Programación de exámenes con Microsoft Defender para punto de conexión en macOS

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2
• Microsoft 365 Defender

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Aunque puede iniciar un examen de amenazas en cualquier momento con Microsoft Defender para punto de conexión, su empresa podría beneficiarse de exámenes programados o programados. Por ejemplo, puede programar un examen para que se ejecute al principio de cada día laborable o semana.

Programación de un examen con el inicio

Puede crear una programación de examen mediante el demonio lanzado en un dispositivo macOS.

Para obtener más información sobre el formato de archivo .plist que se usa aquí, consulte Acerca de los archivos de lista de propiedades de información en el sitio web oficial para desarrolladores de Apple.

Programar un examen rápido

El código siguiente muestra el esquema que debe usar para programar un examen rápido.

1. Abra un editor de texto y use este ejemplo como guía para su propio archivo de examen programado.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
     "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
       <key>Label</key>
       <string>com.microsoft.wdav.schedquickscan</string>
       <key>ProgramArguments</key>
       <array>
           <string>sh</string>
           <string>-c</string>
           <string>/usr/local/bin/mdatp scan quick</string>
       </array>
       <key>RunAtLoad</key>
       <true/>
       <key>StartCalendarInterval</key>
       <dict>
           <key>Hour</key>
           <integer>2</integer>
           <key>Minute</key>
           <integer>0</integer>
           <key>Weekday</key>
           <integer>5</integer>
       </dict>
       <key>WorkingDirectory</key>
       <string>/usr/local/bin/</string>
   </dict>
   </plist>
   

2. Guarde el archivo como com.microsoft.wdav.schedquickscan.plist en el directorio /Library/LaunchDaemons.

Programar un examen completo

1. Abra un editor de texto y use este ejemplo para un examen completo.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
     "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
       <key>Label</key>
       <string>com.microsoft.wdav.schedfullscan</string>
       <key>ProgramArguments</key>
       <array>
           <string>sh</string>
           <string>-c</string>
           <string>/usr/local/bin/mdatp scan full</string>
       </array>
       <key>RunAtLoad</key>
       <true/>
       <key>StartCalendarInterval</key>
       <dict>
           <key>Hour</key>
           <integer>2</integer>
           <key>Minute</key>
           <integer>50</integer>
           <key>Weekday</key>
           <integer>5</integer>
       </dict>
       <key>WorkingDirectory</key>
       <string>/usr/local/bin/</string>
   </dict>
   </plist>
   

2. Guarde el archivo como com.microsoft.wdav.schedfullscan.plist en el directorio /Library/LaunchDaemons.

Carga del archivo

1. Abra terminal.

2. Escriba los siguientes comandos para cargar el archivo:

   chown root:wheel /Library/LaunchDaemons/com.microsoft.wdav.sched*
   chmod 644 /Library/LaunchDaemons/com.microsoft.wdav.sched*
   xattr -c /Library/LaunchDaemons/com.microsoft.wdav.sched*     
   launchctl load -w /Library/LaunchDaemons/<your file name.plist>
   

3. El examen programado se ejecutará en la fecha, hora y frecuencia definidas en la lista P. En los ejemplos anteriores, el examen se ejecuta a las 2:50 a.m. todos los viernes.

   • El Weekday valor de StartCalendarInterval usa un entero para indicar el quinto día de la semana o viernes. El intervalo está comprendido entre 1 y 7, con 7 representando el domingo.
   • El Day valor de StartCalendarInterval usa un entero para indicar el tercer día del mes. El intervalo está comprendido entre 1 y 31.
   • El Hour valor de StartCalendarInterval usa un entero para indicar la segunda hora del día. El intervalo está comprendido entre 0 y 23. El Minute valor de StartCalendarInterval usa un entero para indicar cincuenta minutos de la hora. El intervalo está comprendido entre 0 y 59.

Importante

Los agentes ejecutados con el inicio no se ejecutarán a la hora programada mientras el dispositivo esté inactivo. En su lugar, se ejecutarán una vez que el dispositivo se reanude del modo de suspensión.

Si el dispositivo está desactivado, el examen se ejecutará en la siguiente hora de examen programada.

Programar un examen con Intune

También puede programar exámenes con Microsoft Intune. El script de shell de runMDATPQuickScan.sh disponible en Scripts para Microsoft Defender para punto de conexión se conservará cuando el dispositivo se reanude del modo de suspensión.

Consulte Uso de scripts de shell en dispositivos macOS en Intune para obtener instrucciones más detalladas sobre cómo usar este script en la empresa.

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.