens politikker administrerer enhederne.

Hvis beskyttelse mod ændring f.eks. er aktiveret, kan visse indstillinger ikke ændres eller deaktiveres, men du kan bruge fejlfindingstilstanden på enheden til at redigere disse indstillinger midlertidigt.

Fejlfindingstilstand er som standard deaktiveret og kræver, at du aktiverer den for en enhed (og/eller gruppe af enheder) i en begrænset periode. Fejlfindingstilstand er udelukkende en funktion, der kun er til virksomheder, og som kræver adgang til Microsoft Defender portal.

Hvad har du brug for at vide, før du begynder

I fejlfindingstilstanden kan du:

• Brug Microsoft Defender for Endpoint på macOS funktionel fejlfinding /programkompatibilitet (falske positiver).

• Lokale administratorer med de relevante tilladelser kan ændre følgende konfigurationer, der er låst for politikken, på individuelle slutpunkter:

  Indstilling	Aktiverer	Deaktiver/fjern
  Real-Time beskyttelse/passiv tilstand/on-demand	mdatp config real-time-protection --value enabled	mdatp config real-time-protection --value disabled
  Netværksbeskyttelse	mdatp config network-protection enforcement-level --value block	mdatp config network-protection enforcement-level --value disabled
  realTimeProtectionStatistics	mdatp config real-time-protection-statistics --value enabled	mdatp config real-time-protection-statistics --value disabled
  Tags	mdatp edr tag set --name GROUP --value [name]	mdatp edr tag remove --tag-name [name]
  groupIds	mdatp edr group-ids --group-id [group]
  Slutpunkt DLP	mdatp config data_loss_prevention --value enabled	mdatp config data_loss_prevention --value disabled

I fejlfindingstilstand kan du ikke:

• Deaktiver manipulationsbeskyttelse for Microsoft Defender for Endpoint på macOS.
• Fjern Microsoft Defender for Endpoint på macOS.

Forudsætninger

• Understøttet version af macOS til Microsoft Defender for Endpoint.
• Microsoft Defender for Endpoint skal være tilmeldt lejeren og være aktiv på enheden.
• Tilladelser til "Administrer sikkerhedsindstillinger i Security Center" i Microsoft Defender for Endpoint.
• Platformopdateringsversion: 101.23122.0005 eller nyere.

Aktivér fejlfindingstilstand på macOS

1. Gå til Microsoft Defender-portalen, og log på.

2. Gå til den enhedsside, du vil slå fejlfindingstilstand til. Vælg derefter ellipsen(...) og vælg Slå fejlfindingstilstand til.

   

   Bemærk!

   Indstillingen Slå fejlfindingstilstand til er tilgængelig på alle enheder, selvom enheden ikke opfylder forudsætningerne for fejlfindingstilstand.

3. Læs de oplysninger, der vises i ruden, og når du er klar, skal du vælge Send for at bekræfte, at du vil aktivere fejlfindingstilstand for den pågældende enhed.

4. Du får vist Det kan tage et par minutter, før ændringen træder i kraft, når teksten vises. Når du i denne periode vælger ellipsen igen, kan du se, at indstillingen Slå fejlfindingstilstand til afventer nedtonet .

5. Når processen er fuldført, viser enhedssiden, at enheden nu er i fejlfindingstilstand.

   Hvis slutbrugeren er logget på macOS-enheden, får vedkommende vist følgende tekst:

   Fejlfindingstilstanden er startet. Denne tilstand giver dig mulighed for midlertidigt at ændre indstillinger, der administreres af administratoren. Udløber kl. YEAR-MM-DDTHH:MM:SSZ.

   Vælg OK.

6. Når indstillingen er aktiveret, kan du teste de forskellige kommandolinjeindstillinger, der kan skiftes i fejlfindingstilstand (TS-tilstand).

   Når du f.eks. bruger mdatp config real-time-protection --value disabled kommandoen til at deaktivere beskyttelse i realtid, bliver du bedt om at angive din adgangskode. Vælg OK , når du har angivet din adgangskode.

   

   Outputrapporten, der ligner følgende skærmbillede, vises ved kørsel af mdatp-tilstand med real_time_protection_enabled som "falsk" og tamper_protection som "blok".

   

Avancerede jagtforespørgsler til registrering

Der er nogle færdigbyggede avancerede jagtforespørgsler, der giver dig indblik i de fejlfindingshændelser, der forekommer i dit miljø. Du kan bruge disse forespørgsler til at oprette registreringsregler for at generere beskeder, når enheder er i fejlfindingstilstand.

Hent fejlfindingshændelser for en bestemt enhed

Du kan bruge følgende forespørgsel til at søge efter deviceId eller deviceName ved at kommentere de respektive linjer.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Enheder i øjeblikket i fejlfindingstilstand

Du kan finde de enheder, der i øjeblikket er i fejlfindingstilstand, ved hjælp af følgende forespørgsel:

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Antal forekomster af fejlfindingstilstand efter enhed

Du kan finde antallet af fejlfindingstilstandsforekomster for en enhed ved hjælp af følgende forespørgsel:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Samlet antal

Du kan kende det samlede antal fejlfindingstilstandsforekomster ved hjælp af følgende forespørgsel:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Anbefalet indhold

• Microsoft Defender XDR til Slutpunkt på Mac
• Microsoft Defender XDR til slutpunktintegration med Microsoft Defender XDR til Cloud Apps
• Lær de innovative funktioner i Microsoft Edge at kende
• Beskyt dit netværk
• Slå netværksbeskyttelse til
• Webbeskyttelse
• Opret indikatorer
• Filtrering af webindhold

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.