Introducción al modo de solución de problemas en Microsoft Defender para punto de conexión

Se aplica a:

• Microsoft Defender para punto de conexión
• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

El modo de solución de problemas en Microsoft Defender para punto de conexión permite a los administradores solucionar problemas de varias características Microsoft Defender Antivirus, incluso si los dispositivos se administran mediante directivas de la organización. Por ejemplo, si la protección contra alteraciones está habilitada, cierta configuración no se puede modificar ni desactivar, pero puede usar el modo de solución de problemas en un dispositivo para editar esa configuración temporalmente.

El modo de solución de problemas está deshabilitado de forma predeterminada y requiere que lo active para un dispositivo (o grupo de dispositivos) durante un tiempo limitado. El modo de solución de problemas es exclusivamente una característica de solo empresa y requiere Microsoft Defender acceso al portal.

Sugerencia

• Durante el modo de solución de problemas, puede usar el comando Set-MPPreference -DisableTamperProtection $true de PowerShell en dispositivos Windows.
• Para comprobar el estado de la protección contra alteraciones, puede usar el cmdlet de PowerShell Get-MpComputerStatus . En la lista de resultados, busque IsTamperProtected o RealTimeProtectionEnabled. (Un valor de true significa que la protección contra alteraciones está habilitada). .

¿Qué necesita saber antes de empezar?

Durante el modo de solución de problemas, puede usar el comando Set-MPPreference -DisableTamperProtection $true de PowerShell o, en los sistemas operativos cliente, la aplicación Security Center para deshabilitar temporalmente la protección contra alteraciones en el dispositivo y realizar los cambios de configuración necesarios.

• Use el modo de solución de problemas para deshabilitar o cambiar la configuración de protección contra alteraciones para realizar lo siguiente:

  • Microsoft Defender Solución de problemas funcional del antivirus /compatibilidad de aplicaciones (bloques de aplicación falsos positivos).

• Los administradores locales, con los permisos adecuados, pueden cambiar las configuraciones en puntos de conexión individuales que normalmente están bloqueados por la directiva. Tener un dispositivo en modo de solución de problemas puede ser útil al diagnosticar Microsoft Defender escenarios de rendimiento y compatibilidad del antivirus.

  • Los administradores locales no pueden desactivar Microsoft Defender Antivirus ni desinstalarlo.

  • Los administradores locales pueden configurar todas las demás opciones de seguridad del conjunto de Microsoft Defender Antivirus (por ejemplo, protección en la nube, protección contra alteraciones).

• Los administradores con permisos de "Administrar configuración de seguridad" tienen acceso para activar el modo de solución de problemas.

• Microsoft Defender para punto de conexión recopila registros y datos de investigación a lo largo del proceso de solución de problemas.

  • Se toma una instantánea de antes de MpPreference que comience el modo de solución de problemas.

  • Se toma una segunda instantánea justo antes de que expire el modo de solución de problemas.

  • También se recopilan registros operativos de durante el modo de solución de problemas.

  • Los registros y las instantáneas se recopilan y están disponibles para que un administrador lo recopile mediante la característica Recopilar paquete de investigación en la página del dispositivo. Microsoft no quita estos datos del dispositivo hasta que un administrador los haya recopilado.

• Los administradores también pueden revisar los cambios en la configuración que tienen lugar durante el modo de solución de problemas en Visor de eventos en el propio dispositivo.

  • Abra Visor de eventos y, a continuación, expanda Registros > de aplicaciones y serviciosde Microsoft>Windows>Defender y, a continuación, seleccione Operativo.
  • Los eventos potenciales pueden incluir eventos con identificadores 5000, 5001, 5004, 5007 y otros. Consulte más detalles en Revisión de registros de eventos y códigos de error para solucionar problemas con Microsoft Defender Antivirus.

• El modo de solución de problemas se desactiva automáticamente después de alcanzar el tiempo de expiración (dura 4 horas). Después de la expiración, todas las configuraciones administradas por directivas vuelven a ser de solo lectura y vuelven a la forma en que se configuró el dispositivo antes de habilitar el modo de solución de problemas.

• Puede tardar hasta 15 minutos desde el momento en que se envía el comando de Microsoft Defender XDR a cuando se activa en el dispositivo.

• Las notificaciones se envían al usuario cuando comienza el modo de solución de problemas y cuando finaliza el modo de solución de problemas. También se envía una advertencia para indicar que el modo de solución de problemas finaliza pronto.

• El principio y el final del modo de solución de problemas se identifican en la escala de tiempo del dispositivo en la página del dispositivo.

• Puede consultar todos los eventos de modo de solución de problemas en la búsqueda avanzada.

Nota:

Los cambios de administración de directivas se aplican al dispositivo cuando se encuentra activamente en modo de solución de problemas. Sin embargo, los cambios no surten efecto hasta que expire el modo de solución de problemas. Además, Microsoft Defender actualizaciones de la Plataforma antivirus no se aplican durante el modo de solución de problemas. Las actualizaciones de plataforma se aplican cuando el modo de solución de problemas finaliza con una actualización de Windows.

Requisitos previos

• Dispositivo que ejecuta Windows 10 (versión 19044.1618 o posterior), Windows 11, Windows Server 2019 o Windows Server 2022.

  Semestre/Redstone	Versión del sistema operativo	Versión
  21H2/SV1	>=22000.593	KB5011563: Catálogo de Microsoft Update
  20H1/20H2/21H1	>=19042.1620 >=19041.1620 >=19043.1620	KB5011543: Catálogo de Microsoft Update
  Windows Server 2022	>=20348.617	KB5011558: Catálogo de Microsoft Update
  Windows Server 2019 (RS5)	>=17763.2746	KB5011551: Catálogo de Microsoft Update

• El modo de solución de problemas también está disponible para las máquinas que ejecutan la solución moderna y unificada para Windows Server 2012 R2 y Windows Server 2016. Antes de usar el modo de solución de problemas, asegúrese de que todos los componentes siguientes están actualizados:

  • Versión de 10.8049.22439.1084 Sense o posterior (KB5005292: Catálogo de Microsoft Update)
  • Microsoft Defender Antivirus: Plataforma: 4.18.2207.7 o posterior (KB4052623: Catálogo de Microsoft Update)
  • Microsoft Defender Antivirus: motor: 1.1.19500.2 o posterior (KB2267602: Catálogo de Microsoft Update)

• Para aplicar el modo de solución de problemas, Microsoft Defender para punto de conexión deben estar inscritos en el inquilino y estar activos en el dispositivo.

• El dispositivo debe ejecutarse activamente Microsoft Defender Antivirus, versión 4.18.2203 o posterior.

Habilitación del modo de solución de problemas

1. Vaya al portal de Microsoft Defender (https://security.microsoft.com) e inicie sesión.

2. Vaya a la página del dispositivo o la página del equipo del dispositivo que desea activar en el modo de solución de problemas. Seleccione Activar el modo de solución de problemas. Debe tener permisos de "Administrar la configuración de seguridad en Security Center" para Microsoft Defender para punto de conexión.

   

Nota:

La opción Activar el modo de solución de problemas está disponible en todos los dispositivos, incluso si el dispositivo no cumple los requisitos previos para el modo de solución de problemas.

3. Confirme que desea activar el modo de solución de problemas para el dispositivo.

   

4. La página del dispositivo muestra que el dispositivo está ahora en modo de solución de problemas.

   

Consultas de búsqueda avanzadas

Estas son algunas consultas de búsqueda avanzadas precompiladas para proporcionarle visibilidad sobre los eventos de solución de problemas que se producen en su entorno. También puede usar estas consultas para crear reglas de detección para generar alertas cuando los dispositivos están en modo de solución de problemas.

Obtención de eventos de solución de problemas para un dispositivo determinado

Busque por deviceId o deviceName comentando las líneas correspondientes.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Dispositivos actualmente en modo de solución de problemas

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Recuento de instancias de modo de solución de problemas por dispositivo

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Recuento total

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Artículos relacionados

Sugerencia

Sugerencia de rendimiento Debido a diversos factores, Microsoft Defender Antivirus, al igual que otros software antivirus, puede causar problemas de rendimiento en los dispositivos de punto de conexión. En algunos casos, es posible que tenga que ajustar el rendimiento de Microsoft Defender Antivirus para aliviar esos problemas de rendimiento. El analizador de rendimiento de Microsoft es una herramienta de línea de comandos de PowerShell que ayuda a determinar qué archivos, rutas de acceso de archivo, procesos y extensiones de archivo podrían estar causando problemas de rendimiento; Algunos ejemplos son:

• Rutas de acceso principales que afectan al tiempo de examen
• Archivos principales que afectan al tiempo de examen
• Principales procesos que afectan al tiempo de examen
• Extensiones de archivo principales que afectan al tiempo de examen
• Combinaciones: por ejemplo:
  • archivos principales por extensión
  • rutas de acceso superiores por extensión
  • procesos principales por ruta de acceso
  • exámenes superiores por archivo
  • exámenes superiores por archivo por proceso

Puede usar la información recopilada mediante el Analizador de rendimiento para evaluar mejor los problemas de rendimiento y aplicar acciones de corrección. Consulte: Analizador de rendimiento para Microsoft Defender Antivirus.

• Escenarios del modo de resolución de problemas
• Configuración de seguridad de la protección con protección contra alteraciones

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.