MacOS Microsoft Defender for Endpoint resurssit
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Diagnostiikkatietojen kerääminen
Jos voit toistaa ongelman, suurenna kirjaustasoa, suorita järjestelmä jonkin aikaa ja palauta sitten kirjaustaso oletusarvoon.
Lisää kirjaustasoa:
mdatp log level set --level debugLog level configured successfullyYritä toistaa ongelma.
Suorita
sudo mdatp diagnostic createMicrosoft Defender for Endpoint lokien varmuuskopioimiseksi. Tiedostot tallennetaan arkistoon.zip. Tämä komento tulostaa myös varmuuskopioinnin tiedostopolun toiminnon onnistuttua.Vihje
Diagnostiikkalokit tallennetaan oletusarvoisesti kohteeseen
/Library/Application Support/Microsoft/Defender/wdavdiag/. Jos haluat muuttaa diagnostiikkalokien tallennushakemistoa, siirry--path [directory]alla olevaan komentoon ja korvaa[directory]se halutulla hakemistolla.sudo mdatp diagnostic createDiagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"Palauta kirjaustaso.
mdatp log level set --level infoLog level configured successfully
Kirjataan asennusongelmia
Jos asennuksen aikana ilmenee virhe, asennusohjelma ilmoittaa vain yleisestä virheestä. Yksityiskohtainen loki tallennetaan kohteeseen /Library/Logs/Microsoft/mdatp/install.log. Jos asennuksen aikana ilmenee ongelmia, lähetä meille tämä tiedosto, kun avaat tukitapauksen, jotta voimme auttaa syyn diagnosoimisessa.
Lisätietoja asennusongelmien vianmäärityksestä on artikkelissa Microsoft Defender for Endpoint asennusongelmien vianmääritys macOS:ssä.
Määrittäminen komentoriviltä
Tuetut tulostetyypit
Tukee taulukko- ja JSON-muotoilutulostetyyppejä. Jokaisella komennolla on oletustulostetoiminta. Voit muokata tulosta haluamassasi tulostusmuodossa seuraavien komentojen avulla:
-output json
-output table
Tärkeät tehtävät, kuten tuoteasetusten hallinta ja pyydettäessä tehtävien tarkistusten käynnistäminen, voidaan tehdä komentorivillä:
| Ryhmä | Skenaario | Komento |
|---|---|---|
| Määritykset | Ota virustentorjunta käyttöön tai poista se käytöstä passiivitilassa | mdatp config passive-mode --value [enabled/disabled] |
| Määritykset | Reaaliaikaisen suojauksen ottaminen käyttöön tai poistaminen käytöstä | mdatp config real-time-protection --value [enabled/disabled] |
| Määritykset | Ota käyttöön tai poista käytöstä toiminnan valvonta | mdatp config behavior-monitoring --value [enabled/disabled] |
| Määritykset | Pilvisuojauksen ottaminen käyttöön tai poistaminen käytöstä | mdatp config cloud --value [enabled/disabled] |
| Määritykset | Tuotediagnostiikan ottaminen käyttöön tai poistaminen käytöstä | mdatp config cloud-diagnostic --value [enabled/disabled] |
| Määritykset | Ota käyttöön tai poista käytöstä automaattinen mallien lähettäminen | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
| Määritykset | Pua-suojauksen ottaminen käyttöön/valvonta/pois käytöstä | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
| Määritykset | Lisää tai poista prosessin virustentorjuntaa koskevat poikkeukset |
mdatp exclusion process [add/remove] --path [path-to-process]tai mdatp exclusion process [add\|remove] --name [process-name] |
| Määritykset | Lisää tai poista virustentorjuntaa koskevat poikkeukset tiedostolle | mdatp exclusion file [add/remove] --path [path-to-file] |
| Määritykset | Lisää tai poista hakemiston virustentorjuntaa koskevat poikkeukset | mdatp exclusion folder [add/remove] --path [path-to-directory] |
| Määritykset | Lisää tai poista virustentorjuntaohjelman poikkeus tiedostotunnistetta varten | mdatp exclusion extension [add/remove] --name [extension] |
| Määritykset | Luettele kaikki virustentorjunnan poikkeukset | mdatp exclusion list |
| Määritykset | Parallelismin määrittämisen aste pyydettäessä luotaville tarkistuksille | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Määritykset | Ota käyttöön tai poista käytöstä tarkistukset tietoturvatietojen päivitysten jälkeen | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Määritykset | Arkistoinnin tarkistuksen ottaminen käyttöön tai poistaminen käytöstä (vain pyydettäessä suoritettavat tarkistukset) | mdatp config scan-archives --value [enabled/disabled] |
| Määritykset | Tiedoston hajautusarvon laskemisen ottaminen käyttöön tai poistaminen käytöstä | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Suoja | Polun skannaaminen | mdatp scan custom --path [path] [--ignore-exclusions] |
| Suoja | Pikatarkistus | mdatp scan quick |
| Suoja | Tee täydellinen tarkistus | mdatp scan full |
| Suoja | Jatkuvan pyydettäessä suoritettavan tarkistuksen peruuttaminen | mdatp scan cancel |
| Suoja | Suojaustietojen päivityksen pyytäminen | mdatp definitions update |
| Määritykset | Uhkan nimen lisääminen sallittujen luetteloon | mdatp threat allowed add --name [threat-name] |
| Määritykset | Uhkan nimen poistaminen sallitun luettelon luettelosta | mdatp threat allowed remove --name [threat-name] |
| Määritykset | Luettele kaikki sallitut uhkien nimet | mdatp threat allowed list |
| Suojaushistoria | Tulosta koko suojaushistoria | mdatp threat list |
| Suojaushistoria | Hae uhkien tiedot | mdatp threat get --id [threat-id] |
| Karanteenin hallinta | Luetteloi kaikki karanteeniin asetetut tiedostot | mdatp threat quarantine list |
| Karanteenin hallinta | Poista kaikki tiedostot karanteenista | mdatp threat quarantine remove-all |
| Karanteenin hallinta | Lisää karanteeniin uhaksi tunnistettu tiedosto | mdatp threat quarantine add --id [threat-id] |
| Karanteenin hallinta | Uhkana havaitun tiedoston poistaminen karanteenista | mdatp threat quarantine remove --id [threat-id] |
| Karanteenin hallinta | Palauta tiedosto karanteenista. Käytettävissä Defender for Endpoint -versiossa ennen versiota 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Karanteenin hallinta | Palauta karanteenista tiedosto uhkatunnuksella. Käytettävissä Defender for Endpoint -versiossa 101.23092.0012 tai uudemmassa. | mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Karanteenin hallinta | Palauta karanteenista tiedosto Threat Original Path -polulla. Käytettävissä Defender for Endpoint -versiossa 101.23092.0012 tai uudemmassa. | mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Verkon suojauksen määritys | Verkon suojauksen täytäntöönpanotason määrittäminen | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
| Verkon suojauksen hallinta | Tarkista verkon suojauksen käynnistäminen | mdatp health --field network_protection_status |
| Laiteohjausobjektien hallinta | Onko laitehallinta käytössä ja mikä on oletusarvoinen pakotus? | mdatp device-control policy preferences list |
| Laiteohjausobjektien hallinta | Mikä laitteen hallintakäytäntö on käytössä? | mdatp device-control policy rules list |
| Laiteohjausobjektien hallinta | Mitkä laitteen hallinnan käytäntöryhmät ovat käytössä? | mdatp device-control policy groups list |
| Määritykset | Tietojen menetyksen estämisen ottaminen käyttöön tai poistaminen käytöstä | mdatp config data_loss_prevention --value [enabled/disabled] |
| Diagnostiikka | Lokitason muuttaminen | mdatp log level set --level [error/warning/info/verbose] |
| Diagnostiikka | Diagnostiikkalokien luominen | mdatp diagnostic create --path [directory] |
| Kunto | Tarkista tuotteen kunto | mdatp health |
| Kunto | Tarkista tietty tuotemäärite | mdatp health --field [attribute: healthy/licensed/engine_version...] |
| EDR | EDR-luettelon poikkeukset (pää) | mdatp edr exclusion list [processes|paths|extensions|all] |
| EDR | Määritä tai poista tunniste, vain GROUP-toimintoa tuetaan | mdatp edr tag set --name GROUP --value [name] |
| EDR | Ryhmän tunnisteen poistaminen laitteesta | mdatp edr tag remove --tag-name [name] |
| EDR | Lisää ryhmän tunnus | mdatp edr group-ids --group-id [group] |
Automaattisen täydennyksen ottaminen käyttöön
Jos haluat ottaa automaattisen täydennyksen käyttöön bashissa, suorita seuraava komento ja käynnistä Terminal-istunto uudelleen:
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
Automaattisen täydennyksen ottaminen käyttöön zsh:ssä:
Tarkista, onko automaattinen täydennys käytössä laitteessasi:
cat ~/.zshrc | grep autoloadJos edellä oleva komento ei tuota tulosteita, voit ottaa automaattisen täydennyksen käyttöön seuraavalla komennolla:
echo "autoload -Uz compinit && compinit" >> ~/.zshrcSuorita seuraavat komennot ottaaksesi automaattisen täydennyksen käyttöön Microsoft Defender for Endpoint macOS:ssä ja käynnistääksesi Terminal-istunnon uudelleen:
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
Client Microsoft Defender for Endpoint karanteenihakemisto
/Library/Application Support/Microsoft/Defender/quarantine/ sisältää kansiot, jotka on asetettu karanteeniin kohteen mukaan mdatp. Tiedostot nimetään uhkien seurantatunnuksen mukaan. Nykyiset trackingId-tunnuksen tulee olla näkyvissä .mdatp threat list
Poistetaan asennusta
MacOS:n Microsoft Defender for Endpoint voi poistaa usealla eri tavalla. Vaikka keskitetysti hallittu asennuksen poistaminen on käytettävissä JAMF:ssä, se ei ole vielä saatavilla Microsoft Intune.
Kaikki macOS Microsoft Defender for Endpoint asennuksen poistot edellyttävät seuraavia:
Luo laitetunniste, nimeä tunniste käytöstä poistettuna ja määritä se macOS:lle, jossa Microsoft Defender macOS:lle poistetaan.
Luo Laiteryhmä ja anna sille nimi (esim. poistettu macOS) ja määritä käyttäjäryhmä , jonka pitäisi nähdä ne.
Huomautus: Vaiheet 1 ja 2 ovat valinnaisia, jos et halua nähdä näitä laitteita, jotka poistetaan käytöstä "Laitevarastossa" 180 päivän ajan.
Poista Aseta asetukset -käytännöt, jotka sisältävät peukaloinnin suojauksen , tai manuaalisen määrityksen kautta.
Kunkin laitteen käytöstä poistaminen käytöstä muiden kuin Windows-laitteiden käytöstä poistoon.
MacOS-sovellusten Microsoft Defender for Endpoint asennuksen poistaminen
Poista laite ryhmästäjärjestelmän laajennuskäytäntöjä varten, jos niiden määrittämiseen on käytetty MDM:tä.
Vuorovaikutteisen asennuksen poistaminen
- Avaa Etsintäsovellukset>. Napsauta Microsoft Defender for Endpoint hiiren kakkospainikkeella ja valitse sitten Siirrä roskakoriin.
Komentoriviltä
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
JAMF Pron käyttäminen
Jos haluat poistaa Microsoft Defender for Endpoint macOS:ssä JAMF Pron avulla, lataa perehdytysprofiili.
Perehdyttämisprofiili tulee ladata palvelimeen ilman muutoksia ja asetustoimialueen nimeksi com.microsoft.wdav.atp.offboardingon asetettu , seuraavassa kuvassa esitetyllä tavalla:
Huomautus
Jos sinulla on ongelmia Defender for Endpointin asennuksen poistamisessa Macissa ja näet raporteissasi kohteen Microsoft Defender Päätepisteen suojauslaajennukselle, toimi seuraavasti:
- Asenna Microsoft Defender sovellus uudelleen.
- Vedä Microsoft Defender.approskakoriin.
- Suorita tämä komento:
sudo /Library/Application Support/Microsoft/Defender/uninstall/install_helper execute --path '/Library/Application Support/Microsoft/Defender/uninstall/uninstall' --args --post-uninstall-hook. - Käynnistä laite uudelleen.
Microsoft Defender portaali
Kun uhkia havaitaan, suojaustiimisi voi tarkastella tunnistuksia ja tarvittaessa ryhtyä toimiin laitteessa Microsoft Defender portaalissa (https://security.microsoft.com). Microsoft Defender yhdistää suojauksen, havaitsemisen, tutkinnan ja uhkiin vastaamisen keskitetyssä sijainnissa. Lisätietoja on seuraavissa resursseissa:
- Yleiskatsaus päätepisteiden tunnistamiseen ja vastaukseen
- Tech Community -blogi: MacOS:n EDR-ominaisuudet ovat nyt saapuneet
- Microsoft Defender portaalin yleiskatsaus
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.