Vianmääritystilan käytön aloittaminen Microsoft Defender for Endpoint

Koskee seuraavia:

• Microsoft Defender for Endpoint

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Microsoft Defender for Endpoint vianmääritystilan avulla voit tehdä eri Microsoft Defender virustentorjuntaominaisuuksien vianmäärityksen ottamalla ne käyttöön laitteessa ja testaamalla eri skenaarioita, vaikka niitä ohjaisiin organisaatiokäytännöllä. Vianmääritystila on oletusarvoisesti poissa käytöstä ja edellyttää, että otat sen käyttöön laitteessa (ja/tai laiteryhmässä) rajoitetun ajan. Huomaa, että tämä on vain Enterprise -ominaisuus ja edellyttää Microsoft 365 Defender käyttöoikeutta.

Mitä on hyvä tietää ennen aloittamista?

Vianmääritystilan aikana voit käyttää PowerShell-komentoa Set-MPPreference -DisableTamperProtection $true tai asiakaskäyttöjärjestelmissä Tietoturvakeskus-sovellusta laitteen luvattoman suojauksen väliaikaiseen poistamiseen käytöstä ja tarvittavien määritysmuutosten tekemiseen.

• Käytä vianmääritystilaa, jos haluat poistaa käytöstä tai muuttaa peukaloinnin suojausasetusta:

  • Microsoft Defender virustentorjunnan toiminnallisen vianmäärityksen /sovelluksen yhteensopivuuden (epätosi-positiiviset sovelluslohkot).
  • Microsoft Defender virustentorjunnan suorituskyvyn vianmääritystä vianmääritystilan avulla sekä muokkaamalla peukaloinnin suojausta ja muita virustentorjunta-asetuksia.

• Jos peukalointitapahtuma tapahtuu (esimerkiksi MpPreference tilannevedosta muutetaan tai poistetaan), vianmääritystila päättyy ja peukalointisuojaus otetaan käyttöön laitteessa.

• Paikalliset järjestelmänvalvojat, joilla on asianmukaiset oikeudet, voivat muuttaa yksittäisten päätepisteiden määrityksiä, jotka yleensä lukitaan käytännöllä. Laitteen ottaminen vianmääritystilaan voi olla hyödyllistä, kun Microsoft Defender virustentorjuntaohjelman suorituskyky- ja yhteensopivuusskenaarioita diagnosoidaan.

  • Paikalliset järjestelmänvalvojat eivät voi poistaa Microsoft Defender virustentorjuntaa käytöstä tai poistaa sen asennusta.
  • Paikalliset järjestelmänvalvojat voivat määrittää kaikki muut suojausasetukset Microsoft Defender virustentorjuntaohjelmistossa (esimerkiksi pilvisuojaus, peukalointisuojaus).

• Järjestelmänvalvojilla, joilla on Suojausasetusten hallinta -käyttöoikeudet, on oikeus ottaa vianmääritystila käyttöön.

• Microsoft Defender for Endpoint kerää lokeja ja tutkimustietoja koko vianmääritysprosessin ajan.

  • Tilannevedos MpPreference otetaan ennen vianmääritystilan alkamista.

  • Toinen tilannevedos otetaan juuri ennen vianmääritystilan vanhenemista.

  • Lisäksi kerätään toimintalokit kohteesta vianmääritystilan aikana.

  • Kaikki yllä olevat lokit ja tilannevedokset kerätään, ja järjestelmänvalvoja voi kerätä ne laitteen sivun Kerää tutkimuspaketti -ominaisuuden avulla. Huomaa, että Microsoft ei poista näitä tietoja laitteesta, ennen kuin järjestelmänvalvoja kerää ne.

• Järjestelmänvalvojat voivat myös tarkastella asetuksiin tehtyjä muutoksia, jotka tapahtuvat vianmääritystilan aikana Tapahtumienvalvonta laitteen sivulla.

• Vianmääritystila sammuu automaattisesti vanhentumisajan päätyttyä (se kestää 3 tuntia). Kun käytäntö on vanhentunut, kaikki käytännöllä hallitut määritykset palautetaan vain luku -tilaan, ja ne palautuvat aiempaan tapaan, ennen kuin vianmääritystila otetaan käyttöön.

• Komennon lähettämiseen Microsoft 365 Defender voi kulua jopa 15 minuuttia siihen, kun se aktivoituu laitteessa.

• Loppukäyttäjälle lähetetään ilmoitus, kun vianmääritystila alkaa ja kun vianmääritystila päättyy. Saat myös varoituksen, joka ilmoittaa, että se päättyy pian.

• Vianmääritystilan alku ja loppu määritetään laitteen sivulla laitteen aikajanalla .

• Voit tehdä kyselyn kaikkiin vianmääritystilan tapahtumiin kehittyneessä metsästyksessä.

Huomautus

Käytännön hallinnan muutokset otetaan käyttöön laitteessa, kun se on aktiivisesti vianmääritystilassa. Muutokset eivät kuitenkaan tule voimaan, ennen kuin vianmääritystila vanhenee. Lisäksi Microsoft Defender Virustentorjuntaympäristön päivityksiä ei käytetä Vianmääritys-tilassa. Käyttöympäristöpäivitykset otetaan käyttöön, kun vianmääritystila päättyy Windows Updateen.

Ennakkovaatimukset

• Laite, jossa on käytössä Windows 10 (versio 19044.1618 tai uudempi), Windows 11, Windows Server 2019 tai Windows Server 2022.

  Lukukausi/Redstone	Käyttöjärjestelmän versio	Julkaisu
  21H2/SV1	>=22000.593	KB5011563: Microsoft Update Catalog
  20H1/20H2/21H1	>=19042.1620 >=19041.1620 >=19043.1620	KB5011543: Microsoft Update Catalog
  Windows Server 2022	>=20348.617	KB5011558: Microsoft Update Catalog
  Windows Server 2019 (RS5)	>=17763.2746	KB5011551: Microsoft Update Catalog

• Vianmääritystila on käytettävissä myös koneissa, joissa on käytössä nykyaikainen, yhdistetty ratkaisu Windows Server 2012 R2:lle ja Windows Server 2016:lle. Ennen kuin käytät vianmääritystilaa, varmista, että kaikki seuraavat osat ovat ajan tasalla:

  • Aisti versio 10.8049.22439.1084 tai uudempi (KB5005292: Microsoft Update Catalog)

  • Defenderin virustentorjunta - Ympäristö: 4.18.2207.7 tai uudempi (KB4052623: Microsoft Update Catalog)

  • Defenderin virustentorjuntaohjelma - Moduuli: 1.1.19500.2 tai uudempi (KB2267602: Microsoft Update Catalog)

• Jotta vianmääritystila voidaan ottaa käyttöön, Microsoft Defender for Endpoint on oltava vuokraajan rekisteröimä ja aktiivinen laitteessa.

• Laitteessa on oltava käynnissä virustentorjuntaohjelman Microsoft Defender versio 4.18.2203 tai uudempi.

Ota vianmääritystila käyttöön

1. Siirry Microsoft 365 Defender portaaliin (https://security.microsoft.com) ja kirjaudu sisään.

2. Siirry sen laitteen sivulle/tietokoneelle, jonka haluat ottaa käyttöön vianmääritystilassa. Valitse Ota vianmääritystila käyttöön. Huomaa, että tämä edellyttää Microsoft Defender for Endpoint suojausasetusten hallintaoikeuksia.

   

3. Vahvista, että haluat ottaa vianmääritystilan käyttöön laitteessa.

   

4. Laitteen sivulla näkyy, että laite on nyt vianmääritystilassa.

   

Kehittyneet metsästyskyselyt

Seuraavassa on joitakin valmiita edistyneitä metsästyskyselyitä, jotka antavat sinulle näkyvyyden ympäristössäsi esiintyviin vianmääritystapahtumiin. Näiden kyselyiden avulla voit myös luoda tunnistussääntöjä , jotka ilmoittavat, kun laitteet ovat vianmääritystilassa.

Tietyn laitteen vianmääritystapahtumien hakeminen

Hae deviceId:n tai deviceNamen mukaan kommentoimalla vastaavat rivit.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Laitteet, jotka ovat tällä hetkellä vianmääritystilassa

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Vianmääritystilan esiintymien määrä laitteen mukaan

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Kokonaismäärä

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Aiheeseen liittyvä aihe

Vihje

Suorituskykyvihje Virustentorjuntaa Microsoft Defender useat tekijät (alla luetellut esimerkit) voivat muiden virustentorjuntaohjelmistojen tavoin aiheuttaa suorituskykyongelmia päätepistelaitteissa. Joissakin tapauksissa sinun on ehkä hienosäädettävä Microsoft Defender virustentorjuntaohjelman suorituskykyä näiden suorituskykyongelmien lievittämiseksi. Microsoftin Performance Analyzer on PowerShell-komentorivityökalu, joka auttaa määrittämään, mitkä tiedostot, tiedostopolut, prosessit ja tiedostotunnisteet saattavat aiheuttaa suorituskykyongelmia. esimerkkejä:

• Tärkeimmät skannausaikaan vaikuttavat polut
• Tärkeimmät tiedostot, jotka vaikuttavat tarkistusaikaan
• Tärkeimmät prosessit, jotka vaikuttavat skannausaikaan
• Suosituimmat tiedostotunnisteet, jotka vaikuttavat tarkistusaikaan
• Yhdistelmät – esimerkiksi:
  • ylimmät tiedostot laajennusta kohti
  • ylimmät polut laajennusta kohti
  • parhaat prosessit polkua kohti
  • suosituimmat tarkistukset tiedostoa kohden
  • suosituimmat tarkistukset tiedostoa kohti prosessia kohti

Suorituskykyanalysaattorin avulla kerättyjä tietoja käyttämällä voit arvioida suorituskykyongelmia ja ottaa käyttöön korjaustoimintoja. Katso: suorituskyvyn analysointi Microsoft Defender virustentorjuntaa varten.

• Vianmääritystilan skenaariot
• Suojausasetusten suojaaminen peukaloinnin estämisellä