Programación de exámenes con Microsoft Defender para punto de conexión en macOS
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Programación de un examen integrado en Microsoft Defender para punto de conexión en macOS
Aunque puede iniciar un examen de amenazas en cualquier momento con Microsoft Defender para punto de conexión, su empresa podría beneficiarse de exámenes programados o programados. Por ejemplo, puede programar un examen para que se ejecute al principio de cada día laborable o semana.
Hay tres tipos de exámenes programados que se pueden configurar: exámenes por hora, diarios y semanales. Los exámenes programados por horas y diarios siempre se ejecutan como exámenes rápidos, los exámenes semanales se pueden configurar para que sean exámenes rápidos o completos. Es posible tener los tres tipos de exámenes programados al mismo tiempo. Consulte los ejemplos de este artículo.
Requisitos previos:
- Versión de actualización de plataforma: 101.23122.0005 o posterior
Programar un examen con Microsoft Defender para punto de conexión en macOS
Puede crear un examen programado para macOS, que está integrado para Microsoft Defender para punto de conexión en macOS.
Para obtener más información sobre el formato de .plist archivo usado aquí, consulte Acerca de los archivos de lista de propiedades de información en el sitio web oficial para desarrolladores de Apple.
En el ejemplo siguiente se muestra la configuración diaria o semanal del examen programado en macOS.
Sugerencia
Las programaciones se basan en la zona horaria local del dispositivo.
| Parámetro | Los valores aceptables para este parámetro son: |
|---|---|
scheduledScan |
enabled o disabled |
scanType |
quick o full |
ignoreExclusions |
true o false |
| lowPriorityScheduledScan |
true o false |
dayOfWeek |
El intervalo está entre 0 y 8. - 0:Cotidiano- 1:Domingo- 2:Lunes- 3:Martes- 4:Miércoles- 5:Jueves- 6:Viernes- 7:Sábado- 8:Nunca |
timeOfDay |
Especifica la hora del día, como el número de minutes after midnight, para realizar un examen programado. La hora hace referencia a la hora local en el equipo. Si no especifica un valor para este parámetro, un examen programado se ejecuta a una hora predeterminada de dos horas después de la medianoche. |
interval |
0 (nunca), every 1 (hora) a every 24 (horas, un examen por día) |
randomizeScanStartTime |
Solo se aplica para exámenes rápidos diarios o exámenes semanales rápidos o completos. Aleatorice la hora de inicio del examen hasta el número especificado de horas. Por ejemplo, si un examen está programado para las 2 p.m. y randomizeScanStartTime se establece en 2, el examen comienza de forma aleatoria entre las 2 p.m. y las 4 p.m. |
El examen programado se ejecuta en la fecha, hora y frecuencia que definió en plist.
Ejemplo 1: Programar un examen rápido diario y un examen completo semanal mediante una lista plist
En el ejemplo siguiente, la configuración de examen rápido diario se establece para ejecutarse a los 885 minutos después de medianoche (2:45 p.m.). La configuración semanal está establecida para ejecutar un examen completo el miércoles a las 880 minutos después de medianoche (2:40 p.m.). Y se establece para pasar por alto las exclusiones y ejecutar un examen de prioridad baja.
En el código siguiente se muestra el esquema que debe usar para programar exámenes según los requisitos mencionados anteriormente.
- Abra un editor de texto y use este ejemplo como guía para su propio archivo de examen programado.
Para Intune
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>880</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>885</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Guarde el archivo como
com.microsoft.wdav.mobileconfig.
Para JamF y otros MDM de terceros
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Guarde el archivo como
com.microsoft.wdav.plist.Compruebe que el examen programado está configurado a través de una "Preferencia de establecimiento"
mdatp health --details scheduled_scanEn los resultados, debería poder ver [administrado].
Ejemplo 2: Programar un examen rápido por hora, un examen rápido diario y un examen completo semanal mediante una lista plist
En el ejemplo siguiente, un examen rápido por hora se ejecutará cada 6 horas, una configuración de examen rápido diario se establece para ejecutarse a los 885 minutos después de medianoche (2:45 p.m.) y un examen completo semanal se ejecutará los miércoles a los 880 minutos después de medianoche (2:40 p.m.).
Para Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Guarde el archivo como
com.microsoft.wdav.mobileconfig.
Para JamF y otros MDM de terceros
- Abra un editor de texto y use este ejemplo.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Guarde el archivo como
com.microsoft.wdav.plist.Compruebe que el examen programado está configurado a través de una "Preferencia de establecimiento"
mdatp health --details scheduled_scanEn los resultados, debería poder ver [administrado].
Opción 3: Configurar exámenes programados mediante la herramienta de la CLI
Para habilitar la característica de examen programado:
| Versión | Get-Help |
|---|---|
| Versión 101.23122.x o posterior | sudo mdatp config scheduled-scan settings feature --value enabled |
Para programar exámenes rápidos por hora:
| Versión | Get-Help |
|---|---|
| Versión 101.23122.x o posterior | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
Para programar exámenes rápidos diarios:
| Versión | Get-Help |
|---|---|
| Versión 101.23122.x o posterior | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
Para programar exámenes semanales:
| Versión | Get-Help |
|---|---|
| Versión 101.23122.x o posterior | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
Para otras opciones de configuración:
Para comprobar si hay definiciones actualizadas antes de los exámenes programados:
sudo mdatp config scheduled-scan settings check-for-definitions --value truePara usar subprocesos de prioridad baja para el examen programado:
sudo mdatp config scheduled-scan settings low-priority --value true
Comprobación de que se ejecutó el examen programado
Use el siguiente comando:
mdatp scan list
\<snip\>
Importante
Los exámenes programados no se ejecutan a la hora programada mientras el dispositivo está inactivo. En su lugar, los exámenes programados se ejecutan cuando el dispositivo se reanuda del modo de suspensión. Si el dispositivo está desactivado, el examen se ejecuta en el siguiente tiempo de examen programado.
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.