Ressources pour Microsoft Defender pour point de terminaison sur macOS
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Collecte des informations de diagnostic
Si vous pouvez reproduire un problème, augmentez le niveau de journalisation, exécutez le système pendant un certain temps et restaurez le niveau de journalisation par défaut.
Augmenter le niveau de journalisation :
mdatp log level set --level debugLog level configured successfullyReproduire le problème
Exécutez
sudo mdatp diagnostic createpour sauvegarder les journaux Microsoft Defender pour point de terminaison. Les fichiers seront stockés dans une archive .zip. Cette commande affiche également le chemin d’accès du fichier à la sauvegarde une fois l’opération réussie.Conseil
Par défaut, les journaux de diagnostic sont enregistrés dans
/Library/Application Support/Microsoft/Defender/wdavdiag/. Pour modifier le répertoire dans lequel les journaux de diagnostic sont enregistrés--path [directory], passez à la commande ci-dessous, en remplaçant par[directory]le répertoire souhaité.sudo mdatp diagnostic createDiagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"Niveau de journalisation de restauration :
mdatp log level set --level infoLog level configured successfully
Problèmes d’installation de journalisation
Si une erreur se produit pendant l’installation, le programme d’installation signale uniquement une défaillance générale.
Le journal détaillé sera enregistré dans /Library/Logs/Microsoft/mdatp/install.log. Si vous rencontrez des problèmes lors de l’installation, envoyez-nous ce fichier afin que nous puissions vous aider à diagnostiquer la cause.
Pour plus d’informations sur la résolution des problèmes d’installation, consultez Résoudre les problèmes d’installation de Microsoft Defender pour point de terminaison sur macOS
Désinstallation
Remarque
Avant de désinstaller Microsoft Defender pour point de terminaison sur macOS, veuillez désactiver l’intégration par appareil non-Windows.
Il existe plusieurs façons de désinstaller Microsoft Defender pour point de terminaison sur macOS. Notez que bien que la désinstallation gérée de manière centralisée soit disponible sur JAMF, elle n’est pas encore disponible pour Microsoft Intune.
Désinstallation interactive
- Ouvrez Finder > Applications. Cliquez avec le bouton droit sur Microsoft Defender pour point de terminaison > Déplacer vers la Corbeille.
Types de sortie pris en charge
Prend en charge les types de sortie au format table et JSON. Pour chaque commande, il existe un comportement de sortie par défaut. Vous pouvez modifier la sortie dans votre format de sortie préféré à l’aide des commandes suivantes :
-output json
-output table
À partir de la ligne de commande
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
Utilisation de JAMF Pro
Pour désinstaller Microsoft Defender pour point de terminaison sur macOS à l’aide de JAMF Pro, chargez le profil de désintégération.
Le profil de désintéglage doit être chargé sans aucune modification et avec le nom de domaine de préférence défini sur com.microsoft.wdav.atp.offboarding :
Configuration à partir de la ligne de commande
Les tâches importantes, telles que le contrôle des paramètres du produit et le déclenchement d’analyses à la demande, peuvent être effectuées à partir de la ligne de commande :
| Group | Scénario | Command |
|---|---|---|
| Configuration | Activer/désactiver le mode passif antivirus | mdatp config passive-mode --value [enabled/disabled] |
| Configuration | Activer/désactiver la protection en temps réel | mdatp config real-time-protection --value [enabled/disabled] |
| Configuration | Activer/désactiver la protection cloud | mdatp config cloud --value [enabled/disabled] |
| Configuration | Activer/désactiver le diagnostics de produit | mdatp config cloud-diagnostic --value [enabled/disabled] |
| Configuration | Activer/désactiver l’envoi automatique d’exemples | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
| Configuration | Activer/auditer/désactiver la protection puA | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
| Configuration | Ajouter/supprimer une exclusion antivirus pour un processus | mdatp exclusion process [add/remove] --path [path-to-process]Ou mdatp exclusion process [add\|remove] --name [process-name] |
| Configuration | Ajouter/supprimer une exclusion antivirus pour un fichier | mdatp exclusion file [add/remove] --path [path-to-file] |
| Configuration | Ajouter/supprimer une exclusion antivirus pour un répertoire | mdatp exclusion folder [add/remove] --path [path-to-directory] |
| Configuration | Ajouter/supprimer une exclusion antivirus pour une extension de fichier | mdatp exclusion extension [add/remove] --name [extension] |
| Configuration | Répertorier toutes les exclusions antivirus | mdatp exclusion list |
| Configuration | Configurer le degré de parallélisme pour les analyses à la demande | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Configuration | Activer/désactiver les analyses après les mises à jour du renseignement de sécurité | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Configuration | Activer/désactiver l’analyse des archives (analyses à la demande uniquement) | mdatp config scan-archives --value [enabled/disabled] |
| Configuration | Activer/désactiver le calcul de hachage de fichier | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Protection | Analyser un chemin d’accès | mdatp scan custom --path [path] [--ignore-exclusions] |
| Protection | Effectuer une analyse rapide | mdatp scan quick |
| Protection | Effectuer une analyse complète | mdatp scan full |
| Protection | Annuler une analyse à la demande en cours | mdatp scan cancel |
| Protection | Demander une mise à jour du renseignement de sécurité | mdatp definitions update |
| Configuration | Ajouter un nom de menace à la liste autorisée | mdatp threat allowed add --name [threat-name] |
| Configuration | Supprimer un nom de menace de la liste autorisée | mdatp threat allowed remove --name [threat-name] |
| Configuration | Répertorier tous les noms de menaces autorisés | mdatp threat allowed list |
| Historique de protection | Imprimer l’historique de protection complet | mdatp threat list |
| Historique de protection | Obtenir les détails des menaces | mdatp threat get --id [threat-id] |
| Gestion de la quarantaine | Répertorier tous les fichiers mis en quarantaine | mdatp threat quarantine list |
| Gestion de la quarantaine | Supprimer tous les fichiers de la mise en quarantaine | mdatp threat quarantine remove-all |
| Gestion de la quarantaine | Ajouter un fichier détecté comme une menace à la mise en quarantaine | mdatp threat quarantine add --id [threat-id] |
| Gestion de la quarantaine | Supprimer de la quarantaine un fichier détecté comme une menace | mdatp threat quarantine remove --id [threat-id] |
| Gestion de la quarantaine | Restaurer un fichier à partir de la mise en quarantaine. Disponible dans Defender pour point de terminaison version antérieure à 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Gestion de la quarantaine | Restaurez un fichier à partir de la quarantaine avec l’ID de menace. Disponible dans Defender pour point de terminaison version 101.23092.0012 ou ultérieure. | mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Gestion de la quarantaine | Restaurez un fichier à partir de la quarantaine avec le chemin d’origine de la menace. Disponible dans Defender pour point de terminaison version 101.23092.0012 ou ultérieure. | mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Configuration de la protection réseau | Configurer le niveau d’application de la protection réseau | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
| Gestion de la protection réseau | Vérifier que la protection du réseau a été correctement démarrée | mdatp health --field network_protection_status |
| Gestion du contrôle d’appareil | Le contrôle d’appareil est-il activé et quelle est l’application par défaut ? | mdatp device-control policy preferences list |
| Gestion du contrôle d’appareil | Quelle stratégie de contrôle d’appareil est activée ? | mdatp device-control policy rules list |
| Gestion du contrôle d’appareil | Quels groupes de stratégies Device Control sont activés ? | mdatp device-control policy groups list |
| Configuration | Activer/désactiver la protection contre la perte de données | mdatp config data_loss_prevention --value [enabled/disabled] |
| Diagnostics | Modifier le niveau du journal | mdatp log level set --level [error/warning/info/verbose] |
| Diagnostics | Générer des journaux de diagnostic | mdatp diagnostic create --path [directory] |
| Intégrité | Vérifier l’intégrité du produit | mdatp health |
| Intégrité | Rechercher un attribut de produit spécifique | mdatp health --field [attribute: healthy/licensed/engine_version...] |
| EDR | Exclusions de liste EDR (racine) | mdatp edr exclusion list [processes|paths|extensions|all] |
| EDR | Définir/supprimer une balise, uniquement GROUP pris en charge | mdatp edr tag set --name GROUP --value [name] |
| EDR | Supprimer l’étiquette de groupe de l’appareil | mdatp edr tag remove --tag-name [name] |
| EDR | Ajouter un ID de groupe | mdatp edr group-ids --group-id [group] |
Comment activer l’autocompletion
Pour activer la saisie semi-automatique dans bash, exécutez la commande suivante et redémarrez la session Terminal :
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
Pour activer la saisie semi-automatique dans zsh :
Vérifiez si l’autocomplétion est activée sur votre appareil :
cat ~/.zshrc | grep autoloadSi la commande précédente ne produit aucune sortie, vous pouvez activer la saisie semi-automatique à l’aide de la commande suivante :
echo "autoload -Uz compinit && compinit" >> ~/.zshrcExécutez les commandes suivantes pour activer la saisie automatique pour Microsoft Defender pour point de terminaison sur macOS et redémarrez la session Terminal :
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
Répertoire de mise en quarantaine du client Microsoft Defender pour point de terminaison
/Library/Application Support/Microsoft/Defender/quarantine/ contient les fichiers mis en quarantaine par mdatp. Les fichiers sont nommés d’après l’Id de suivi des menaces. Les trackingIds actuels sont affichés avec mdatp threat list.
Microsoft Defender pour point de terminaison les informations du portail
Le Microsoft Defender pour point de terminaison blog, les fonctionnalités EDR pour macOS sont maintenant arrivées fournit des conseils détaillés sur ce à quoi s’attendre.
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour