Jaa

Vianmääritystilan käytön aloittaminen Microsoft Defender for Endpoint

  • Artikkeli

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Microsoft Defender for Endpoint vianmääritystilan avulla järjestelmänvalvojat voivat tehdä eri Microsoft Defender virustentorjuntaominaisuuksien vianmäärityksen, vaikka laitteita hallitaan organisaation käytännöillä. Jos esimerkiksi peukalointisuojaus on käytössä, tiettyjä asetuksia ei voi muokata tai poistaa käytöstä, mutta voit muokata näitä asetuksia tilapäisesti laitteen vianmääritystilan avulla.

Vianmääritystila on oletusarvoisesti poissa käytöstä ja edellyttää, että otat sen käyttöön laitteessa (ja/tai laiteryhmässä) rajoitetun ajan. Vianmääritystila on vain yritys -ominaisuus, ja se edellyttää Microsoft Defender portaalin käyttöä.

Vihje

  • Vianmääritystilan aikana voit käyttää PowerShell-komentoa Set-MPPreference -DisableTamperProtection $true Windows-laitteissa.
  • Voit tarkistaa peukaloinnin suojauksen tilan käyttämällä PowerShellin cmdlet-komentoa Get-MpComputerStatus . Etsi IsTamperProtected tulosluettelosta tai RealTimeProtectionEnabled. ( Tosi-arvo tarkoittaa, että peukalointisuojaus on käytössä.) .

Mitä on hyvä tietää ennen aloittamista?

Vianmääritystilan aikana voit käyttää PowerShell-komentoa Set-MPPreference -DisableTamperProtection $true tai asiakaskäyttöjärjestelmissä Tietoturvakeskus-sovellusta laitteen luvattoman suojauksen väliaikaiseen poistamiseen käytöstä ja tarvittavien määritysmuutosten tekemiseen.

  • Käytä vianmääritystilaa, jos haluat poistaa käytöstä tai muuttaa peukaloinnin suojausasetusta:

    • Microsoft Defender virustentorjunnan toiminnallisen vianmäärityksen /sovelluksen yhteensopivuuden (epätosi-positiiviset sovelluslohkot).

  • Paikalliset järjestelmänvalvojat, joilla on asianmukaiset oikeudet, voivat muuttaa yksittäisten päätepisteiden määrityksiä, jotka yleensä lukitaan käytännöllä. Laitteen ottaminen vianmääritystilaan voi olla hyödyllistä, kun Microsoft Defender virustentorjuntaohjelman suorituskyky- ja yhteensopivuusskenaarioita diagnosoidaan.

    • Paikalliset järjestelmänvalvojat eivät voi poistaa Microsoft Defender virustentorjuntaa käytöstä tai poistaa sen asennusta.

    • Paikalliset järjestelmänvalvojat voivat määrittää kaikki muut suojausasetukset Microsoft Defender virustentorjuntaohjelmistossa (esimerkiksi pilvisuojaus, peukalointisuojaus).

  • Järjestelmänvalvojilla, joilla on Suojausasetusten hallinta -oikeudet, on oikeus ottaa vianmääritystila käyttöön.

  • Microsoft Defender for Endpoint kerää lokeja ja tutkimustietoja koko vianmääritysprosessin ajan.

    • -määrityksestä MpPreference otetaan tilannevedos ennen vianmääritystilan alkamista.

    • Toinen tilannevedos otetaan juuri ennen vianmääritystilan vanhenemista.

    • Lisäksi kerätään toimintalokit kohteesta vianmääritystilan aikana.

    • Lokit ja tilannevedokset kerätään, ja ne ovat järjestelmänvalvojan käytettävissä laitteen sivun Kerää tutkimuspaketti -ominaisuuden avulla. Microsoft ei poista näitä tietoja laitteesta, ennen kuin järjestelmänvalvoja on kerännyt ne.

  • Järjestelmänvalvojat voivat myös tarkastella asetuksia, jotka tapahtuvat vianmääritystilan aikana Tapahtumienvalvonta itse laitteessa.

  • Vianmääritystila sammuu automaattisesti vanhentumisajan päätyttyä (se kestää neljä tuntia). Vanhentumisen jälkeen kaikki käytännöllä hallitut määritykset muunnetaan vain luku -tilaan ja palautetaan takaisin siihen, miten laite on määritetty, ennen kuin vianmääritystila otetaan käyttöön.

  • Voi kestää jopa 15 minuuttia siitä, kun komento lähetetään Microsoft Defender XDR siihen, kun se aktivoituu laitteessa.

  • Käyttäjälle lähetetään ilmoitukset, kun vianmääritystila alkaa ja vianmääritystila päättyy. Lisäksi lähetetään varoitus siitä, että vianmääritystila päättyy pian.

  • Vianmääritystilan alku ja loppu määritetään laitteen sivulla laitteen aikajanalla .

  • Voit tehdä kyselyn kaikkiin vianmääritystilan tapahtumiin kehittyneessä metsästyksessä.

Huomautus

Käytännön hallintamuutokset otetaan käyttöön laitteessa, kun se on aktiivisesti vianmääritystilassa. Muutokset eivät kuitenkaan astu voimaan, ennen kuin vianmääritystila vanhenee. Lisäksi Microsoft Defender virustentorjuntaympäristön päivityksiä ei käytetä Vianmääritys-tilassa. Käyttöympäristöpäivityksiä käytetään, kun vianmääritystila päättyy Windows Updateen.

Ennakkovaatimukset

  • Laite, jossa on käytössä Windows 10 (versio 19044.1618 tai uudempi), Windows 11, Windows Server 2019 tai Windows Server 2022.

    Lukukausi/Redstone Käyttöjärjestelmän versio Julkaisu
    21H2/SV1 >=22000.593 KB5011563: Microsoft Update -luettelo
    20H1/20H2/21H1 >=19042.1620
    >=19041.1620
    >=19043.1620    		 KB5011543: Microsoft Updaten luettelo
    Windows Server 2022 >=20348.617 KB5011558: Microsoft Update -luettelo
    Windows Server 2019 (RS5) >=17763.2746 KB5011551: Microsoft Update -luettelo

  • Vianmääritystila on käytettävissä myös koneissa, joissa on käytössä nykyaikainen, yhdistetty ratkaisu Windows Server 2012 R2:lle ja Windows Server 2016:lle. Ennen kuin käytät vianmääritystilaa, varmista, että kaikki seuraavat osat ovat ajan tasalla:

  • Jotta vianmääritystila voidaan ottaa käyttöön, Microsoft Defender for Endpoint on oltava vuokraajan rekisteröimä ja aktiivinen laitteessa.

  • Laitteessa on oltava käynnissä virustentorjuntaohjelman Microsoft Defender versio 4.18.2203 tai uudempi.

Ota vianmääritystila käyttöön

  1. Siirry Microsoft Defender portaaliin (https://security.microsoft.com) ja kirjaudu sisään.

  2. Siirry sen laitteen sivulle/tietokoneelle, jonka haluat ottaa käyttöön vianmääritystilassa. Valitse Ota vianmääritystila käyttöön. Sinulla on oltava suojausasetusten hallinta tietoturvakeskuksessa -oikeudet Microsoft Defender for Endpoint.

    Ota vianmääritystila käyttöön

Huomautus

Ota vianmääritystila käyttöön -vaihtoehto on käytettävissä kaikissa laitteissa, vaikka laite ei täyttäsi vianmääritystilan edellytyksiä.

  1. Vahvista, että haluat ottaa vianmääritystilan käyttöön laitteessa.

    Määritysikkuna

  2. Laitteen sivulla näkyy, että laite on nyt vianmääritystilassa.

    Laite on nyt vianmääritystilassa

Kehittyneet metsästyskyselyt

Seuraavassa on joitakin valmiita kehittyneen metsästyksen kyselyitä, jotka antavat sinulle näkyvyyden ympäristössäsi esiintyviin vianmääritystapahtumiin. Näiden kyselyiden avulla voit myös luoda tunnistussääntöjä ilmoitusten luomiseksi, kun laitteet ovat vianmääritystilassa.

Tietyn laitteen vianmääritystapahtumien hakeminen

Hae deviceId:n tai deviceNamen mukaan kommentoimalla vastaavat rivit.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Laitteet, jotka ovat tällä hetkellä vianmääritystilassa

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Vianmääritystilan esiintymien määrä laitteen mukaan

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Kokonaismäärä

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Vihje

Suorituskykyvihje Eri tekijöistä johtuen Microsoft Defender virustentorjuntaohjelma, kuten muutkin virustentorjuntaohjelmat, voivat aiheuttaa suorituskykyongelmia päätepistelaitteissa. Joissakin tapauksissa sinun on ehkä hienosäädettävä Microsoft Defender virustentorjuntaohjelman suorituskykyä näiden suorituskykyongelmien lievittämiseksi. Microsoftin Performance Analyzer on PowerShell-komentorivityökalu, joka auttaa määrittämään, mitkä tiedostot, tiedostopolut, prosessit ja tiedostotunnisteet saattavat aiheuttaa suorituskykyongelmia. esimerkkejä:

  • Tärkeimmät skannausaikaan vaikuttavat polut
  • Tärkeimmät tiedostot, jotka vaikuttavat tarkistusaikaan
  • Tärkeimmät prosessit, jotka vaikuttavat skannausaikaan
  • Suosituimmat tiedostotunnisteet, jotka vaikuttavat tarkistusaikaan
  • Yhdistelmät – esimerkiksi:
    • ylimmät tiedostot laajennusta kohti
    • ylimmät polut laajennusta kohti
    • parhaat prosessit polkua kohti
    • suosituimmat tarkistukset tiedostoa kohden
    • suosituimmat tarkistukset tiedostoa kohti prosessia kohti

Suorituskykyanalysaattorin avulla kerättyjen tietojen avulla voit arvioida suorituskykyongelmia ja ottaa käyttöön korjaustoimintoja. Katso: suorituskyvyn analysointi Microsoft Defender virustentorjuntaa varten.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.