Resurssit
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Diagnostiikkatietojen kerääminen
Jos pystyt toistamaan ongelman, suurenna ensin kirjaustasoa, suorita järjestelmä jonkin aikaa ja palauta sitten kirjaustaso oletusarvoon.
Lisää kirjaustasoa:
mdatp log level set --level debugLog level configured successfullyYritä toistaa ongelma.
Varmuuskopioi Defender päätepisteen lokeja varten suorittamalla seuraava komento. Tiedostot tallennetaan .zip arkistoon.
sudo mdatp diagnostic createTämä komento tulostaa varmuuskopioinnin tiedostopolun myös toiminnon onnistuttua:
Diagnostic file created: <path to file>Palauta kirjaustaso:
mdatp log level set --level infoLog level configured successfully
Kirjaa asennusongelmat
Jos asennuksen aikana ilmenee virhe, asennusohjelma ilmoittaa vain yleisestä virheestä.
Yksityiskohtainen loki tallennetaan kohteeseen /var/log/microsoft/mdatp/install.log.
Jos asennuksen aikana ilmenee ongelmia, lähetä tämä tiedosto, jotta voimme auttaa syyn diagnosoinnissa.
Poista Defenderin asennus Linux-päätepisteelle
Defender for Endpointin voi poistaa Linuxissa useilla tavoilla. Jos käytät määritystyökalua, kuten Puppet, noudata määritystyökalun paketin asennuksen poisto-ohjeita.
Manuaalinen asennuksen poistaminen
-
sudo yum remove mdatpRHEL:lle ja varianteille (CentOS ja Oracle Linux). -
sudo zypper remove mdatpSLES-suodattimien ja varianttien osalta. -
sudo apt-get purge mdatpUbuntu- ja Debian-järjestelmissä. -
sudo dnf remove mdatpMarinerille
Määritä komentoriviltä
Tärkeät tehtävät, kuten tuoteasetusten hallinta ja pyydettäessä tehtävien tarkistusten käynnistäminen, voidaan tehdä komentoriviltä.
Yleiset asetukset
Komentorivityökalu tulostaa tuloksen oletusarvoisesti luettavaan muotoon. Lisäksi työkalu tukee tuloksen tulostamista JSON-muodossa, mikä on hyödyllistä automaatioskenaarioita varten. Jos haluat muuttaa tulosteen JSON-muotoon, välitä --output json mihin tahansa alla olevista komennoista.
Tuetut komennot
Seuraavassa taulukossa on luettelo komennoista yleisimpiin skenaarioihin. Suorita mdatp help päätteestä, niin näet luettelon kaikista tuetuista komennoista.
| Ryhmä | Skenaario | Komento |
|---|---|---|
| Määritykset | Reaaliaikaisen suojauksen ottaminen käyttöön tai poistaminen käytöstä | mdatp config real-time-protection --value [enabled\|disabled] |
| Määritykset | Ota käyttöön tai poista käytöstä toiminnan valvonta | mdatp config behavior-monitoring --value [enabled\|disabled] |
| Määritykset | Pilvisuojauksen ottaminen käyttöön tai poistaminen käytöstä | mdatp config cloud --value [enabled\|disabled] |
| Määritykset | Tuotediagnostiikan ottaminen käyttöön tai poistaminen käytöstä | mdatp config cloud-diagnostic --value [enabled\|disabled] |
| Määritykset | Ota käyttöön tai poista käytöstä automaattinen mallien lähettäminen | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
| Määritykset | Passiivisen AV-tilan ottaminen käyttöön tai poistaminen käytöstä | mdatp config passive-mode --value [enabled\|disabled] |
| Määritykset | Lisää tai poista virustentorjuntaohjelman poikkeus tiedostotunnistetta varten | mdatp exclusion extension [add\|remove] --name [extension] |
| Määritykset | Lisää tai poista virustentorjuntaa koskevat poikkeukset tiedostolle | mdatp exclusion file [add\|remove] --path [path-to-file] |
| Määritykset | Lisää tai poista hakemiston virustentorjuntaa koskevat poikkeukset | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
| Määritykset | Lisää tai poista prosessin virustentorjuntaa koskevat poikkeukset | mdatp exclusion process [add\|remove] --path [path-to-process] |
| Määritykset | Yleisen poikkeuksen lisääminen tiedostoon tai poistaminen tiedostosta | mdatp exclusion file [add\|remove] --path [path-to-file] --scope global |
| Määritykset | Yleisen poikkeuksen lisääminen tai poistaminen hakemistolle | mdatp exclusion folder [add\|remove] --path [path-to-directory] --scope global |
| Määritykset | Yleisen poikkeuksen lisääminen prosessille tai poistaminen prosessille | mdatp exclusion process [add\|remove] --path [path-to-process] --scope global |
| Määritykset | Luettele kaikki virustentorjunnan poikkeukset | mdatp exclusion list |
| Määritykset | Uhkan nimen lisääminen sallittujen luetteloon | mdatp threat allowed add --name [threat-name] |
| Määritykset | Uhkan nimen poistaminen sallitun luettelon luettelosta | mdatp threat allowed remove --name [threat-name] |
| Määritykset | Luettele kaikki sallitut uhkien nimet | mdatp threat allowed list |
| Määritykset | PUA-suojauksen ottaminen käyttöön | mdatp threat policy set --type potentially_unwanted_application --action block |
| Määritykset | Poista PUA-suojaus käytöstä | mdatp threat policy set --type potentially_unwanted_application --action off |
| Määritykset | Pua-suojauksen valvontatilan ottaminen käyttöön | mdatp threat policy set --type potentially_unwanted_application --action audit |
| Määritykset | Parallelismin määrittämisen aste pyydettäessä luotaville tarkistuksille | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Määritykset | Ota käyttöön tai poista käytöstä tarkistukset tietoturvatietojen päivitysten jälkeen | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Määritykset | Arkistoinnin tarkistuksen ottaminen käyttöön tai poistaminen käytöstä (vain pyydettäessä suoritettavat tarkistukset) | mdatp config scan-archives --value [enabled/disabled] |
| Määritykset | Tiedoston hajautusarvon laskemisen ottaminen käyttöön tai poistaminen käytöstä | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Diagnostiikka | Lokitason muuttaminen | mdatp log level set --level verbose [error|warning|info|verbose] |
| Diagnostiikka | Diagnostiikkalokien luominen | mdatp diagnostic create --path [directory] |
| Diagnostiikka | Säilytettyjen tuotelokien kokorajoitukset | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
| Kunto | Tarkista tuotteen kunto | mdatp health |
| Suoja | Polun skannaaminen | mdatp scan custom --path [path] [--ignore-exclusions] |
| Suoja | Pikatarkistus | mdatp scan quick |
| Suoja | Tee täydellinen tarkistus | mdatp scan full |
| Suoja | Jatkuvan pyydettäessä suoritettavan tarkistuksen peruuttaminen | mdatp scan cancel |
| Suoja | Suojaustietojen päivityksen pyytäminen | mdatp definitions update |
| Suoja | Palautuksen suojaustiedot alkuperäiseen oletusjoukkoon | mdatp definitions restore |
| Suojaushistoria | Tulosta koko suojaushistoria | mdatp threat list |
| Suojaushistoria | Hae uhkien tiedot | mdatp threat get --id [threat-id] |
| Karanteenin hallinta | Luetteloi kaikki karanteeniin asetetut tiedostot | mdatp threat quarantine list |
| Karanteenin hallinta | Poista kaikki tiedostot karanteenista | mdatp threat quarantine remove-all |
| Karanteenin hallinta | Lisää karanteeniin uhaksi tunnistettu tiedosto | mdatp threat quarantine add --id [threat-id] |
| Karanteenin hallinta | Uhkana havaitun tiedoston poistaminen karanteenista | mdatp threat quarantine remove --id [threat-id] |
| Karanteenin hallinta | Palauta tiedosto karanteenista. Käytettävissä Defender for Endpoint -versiossa, joka on pienempi kuin 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Karanteenin hallinta | Palauta karanteenista tiedosto uhkatunnuksella. Käytettävissä Defender for Endpoint -versiossa 101.23092.0012 tai uudemmissa versioissa. | mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Karanteenin hallinta | Palauta karanteenista tiedosto Threat Original Path -polulla. Käytettävissä Defender for Endpoint -versiossa 101.23092.0012 tai uudemmissa versioissa. | mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Päätepisteen tunnistaminen ja vastaus | Aikaisen esikatselun määrittäminen | mdatp edr early-preview [enabled\|disabled] |
| Päätepisteen tunnistaminen ja vastaus | Ryhmän tunnuksen määrittäminen | mdatp edr group-ids --group-id [group-id] |
| Päätepisteen tunnistaminen ja vastaus | Määritä /poista tunniste, vain GROUP tuettu |
mdatp edr tag set --name GROUP --value [tag] |
| Päätepisteen tunnistaminen ja vastaus | Poissulkevat luettelot (pääkansio) | mdatp edr exclusion list [processes|paths|extensions|all] |
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.