MacOS Microsoft Defender for Endpoint resurssit
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Jos voit toistaa ongelman, suurenna kirjaustasoa, suorita järjestelmä jonkin aikaa ja palauta sitten kirjaustaso oletusarvoon.
Lisää kirjaustasoa:
mdatp log level set --level debug
Log level configured successfully
Yritä toistaa ongelma.
Suorita
sudo mdatp diagnostic create
Microsoft Defender for Endpoint lokien varmuuskopioimiseksi. Tiedostot tallennetaan arkistoon.zip
. Tämä komento tulostaa myös varmuuskopioinnin tiedostopolun toiminnon onnistuttua.Vihje
Diagnostiikkalokit tallennetaan oletusarvoisesti kohteeseen
/Library/Application Support/Microsoft/Defender/wdavdiag/
. Jos haluat muuttaa diagnostiikkalokien tallennushakemistoa, siirry--path [directory]
alla olevaan komentoon ja korvaa[directory]
se halutulla hakemistolla.sudo mdatp diagnostic create
Diagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"
Palauta kirjaustaso.
mdatp log level set --level info
Log level configured successfully
Jos asennuksen aikana ilmenee virhe, asennusohjelma ilmoittaa vain yleisestä virheestä. Yksityiskohtainen loki tallennetaan kohteeseen /Library/Logs/Microsoft/mdatp/install.log
. Jos asennuksen aikana ilmenee ongelmia, lähetä meille tämä tiedosto, kun avaat tukitapauksen, jotta voimme auttaa syyn diagnosoimisessa.
Lisätietoja asennusongelmien vianmäärityksestä on artikkelissa Microsoft Defender for Endpoint asennusongelmien vianmääritys macOS:ssä.
Tukee taulukko- ja JSON-muotoilutulostetyyppejä. Jokaisella komennolla on oletustulostetoiminta. Voit muokata tulosta haluamassasi tulostusmuodossa seuraavien komentojen avulla:
-output json
-output table
Tärkeät tehtävät, kuten tuoteasetusten hallinta ja pyydettäessä tehtävien tarkistusten käynnistäminen, voidaan tehdä komentorivillä:
Ryhmä | Skenaario | Komento |
---|---|---|
Määritykset | Ota virustentorjunta käyttöön tai poista se käytöstä passiivitilassa | mdatp config passive-mode --value [enabled/disabled] |
Määritykset | Reaaliaikaisen suojauksen ottaminen käyttöön tai poistaminen käytöstä | mdatp config real-time-protection --value [enabled/disabled] |
Määritykset | Ota käyttöön tai poista käytöstä toiminnan valvonta | mdatp config behavior-monitoring --value [enabled/disabled] |
Määritykset | Pilvisuojauksen ottaminen käyttöön tai poistaminen käytöstä | mdatp config cloud --value [enabled/disabled] |
Määritykset | Tuotediagnostiikan ottaminen käyttöön tai poistaminen käytöstä | mdatp config cloud-diagnostic --value [enabled/disabled] |
Määritykset | Ota käyttöön tai poista käytöstä automaattinen mallien lähettäminen | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
Määritykset | Pua-suojauksen ottaminen käyttöön/valvonta/pois käytöstä | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
Määritykset | Lisää tai poista prosessin virustentorjuntaa koskevat poikkeukset |
mdatp exclusion process [add/remove] --path [path-to-process] tai mdatp exclusion process [add\|remove] --name [process-name] |
Määritykset | Lisää tai poista virustentorjuntaa koskevat poikkeukset tiedostolle | mdatp exclusion file [add/remove] --path [path-to-file] |
Määritykset | Lisää tai poista hakemiston virustentorjuntaa koskevat poikkeukset | mdatp exclusion folder [add/remove] --path [path-to-directory] |
Määritykset | Lisää tai poista virustentorjuntaohjelman poikkeus tiedostotunnistetta varten | mdatp exclusion extension [add/remove] --name [extension] |
Määritykset | Luettele kaikki virustentorjunnan poikkeukset | mdatp exclusion list |
Määritykset | Parallelismin määrittämisen aste pyydettäessä luotaville tarkistuksille | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
Määritykset | Ota käyttöön tai poista käytöstä tarkistukset tietoturvatietojen päivitysten jälkeen | mdatp config scan-after-definition-update --value [enabled/disabled] |
Määritykset | Arkistoinnin tarkistuksen ottaminen käyttöön tai poistaminen käytöstä (vain pyydettäessä suoritettavat tarkistukset) | mdatp config scan-archives --value [enabled/disabled] |
Määritykset | Tiedoston hajautusarvon laskemisen ottaminen käyttöön tai poistaminen käytöstä | mdatp config enable-file-hash-computation --value [enabled/disabled] |
Suoja | Polun skannaaminen | mdatp scan custom --path [path] [--ignore-exclusions] |
Suoja | Pikatarkistus | mdatp scan quick |
Suoja | Tee täydellinen tarkistus | mdatp scan full |
Suoja | Jatkuvan pyydettäessä suoritettavan tarkistuksen peruuttaminen | mdatp scan cancel |
Suoja | Suojaustietojen päivityksen pyytäminen | mdatp definitions update |
Määritykset | Uhkan nimen lisääminen sallittujen luetteloon | mdatp threat allowed add --name [threat-name] |
Määritykset | Uhkan nimen poistaminen sallitun luettelon luettelosta | mdatp threat allowed remove --name [threat-name] |
Määritykset | Luettele kaikki sallitut uhkien nimet | mdatp threat allowed list |
Suojaushistoria | Tulosta koko suojaushistoria | mdatp threat list |
Suojaushistoria | Hae uhkien tiedot | mdatp threat get --id [threat-id] |
Karanteenin hallinta | Luetteloi kaikki karanteeniin asetetut tiedostot | mdatp threat quarantine list |
Karanteenin hallinta | Poista kaikki tiedostot karanteenista | mdatp threat quarantine remove-all |
Karanteenin hallinta | Lisää karanteeniin uhaksi tunnistettu tiedosto | mdatp threat quarantine add --id [threat-id] |
Karanteenin hallinta | Uhkana havaitun tiedoston poistaminen karanteenista | mdatp threat quarantine remove --id [threat-id] |
Karanteenin hallinta | Palauta tiedosto karanteenista. Käytettävissä Defender for Endpoint -versiossa ennen versiota 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
Karanteenin hallinta | Palauta karanteenista tiedosto uhkatunnuksella. Käytettävissä Defender for Endpoint -versiossa 101.23092.0012 tai uudemmassa. | mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder] |
Karanteenin hallinta | Palauta karanteenista tiedosto Threat Original Path -polulla. Käytettävissä Defender for Endpoint -versiossa 101.23092.0012 tai uudemmassa. | mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
Verkon suojauksen määritys | Verkon suojauksen täytäntöönpanotason määrittäminen | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
Verkon suojauksen hallinta | Tarkista verkon suojauksen käynnistäminen | mdatp health --field network_protection_status |
Laiteohjausobjektien hallinta | Onko laitehallinta käytössä ja mikä on oletusarvoinen pakotus? | mdatp device-control policy preferences list |
Laiteohjausobjektien hallinta | Mikä laitteen hallintakäytäntö on käytössä? | mdatp device-control policy rules list |
Laiteohjausobjektien hallinta | Mitkä laitteen hallinnan käytäntöryhmät ovat käytössä? | mdatp device-control policy groups list |
Määritykset | Tietojen menetyksen estämisen ottaminen käyttöön tai poistaminen käytöstä | mdatp config data_loss_prevention --value [enabled/disabled] |
Diagnostiikka | Lokitason muuttaminen | mdatp log level set --level [error/warning/info/verbose] |
Diagnostiikka | Diagnostiikkalokien luominen | mdatp diagnostic create --path [directory] |
Kunto | Tarkista tuotteen kunto | mdatp health |
Kunto | Tarkista tietty tuotemäärite | mdatp health --field [attribute: healthy/licensed/engine_version...] |
EDR | EDR-luettelon poikkeukset (pää) | mdatp edr exclusion list [processes|paths|extensions|all] |
EDR | Määritä tai poista tunniste, vain GROUP-toimintoa tuetaan | mdatp edr tag set --name GROUP --value [name] |
EDR | Ryhmän tunnisteen poistaminen laitteesta | mdatp edr tag remove --tag-name [name] |
EDR | Lisää ryhmän tunnus | mdatp edr group-ids --group-id [group] |
Jos haluat ottaa automaattisen täydennyksen käyttöön bashissa, suorita seuraava komento ja käynnistä Terminal-istunto uudelleen:
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
Automaattisen täydennyksen ottaminen käyttöön zsh:ssä:
Tarkista, onko automaattinen täydennys käytössä laitteessasi:
cat ~/.zshrc | grep autoload
Jos edellä oleva komento ei tuota tulosteita, voit ottaa automaattisen täydennyksen käyttöön seuraavalla komennolla:
echo "autoload -Uz compinit && compinit" >> ~/.zshrc
Suorita seuraavat komennot ottaaksesi automaattisen täydennyksen käyttöön Microsoft Defender for Endpoint macOS:ssä ja käynnistääksesi Terminal-istunnon uudelleen:
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
/Library/Application Support/Microsoft/Defender/quarantine/
sisältää kansiot, jotka on asetettu karanteeniin kohteen mukaan mdatp
. Tiedostot nimetään uhkien seurantatunnuksen mukaan. Nykyiset trackingId-tunnuksen tulee olla näkyvissä .mdatp threat list
MacOS:n Microsoft Defender for Endpoint voi poistaa usealla eri tavalla. Vaikka keskitetysti hallittu asennuksen poistaminen on käytettävissä JAMF:ssä, se ei ole vielä saatavilla Microsoft Intune.
Kaikki macOS Microsoft Defender for Endpoint asennuksen poistot edellyttävät seuraavia:
Luo laitetunniste, nimeä tunniste käytöstä poistettuna ja määritä se macOS:lle, jossa Microsoft Defender macOS:lle poistetaan.
Luo Laiteryhmä ja anna sille nimi (esim. poistettu macOS) ja määritä käyttäjäryhmä , jonka pitäisi nähdä ne.
Huomautus: Vaiheet 1 ja 2 ovat valinnaisia, jos et halua nähdä näitä laitteita, jotka poistetaan käytöstä "Laitevarastossa" 180 päivän ajan.
Poista Aseta asetukset -käytännöt, jotka sisältävät peukaloinnin suojauksen , tai manuaalisen määrityksen kautta.
Kunkin laitteen käytöstä poistaminen käytöstä muiden kuin Windows-laitteiden käytöstä poistoon.
MacOS-sovellusten Microsoft Defender for Endpoint asennuksen poistaminen
Poista laite ryhmästäjärjestelmän laajennuskäytäntöjä varten, jos niiden määrittämiseen on käytetty MDM:tä.
- Avaa Etsintäsovellukset>. Napsauta Microsoft Defender for Endpoint hiiren kakkospainikkeella ja valitse sitten Siirrä roskakoriin.
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
Jos haluat poistaa Microsoft Defender for Endpoint macOS:ssä JAMF Pron avulla, lataa perehdytysprofiili.
Perehdyttämisprofiili tulee ladata palvelimeen ilman muutoksia ja asetustoimialueen nimeksi com.microsoft.wdav.atp.offboarding
on asetettu , seuraavassa kuvassa esitetyllä tavalla:
Huomautus
Jos sinulla on ongelmia Defender for Endpointin asennuksen poistamisessa Macissa ja näet raporteissasi kohteen Microsoft Defender Päätepisteen suojauslaajennukselle, toimi seuraavasti:
- Asenna Microsoft Defender sovellus uudelleen.
- Vedä Microsoft Defender.approskakoriin.
- Suorita tämä komento:
sudo /Library/Application Support/Microsoft/Defender/uninstall/install_helper execute --path '/Library/Application Support/Microsoft/Defender/uninstall/uninstall' --args --post-uninstall-hook
. - Käynnistä laite uudelleen.
Kun uhkia havaitaan, suojaustiimisi voi tarkastella tunnistuksia ja tarvittaessa ryhtyä toimiin laitteessa Microsoft Defender portaalissa (https://security.microsoft.com). Microsoft Defender yhdistää suojauksen, havaitsemisen, tutkinnan ja uhkiin vastaamisen keskitetyssä sijainnissa. Lisätietoja on seuraavissa resursseissa:
- Yleiskatsaus päätepisteiden tunnistamiseen ja vastaukseen
- Tech Community -blogi: MacOS:n EDR-ominaisuudet ovat nyt saapuneet
- Microsoft Defender portaalin yleiskatsaus
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.