Skannausten ajoittaminen Microsoft Defender for Endpoint avulla macOS:ssä
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Ajoita sisäinen tarkistus Microsoft Defender for Endpoint macOS:ssä
Vaikka voit aloittaa uhkien tarkistuksen milloin tahansa Microsoft Defender for Endpoint avulla, yrityksesi voi hyötyä ajoitetusta tai ajoitetusta tarkistuksesta. Voit esimerkiksi ajoittaa tarkistuksen suoritettavaksi jokaisen työpäivän tai viikon alussa.
On olemassa kolmentyyppisiä ajoitettuja skannauksia, jotka voidaan määrittää: tunneittain, päivittäin ja viikoittain. Tunneittaiset ja päivittäiset ajoitetut tarkistukset suoritetaan aina pikatarkistusten avulla, ja viikoittaiset tarkistukset voidaan määrittää joko nopeiksi tai täydellisiksi tarkistuksiksi. Kaikki kolme ajoitettua tarkistusta voidaan tehdä samanaikaisesti. Katso alla olevat mallit.
Edellytykset:
- Käyttöympäristöpäivityksen versio: 101.23122.0005 tai uudempi
Skannauksen ajoittaminen Microsoft Defender for Endpoint avulla macOS:ssä
Voit luoda macOS:lle ajoitetun tarkistuksen, joka on Microsoft Defender for Endpoint macOS:ssä.
Lisätietoja tässä käytetystä .plist-tiedostomuodosta on Kohdassa Tietojatietojen ominaisuusluettelotiedostot Applen kehittäjän virallisella verkkosivustolla.
Seuraavassa esimerkissä näytetään macOS:n ajoitetun tarkistuksen päivittäiset ja/tai viikoittaiset määritykset.
Vihje
Aikataulut perustuvat laitteen paikalliseen aikavyöhykkeeseen.
| Parametri | Tämän parametrin hyväksyttävät arvot ovat seuraavat: |
|---|---|
| scheduledScan | käytössä tai poissa käytöstä |
| scanType | nopea tai täysi |
| ohita poissulkemiset | tosi tai epätosi |
| lowPriorityScheduledScan | tosi tai epätosi |
| viikonpäivä | Alue on 0–8. - 0: joka päivä - 1: sunnuntai - 2: maanantai - 3: tiistai - 4: keskiviikko - 5: torstai - 6: perjantai - 7: lauantai - 8: ei koskaan |
| timeOfDay | Määrittää kellonajan ( minuutteina keskiyön jälkeen), jolloin ajoitettu tarkistus suoritetaan. Aika viittaa paikalliseen aikaan tietokoneessa. Jos et määritä arvoa tälle parametrille, ajoitettu tarkistus suoritetaan oletusarvoisesti kahden tunnin kuluttua keskiyöstä. |
| Aikaväli | 0 (ei koskaan), joka 1 (tunti) - 24 (tuntia, 1 skannaus päivässä) |
| randomizeScanStartTime | Käytettävissä vain päivittäisissä pikatarkistusten tai viikoittaisten pika-/täysien tarkistusten kohdalla. Satunnaista tarkistuksen alkamisaika enintään määritettyyn tuntimäärään. Jos esimerkiksi skannaus on ajoitettu klo 14.00 ja randomizeScanStartTime-arvoksi on asetettu 2, tarkistus alkaa satunnaiseen aikaan klo 14.00-16.00. |
Ajoitettu tarkistus suoritetaan plistissä määrittämänäsi päivämääränä, aikana ja tiheydenä.
Esimerkki 1: Ajoita päivittäinen pikatarkistus ja viikoittainen täysi tarkistus plist-luettelon avulla
Seuraavassa esimerkissä päivittäisen pikatarkistusmäärityksen suoritusaika on 885 minuuttia keskiyön jälkeen (klo 14.45).
Viikoittainen määritys suorittaa täyden tarkistuksen keskiviikkona 880 minuuttia keskiyön jälkeen (klo 14.40).
Lisäksi se ohittaa poikkeukset ja suorittaa pienen prioriteetin tarkistuksen.
Seuraava koodi näyttää rakenteen, jota sinun on käytettävä ajoittaaksesi tarkistukset yllä olevien vaatimusten mukaisesti.
- Avaa tekstieditori ja käytä tätä esimerkkiä oppaana omalle ajoitetussa skannaustiedostossasi.
Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
- Tallenna tiedosto muodossa com.microsoft.wdav.mobileconfig.
JamF:lle ja muille kolmannen osapuolen mobiililaitteiden hallintakoneille:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
Tallenna tiedosto muodossa com.microsoft.wdav.plist.
Tarkista, että ajoitettu tarkistus on määritetty "Aseta asetus" -toiminnolla
mdatp health --details scheduled_scanTuloksissa pitäisi näkyä [managed].
Esimerkki 2: Ajoita tuntikohtainen pikatarkistus, päivittäinen pikatarkistus ja viikoittainen täysi tarkistus plist-luettelon avulla
Seuraavassa esimerkissä suoritetaan tunnin välein kuuden tunnin välein pikatarkistus, päivittäinen pikatarkistusmääritys suoritetaan 885 minuutin kuluttua keskiyöstä (klo 14.45) ja viikoittainen täysi tarkistus suoritetaan keskiviikkoisin klo 880 minuutin kuluttua keskiyöstä (klo 14.40).
Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Tallenna tiedosto muodossa com.microsoft.wdav.mobileconfig.
JamF:lle ja muille kolmannen osapuolen mobiililaitteiden hallintakoneille:
- Avaa tekstieditori ja käytä tätä esimerkkiä.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Tallenna tiedosto muodossa com.microsoft.wdav.plist.
Tarkista, että ajoitettu tarkistus on määritetty "Aseta asetus" -toiminnolla
mdatp health --details scheduled_scanTuloksissa pitäisi näkyä [managed].
Vaihtoehto 3: Ajoitettujen tarkistusten määrittäminen komentorivikäyttöliittymätyökalun avulla
Ajoitetun tarkistuksen ominaisuuden ottaminen käyttöön:
| Versio | Komento |
|---|---|
| Versio 101.23122.* tai uudempi | sudo mdatp config scheduled-scan settings feature --value enabled |
Pikatarkistusten ajoittaminen tunneittain:
| Versio | Komento |
|---|---|
| Versio 101.23122.* tai uudempi | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
Päivittäisten pikatarkistusten ajoittaminen:
| Versio | Komento |
|---|---|
| Versio 101.23122.* tai uudempi | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
Viikoittaisten tarkistusten ajoittaminen:
| Versio | Komento |
|---|---|
| Versio 101.23122.* tai uudempi | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
Muita määritysasetuksia:
Voit tarkistaa, päivitetäänkö määritelmät ennen ajoitettuja skannauksia:
sudo mdatp config scheduled-scan settings check-for-definitions --value truePienen prioriteetin säikeiden käyttäminen ajoitetussa skannauksessa:
sudo mdatp config scheduled-scan settings low-priority --value true
Tarkista, että ajoitettu tarkistus suoritettiin
Käytä seuraavaa komentoa:
mdatp scan list
\<snip\>
Tärkeää
Ajoitettuja skannauksia ei suoriteta ajoitettuun aikaan laitteen ollessa unessa. Ajoitetut tarkistukset suoritetaan sen sijaan, kun laite jatkaa lepotilasta. Jos laite on sammutettu, tarkistus suoritetaan seuraavana ajoitettuna skannausaikana.
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle