Modo de solución de problemas en Microsoft Defender para punto de conexión en macOS

Artículo
04/26/2024

Se aplica a:

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

En este artículo se describe cómo habilitar el modo de solución de problemas en Microsoft Defender para punto de conexión en macOS para que los administradores puedan solucionar problemas de varias características Microsoft Defender Antivirus temporalmente, incluso si las directivas de la organización administran los dispositivos.

Por ejemplo, si la protección contra alteraciones está habilitada, cierta configuración no se puede modificar o desactivar, pero puede usar el modo de solución de problemas en el dispositivo para editar esa configuración temporalmente.

El modo de solución de problemas está deshabilitado de forma predeterminada y requiere que lo active para un dispositivo (o grupo de dispositivos) durante un tiempo limitado. El modo de solución de problemas es exclusivamente una característica de solo empresa y requiere acceso a Microsoft Defender portal.

¿Qué necesita saber antes de empezar?

Durante el modo de solución de problemas, puede:

Use Microsoft Defender para punto de conexión en macOS funcional solución de problemas /compatibilidad de aplicaciones (falsos positivos).

Los administradores locales, con los permisos adecuados, pueden cambiar las siguientes configuraciones de directiva bloqueada en puntos de conexión individuales:

Setting	Habilitación	Deshabilitar o quitar
protección Real-Time/ modo pasivo / a petición	`mdatp config real-time-protection --value enabled`	`mdatp config real-time-protection --value disabled`
Protección de red	`mdatp config network-protection enforcement-level --value block`	`mdatp config network-protection enforcement-level --value disabled`
realTimeProtectionStatistics	`mdatp config real-time-protection-statistics --value enabled`	`mdatp config real-time-protection-statistics --value disabled`
tags	`mdatp edr tag set --name GROUP --value [name]`	`mdatp edr tag remove --tag-name [name]`
groupIds	`mdatp edr group-ids --group-id [group]`
DLP de punto de conexión	`mdatp config data_loss_prevention --value enabled`	`mdatp config data_loss_prevention --value disabled`

Durante el modo de solución de problemas, no puede:

Deshabilite la protección contra alteraciones para Microsoft Defender para punto de conexión en macOS.
Desinstale la Microsoft Defender para punto de conexión en macOS.

Requisitos previos

Versión compatible de macOS para Microsoft Defender para punto de conexión.
Microsoft Defender para punto de conexión debe estar inscrito y activo en el dispositivo.
Permisos para "Administrar la configuración de seguridad en Security Center" en Microsoft Defender para punto de conexión.
Versión de actualización de plataforma: 101.23122.0005 o posterior.

Habilitación del modo de solución de problemas en macOS

Vaya al portal de Microsoft Defender e inicie sesión.
Vaya a la página del dispositivo en la que desea activar el modo de solución de problemas. A continuación, seleccione los puntos suspensivos (...) y seleccione Activar el modo de solución de problemas.

Nota:

La opción Activar el modo de solución de problemas está disponible en todos los dispositivos, incluso si el dispositivo no cumple los requisitos previos para el modo de solución de problemas.
Lea la información que se muestra en el panel y, una vez que esté listo, seleccione Enviar para confirmar que desea activar el modo de solución de problemas para ese dispositivo.
Verá que el cambio puede tardar unos minutos en surtir efecto en el texto que se muestra. Durante este tiempo, cuando vuelva a seleccionar los puntos suspensivos, verá que la opción Activar el modo de solución de problemas está pendiente atenuada.
Una vez completado, la página del dispositivo muestra que el dispositivo está ahora en modo de solución de problemas.

Si el usuario final ha iniciado sesión en el dispositivo macOS, verá el texto siguiente:

Se ha iniciado el modo de solución de problemas. Este modo le permite cambiar temporalmente la configuración administrada por el administrador. Expira en YEAR-MM-DDTHH:MM:SSZ.

Seleccione Aceptar.
Una vez habilitado, puede probar las distintas opciones de línea de comandos que se pueden alternar en el modo de solución de problemas (modo TS).

Por ejemplo, cuando use mdatp config real-time-protection --value disabled el comando para deshabilitar la protección en tiempo real, se le pedirá que escriba la contraseña. Seleccione Aceptar después de escribir la contraseña.

El informe de salida similar a la siguiente captura de pantalla se mostrará en la ejecución del estado de mdatp con real_time_protection_enabled como "false" y tamper_protection como "block".

Consultas de búsqueda avanzadas para la detección

Hay algunas consultas de búsqueda avanzadas precompiladas para proporcionarle visibilidad sobre los eventos de solución de problemas que se producen en su entorno. Puede usar estas consultas para crear reglas de detección para generar alertas cuando los dispositivos están en modo de solución de problemas.

Obtención de eventos de solución de problemas para un dispositivo determinado

Puede usar la siguiente consulta para buscar por deviceId o deviceName comentando las líneas respectivas.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Dispositivos actualmente en modo de solución de problemas

Puede encontrar los dispositivos que están actualmente en modo de solución de problemas mediante la siguiente consulta:

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Recuento de instancias de modo de solución de problemas por dispositivo

Puede encontrar el número de instancias de modo de solución de problemas de un dispositivo mediante la consulta siguiente:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Recuento total

Puede conocer el recuento total de instancias de modo de solución de problemas mediante la consulta siguiente:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Contenido recomendado

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.