Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Ressourcen zum Beheben von Problemen oder zum Konfigurieren von Microsoft Defender for Endpoint unter Linux. In diesem Artikel wird beschrieben, wie Sie Diagnoseinformationen sammeln, Installationsprobleme protokollieren und Defender für Endpunkt für Linux über die Befehlszeile konfigurieren. In diesem Artikel wird auch beschrieben, wie Sie Defender für Endpunkt unter Linux deinstallieren.
Sammeln von Diagnoseinformationen
Tipp
Führen Sie die Defender für Endpunkt-Clientanalyse mit Liveantwort oder lokal auf dem Gerät aus, um Diagnoseinformationen von Defender für Endpunkt für Linux zu sammeln.
Wenn Sie ein Problem reproduzieren können, erhöhen Sie zunächst den Protokolliergrad, führen Sie das System für einige Zeit aus, und stellen Sie dann den Standardprotokolliergrad wieder her.
Erhöhen des Protokolliergrads:
mdatp log level set --level debugLog level configured successfullyReproduzieren Sie das Problem.
Führen Sie den folgenden Befehl aus, um die Protokolle von Defender für Endpunkt zu sichern. Die Dateien werden in einem .zip Archiv gespeichert.
sudo mdatp diagnostic createDieser Befehl gibt auch den Dateipfad zur Sicherung aus, nachdem der Vorgang erfolgreich war:
Diagnostic file created: <path to file>Wiederherstellungsprotokolliergrad:
mdatp log level set --level infoLog level configured successfully
Protokollieren von Installationsproblemen
Wenn während der Installation ein Fehler auftritt, meldet das Installationsprogramm nur einen allgemeinen Fehler.
Das ausführliche Protokoll wird in /var/log/microsoft/mdatp/install.loggespeichert.
Wenn während der Installation Probleme auftreten, senden Sie uns diese Datei, damit wir ihnen bei der Diagnose der Ursache helfen können.
Konfigurieren über die Befehlszeile
Wichtige Aufgaben, z. B. das Steuern von Produkteinstellungen und das Auslösen von On-Demand-Scans, können über die Befehlszeile ausgeführt werden.
Globale Optionen
Standardmäßig gibt das Befehlszeilentool das Ergebnis im lesbaren Format aus. Darüber hinaus unterstützt das Tool auch die Ausgabe des Ergebnisses als JSON, was für Automatisierungsszenarien nützlich ist. Um die Ausgabe in JSON zu ändern, übergeben Sie --output json an einen der folgenden Befehle.
Unterstützte Befehle
In der folgenden Tabelle sind Die Befehle für einige der häufigsten Szenarien aufgeführt. Führen Sie mdatp help im Terminal aus, um die vollständige Liste der unterstützten Befehle anzuzeigen.
| Gruppe | Szenario | Befehl |
|---|---|---|
| Konfiguration | Aktivieren/Deaktivieren des Echtzeitschutzes | mdatp config real-time-protection --value [enabled\|disabled] |
| Konfiguration | Aktivieren/Deaktivieren der Verhaltensüberwachung | mdatp config behavior-monitoring --value [enabled\|disabled] |
| Konfiguration | Aktivieren/Deaktivieren des Cloudschutzes | mdatp config cloud --value [enabled\|disabled] |
| Konfiguration | Aktivieren/Deaktivieren von Produkt-Diagnose | mdatp config cloud-diagnostic --value [enabled\|disabled] |
| Konfiguration | Aktivieren/Deaktivieren der automatischen Beispielübermittlung | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
| Konfiguration | Aktivieren/Deaktivieren des passiven Antivirenmodus | mdatp config passive-mode --value [enabled\|disabled] |
| Konfiguration | Hinzufügen/Entfernen eines Antivirenausschlusses für eine Dateierweiterung | mdatp exclusion extension [add\|remove] --name [extension] |
| Konfiguration | Hinzufügen/Entfernen eines Antivirenausschlusses für eine Datei | mdatp exclusion file [add\|remove] --path [path-to-file] |
| Konfiguration | Hinzufügen/Entfernen eines Antivirenausschlusses für ein Verzeichnis | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
| Konfiguration | Hinzufügen/Entfernen eines Antivirenausschlusses für einen Prozess | mdatp exclusion process [add\|remove] --path [path-to-process] |
| Konfiguration | Hinzufügen/Entfernen eines globalen Ausschlusses für eine Datei | mdatp exclusion file [add\|remove] --path [path-to-file] --scope global |
| Konfiguration | Hinzufügen/Entfernen eines globalen Ausschlusses für ein Verzeichnis | mdatp exclusion folder [add\|remove] --path [path-to-directory] --scope global |
| Konfiguration | Hinzufügen/Entfernen eines globalen Ausschlusses für einen Prozess | mdatp exclusion process [add\|remove] --path [path-to-process] --scope global |
| Konfiguration | Auflisten aller Antivirenausschlüsse | mdatp exclusion list |
| Konfiguration | Hinzufügen eines Bedrohungsnamens zur Liste zulässiger Daten | mdatp threat allowed add --name [threat-name] |
| Konfiguration | Entfernen eines Bedrohungsnamens aus der Liste zulässiger Daten | mdatp threat allowed remove --name [threat-name] |
| Konfiguration | Auflisten aller zulässigen Bedrohungsnamen | mdatp threat allowed list |
| Konfiguration | Aktivieren des PUA-Schutzes | mdatp threat policy set --type potentially_unwanted_application --action block |
| Konfiguration | Deaktivieren des PUA-Schutzes | mdatp threat policy set --type potentially_unwanted_application --action off |
| Konfiguration | Aktivieren des Überwachungsmodus für PUA-Schutz | mdatp threat policy set --type potentially_unwanted_application --action audit |
| Konfiguration | Konfigurieren des Parallelitätsgrads für bedarfsgesteuerte Überprüfungen | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Konfiguration | Aktivieren/Deaktivieren von Überprüfungen nach Security Intelligence-Updates | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Konfiguration | Aktivieren/Deaktivieren der Archivüberprüfung (nur bedarfsgesteuerte Überprüfungen) | mdatp config scan-archives --value [enabled/disabled] |
| Konfiguration | Aktivieren/Deaktivieren der Dateihashberechnung | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Diagnose | Ändern der Protokollebene | mdatp log level set --level verbose [error|warning|info|verbose] |
| Diagnose | Generieren von Diagnoseprotokollen | mdatp diagnostic create --path [directory] |
| Diagnose | Größenbeschränkungen für beibehaltene Produktprotokolle | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
| Health | Überprüfen der Integrität des Produkts | mdatp health |
| Schutz | Überprüfen eines Pfads | mdatp scan custom --path [path] [--ignore-exclusions] |
| Schutz | Durchführen einer Schnellüberprüfung | mdatp scan quick |
| Schutz | Durchführen einer vollständigen Überprüfung | mdatp scan full |
| Schutz | Abbrechen einer laufenden bedarfsgesteuerten Überprüfung | mdatp scan cancel |
| Schutz | Anfordern eines Security Intelligence-Updates | mdatp definitions update |
| Schutz | Zurücksetzen der Sicherheitsintelligenz auf den ursprünglichen Standardsatz | mdatp definitions restore |
| Schutzverlauf | Drucken des vollständigen Schutzverlaufs | mdatp threat list |
| Schutzverlauf | Abrufen von Bedrohungsdetails | mdatp threat get --id [threat-id] |
| Quarantäneverwaltung | Auflisten aller in Quarantäne befindlichen Dateien | mdatp threat quarantine list |
| Quarantäneverwaltung | Entfernen aller Dateien aus der Quarantäne | mdatp threat quarantine remove-all |
| Quarantäneverwaltung | Hinzufügen einer Datei, die als Bedrohung für die Quarantäne erkannt wurde | mdatp threat quarantine add --id [threat-id] |
| Quarantäneverwaltung | Entfernen einer Als Bedrohung erkannten Datei aus der Quarantäne | mdatp threat quarantine remove --id [threat-id] |
| Quarantäneverwaltung | Stellen Sie eine Datei aus der Quarantäne wieder her. Verfügbar in Defender für Endpunkt-Version vor 101.23092.0012. |
mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Quarantäneverwaltung | Stellen Sie eine Datei aus der Quarantäne mit der Bedrohungs-ID wieder her. Verfügbar in Defender für Endpunkt-Version 101.23092.0012 oder höher. |
mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Quarantäneverwaltung | Stellen Sie eine Datei aus der Quarantäne mit dem ursprünglichen Bedrohungspfad wieder her. Verfügbar in Defender für Endpunkt-Version 101.23092.0012 oder höher. |
mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Erkennung und Reaktion am Endpunkt | Festlegen der frühen Vorschau | mdatp edr early-preview [enabled\|disabled] |
| Erkennung und Reaktion am Endpunkt | Group-ID festlegen | mdatp edr group-ids --group-id [group-id] |
| Erkennung und Reaktion am Endpunkt | Tag festlegen/entfernen, nur GROUP unterstützt |
mdatp edr tag set --name GROUP --value [tag] |
| Erkennung und Reaktion am Endpunkt | Auflisten von Ausschlüssen (Stamm) | mdatp edr exclusion list [processes|paths|extensions|all] |
Deinstallieren von Defender für Endpunkt unter Linux
Es gibt mehrere Möglichkeiten, Defender für Endpunkt unter Linux zu deinstallieren. Wenn Sie ein Konfigurationstool wie Puppet verwenden, befolgen Sie die Anweisungen zur Paketentinstallation für das Konfigurationstool.
Offboarden von Linux-Geräten
Um zu verhindern, dass außer Betrieb genommene Geräte in Ihrem Gerätebestand angezeigt werden, und um eine genauere Bewertung der Sicherheitsbewertung sicherzustellen, fügen Sie Gerätetags zu Geräten hinzu, die Sie von Defender für Endpunkt offboarden möchten. Andernfalls werden diese Geräte 180 Tage lang im Gerätebestand angezeigt.
Erstellen Sie ein Gerätetag, und nennen Sie das Tag
decommissioned. Weisen Sie das Tag den Linux-Geräten zu, die Sie von Defender für Endpunkt offboarden möchten.Erstellen Sie eine Gerätegruppe ,
Decommissioned Linuxund nennen Sie sie etwa . Weisen Sie dieses Tag einer entsprechenden Benutzergruppe zu.Wählen Sie im Microsoft Defender-Portal im Navigationsbereich Einstellungen>Offboard aus. Wählen Sie unter Betriebssystem auswählen, um das Offboarding zu starten die Option Linux-Server und dann eine Bereitstellungsmethode aus.
Wenn Sie eine Nicht-Microsoft-Geräteverwaltungslösung verwenden, deaktivieren Sie die Integration in Defender für Endpunkt.
Deinstallieren Sie Defender für Endpunkt auf den Geräten.
Manuelle Deinstallation
-
sudo yum remove mdatpfür RHEL und Varianten (CentOS und Oracle Linux). -
sudo zypper remove mdatpfür SLES und Varianten. -
sudo apt-get purge mdatpfür Ubuntu- und Debian-Systeme. -
sudo dnf remove mdatpfür Mariner.
Verwandte Inhalte
- Microsoft Defender für Endpunkt unter Linux
- Voraussetzungen für Microsoft Defender for Endpoint unter Linux
- Konfigurieren von Sicherheitseinstellungen in Microsoft Defender for Endpoint unter Linux
- Ausführen des Clientanalysetools unter Linux
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.