Introducción al modo de solución de problemas en Microsoft Defender para punto de conexión

Se aplica a:

• Microsoft Defender para punto de conexión
• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2

El modo de solución de problemas en Microsoft Defender para punto de conexión permite a los administradores solucionar problemas de varias características Microsoft Defender Antivirus, incluso si los dispositivos se administran mediante directivas de la organización. Por ejemplo, si la protección contra alteraciones está habilitada, cierta configuración no se puede modificar ni desactivar, pero puede usar el modo de solución de problemas en un dispositivo para editar esa configuración temporalmente.

El modo de solución de problemas está deshabilitado de forma predeterminada y requiere que lo active para un dispositivo (o grupo de dispositivos) durante un tiempo limitado. El modo de solución de problemas es exclusivamente una característica de solo empresa y requiere Microsoft Defender acceso al portal.

En este artículo se describe el modo de solución de problemas para dispositivos Windows. Para obtener información sobre el modo de solución de problemas en Mac, consulte Modo de solución de problemas en Microsoft Defender para punto de conexión en macOS.

Sugerencia

• Durante el modo de solución de problemas, puede usar el comando Set-MPPreference -DisableTamperProtection $true de PowerShell en dispositivos Windows.
• Para comprobar el estado de la protección contra alteraciones, puede usar el cmdlet de PowerShell Get-MpComputerStatus . En la lista de resultados, busque IsTamperProtected o RealTimeProtectionEnabled. (Un valor de true significa que la protección contra alteraciones está habilitada).
• Para dispositivos Mac, consulte Modo de solución de problemas en Microsoft Defender para punto de conexión en macOS.

¿Qué necesita saber antes de empezar?

Durante el modo de solución de problemas, puede usar el comando Set-MPPreference -DisableTamperProtection $true de PowerShell o, en los sistemas operativos cliente, la aplicación Security Center para deshabilitar temporalmente la protección contra alteraciones en el dispositivo y realizar los cambios de configuración necesarios.

Puede usar el modo de solución de problemas para solucionar problemas o comprobar la compatibilidad de aplicaciones con Microsoft Defender Antivirus, como cuando se producen falsos positivos con bloques de aplicación.

Con los permisos adecuados, los administradores locales pueden cambiar la configuración en dispositivos individuales que normalmente están bloqueados por la directiva. Tener un dispositivo en modo de solución de problemas puede ser útil al diagnosticar Microsoft Defender escenarios de rendimiento y compatibilidad del antivirus. Los administradores locales no pueden desactivar Microsoft Defender Antivirus ni desinstalarlo. Los administradores locales pueden configurar todas las demás opciones de seguridad del conjunto de Microsoft Defender Antivirus (por ejemplo, protección en la nube, protección contra alteraciones).

Los administradores deben tener permisos de "Administrar configuración de seguridad" para activar el modo de solución de problemas.

Defender for Endpoint recopila registros y datos de investigación a lo largo del proceso de solución de problemas.

• Se toma una instantánea de antes de MpPreference que comience el modo de solución de problemas.
• Se toma una segunda instantánea justo antes de que expire el modo de solución de problemas.
• También se recopilan registros operativos de durante el modo de solución de problemas.
• Los registros y las instantáneas se recopilan y están disponibles para que un administrador lo recopile mediante la característica Recopilar paquete de investigación en la página del dispositivo. Microsoft no quita estos datos del dispositivo hasta que un administrador los haya recopilado.

Los administradores también pueden revisar los cambios en la configuración que tienen lugar durante el modo de solución de problemas en Visor de eventos en el propio dispositivo.

• Abra Visor de eventos y, a continuación, expanda Registros > de aplicaciones y serviciosde Microsoft>Windows>Defender y, a continuación, seleccione Operativo.
• Los eventos potenciales pueden incluir eventos con identificadores 5000, 5001, 5004, 5007 y otros. Consulte más detalles en Revisión de registros de eventos y códigos de error para solucionar problemas con Microsoft Defender Antivirus.

El modo de solución de problemas se desactiva automáticamente después de alcanzar su tiempo de expiración (dura 4 horas). Cuando ha expirado el modo de solución de problemas, todas las configuraciones administradas por directivas vuelven a ser de solo lectura y vuelven a la configuración del dispositivo antes de habilitar el modo de solución de problemas.

Puede tardar hasta 15 minutos desde el momento en que se envía el comando de Microsoft Defender XDR a cuando se activa en el dispositivo.

Las notificaciones se envían al usuario cuando comienza el modo de solución de problemas y cuando finaliza el modo de solución de problemas. También se envía una advertencia para indicar que el modo de solución de problemas finaliza pronto. El principio y el final del modo de solución de problemas también se identifican en el portal de Microsoft Defender, en la escala de tiempo del dispositivo en la página del dispositivo.

Puede consultar todos los eventos de modo de solución de problemas en la búsqueda avanzada.

Nota:

Los cambios de administración de directivas se aplican al dispositivo cuando está activo en el modo de solución de problemas. Sin embargo, los cambios no surten efecto hasta que expire el modo de solución de problemas. Además, Microsoft Defender actualizaciones de la Plataforma antivirus no se aplican durante el modo de solución de problemas. Las actualizaciones de plataforma se aplican cuando el modo de solución de problemas finaliza con una actualización de Windows.

Requisitos previos

• Los dispositivos deben ejecutar un sistema operativo compatible.

  • Windows 10 (versión 19044.1618 o posterior), Windows 11, Windows Server 2019, Windows Server 2022 o Windows Server 2025.

    Semestre/Redstone	Versión del sistema operativo	Versión
    21H2/SV1	22000.593 o posterior	KB5011563: Catálogo de Microsoft Update
    20H1/20H2/21H1	19042.1620 o posterior 19041.1620 o posterior 19043.1620 o posterior	KB5011543: Catálogo de Microsoft Update
    Windows Server 2022 o posterior	20348.617 o posterior	KB5011558: Catálogo de Microsoft Update
    Windows Server 2019 (RS5)	17763.2746 o posterior	KB5011551: Catálogo de Microsoft Update

  • Windows Server 2012 R2 y Windows Server 2016 mediante la solución unificada moderna, con todos los componentes siguientes actualizados:

    Componente	Versión	Versión
    Versión de Sense	10.8049.22439.1084 o posterior	KB5005292: Catálogo de Microsoft Update
    Antivirus de Microsoft Defender	Plataforma: 4.18.2207.7 o posterior	KB4052623: Catálogo de Microsoft Update
    Antivirus de Microsoft Defender	Motor: 1.1.19500.2 o posterior	KB2267602: Catálogo de Microsoft Update

• Defender para punto de conexión debe estar inscrito y activo en el dispositivo.

• Los dispositivos deben ejecutarse activamente Microsoft Defender Antivirus, versión 4.18.2203 or later.

• Para dispositivos macOS, consulte Requisitos previos para el modo de solución de problemas en Mac.

Habilitación del modo de solución de problemas

1. Vaya al portal de Microsoft Defender e inicie sesión.

2. Vaya a la página del dispositivo o la página del equipo del dispositivo que desea activar en el modo de solución de problemas. Seleccione Activar el modo de solución de problemas. Debe tener permisos de "Administrar la configuración de seguridad en Security Center" para Microsoft Defender para punto de conexión.

   

   Nota:

   La opción Activar el modo de solución de problemas está disponible en todos los dispositivos, incluso si el dispositivo no cumple los requisitos previos para el modo de solución de problemas.

3. Confirme que desea activar el modo de solución de problemas para el dispositivo.

   

4. La página del dispositivo muestra que el dispositivo está ahora en modo de solución de problemas.

   

Consultas de búsqueda avanzadas

Estas son algunas consultas de búsqueda avanzadas precompiladas para proporcionarle visibilidad sobre los eventos de solución de problemas que se producen en su entorno. También puede usar estas consultas para crear reglas de detección para generar alertas cuando los dispositivos están en modo de solución de problemas.

Obtención de eventos de solución de problemas para un dispositivo determinado

Busque por deviceId o deviceName comentando las líneas correspondientes.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Dispositivos actualmente en modo de solución de problemas

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Recuento de instancias de modo de solución de problemas por dispositivo

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Recuento total

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Artículos relacionados

• Modo de solución de problemas en Microsoft Defender para punto de conexión en macOS
• Analizador de rendimiento para Microsoft Defender Antivirus.
• Escenarios del modo de resolución de problemas
• Configuración de seguridad de la protección con protección contra alteraciones

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.