Lire en anglais

Partager via

Ressources pour Microsoft Defender pour point de terminaison sur macOS

  • Article

S’applique à :

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Collecte des informations de diagnostic

Si vous pouvez reproduire un problème, augmentez le niveau de journalisation, exécutez le système pendant un certain temps, puis restaurez le niveau de journalisation par défaut.

  1. Augmenter le niveau de journalisation :

    Bash 
    mdatp log level set --level debug
    Output 
    Log level configured successfully

  2. Reproduisez le problème.

  3. Exécutez sudo mdatp diagnostic create pour sauvegarder les journaux Microsoft Defender pour point de terminaison. Les fichiers sont stockés dans une .zip archive. Cette commande imprime également le chemin d’accès du fichier à la sauvegarde une fois l’opération réussie.

    Conseil

    Par défaut, les journaux de diagnostic sont enregistrés dans /Library/Application Support/Microsoft/Defender/wdavdiag/. Pour modifier le répertoire dans lequel les journaux de diagnostic sont enregistrés --path [directory] , passez à la commande ci-dessous, en remplaçant par [directory] le répertoire souhaité.

    Bash 
    sudo mdatp diagnostic create
    Console 
    Diagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"

  4. Restaurer le niveau de journalisation.

    Bash 
    mdatp log level set --level info
    Console 
    Log level configured successfully

Problèmes d’installation de journalisation

Si une erreur se produit pendant l’installation, le programme d’installation signale une défaillance générale uniquement. Le journal détaillé est enregistré dans /Library/Logs/Microsoft/mdatp/install.log. Si vous rencontrez des problèmes lors de l’installation, envoyez-nous ce fichier lorsque vous ouvrez votre dossier de support afin que nous puissions vous aider à diagnostiquer la cause.

Pour plus d’informations sur la résolution des problèmes d’installation, consultez Résoudre les problèmes d’installation de Microsoft Defender pour point de terminaison sur macOS.

Configuration à partir de la ligne de commande

Types de sortie pris en charge

Prend en charge les types de sortie au format table et JSON. Pour chaque commande, il existe un comportement de sortie par défaut. Vous pouvez modifier la sortie dans votre format de sortie préféré à l’aide des commandes suivantes :

-output json

-output table

Les tâches importantes, telles que le contrôle des paramètres du produit et le déclenchement d’analyses à la demande, peuvent être effectuées à l’aide de la ligne de commande :

Groupe Scénario Command
Configuration Activer/désactiver l’antivirus en mode passif mdatp config passive-mode --value [enabled/disabled]
Configuration Activer/désactiver la protection en temps réel mdatp config real-time-protection --value [enabled/disabled]
Configuration Activer/désactiver la surveillance du comportement mdatp config behavior-monitoring --value [enabled/disabled]
Configuration Activer/désactiver la protection cloud mdatp config cloud --value [enabled/disabled]
Configuration Activer/désactiver le diagnostics de produit mdatp config cloud-diagnostic --value [enabled/disabled]
Configuration Activer/désactiver l’envoi automatique d’exemples mdatp config cloud-automatic-sample-submission --value [enabled/disabled]
Configuration Activer/auditer/désactiver la protection puA mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off
Configuration Ajouter/supprimer une exclusion antivirus pour un processus mdatp exclusion process [add/remove] --path [path-to-process]ou mdatp exclusion process [add\|remove] --name [process-name]
Configuration Ajouter/supprimer une exclusion antivirus pour un fichier mdatp exclusion file [add/remove] --path [path-to-file]
Configuration Ajouter/supprimer une exclusion antivirus pour un répertoire mdatp exclusion folder [add/remove] --path [path-to-directory]
Configuration Ajouter/supprimer une exclusion antivirus pour une extension de fichier mdatp exclusion extension [add/remove] --name [extension]
Configuration Répertorier toutes les exclusions antivirus mdatp exclusion list
Configuration Configurer le degré de parallélisme pour les analyses à la demande mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]
Configuration Activer/désactiver les analyses après les mises à jour du renseignement de sécurité mdatp config scan-after-definition-update --value [enabled/disabled]
Configuration Activer/désactiver l’analyse des archives (analyses à la demande uniquement) mdatp config scan-archives --value [enabled/disabled]
Configuration Activer/désactiver le calcul de hachage de fichier mdatp config enable-file-hash-computation --value [enabled/disabled]
Protection Analyser un chemin d’accès mdatp scan custom --path [path] [--ignore-exclusions]
Protection Effectuer une analyse rapide mdatp scan quick
Protection Effectuer une analyse complète mdatp scan full
Protection Annuler une analyse à la demande en cours mdatp scan cancel
Protection Demander une mise à jour du renseignement de sécurité mdatp definitions update
Configuration Ajouter un nom de menace à la liste autorisée mdatp threat allowed add --name [threat-name]
Configuration Supprimer un nom de menace de la liste autorisée mdatp threat allowed remove --name [threat-name]
Configuration Répertorier tous les noms de menaces autorisés mdatp threat allowed list
Historique de protection Imprimer l’historique de protection complet mdatp threat list
Historique de protection Obtenir les détails des menaces mdatp threat get --id [threat-id]
Gestion de la quarantaine Répertorier tous les fichiers mis en quarantaine mdatp threat quarantine list
Gestion de la quarantaine Supprimer tous les fichiers de la mise en quarantaine mdatp threat quarantine remove-all
Gestion de la quarantaine Ajouter un fichier détecté comme une menace à la mise en quarantaine mdatp threat quarantine add --id [threat-id]
Gestion de la quarantaine Supprimer de la quarantaine un fichier détecté comme une menace mdatp threat quarantine remove --id [threat-id]
Gestion de la quarantaine Restaurer un fichier à partir de la mise en quarantaine. Disponible dans Defender pour point de terminaison version antérieure à 101.23092.0012. mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
Gestion de la quarantaine Restaurez un fichier à partir de la quarantaine avec l’ID de menace. Disponible dans Defender pour point de terminaison version 101.23092.0012 ou ultérieure. mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder]
Gestion de la quarantaine Restaurez un fichier à partir de la quarantaine avec le chemin d’origine de la menace. Disponible dans Defender pour point de terminaison version 101.23092.0012 ou ultérieure. mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder]
Configuration de la protection réseau Configurer le niveau d’application de la protection réseau mdatp config network-protection enforcement-level --value [Block/Audit/Disabled]
Gestion de la protection réseau Vérifier que la protection du réseau a été correctement démarrée mdatp health --field network_protection_status
Gestion du contrôle d’appareil Le contrôle d’appareil est-il activé et quelle est l’application par défaut ? mdatp device-control policy preferences list
Gestion du contrôle d’appareil Quelle stratégie de contrôle d’appareil est activée ? mdatp device-control policy rules list
Gestion du contrôle d’appareil Quels groupes de stratégies Device Control sont activés ? mdatp device-control policy groups list
Configuration Activer/désactiver la protection contre la perte de données mdatp config data_loss_prevention --value [enabled/disabled]
Diagnostics Modifier le niveau du journal mdatp log level set --level [error/warning/info/verbose]
Diagnostics Générer des journaux de diagnostic mdatp diagnostic create --path [directory]
Intégrité Vérifier l’intégrité du produit mdatp health
Intégrité Rechercher un attribut de produit spécifique mdatp health --field [attribute: healthy/licensed/engine_version...]
EDR Exclusions de liste EDR (racine) mdatp edr exclusion list [processes|paths|extensions|all]
EDR Définir/supprimer une balise, uniquement GROUP pris en charge mdatp edr tag set --name GROUP --value [name]
EDR Supprimer l’étiquette de groupe de l’appareil mdatp edr tag remove --tag-name [name]
EDR Ajouter un ID de groupe mdatp edr group-ids --group-id [group]

Comment activer l’autocompletion

Pour activer la saisie semi-automatique dans bash, exécutez la commande suivante et redémarrez la session Terminal :

Bash 
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile

Pour activer la saisie semi-automatique dans zsh :

  • Vérifiez si l’autocomplétion est activée sur votre appareil :

    zsh 
    cat ~/.zshrc | grep autoload

  • Si la commande précédente ne produit aucune sortie, vous pouvez activer la saisie semi-automatique à l’aide de la commande suivante :

    zsh 
    echo "autoload -Uz compinit && compinit" >> ~/.zshrc

  • Exécutez les commandes suivantes pour activer la saisie automatique pour Microsoft Defender pour point de terminaison sur macOS et redémarrez la session Terminal :

    zsh 
    sudo mkdir -p /usr/local/share/zsh/site-functions

sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp

Répertoire de mise en quarantaine du client Microsoft Defender pour point de terminaison

/Library/Application Support/Microsoft/Defender/quarantine/ contient les fichiers mis en quarantaine par mdatp. Les fichiers sont nommés d’après l’Id de suivi des menaces. Les trackingIds actuels sont affichés avec mdatp threat list.

Désinstallation

Il existe plusieurs façons de désinstaller Microsoft Defender pour point de terminaison sur macOS. Bien que la désinstallation gérée de manière centralisée soit disponible sur JAMF, elle n’est pas encore disponible pour Microsoft Intune.

Toutes les désinstallations de Microsoft Defender pour point de terminaison sur macOS nécessitent les éléments suivants :

  1. Créez une balise d’appareil, nommez la balise désactivée et affectez-la à macOS où Microsoft Defender pour macOS est désinstallé.

  2. Créez un groupe d’appareils et nommez-le (par exemple , MacOS désactivé) et attribuez un groupe d’utilisateurs qui doit pouvoir les voir.

    Remarque : les étapes 1 et 2 sont facultatives si vous ne souhaitez pas voir ces appareils qui sont mis hors service dans « Inventaire des appareils » pendant 180 jours.

  3. Supprimez les stratégies « Définir les préférences » qui contiennent la protection contre les falsifications ou via la configuration manuelle.

  4. Désintégration de chaque appareil pour les appareils non Windows.

  5. Désinstaller le Microsoft Defender pour point de terminaison pour les applications macOS

  6. Supprimez l’appareil du groupe pour les stratégies d’extension système si un GPM a été utilisé pour les définir.

Désinstallation interactive

  • Ouvrez Finder > Applications. Cliquez avec le bouton droit sur Microsoft Defender pour point de terminaison, puis sélectionnez Déplacer vers la Corbeille.

À partir de la ligne de commande

  • sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'

Utilisation de JAMF Pro

Pour désinstaller Microsoft Defender pour point de terminaison sur macOS à l’aide de JAMF Pro, chargez le profil de désintégération.

Le profil de désintégrage doit être chargé sans aucune modification et avec le nom de domaine de préférence défini sur com.microsoft.wdav.atp.offboarding, comme illustré dans l’image suivante :

Capture d’écran de l’écran de désintéglage JAMF

Note

Si vous rencontrez des problèmes lors de la désinstallation de Defender pour point de terminaison sur Mac et que vous voyez dans vos rapports un élément pour Microsoft Defender Extension de sécurité de point de terminaison, procédez comme suit :

  1. Réinstallez l’application Microsoft Defender.
  2. Faites glisser Microsoft Defender.app vers la Corbeille.
  3. Exécutez la commande suivante : sudo /Library/Application Support/Microsoft/Defender/uninstall/install_helper execute --path '/Library/Application Support/Microsoft/Defender/uninstall/uninstall' --args --post-uninstall-hook.
  4. Redémarrez lʼappareil.

Portail Microsoft Defender

Lorsque des menaces sont détectées, votre équipe de sécurité peut afficher les détections et, si nécessaire, effectuer des actions de réponse sur un appareil dans le portail Microsoft Defender (https://security.microsoft.com). Le Microsoft Defender combine la protection, la détection, l’investigation et la réponse aux menaces dans un emplacement central. Pour plus d’informations, consultez les ressources suivantes :

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.