Resurssit

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Diagnostiikkatietojen kerääminen

Jos pystyt toistamaan ongelman, suurenna ensin kirjaustasoa, suorita järjestelmä jonkin aikaa ja palauta sitten kirjaustaso oletusarvoon.

1. Lisää kirjaustasoa:

   mdatp log level set --level debug
   

   Log level configured successfully
   

2. Yritä toistaa ongelma.

3. Varmuuskopioi Defender päätepisteen lokeja varten suorittamalla seuraava komento. Tiedostot tallennetaan .zip arkistoon.

   sudo mdatp diagnostic create
   

   Tämä komento tulostaa varmuuskopioinnin tiedostopolun myös toiminnon onnistuttua:

   Diagnostic file created: <path to file>
   

4. Palauta kirjaustaso:

   mdatp log level set --level info
   

   Log level configured successfully
   

Kirjaa asennusongelmat

Jos asennuksen aikana ilmenee virhe, asennusohjelma ilmoittaa vain yleisestä virheestä.

Yksityiskohtainen loki tallennetaan kohteeseen /var/log/microsoft/mdatp/install.log. Jos asennuksen aikana ilmenee ongelmia, lähetä tämä tiedosto, jotta voimme auttaa syyn diagnosoinnissa.

Poista Defenderin asennus Linux-päätepisteelle

Defender for Endpointin voi poistaa Linuxissa useilla tavoilla. Jos käytät määritystyökalua, kuten Puppet, noudata määritystyökalun paketin asennuksen poisto-ohjeita.

Manuaalinen asennuksen poistaminen

• sudo yum remove mdatp RHEL:lle ja varianteille (CentOS ja Oracle Linux).
• sudo zypper remove mdatp SLES-suodattimien ja varianttien osalta.
• sudo apt-get purge mdatp Ubuntu- ja Debian-järjestelmissä.
• sudo dnf remove mdatp Marinerille

Määritä komentoriviltä

Tärkeät tehtävät, kuten tuoteasetusten hallinta ja pyydettäessä tehtävien tarkistusten käynnistäminen, voidaan tehdä komentoriviltä.

Yleiset asetukset

Komentorivityökalu tulostaa tuloksen oletusarvoisesti luettavaan muotoon. Lisäksi työkalu tukee tuloksen tulostamista JSON-muodossa, mikä on hyödyllistä automaatioskenaarioita varten. Jos haluat muuttaa tulosteen JSON-muotoon, välitä --output json mihin tahansa alla olevista komennoista.

Tuetut komennot

Seuraavassa taulukossa on luettelo komennoista yleisimpiin skenaarioihin. Suorita mdatp help päätteestä, niin näet luettelon kaikista tuetuista komennoista.

---

Ryhmä	Skenaario	Komento
Määritykset	Reaaliaikaisen suojauksen ottaminen käyttöön tai poistaminen käytöstä	mdatp config real-time-protection --value [enabled\|disabled]
Määritykset	Ota käyttöön tai poista käytöstä toiminnan valvonta	mdatp config behavior-monitoring --value [enabled\|disabled]
Määritykset	Pilvisuojauksen ottaminen käyttöön tai poistaminen käytöstä	mdatp config cloud --value [enabled\|disabled]
Määritykset	Tuotediagnostiikan ottaminen käyttöön tai poistaminen käytöstä	mdatp config cloud-diagnostic --value [enabled\|disabled]
Määritykset	Ota käyttöön tai poista käytöstä automaattinen mallien lähettäminen	mdatp config cloud-automatic-sample-submission --value [enabled\|disabled]
Määritykset	Passiivisen AV-tilan ottaminen käyttöön tai poistaminen käytöstä	mdatp config passive-mode --value [enabled\|disabled]
Määritykset	Lisää tai poista virustentorjuntaohjelman poikkeus tiedostotunnistetta varten	mdatp exclusion extension [add\|remove] --name [extension]
Määritykset	Lisää tai poista virustentorjuntaa koskevat poikkeukset tiedostolle	mdatp exclusion file [add\|remove] --path [path-to-file]
Määritykset	Lisää tai poista hakemiston virustentorjuntaa koskevat poikkeukset	mdatp exclusion folder [add\|remove] --path [path-to-directory]
Määritykset	Lisää tai poista prosessin virustentorjuntaa koskevat poikkeukset	mdatp exclusion process [add\|remove] --path [path-to-process] mdatp exclusion process [add\|remove] --name [process-name]
Määritykset	Luettele kaikki virustentorjunnan poikkeukset	mdatp exclusion list
Määritykset	Uhkan nimen lisääminen sallittujen luetteloon	mdatp threat allowed add --name [threat-name]
Määritykset	Uhkan nimen poistaminen sallitun luettelon luettelosta	mdatp threat allowed remove --name [threat-name]
Määritykset	Luettele kaikki sallitut uhkien nimet	mdatp threat allowed list
Määritykset	PUA-suojauksen ottaminen käyttöön	mdatp threat policy set --type potentially_unwanted_application --action block
Määritykset	Poista PUA-suojaus käytöstä	mdatp threat policy set --type potentially_unwanted_application --action off
Määritykset	Pua-suojauksen valvontatilan ottaminen käyttöön	mdatp threat policy set --type potentially_unwanted_application --action audit
Määritykset	Parallelismin määrittämisen aste pyydettäessä luotaville tarkistuksille	mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]
Määritykset	Ota käyttöön tai poista käytöstä tarkistukset tietoturvatietojen päivitysten jälkeen	mdatp config scan-after-definition-update --value [enabled/disabled]
Määritykset	Arkistoinnin tarkistuksen ottaminen käyttöön tai poistaminen käytöstä (vain pyydettäessä suoritettavat tarkistukset)	mdatp config scan-archives --value [enabled/disabled]
Määritykset	Tiedoston hajautusarvon laskemisen ottaminen käyttöön tai poistaminen käytöstä	mdatp config enable-file-hash-computation --value [enabled/disabled]
Diagnostiikka	Lokitason muuttaminen	mdatp log level set --level verbose [error|warning|info|verbose]
Diagnostiikka	Diagnostiikkalokien luominen	mdatp diagnostic create --path [directory]
Diagnostiikka	Säilytettyjen tuotelokien kokorajoitukset	mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB]
Kunto	Tarkista tuotteen kunto	mdatp health
Suojaa	Polun skannaaminen	mdatp scan custom --path [path] [--ignore-exclusions]
Suojaa	Pikatarkistus	mdatp scan quick
Suojaa	Tee täydellinen tarkistus	mdatp scan full
Suojaa	Jatkuvan pyydettäessä suoritettavan tarkistuksen peruuttaminen	mdatp scan cancel
Suojaa	Suojaustietojen päivityksen pyytäminen	mdatp definitions update
Suojaushistoria	Tulosta koko suojaushistoria	mdatp threat list
Suojaushistoria	Hae uhkien tiedot	mdatp threat get --id [threat-id]
Karanteenin hallinta	Luetteloi kaikki karanteeniin asetetut tiedostot	mdatp threat quarantine list
Karanteenin hallinta	Poista kaikki tiedostot karanteenista	mdatp threat quarantine remove-all
Karanteenin hallinta	Lisää karanteeniin uhaksi tunnistettu tiedosto	mdatp threat quarantine add --id [threat-id]
Karanteenin hallinta	Uhkana havaitun tiedoston poistaminen karanteenista	mdatp threat quarantine remove --id [threat-id]
Karanteenin hallinta	Palauta tiedosto karanteenista. Käytettävissä Defender for Endpoint -versiossa, joka on pienempi kuin 101.23092.0012.	mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
Karanteenin hallinta	Palauta karanteenista tiedosto uhkatunnuksella. Käytettävissä Defender for Endpoint -versiossa 101.23092.0012 tai uudemmissa versioissa.	mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder]
Karanteenin hallinta	Palauta karanteenista tiedosto Threat Original Path -polulla. Käytettävissä Defender for Endpoint -versiossa 101.23092.0012 tai uudemmissa versioissa.	mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]
Päätepisteen tunnistaminen ja vastaus	Aikaisen esikatselun määrittäminen	mdatp edr early-preview [enabled\|disabled]
Päätepisteen tunnistaminen ja vastaus	Ryhmän tunnuksen määrittäminen	mdatp edr group-ids --group-id [group-id]
Päätepisteen tunnistaminen ja vastaus	Määritä /poista tunniste, vain GROUP tuettu	mdatp edr tag set --name GROUP --value [tag]
Päätepisteen tunnistaminen ja vastaus	Poissulkevat luettelot (pääkansio)	mdatp edr exclusion list [processes|paths|extensions|all]

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.