Lue englanniksi

Jaa


MacOS Microsoft Defender for Endpoint resurssit

Koskee seuraavia:

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Diagnostiikkatietojen kerääminen

Jos voit toistaa ongelman, suurenna kirjaustasoa, suorita järjestelmä jonkin aikaa ja palauta sitten kirjaustaso oletusarvoon.

  1. Lisää kirjaustasoa:

    mdatp log level set --level debug
    
    Log level configured successfully
    
  2. Yritä toistaa ongelma.

  3. Suorita sudo mdatp diagnostic create Microsoft Defender for Endpoint lokien varmuuskopioimiseksi. Tiedostot tallennetaan arkistoon .zip . Tämä komento tulostaa myös varmuuskopioinnin tiedostopolun toiminnon onnistuttua.

    Vihje

    Diagnostiikkalokit tallennetaan oletusarvoisesti kohteeseen /Library/Application Support/Microsoft/Defender/wdavdiag/. Jos haluat muuttaa diagnostiikkalokien tallennushakemistoa, siirry --path [directory] alla olevaan komentoon ja korvaa [directory] se halutulla hakemistolla.

    sudo mdatp diagnostic create
    
    Diagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"
    
  4. Palauta kirjaustaso.

    mdatp log level set --level info
    
    Log level configured successfully
    

Kirjataan asennusongelmia

Jos asennuksen aikana ilmenee virhe, asennusohjelma ilmoittaa vain yleisestä virheestä. Yksityiskohtainen loki tallennetaan kohteeseen /Library/Logs/Microsoft/mdatp/install.log. Jos asennuksen aikana ilmenee ongelmia, lähetä meille tämä tiedosto, kun avaat tukitapauksen, jotta voimme auttaa syyn diagnosoimisessa.

Lisätietoja asennusongelmien vianmäärityksestä on artikkelissa Microsoft Defender for Endpoint asennusongelmien vianmääritys macOS:ssä.

Määrittäminen komentoriviltä

Tuetut tulostetyypit

Tukee taulukko- ja JSON-muotoilutulostetyyppejä. Jokaisella komennolla on oletustulostetoiminta. Voit muokata tulosta haluamassasi tulostusmuodossa seuraavien komentojen avulla:

-output json

-output table

Tärkeät tehtävät, kuten tuoteasetusten hallinta ja pyydettäessä tehtävien tarkistusten käynnistäminen, voidaan tehdä komentorivillä:

Ryhmä Skenaario Komento
Määritykset Ota virustentorjunta käyttöön tai poista se käytöstä passiivitilassa mdatp config passive-mode --value [enabled/disabled]
Määritykset Reaaliaikaisen suojauksen ottaminen käyttöön tai poistaminen käytöstä mdatp config real-time-protection --value [enabled/disabled]
Määritykset Ota käyttöön tai poista käytöstä toiminnan valvonta mdatp config behavior-monitoring --value [enabled/disabled]
Määritykset Pilvisuojauksen ottaminen käyttöön tai poistaminen käytöstä mdatp config cloud --value [enabled/disabled]
Määritykset Tuotediagnostiikan ottaminen käyttöön tai poistaminen käytöstä mdatp config cloud-diagnostic --value [enabled/disabled]
Määritykset Ota käyttöön tai poista käytöstä automaattinen mallien lähettäminen mdatp config cloud-automatic-sample-submission --value [enabled/disabled]
Määritykset Pua-suojauksen ottaminen käyttöön/valvonta/pois käytöstä mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off
Määritykset Lisää tai poista prosessin virustentorjuntaa koskevat poikkeukset mdatp exclusion process [add/remove] --path [path-to-process]tai mdatp exclusion process [add\|remove] --name [process-name]
Määritykset Lisää tai poista virustentorjuntaa koskevat poikkeukset tiedostolle mdatp exclusion file [add/remove] --path [path-to-file]
Määritykset Lisää tai poista hakemiston virustentorjuntaa koskevat poikkeukset mdatp exclusion folder [add/remove] --path [path-to-directory]
Määritykset Lisää tai poista virustentorjuntaohjelman poikkeus tiedostotunnistetta varten mdatp exclusion extension [add/remove] --name [extension]
Määritykset Luettele kaikki virustentorjunnan poikkeukset mdatp exclusion list
Määritykset Parallelismin määrittämisen aste pyydettäessä luotaville tarkistuksille mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]
Määritykset Ota käyttöön tai poista käytöstä tarkistukset tietoturvatietojen päivitysten jälkeen mdatp config scan-after-definition-update --value [enabled/disabled]
Määritykset Arkistoinnin tarkistuksen ottaminen käyttöön tai poistaminen käytöstä (vain pyydettäessä suoritettavat tarkistukset) mdatp config scan-archives --value [enabled/disabled]
Määritykset Tiedoston hajautusarvon laskemisen ottaminen käyttöön tai poistaminen käytöstä mdatp config enable-file-hash-computation --value [enabled/disabled]
Suoja Polun skannaaminen mdatp scan custom --path [path] [--ignore-exclusions]
Suoja Pikatarkistus mdatp scan quick
Suoja Tee täydellinen tarkistus mdatp scan full
Suoja Jatkuvan pyydettäessä suoritettavan tarkistuksen peruuttaminen mdatp scan cancel
Suoja Suojaustietojen päivityksen pyytäminen mdatp definitions update
Määritykset Uhkan nimen lisääminen sallittujen luetteloon mdatp threat allowed add --name [threat-name]
Määritykset Uhkan nimen poistaminen sallitun luettelon luettelosta mdatp threat allowed remove --name [threat-name]
Määritykset Luettele kaikki sallitut uhkien nimet mdatp threat allowed list
Suojaushistoria Tulosta koko suojaushistoria mdatp threat list
Suojaushistoria Hae uhkien tiedot mdatp threat get --id [threat-id]
Karanteenin hallinta Luetteloi kaikki karanteeniin asetetut tiedostot mdatp threat quarantine list
Karanteenin hallinta Poista kaikki tiedostot karanteenista mdatp threat quarantine remove-all
Karanteenin hallinta Lisää karanteeniin uhaksi tunnistettu tiedosto mdatp threat quarantine add --id [threat-id]
Karanteenin hallinta Uhkana havaitun tiedoston poistaminen karanteenista mdatp threat quarantine remove --id [threat-id]
Karanteenin hallinta Palauta tiedosto karanteenista. Käytettävissä Defender for Endpoint -versiossa ennen versiota 101.23092.0012. mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
Karanteenin hallinta Palauta karanteenista tiedosto uhkatunnuksella. Käytettävissä Defender for Endpoint -versiossa 101.23092.0012 tai uudemmassa. mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder]
Karanteenin hallinta Palauta karanteenista tiedosto Threat Original Path -polulla. Käytettävissä Defender for Endpoint -versiossa 101.23092.0012 tai uudemmassa. mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder]
Verkon suojauksen määritys Verkon suojauksen täytäntöönpanotason määrittäminen mdatp config network-protection enforcement-level --value [Block/Audit/Disabled]
Verkon suojauksen hallinta Tarkista verkon suojauksen käynnistäminen mdatp health --field network_protection_status
Laiteohjausobjektien hallinta Onko laitehallinta käytössä ja mikä on oletusarvoinen pakotus? mdatp device-control policy preferences list
Laiteohjausobjektien hallinta Mikä laitteen hallintakäytäntö on käytössä? mdatp device-control policy rules list
Laiteohjausobjektien hallinta Mitkä laitteen hallinnan käytäntöryhmät ovat käytössä? mdatp device-control policy groups list
Määritykset Tietojen menetyksen estämisen ottaminen käyttöön tai poistaminen käytöstä mdatp config data_loss_prevention --value [enabled/disabled]
Diagnostiikka Lokitason muuttaminen mdatp log level set --level [error/warning/info/verbose]
Diagnostiikka Diagnostiikkalokien luominen mdatp diagnostic create --path [directory]
Kunto Tarkista tuotteen kunto mdatp health
Kunto Tarkista tietty tuotemäärite mdatp health --field [attribute: healthy/licensed/engine_version...]
EDR EDR-luettelon poikkeukset (pää) mdatp edr exclusion list [processes|paths|extensions|all]
EDR Määritä tai poista tunniste, vain GROUP-toimintoa tuetaan mdatp edr tag set --name GROUP --value [name]
EDR Ryhmän tunnisteen poistaminen laitteesta mdatp edr tag remove --tag-name [name]
EDR Lisää ryhmän tunnus mdatp edr group-ids --group-id [group]

Automaattisen täydennyksen ottaminen käyttöön

Jos haluat ottaa automaattisen täydennyksen käyttöön bashissa, suorita seuraava komento ja käynnistä Terminal-istunto uudelleen:

echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile

Automaattisen täydennyksen ottaminen käyttöön zsh:ssä:

  • Tarkista, onko automaattinen täydennys käytössä laitteessasi:

    cat ~/.zshrc | grep autoload
    
  • Jos edellä oleva komento ei tuota tulosteita, voit ottaa automaattisen täydennyksen käyttöön seuraavalla komennolla:

    echo "autoload -Uz compinit && compinit" >> ~/.zshrc
    
  • Suorita seuraavat komennot ottaaksesi automaattisen täydennyksen käyttöön Microsoft Defender for Endpoint macOS:ssä ja käynnistääksesi Terminal-istunnon uudelleen:

    sudo mkdir -p /usr/local/share/zsh/site-functions
    
    sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
    

Client Microsoft Defender for Endpoint karanteenihakemisto

/Library/Application Support/Microsoft/Defender/quarantine/ sisältää kansiot, jotka on asetettu karanteeniin kohteen mukaan mdatp. Tiedostot nimetään uhkien seurantatunnuksen mukaan. Nykyiset trackingId-tunnuksen tulee olla näkyvissä .mdatp threat list

Poistetaan asennusta

MacOS:n Microsoft Defender for Endpoint voi poistaa usealla eri tavalla. Vaikka keskitetysti hallittu asennuksen poistaminen on käytettävissä JAMF:ssä, se ei ole vielä saatavilla Microsoft Intune.

Kaikki macOS Microsoft Defender for Endpoint asennuksen poistot edellyttävät seuraavia:

  1. Luo laitetunniste, nimeä tunniste käytöstä poistettuna ja määritä se macOS:lle, jossa Microsoft Defender macOS:lle poistetaan.

  2. Luo Laiteryhmä ja anna sille nimi (esim. poistettu macOS) ja määritä käyttäjäryhmä , jonka pitäisi nähdä ne.

    Huomautus: Vaiheet 1 ja 2 ovat valinnaisia, jos et halua nähdä näitä laitteita, jotka poistetaan käytöstä "Laitevarastossa" 180 päivän ajan.

  3. Poista Aseta asetukset -käytännöt, jotka sisältävät peukaloinnin suojauksen , tai manuaalisen määrityksen kautta.

  4. Kunkin laitteen käytöstä poistaminen käytöstä muiden kuin Windows-laitteiden käytöstä poistoon.

  5. MacOS-sovellusten Microsoft Defender for Endpoint asennuksen poistaminen

  6. Poista laite ryhmästäjärjestelmän laajennuskäytäntöjä varten, jos niiden määrittämiseen on käytetty MDM:tä.

Vuorovaikutteisen asennuksen poistaminen

  • Avaa Etsintäsovellukset>. Napsauta Microsoft Defender for Endpoint hiiren kakkospainikkeella ja valitse sitten Siirrä roskakoriin.

Komentoriviltä

  • sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'

JAMF Pron käyttäminen

Jos haluat poistaa Microsoft Defender for Endpoint macOS:ssä JAMF Pron avulla, lataa perehdytysprofiili.

Perehdyttämisprofiili tulee ladata palvelimeen ilman muutoksia ja asetustoimialueen nimeksi com.microsoft.wdav.atp.offboardingon asetettu , seuraavassa kuvassa esitetyllä tavalla:

Näyttökuva JAMF:n käytöstä poistonäytöstä

Huomautus

Jos sinulla on ongelmia Defender for Endpointin asennuksen poistamisessa Macissa ja näet raporteissasi kohteen Microsoft Defender Päätepisteen suojauslaajennukselle, toimi seuraavasti:

  1. Asenna Microsoft Defender sovellus uudelleen.
  2. Vedä Microsoft Defender.approskakoriin.
  3. Suorita tämä komento: sudo /Library/Application Support/Microsoft/Defender/uninstall/install_helper execute --path '/Library/Application Support/Microsoft/Defender/uninstall/uninstall' --args --post-uninstall-hook.
  4. Käynnistä laite uudelleen.

Microsoft Defender portaali

Kun uhkia havaitaan, suojaustiimisi voi tarkastella tunnistuksia ja tarvittaessa ryhtyä toimiin laitteessa Microsoft Defender portaalissa (https://security.microsoft.com). Microsoft Defender yhdistää suojauksen, havaitsemisen, tutkinnan ja uhkiin vastaamisen keskitetyssä sijainnissa. Lisätietoja on seuraavissa resursseissa:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.