Planen von Überprüfungen mit Microsoft Defender for Endpoint unter macOS
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.
Planen einer in Microsoft Defender for Endpoint integrierten Überprüfung unter macOS
Während Sie eine Bedrohungsüberprüfung jederzeit mit Microsoft Defender for Endpoint starten können, kann Ihr Unternehmen von geplanten oder zeitgesteuerten Überprüfungen profitieren. Beispielsweise können Sie eine Überprüfung so planen, dass sie am Anfang jedes Arbeitstags oder jeder Woche ausgeführt wird.
Es gibt drei Arten von geplanten Überprüfungen, die konfigurierbar sind: stündliche, tägliche und wöchentliche Überprüfungen. Stündliche und tägliche geplante Überprüfungen werden immer als Schnellscans ausgeführt. Wöchentliche Überprüfungen können als schnelle oder vollständige Überprüfungen konfiguriert werden. Es ist möglich, alle drei Arten von geplanten Überprüfungen gleichzeitig zu verwenden. Weitere Informationen finden Sie in den Beispielen in diesem Artikel.
Voraussetzungen:
- Plattformupdateversion: 101.23122.0005 oder höher
Planen einer Überprüfung mit Microsoft Defender for Endpoint unter macOS
Sie können eine geplante Überprüfung für MacOS erstellen, die in Microsoft Defender for Endpoint unter macOS integriert ist.
Weitere Informationen zum .plist hier verwendeten Dateiformat finden Sie unter Informationen zu Eigenschaftenlistendateien auf der offiziellen Apple-Entwicklerwebsite.
Das folgende Beispiel zeigt die tägliche und/oder wöchentliche Konfiguration für die geplante Überprüfung unter macOS.
Tipp
Zeitpläne basieren auf der lokalen Zeitzone des Geräts.
| Parameter | Folgende Werte sind für diesen Parameter zulässig: |
|---|---|
scheduledScan |
enabled oder disabled |
scanType |
quick oder full |
ignoreExclusions |
true oder false |
| lowPriorityScheduledScan |
true oder false |
dayOfWeek |
Der Bereich liegt zwischen 0 und 8. - 0:Jeden Tag- 1:Sonntag- 2:Montag- 3:Dienstag- 4:Mittwoch- 5:Donnerstag- 6:Freitag- 7:Samstag- 8:Nie |
timeOfDay |
Gibt die Tageszeit als Anzahl von minutes after midnightan, um eine geplante Überprüfung durchzuführen. Die Uhrzeit bezieht sich auf die Ortszeit auf dem Computer. Wenn Sie keinen Wert für diesen Parameter angeben, wird eine geplante Überprüfung zu einer Standardzeit von zwei Stunden nach Mitternacht ausgeführt. |
interval |
0 (nie), every 1 (Stunde) bis every 24 (Stunden, ein Scan pro Tag) |
randomizeScanStartTime |
Gilt nur für tägliche Schnellscans oder wöchentliche Schnell-/Vollscans. Zufällige Angabe der Startzeit der Überprüfung um die angegebene Anzahl von Stunden. Wenn ein Scan beispielsweise für 14: randomizeScanStartTime 00 Uhr geplant und auf 2 festgelegt ist, beginnt der Scan zu einer zufälligen Zeit zwischen 14 und 16 Uhr. |
Ihre geplante Überprüfung wird zu dem Datum, der Uhrzeit und der Häufigkeit ausgeführt, die Sie in Ihrer definiert haben plist.
Beispiel 1: Planen einer täglichen Schnellüberprüfung und einer wöchentlichen vollständigen Überprüfung mithilfe einer plist
Im folgenden Beispiel wird die Konfiguration der täglichen Schnellüberprüfung auf 885 Minuten nach Mitternacht (14:45 Uhr) ausgeführt. Die wöchentliche Konfiguration ist so festgelegt, dass am Mittwoch um 880 Minuten nach Mitternacht (14:40 Uhr) eine vollständige Überprüfung ausgeführt wird. Und es ist so festgelegt, dass Ausschlüsse ignoriert und eine Überprüfung mit niedriger Priorität ausgeführt wird.
Der folgende Code zeigt das Schema, das Sie verwenden müssen, um Überprüfungen gemäß den oben genannten Anforderungen zu planen.
- Öffnen Sie einen Text-Editor, und verwenden Sie dieses Beispiel als Leitfaden für Ihre eigene geplante Scandatei.
Für Intune
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>880</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>885</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Speichern Sie die Datei als
com.microsoft.wdav.mobileconfig.
Für JamF und andere MDMs von Drittanbietern
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Speichern Sie die Datei als
com.microsoft.wdav.plist.Überprüfen Sie, ob die geplante Überprüfung über eine "Einstellung festlegen" konfiguriert ist.
mdatp health --details scheduled_scanIn den Ergebnissen sollte [verwaltet] angezeigt werden.
Beispiel 2: Planen einer stündlichen Schnellüberprüfung, einer täglichen Schnellüberprüfung und einer wöchentlichen vollständigen Überprüfung mithilfe einer plist
Im folgenden Beispiel wird eine stündliche Schnellüberprüfung alle 6 Stunden ausgeführt, eine Konfiguration der täglichen Schnellüberprüfung wird auf 885 Minuten nach Mitternacht (14:45 Uhr) und eine wöchentliche vollständige Überprüfung mittwochs um 880 Minuten nach Mitternacht (14:40 Uhr) ausgeführt.
Für Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Speichern Sie die Datei als
com.microsoft.wdav.mobileconfig.
Für JamF und andere MDMs von Drittanbietern
- Öffnen Sie einen Text-Editor, und verwenden Sie dieses Beispiel.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Speichern Sie die Datei als
com.microsoft.wdav.plist.Überprüfen Sie, ob die geplante Überprüfung über eine "Einstellung festlegen" konfiguriert ist.
mdatp health --details scheduled_scanIn den Ergebnissen sollte [verwaltet] angezeigt werden.
Option 3: Konfigurieren geplanter Überprüfungen über das CLI-Tool
So aktivieren Sie das Feature für die geplante Überprüfung:
| Version | Befehl |
|---|---|
| Version 101.23122.x oder höher | sudo mdatp config scheduled-scan settings feature --value enabled |
So planen Sie stündliche Schnellüberprüfungen:
| Version | Befehl |
|---|---|
| Version 101.23122.x oder höher | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
So planen Sie tägliche Schnellüberprüfungen:
| Version | Befehl |
|---|---|
| Version 101.23122.x oder höher | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
So planen Sie wöchentliche Überprüfungen:
| Version | Befehl |
|---|---|
| Version 101.23122.x oder höher | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
Weitere Konfigurationsoptionen:
So überprüfen Sie vor geplanten Überprüfungen, ob Definitionen aktualisiert werden:
sudo mdatp config scheduled-scan settings check-for-definitions --value trueSo verwenden Sie Threads mit niedriger Priorität für geplante Überprüfungen:
sudo mdatp config scheduled-scan settings low-priority --value true
Überprüfen, ob die geplante Überprüfung ausgeführt wurde
Verwenden Sie den folgenden Befehl:
mdatp scan list
\<snip\>
Wichtig
Geplante Überprüfungen werden nicht zur geplanten Zeit ausgeführt, während das Gerät im Ruhezustand ist. Stattdessen werden geplante Überprüfungen ausgeführt, wenn das Gerät aus dem Energiesparmodus fortgesetzt wird. Wenn das Gerät ausgeschaltet ist, wird die Überprüfung zum nächsten geplanten Scanzeitpunkt ausgeführt.
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.