Prise en main du mode résolution des problèmes dans Microsoft Defender pour point de terminaison

  • Article

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Le mode résolution des problèmes dans Microsoft Defender pour point de terminaison permet aux administrateurs de résoudre les problèmes de diverses fonctionnalités antivirus Microsoft Defender, même si les appareils sont gérés par des stratégies organisationnelles. Par exemple, si la protection contre les falsifications est activée, certains paramètres ne peuvent pas être modifiés ou désactivés, mais vous pouvez utiliser le mode résolution des problèmes sur un appareil pour modifier ces paramètres temporairement.

Le mode résolution des problèmes est désactivé par défaut et vous oblige à l’activer pour un appareil (et/ou un groupe d’appareils) pendant une durée limitée. Le mode résolution des problèmes est exclusivement une fonctionnalité d’entreprise et nécessite Microsoft Defender accès au portail.

Conseil

  • En mode résolution des problèmes, vous pouvez utiliser la commande Set-MPPreference -DisableTamperProtection $true PowerShell sur les appareils Windows.
  • Pour case activée l’état de la protection contre les falsifications, vous pouvez utiliser l’applet de commande PowerShell Get-MpComputerStatus. Dans la liste des résultats, recherchez IsTamperProtected ou RealTimeProtectionEnabled. (La valeur true signifie que la protection contre les falsifications est activée.) .

Ce qu'il faut savoir avant de commencer

Pendant le mode résolution des problèmes, vous pouvez utiliser la commande Set-MPPreference -DisableTamperProtection $true PowerShell ou, sur les systèmes d’exploitation clients, l’application Security Center pour désactiver temporairement la protection contre les falsifications sur votre appareil et apporter les modifications de configuration nécessaires.

  • Utilisez le mode résolution des problèmes pour désactiver/modifier le paramètre de protection contre les falsifications afin d’effectuer les opérations suivantes :

    • Microsoft Defender Dépannage fonctionnel de l’antivirus /compatibilité des applications (blocs d’application faux positifs).

  • Les administrateurs locaux, avec les autorisations appropriées, peuvent modifier les configurations sur des points de terminaison individuels qui sont généralement verrouillés par la stratégie. Le fait de disposer d’un appareil en mode résolution des problèmes peut être utile lors du diagnostic Microsoft Defender scénarios de performances et de compatibilité de l’antivirus.

    • Les administrateurs locaux ne peuvent pas désactiver Microsoft Defender Antivirus, ni le désinstaller.

    • Les administrateurs locaux peuvent configurer tous les autres paramètres de sécurité dans la suite antivirus Microsoft Defender (par exemple, protection cloud, protection contre les falsifications).

  • Les administrateurs disposant des autorisations « Gérer les paramètres de sécurité » ont accès pour activer le mode résolution des problèmes.

  • Microsoft Defender pour point de terminaison collecte les journaux et les données d’investigation tout au long du processus de résolution des problèmes.

    • Une instantané de est effectuée avant le début du MpPreference mode de résolution des problèmes.

    • Une deuxième instantané est effectuée juste avant l’expiration du mode de résolution des problèmes.

    • Les journaux d’activité opérationnels du mode résolution des problèmes sont également collectés.

    • Les journaux et les instantanés sont collectés et peuvent être collectés par un administrateur à l’aide de la fonctionnalité Collecter le package d’investigation sur la page de l’appareil. Microsoft ne supprime pas ces données de l’appareil tant qu’un administrateur ne les a pas collectées.

  • Les administrateurs peuvent également examiner les modifications apportées aux paramètres qui se produisent pendant le mode Résolution des problèmes dans observateur d'événements sur la page de l’appareil.

  • Le mode de résolution des problèmes s’éteint automatiquement après avoir atteint l’heure d’expiration (il dure 4 heures). Après l’expiration, toutes les configurations gérées par une stratégie redeviennent en lecture seule et reviennent à la configuration de l’appareil avant d’activer le mode de résolution des problèmes.

  • Cela peut prendre jusqu’à 15 minutes entre le moment où la commande est envoyée à partir de Microsoft Defender XDR et le moment où elle devient active sur l’appareil.

  • Des notifications sont envoyées à l’utilisateur au début du mode résolution des problèmes et à la fin du mode de résolution des problèmes. Un avertissement est également envoyé pour indiquer que le mode de résolution des problèmes se termine bientôt.

  • Le début et la fin du mode de résolution des problèmes sont identifiés dans la chronologie de l’appareil sur la page de l’appareil.

  • Vous pouvez interroger tous les événements du mode résolution des problèmes dans la chasse avancée.

Remarque

Les modifications de gestion des stratégies sont appliquées à l’appareil lorsqu’il est activement en mode résolution des problèmes. Toutefois, les modifications ne prennent pas effet tant que le mode de résolution des problèmes n’a pas expiré. En outre, les mises à jour Microsoft Defender plateforme antivirus ne sont pas appliquées pendant le mode résolution des problèmes. Les mises à jour de plateforme sont appliquées lorsque le mode résolution des problèmes se termine par une mise à jour Windows.

Conditions préalables

  • Un appareil exécutant Windows 10 (version 19044.1618 ou ultérieure), Windows 11, Windows Server 2019 ou Windows Server 2022.

    Semestre/Redstone Version du système d'exploitation Version
    21H2/SV1 >=22000,593 KB5011563 : Catalogue Microsoft Update
    20H1/20H2/21H1 >=19042.1620
    >=19041.1620
    >=19043.1620    		 KB5011543 : Catalogue Microsoft Update
    Windows Server 2022 >=20348.617 KB5011558 : Catalogue Microsoft Update
    Windows Server 2019 (RS5) >=17763,2746 KB5011551 : Catalogue Microsoft Update

  • Le mode résolution des problèmes est également disponible pour les machines exécutant la solution unifiée et moderne pour Windows Server 2012 R2 et Windows Server 2016. Avant d’utiliser le mode résolution des problèmes, assurez-vous que tous les composants suivants sont à jour :

  • Pour que le mode de résolution des problèmes soit appliqué, Microsoft Defender pour point de terminaison devez être inscrit au locataire et actif sur l’appareil.

  • L’appareil doit exécuter activement Microsoft Defender Antivirus, version 4.18.2203 ou ultérieure.

Activer le mode de résolution des problèmes

  1. Accédez au portail Microsoft Defender (https://security.microsoft.com), puis connectez-vous.

  2. Accédez à la page de l’appareil/de la machine pour l’appareil que vous souhaitez activer le mode résolution des problèmes. Sélectionnez Activer le mode résolution des problèmes. Vous devez disposer des autorisations « Gérer les paramètres de sécurité dans Security Center » pour Microsoft Defender pour point de terminaison.

    Activer le mode résolution des problèmes

Remarque

L’option Activer le mode de résolution des problèmes est disponible sur tous les appareils, même si l’appareil ne remplit pas les conditions préalables pour le mode résolution des problèmes.

  1. Vérifiez que vous souhaitez activer le mode résolution des problèmes pour l’appareil.

    Menu volant de configuration

  2. La page de l’appareil indique que l’appareil est maintenant en mode résolution des problèmes.

    L’appareil est maintenant en mode résolution des problèmes

Requêtes de chasse avancées

Voici quelques requêtes de repérage avancées prédéfinies pour vous donner une visibilité sur les événements de résolution des problèmes qui se produisent dans votre environnement. Vous pouvez également utiliser ces requêtes pour créer des règles de détection afin de générer des alertes lorsque les appareils sont en mode résolution des problèmes.

Obtenir des événements de résolution des problèmes pour un appareil particulier

Recherchez par deviceId ou deviceName en commentant les lignes respectives.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Appareils actuellement en mode résolution des problèmes

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Nombre d’instances de mode de résolution des problèmes par appareil

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Nombre total

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Conseil

Conseil sur les performances En raison de divers facteurs, Microsoft Defender Antivirus, comme d’autres logiciels antivirus, peut entraîner des problèmes de performances sur les appareils de point de terminaison. Dans certains cas, vous devrez peut-être régler les performances de Microsoft Defender Antivirus pour atténuer ces problèmes de performances. L’analyseur de performances de Microsoft est un outil en ligne de commande PowerShell qui permet de déterminer quels fichiers, chemins d’accès de fichiers, processus et extensions de fichier peuvent être à l’origine de problèmes de performances . voici quelques exemples :

  • Principaux chemins d’accès qui ont un impact sur la durée d’analyse
  • Principaux fichiers qui ont un impact sur la durée de l’analyse
  • Principaux processus qui ont un impact sur le temps d’analyse
  • Principales extensions de fichier qui ont un impact sur la durée de l’analyse
  • Combinaisons : par exemple :
    • fichiers principaux par extension
    • principaux chemins d’accès par extension
    • principaux processus par chemin d’accès
    • principales analyses par fichier
    • principales analyses par fichier et par processus

Vous pouvez utiliser les informations collectées à l’aide de l’Analyseur de performances pour mieux évaluer les problèmes de performances et appliquer des actions de correction. Consultez : Analyseur de performances pour Microsoft Defender Antivirus.

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.