MacOS Microsoft Defender for Endpoint resurssit
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Diagnostiikkatietojen kerääminen
Jos voit toistaa ongelman, suurenna kirjaustasoa, suorita järjestelmä jonkin aikaa ja palauta kirjaustaso oletusarvoon.
Lisää kirjaustasoa:
mdatp log level set --level debugLog level configured successfullyOngelman toistaminen
Suorita
sudo mdatp diagnostic createMicrosoft Defender for Endpoint lokien varmuuskopioimiseksi. Tiedostot tallennetaan .zip arkistoon. Tämä komento tulostaa varmuuskopioinnin tiedostopolun myös toiminnon onnistuttua.Vihje
Diagnostiikkalokit tallennetaan oletusarvoisesti kohteeseen
/Library/Application Support/Microsoft/Defender/wdavdiag/. Jos haluat muuttaa diagnostiikkalokien tallennushakemistoa, siirry--path [directory]alla olevaan komentoon ja korvaa[directory]se halutulla hakemistolla.sudo mdatp diagnostic createDiagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"Palauta kirjaustaso:
mdatp log level set --level infoLog level configured successfully
Kirjataan asennusongelmia
Jos asennuksen aikana ilmenee virhe, asennusohjelma ilmoittaa vain yleisestä virheestä.
Yksityiskohtainen loki tallennetaan kohteeseen /Library/Logs/Microsoft/mdatp/install.log. Jos asennuksen aikana ilmenee ongelmia, lähetä tämä tiedosto, jotta voimme auttaa syyn diagnosoinnissa.
Lisätietoja asennusongelmien vianmäärityksestä on artikkelissa Microsoft Defender for Endpoint asennusongelmien vianmääritys macOS:ssä
Asennuksen poistaminen
Huomautus
Ennen kuin poistat Microsoft Defender for Endpoint asennuksen macOS:ssä, poista se käytöstä muiden kuin Windows-laitteiden käytöstä.
MacOS:n Microsoft Defender for Endpoint voi poistaa usealla eri tavalla. Huomaa, että vaikka keskitetysti hallittu asennuksen poistaminen on käytettävissä JAMF: ssä, se ei ole vielä käytettävissä Microsoft Intune.
Vuorovaikutteisen asennuksen poistaminen
- Avaa Etsintäsovellukset>. Napsauta hiiren kakkospainikkeella Microsoft Defender for Endpoint > Siirrä roskakoriin.
Tuetut tulostetyypit
Tukee taulukko- ja JSON-muotoilutulostetyyppejä. Jokaisella komennolla on oletustulostetoiminta. Voit muokata tulosta haluamassasi tulostusmuodossa seuraavien komentojen avulla:
-output json
-output table
Komentoriviltä
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
JAMF Pron käyttäminen
Jos haluat poistaa Microsoft Defender for Endpoint macOS:ssä JAMF Pron avulla, lataa perehdytysprofiili.
Perehdyttämisprofiili tulee ladata palvelimeen ilman muutoksia, ja Preference Domain -nimeksi on määritetty com.microsoft.wdav.atp.offboarding:
Määrittäminen komentoriviltä
Tärkeät tehtävät, kuten tuoteasetusten hallinta ja pyydettäessä tehtävien tarkistusten käynnistäminen, voidaan tehdä komentoriviltä:
| Ryhmä | Skenaario | Komento |
|---|---|---|
| Määritykset | Ota käyttöön tai poista käytöstä virustentorjuntaohjelman passiivinen tila | mdatp config passive-mode --value [enabled/disabled] |
| Määritykset | Reaaliaikaisen suojauksen ottaminen käyttöön tai poistaminen käytöstä | mdatp config real-time-protection --value [enabled/disabled] |
| Määritykset | Pilvisuojauksen ottaminen käyttöön tai poistaminen käytöstä | mdatp config cloud --value [enabled/disabled] |
| Määritykset | Tuotediagnostiikan ottaminen käyttöön tai poistaminen käytöstä | mdatp config cloud-diagnostic --value [enabled/disabled] |
| Määritykset | Ota käyttöön tai poista käytöstä automaattinen mallien lähettäminen | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
| Määritykset | Pua-suojauksen ottaminen käyttöön/valvonta/pois käytöstä | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
| Määritykset | Lisää tai poista prosessin virustentorjuntaa koskevat poikkeukset | mdatp exclusion process [add/remove] --path [path-to-process]Tai mdatp exclusion process [add\|remove] --name [process-name] |
| Määritykset | Lisää tai poista virustentorjuntaa koskevat poikkeukset tiedostolle | mdatp exclusion file [add/remove] --path [path-to-file] |
| Määritykset | Lisää tai poista hakemiston virustentorjuntaa koskevat poikkeukset | mdatp exclusion folder [add/remove] --path [path-to-directory] |
| Määritykset | Lisää tai poista virustentorjuntaohjelman poikkeus tiedostotunnistetta varten | mdatp exclusion extension [add/remove] --name [extension] |
| Määritykset | Luettele kaikki virustentorjunnan poikkeukset | mdatp exclusion list |
| Määritykset | Parallelismin määrittämisen aste pyydettäessä luotaville tarkistuksille | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Määritykset | Ota käyttöön tai poista käytöstä tarkistukset tietoturvatietojen päivitysten jälkeen | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Määritykset | Arkistoinnin tarkistuksen ottaminen käyttöön tai poistaminen käytöstä (vain pyydettäessä suoritettavat tarkistukset) | mdatp config scan-archives --value [enabled/disabled] |
| Määritykset | Tiedoston hajautusarvon laskemisen ottaminen käyttöön tai poistaminen käytöstä | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Suojaa | Polun skannaaminen | mdatp scan custom --path [path] [--ignore-exclusions] |
| Suojaa | Pikatarkistus | mdatp scan quick |
| Suojaa | Tee täydellinen tarkistus | mdatp scan full |
| Suojaa | Jatkuvan pyydettäessä suoritettavan tarkistuksen peruuttaminen | mdatp scan cancel |
| Suojaa | Suojaustietojen päivityksen pyytäminen | mdatp definitions update |
| Määritykset | Uhkan nimen lisääminen sallittujen luetteloon | mdatp threat allowed add --name [threat-name] |
| Määritykset | Uhkan nimen poistaminen sallitun luettelon luettelosta | mdatp threat allowed remove --name [threat-name] |
| Määritykset | Luettele kaikki sallitut uhkien nimet | mdatp threat allowed list |
| Suojaushistoria | Tulosta koko suojaushistoria | mdatp threat list |
| Suojaushistoria | Hae uhkien tiedot | mdatp threat get --id [threat-id] |
| Karanteenin hallinta | Luetteloi kaikki karanteeniin asetetut tiedostot | mdatp threat quarantine list |
| Karanteenin hallinta | Poista kaikki tiedostot karanteenista | mdatp threat quarantine remove-all |
| Karanteenin hallinta | Lisää karanteeniin uhaksi tunnistettu tiedosto | mdatp threat quarantine add --id [threat-id] |
| Karanteenin hallinta | Uhkana havaitun tiedoston poistaminen karanteenista | mdatp threat quarantine remove --id [threat-id] |
| Karanteenin hallinta | Palauta tiedosto karanteenista. Käytettävissä Defender for Endpoint -versiossa, joka on pienempi kuin 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Karanteenin hallinta | Palauta karanteenista tiedosto uhkatunnuksella. Käytettävissä Defender for Endpoint -versiossa 101.23092.0012 tai uudemmissa versioissa. | mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Karanteenin hallinta | Palauta karanteenista tiedosto Threat Original Path -polulla. Käytettävissä Defender for Endpoint -versiossa 101.23092.0012 tai uudemmissa versioissa. | mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Verkon suojauksen määritys | Verkon suojauksen täytäntöönpanotason määrittäminen | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
| Verkon suojauksen hallinta | Tarkista, että verkon suojaus on käynnistetty | mdatp health --field network_protection_status |
| Laiteohjausobjektien hallinta | Onko laitehallinta käytössä ja mikä on oletusarvoinen pakotus? | mdatp device-control policy preferences list |
| Laiteohjausobjektien hallinta | Mikä laitteen hallintakäytäntö on käytössä? | mdatp device-control policy rules list |
| Laiteohjausobjektien hallinta | Mitkä laitteen hallinnan käytäntöryhmät ovat käytössä? | mdatp device-control policy groups list |
| Määritykset | Tietojen menetyksen estämisen ottaminen käyttöön tai poistaminen käytöstä | mdatp config data_loss_prevention --value [enabled/disabled] |
| Diagnostiikka | Lokitason muuttaminen | mdatp log level set --level [error/warning/info/verbose] |
| Diagnostiikka | Diagnostiikkalokien luominen | mdatp diagnostic create --path [directory] |
| Kunto | Tarkista tuotteen kunto | mdatp health |
| Kunto | Tarkista tietty tuotemäärite | mdatp health --field [attribute: healthy/licensed/engine_version...] |
| EDR | EDR-luettelon poikkeukset (pää) | mdatp edr exclusion list [processes|paths|extensions|all] |
| EDR | Määritä tai poista tunniste, vain GROUP-toimintoa tuetaan | mdatp edr tag set --name GROUP --value [name] |
| EDR | Ryhmän tunnisteen poistaminen laitteesta | mdatp edr tag remove --tag-name [name] |
| EDR | Lisää ryhmän tunnus | mdatp edr group-ids --group-id [group] |
Automaattisen täydennyksen ottaminen käyttöön
Jos haluat ottaa automaattisen täydennyksen käyttöön bashissa, suorita seuraava komento ja käynnistä Terminal-istunto uudelleen:
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
Automaattisen täydennyksen ottaminen käyttöön zsh:ssä:
Tarkista, onko automaattinen täydennys käytössä laitteessasi:
cat ~/.zshrc | grep autoloadJos edellä oleva komento ei tuota tulosteita, voit ottaa automaattisen täydennyksen käyttöön seuraavalla komennolla:
echo "autoload -Uz compinit && compinit" >> ~/.zshrcSuorita seuraavat komennot ottaaksesi automaattisen täydennyksen käyttöön Microsoft Defender for Endpoint macOS:ssä ja käynnistääksesi Terminal-istunnon uudelleen:
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
Client Microsoft Defender for Endpoint karanteenihakemisto
/Library/Application Support/Microsoft/Defender/quarantine/ sisältää kansiot, jotka on asetettu karanteeniin kohteen mukaan mdatp. Tiedostot nimetään uhkien seurantatunnuksen mukaan. Nykyisissä trackingId-tunnuksena näytetään mdatp threat list.
Microsoft Defender for Endpoint portaalin tiedot
Microsoft Defender for Endpoint blogi, macOS:n EDR-ominaisuudet ovat nyt saapuneet, antaa yksityiskohtaisia ohjeita siitä, mitä odottaa.
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle