Problembehandlungsmodus in Microsoft Defender for Endpoint unter macOS

Artikel
04/26/2024

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

In diesem Artikel wird beschrieben, wie Sie den Problembehandlungsmodus in Microsoft Defender for Endpoint unter macOS aktivieren, damit Administratoren verschiedene Microsoft Defender Antivirus-Features vorübergehend beheben können, auch wenn die Geräte durch Organisationsrichtlinien verwaltet werden.

Wenn beispielsweise der Manipulationsschutz aktiviert ist, können bestimmte Einstellungen nicht geändert oder deaktiviert werden. Sie können jedoch den Problembehandlungsmodus auf dem Gerät verwenden, um diese Einstellungen vorübergehend zu bearbeiten.

Der Problembehandlungsmodus ist standardmäßig deaktiviert und erfordert, dass Sie ihn für ein Gerät (und/oder eine Gruppe von Geräten) für einen begrenzten Zeitraum einschalten. Der Problembehandlungsmodus ist ausschließlich ein reines Unternehmensfeature und erfordert Zugriff auf Microsoft Defender Portal.

Was müssen Sie wissen, bevor Sie beginnen

Während des Problembehandlungsmodus haben Sie folgende Möglichkeiten:

Verwenden Sie Microsoft Defender for Endpoint unter macOS funktionale Problembehandlung /Anwendungskompatibilität (falsch positive Ergebnisse).

Lokale Administratoren mit entsprechenden Berechtigungen können die folgenden Richtliniensperrkonfigurationen für einzelne Endpunkte ändern:

Setting	Aktivieren	Deaktivieren/Entfernen
Real-Time Protection/ Passiver Modus / On-Demand	`mdatp config real-time-protection --value enabled`	`mdatp config real-time-protection --value disabled`
Netzwerkschutz	`mdatp config network-protection enforcement-level --value block`	`mdatp config network-protection enforcement-level --value disabled`
realTimeProtectionStatistics	`mdatp config real-time-protection-statistics --value enabled`	`mdatp config real-time-protection-statistics --value disabled`
tags	`mdatp edr tag set --name GROUP --value [name]`	`mdatp edr tag remove --tag-name [name]`
groupIds	`mdatp edr group-ids --group-id [group]`
Endpunkt-DLP	`mdatp config data_loss_prevention --value enabled`	`mdatp config data_loss_prevention --value disabled`

Während des Problembehandlungsmodus ist Folgendes nicht möglich:

Deaktivieren Sie den Manipulationsschutz für Microsoft Defender for Endpoint unter macOS.
Deinstallieren Sie die Microsoft Defender for Endpoint unter macOS.

Voraussetzungen

Unterstützte Version von macOS für Microsoft Defender for Endpoint.
Microsoft Defender for Endpoint muss für den Mandanten registriert und auf dem Gerät aktiv sein.
Berechtigungen für "Verwalten von Sicherheitseinstellungen in Security Center" in Microsoft Defender for Endpoint.
Plattformupdateversion: 101.23122.0005 oder höher.

Aktivieren des Problembehandlungsmodus unter macOS

Wechseln Sie zum Microsoft Defender-Portal, und melden Sie sich an.
Navigieren Sie zu der Geräteseite, auf der Sie den Problembehandlungsmodus aktivieren möchten. Wählen Sie dann die Auslassungspunkte (...) und dann Problembehandlungsmodus aktivieren aus.

Hinweis

Die Option Problembehandlungsmodus aktivieren ist auf allen Geräten verfügbar, auch wenn das Gerät die Voraussetzungen für den Problembehandlungsmodus nicht erfüllt.
Lesen Sie die im Bereich angezeigten Informationen, und wählen Sie senden aus, um zu bestätigen, dass Sie den Problembehandlungsmodus für dieses Gerät aktivieren möchten.
Es kann einige Minuten dauern, bis die Änderung angezeigt wird. Wenn Sie während dieser Zeit erneut die Auslassungspunkte auswählen, wird die Option Problembehandlungsmodus ist ausstehend ausgegraut angezeigt.
Nach Abschluss des Vorgangs wird auf der Geräteseite angezeigt, dass sich das Gerät jetzt im Problembehandlungsmodus befindet.

Wenn der Endbenutzer auf dem macOS-Gerät angemeldet ist, wird der folgende Text angezeigt:

Der Problembehandlungsmodus wurde gestartet. In diesem Modus können Sie einstellungen, die von Ihrem Administrator verwaltet werden, vorübergehend ändern. Läuft um YEAR-MM-DDTHH:MM:SSZ ab.

Wählen Sie OK aus.
Nach der Aktivierung können Sie die verschiedenen Befehlszeilenoptionen testen, die im Problembehandlungsmodus (TS-Modus) umschaltbar sind.

Wenn Sie beispielsweise den Befehl verwenden mdatp config real-time-protection --value disabled , um den Echtzeitschutz zu deaktivieren, werden Sie aufgefordert, Ihr Kennwort einzugeben. Wählen Sie OK aus, nachdem Sie Ihr Kennwort eingegeben haben.

Der Ausgabebericht ähnlich dem folgenden Screenshot wird beim Ausführen der mdatp-Integrität mit real_time_protection_enabled "false" und tamper_protection als "block" angezeigt.

Erweiterte Suchabfragen für die Erkennung

Es gibt einige vordefinierte erweiterte Huntingabfragen, mit denen Sie Einblick in die Problembehandlungsereignisse erhalten, die in Ihrer Umgebung auftreten. Sie können diese Abfragen verwenden, um Erkennungsregeln zu erstellen , um Warnungen zu generieren, wenn sich Geräte im Problembehandlungsmodus befinden.

Abrufen von Problembehandlungsereignissen für ein bestimmtes Gerät

Sie können die folgende Abfrage verwenden, um nach oder zu suchen deviceId , deviceName indem Sie die entsprechenden Zeilen auskommentieren.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Geräte, die sich derzeit im Problembehandlungsmodus befinden

Sie können die Geräte, die sich derzeit im Problembehandlungsmodus befinden, mithilfe der folgenden Abfrage ermitteln:

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Anzahl der Instanzen des Problembehandlungsmodus nach Gerät

Sie können die Anzahl der Instanzen des Problembehandlungsmodus für ein Gerät mithilfe der folgenden Abfrage ermitteln:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Gesamtanzahl

Mithilfe der folgenden Abfrage können Sie die Gesamtanzahl der Instanzen des Problembehandlungsmodus ermitteln:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Empfohlene Inhalte

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.

Teilen über