Recursos para Microsoft Defender para punto de conexión en macOS
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Recopilación de información de diagnóstico
Si puede reproducir un problema, aumente el nivel de registro, ejecute el sistema durante algún tiempo y restaure el nivel de registro al valor predeterminado.
Aumentar el nivel de registro:
mdatp log level set --level debugLog level configured successfullyReproducir el problema
Ejecute
sudo mdatp diagnostic createpara realizar una copia de seguridad de los registros de Microsoft Defender para punto de conexión. Los archivos se almacenarán dentro de un archivo de .zip. Este comando también imprimirá la ruta de acceso del archivo a la copia de seguridad después de que la operación se realice correctamente.Sugerencia
De forma predeterminada, los registros de diagnóstico se guardan en
/Library/Application Support/Microsoft/Defender/wdavdiag/. Para cambiar el directorio donde se guardan los registros de diagnóstico, pase--path [directory]al siguiente comando y reemplace por[directory]el directorio deseado.sudo mdatp diagnostic createDiagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"Restaurar el nivel de registro:
mdatp log level set --level infoLog level configured successfully
Problemas de instalación de registro
Si se produce un error durante la instalación, el instalador solo notificará un error general.
El registro detallado se guardará en /Library/Logs/Microsoft/mdatp/install.log. Si experimenta problemas durante la instalación, envíenos este archivo para que podamos ayudar a diagnosticar la causa.
Para más información sobre la solución de problemas de instalación, consulte Solución de problemas de instalación de Microsoft Defender para punto de conexión en macOS.
Desinstalar
Nota:
Antes de desinstalar Microsoft Defender para punto de conexión en macOS, por favor offboard per Offboard non-Windows devices.
Hay varias maneras de desinstalar Microsoft Defender para punto de conexión en macOS. Tenga en cuenta que aunque la desinstalación administrada centralmente está disponible en JAMF, aún no está disponible para Microsoft Intune.
Desinstalación interactiva
- Abra Aplicaciones finder>. Haga clic con el botón derecho en Microsoft Defender para punto de conexión > Mover a la papelera.
Tipos de salida admitidos
Admite tipos de salida de formato JSON y tabla. Para cada comando, hay un comportamiento de salida predeterminado. Puede modificar la salida en el formato de salida que prefiera mediante los siguientes comandos:
-output json
-output table
Desde la línea de comandos
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
Uso de JAMF Pro
Para desinstalar Microsoft Defender para punto de conexión en macOS mediante JAMF Pro, cargue el perfil de offboarding.
El perfil de offboarding debe cargarse sin modificaciones y con el nombre de dominio de preferencia establecido en com.microsoft.wdav.atp.offboarding:
Configuración desde la línea de comandos
Las tareas importantes, como controlar la configuración del producto y desencadenar exámenes a petición, se pueden realizar desde la línea de comandos:
| Group | Escenario | Get-Help |
|---|---|---|
| Configuración | Activar o desactivar el modo pasivo antivirus | mdatp config passive-mode --value [enabled/disabled] |
| Configuración | Activar o desactivar la protección en tiempo real | mdatp config real-time-protection --value [enabled/disabled] |
| Configuración | Activar o desactivar la protección en la nube | mdatp config cloud --value [enabled/disabled] |
| Configuración | Activar o desactivar diagnósticos de productos | mdatp config cloud-diagnostic --value [enabled/disabled] |
| Configuración | Activar o desactivar el envío automático de ejemplos | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
| Configuración | Activar, auditar o desactivar la protección de PUA | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
| Configuración | Adición o eliminación de una exclusión de antivirus para un proceso | mdatp exclusion process [add/remove] --path [path-to-process]O mdatp exclusion process [add\|remove] --name [process-name] |
| Configuración | Adición o eliminación de una exclusión de antivirus para un archivo | mdatp exclusion file [add/remove] --path [path-to-file] |
| Configuración | Adición o eliminación de una exclusión de antivirus para un directorio | mdatp exclusion folder [add/remove] --path [path-to-directory] |
| Configuración | Agregar o quitar una exclusión antivirus para una extensión de archivo | mdatp exclusion extension [add/remove] --name [extension] |
| Configuración | Enumerar todas las exclusiones de antivirus | mdatp exclusion list |
| Configuración | Configuración del grado de paralelismo para los exámenes a petición | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Configuración | Activar o desactivar exámenes después de las actualizaciones de inteligencia de seguridad | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Configuración | Activar o desactivar el examen de archivos (solo exámenes a petición) | mdatp config scan-archives --value [enabled/disabled] |
| Configuración | Activación o desactivación del cálculo de hash de archivos | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Protección | Examen de una ruta de acceso | mdatp scan custom --path [path] [--ignore-exclusions] |
| Protección | Realizar un examen rápido | mdatp scan quick |
| Protección | Realizar un examen completo | mdatp scan full |
| Protección | Cancelación de un examen a petición en curso | mdatp scan cancel |
| Protección | Solicitud de una actualización de inteligencia de seguridad | mdatp definitions update |
| Configuración | Agregar un nombre de amenaza a la lista permitida | mdatp threat allowed add --name [threat-name] |
| Configuración | Quitar un nombre de amenaza de la lista permitida | mdatp threat allowed remove --name [threat-name] |
| Configuración | Enumerar todos los nombres de amenazas permitidos | mdatp threat allowed list |
| Historial de protección | Imprimir el historial de protección completo | mdatp threat list |
| Historial de protección | Obtener detalles de amenazas | mdatp threat get --id [threat-id] |
| Administración de cuarentena | Enumerar todos los archivos en cuarentena | mdatp threat quarantine list |
| Administración de cuarentena | Quitar todos los archivos de la cuarentena | mdatp threat quarantine remove-all |
| Administración de cuarentena | Adición de un archivo detectado como una amenaza a la cuarentena | mdatp threat quarantine add --id [threat-id] |
| Administración de cuarentena | Eliminación de un archivo detectado como amenaza de la cuarentena | mdatp threat quarantine remove --id [threat-id] |
| Administración de cuarentena | Restaure un archivo desde la cuarentena. Disponible en la versión de Defender para punto de conexión inferior a 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Administración de cuarentena | Restaure un archivo desde la cuarentena con el identificador de amenaza. Disponible en Defender para punto de conexión, versión 101.23092.0012 o posterior. | mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Administración de cuarentena | Restaure un archivo desde la cuarentena con La ruta de acceso original de la amenaza. Disponible en Defender para punto de conexión, versión 101.23092.0012 o posterior. | mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Configuración de protección de red | Configuración del nivel de cumplimiento de Network Protection | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
| Administración de protección de red | Comprobación de que la protección de red se ha iniciado correctamente | mdatp health --field network_protection_status |
| Administración del control de dispositivos | ¿Está habilitado el control de dispositivos y cuál es el cumplimiento predeterminado? | mdatp device-control policy preferences list |
| Administración del control de dispositivos | ¿Qué directiva de control de dispositivos está habilitada? | mdatp device-control policy rules list |
| Administración del control de dispositivos | ¿Qué grupos de directivas de Control de dispositivos están habilitados? | mdatp device-control policy groups list |
| Configuración | Activar o desactivar la prevención de pérdida de datos | mdatp config data_loss_prevention --value [enabled/disabled] |
| Diagnóstico | Cambio del nivel de registro | mdatp log level set --level [error/warning/info/verbose] |
| Diagnóstico | Generación de registros de diagnóstico | mdatp diagnostic create --path [directory] |
| Mantenimiento | Comprobar el estado del producto | mdatp health |
| Mantenimiento | Comprobación de un atributo de producto específico | mdatp health --field [attribute: healthy/licensed/engine_version...] |
| EDR | Exclusiones de lista de EDR (raíz) | mdatp edr exclusion list [processes|paths|extensions|all] |
| EDR | Establecer o quitar etiqueta, solo se admite GROUP | mdatp edr tag set --name GROUP --value [name] |
| EDR | Eliminación de la etiqueta de grupo del dispositivo | mdatp edr tag remove --tag-name [name] |
| EDR | Agregar id. de grupo | mdatp edr group-ids --group-id [group] |
Habilitación de lacompletar automática
Para habilitar la autocompletar en Bash, ejecute el siguiente comando y reinicie la sesión de Terminal:
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
Para habilitar la autocompletar en zsh:
Compruebe si la función de autocompletar está habilitada en el dispositivo:
cat ~/.zshrc | grep autoloadSi el comando anterior no genera ninguna salida, puede habilitar la autocompletar mediante el siguiente comando:
echo "autoload -Uz compinit && compinit" >> ~/.zshrcEjecute los siguientes comandos para habilitar la autocompletar para Microsoft Defender para punto de conexión en macOS y reinicie la sesión de Terminal:
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
Directorio de cuarentena de Microsoft Defender para punto de conexión cliente
/Library/Application Support/Microsoft/Defender/quarantine/ contiene los archivos en cuarentena por mdatp. Los archivos se denominan después del id. de seguimiento de amenazas. El trackingIds actual se muestra con mdatp threat list.
información del portal de Microsoft Defender para punto de conexión
El blog de Microsoft Defender para punto de conexión, las funcionalidades de EDR para macOS ya han llegado, proporciona instrucciones detalladas sobre qué esperar.
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de