משאבים עבור Microsoft Defender עבור נקודת קצה macOS
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender XDR
רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
איסוף מידע אבחון
אם באפשרותך לשחזר בעיה, הגדל את רמת הרישום, הפעל את המערכת במשך זמן מה ולאחר מכן שחזר את רמת הרישום לברירת המחדל.
הגדלת רמת הרישום:
mdatp log level set --level debugLog level configured successfullyלשחזר את הבעיה.
הפעל
sudo mdatp diagnostic createכדי לגבות את Microsoft Defender עבור נקודת קצה הרישום. הקבצים מאוחסנים בתוך.zipארכיון. פקודה זו גם מדפיסה את נתיב הקובץ לגיבוי לאחר שהפעולה מצליחה.עצה
כברירת מחדל, יומני אבחון נשמרים ב-
/Library/Application Support/Microsoft/Defender/wdavdiag/. כדי לשנות את מדריך הכתובות שבו נשמרים יומני אבחון,--path [directory]עבור אל הפקודה שלהלן, תוך החלפה[directory]במדריך הכתובות הרצוי.sudo mdatp diagnostic createDiagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"שחזר רמת רישום.
mdatp log level set --level infoLog level configured successfully
בעיות בהתקנת רישום
אם מתרחשת שגיאה במהלך ההתקנה, תוכנית ההתקנה מדווחת על כשל כללי בלבד. יומן הרישום המפורט נשמר ב- /Library/Logs/Microsoft/mdatp/install.log. אם אתה נתקל בבעיות במהלך ההתקנה, שלח לנו קובץ זה בעת פתיחת מקרה התמיכה שלך כדי שנוכל לעזור באבחון הגורם לכך.
לפתרון בעיות התקנה נוספות, ראה פתרון בעיות התקנה עבור Microsoft Defender עבור נקודת קצה ב- macOS.
קביעת תצורה משורת הפקודה
סוגי פלט נתמכים
תומך בסוגי פלט של טבלה ותבנית JSON. עבור כל פקודה, קיים אופן פעולה המהווה ברירת מחדל של פלט. באפשרותך לשנות את הפלט בתבנית הפלט המועדפת עליך באמצעות הפקודות הבאות:
-output json
-output table
ניתן לבצע משימות חשובות, כגון שליטה בהגדרות המוצר והפעלת סריקות לפי דרישה, באמצעות שורת הפקודה:
| קבוצה | תרחיש | פקודה |
|---|---|---|
| תצורה | הפעלה/ביטול של אנטי-וירוס במצב פאסיבי | mdatp config passive-mode --value [enabled/disabled] |
| תצורה | הפעלה/ביטול של הגנה בזמן אמת | mdatp config real-time-protection --value [enabled/disabled] |
| תצורה | הפעלה/ביטול של ניטור אופן פעולה | mdatp config behavior-monitoring --value [enabled/disabled] |
| תצורה | הפעלה/כיבוי של הגנה בענן | mdatp config cloud --value [enabled/disabled] |
| תצורה | הפעלה/כיבוי של אבחון מוצרים | mdatp config cloud-diagnostic --value [enabled/disabled] |
| תצורה | הפעלה/ביטול של שליחת דוגמאות אוטומטית | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
| תצורה | הפעלה/ביקורת/כיבוי של הגנת PUA | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
| תצורה | הוספה/הסרה של אי הכללה של אנטי-וירוס עבור תהליך |
mdatp exclusion process [add/remove] --path [path-to-process]או mdatp exclusion process [add\|remove] --name [process-name] |
| תצורה | הוספה/הסרה של אי הכללה של אנטי-וירוס עבור קובץ | mdatp exclusion file [add/remove] --path [path-to-file] |
| תצורה | הוספה/הסרה של אי הכללה של אנטי-וירוס עבור ספריה | mdatp exclusion folder [add/remove] --path [path-to-directory] |
| תצורה | הוספה/הסרה של אי הכללה של אנטי-וירוס עבור סיומת קובץ | mdatp exclusion extension [add/remove] --name [extension] |
| תצורה | הצג רשימה של כל הפריטים שאינם נכללים באנטי-וירוס | mdatp exclusion list |
| תצורה | קביעת תצורה של מידת מקביליות לסריקה לפי דרישה | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| תצורה | הפעלה/ביטול של סריקות לאחר עדכוני בינת אבטחה | mdatp config scan-after-definition-update --value [enabled/disabled] |
| תצורה | הפעלה/ביטול של סריקת ארכיון (סריקות לפי דרישה בלבד) | mdatp config scan-archives --value [enabled/disabled] |
| תצורה | הפעלה/ביטול של חישוב Hash של קבצים | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| הגנה | סריקת נתיב | mdatp scan custom --path [path] [--ignore-exclusions] |
| הגנה | בצע סריקה מהירה | mdatp scan quick |
| הגנה | בצע סריקה מלאה | mdatp scan full |
| הגנה | ביטול סריקה מתמשכת לפי דרישה | mdatp scan cancel |
| הגנה | בקש עדכון בינת אבטחה | mdatp definitions update |
| תצורה | הוספת שם איום לרשימה המותרת | mdatp threat allowed add --name [threat-name] |
| תצורה | הסרת שם איום מהרשימה המותרת | mdatp threat allowed remove --name [threat-name] |
| תצורה | הצג רשימה של כל שמות האיומים המותרים | mdatp threat allowed list |
| היסטוריית הגנה | הדפסת היסטוריית ההגנה המלאה | mdatp threat list |
| היסטוריית הגנה | קבל פרטי איום | mdatp threat get --id [threat-id] |
| ניהול הסגר | רשימת כל הקבצים שהועברו להסגר | mdatp threat quarantine list |
| ניהול הסגר | הסרת כל הקבצים מהסגר | mdatp threat quarantine remove-all |
| ניהול הסגר | הוספת קובץ שזוהה כאיום להסגר | mdatp threat quarantine add --id [threat-id] |
| ניהול הסגר | הסרת קובץ שזוהה כאיום מהסגר | mdatp threat quarantine remove --id [threat-id] |
| ניהול הסגר | שחזר קובץ מהסגר. זמין ב- Defender for Endpoint גירסה לפני 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| ניהול הסגר | שחזר קובץ מהסגר באמצעות מזהה איום. זמין ב- Defender for Endpoint גירסה 101.23092.0012 ואילך. | mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder] |
| ניהול הסגר | שחזר קובץ מהסגר באמצעות נתיב מקורי של איום. זמין ב- Defender for Endpoint גירסה 101.23092.0012 ואילך. | mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| תצורת הגנת רשת | קביעת התצורה של רמת אכיפת ההגנה על הרשת | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
| ניהול הגנת רשת | בדוק שהגנת הרשת הופעלה בהצלחה | mdatp health --field network_protection_status |
| ניהול בקרת מכשירים | האם 'בקרת מכשירים' זמינה ומהי אכיפת ברירת המחדל? | mdatp device-control policy preferences list |
| ניהול בקרת מכשירים | איזו מדיניות בקרת מכשיר זמינה? | mdatp device-control policy rules list |
| ניהול בקרת מכשירים | אילו קבוצות מדיניות של בקרת מכשירים זמינות? | mdatp device-control policy groups list |
| תצורה | הפעלה/ביטול של מניעת אובדן נתונים | mdatp config data_loss_prevention --value [enabled/disabled] |
| אבחון | שינוי רמת יומן הרישום | mdatp log level set --level [error/warning/info/verbose] |
| אבחון | יצירת יומני אבחון | mdatp diagnostic create --path [directory] |
| תקינות | בדוק את תקינות המוצר | mdatp health |
| תקינות | בדוק אם קיימת תכונת מוצר ספציפית | mdatp health --field [attribute: healthy/licensed/engine_version...] |
| EDR (EDR) | אי הכללות ברשימת EDR (בסיס) | mdatp edr exclusion list [processes|paths|extensions|all] |
| EDR (EDR) | הגדר/הסר תג, רק GROUP נתמך | mdatp edr tag set --name GROUP --value [name] |
| EDR (EDR) | הסר תגית קבוצה מהמכשיר | mdatp edr tag remove --tag-name [name] |
| EDR (EDR) | הוספת מזהה קבוצה | mdatp edr group-ids --group-id [group] |
כיצד להפוך השלמה אוטומטית לזמינה
כדי להפוך השלמה אוטומטית לזמינה ב- bash, הפעל את הפקודה הבאה והפעל מחדש את הפעלת המסוף:
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
כדי להפוך השלמה אוטומטית לזמינה ב- zsh:
בדוק אם השלמה אוטומטית זמינה במכשיר שלך:
cat ~/.zshrc | grep autoloadאם הפקודה הקודמת אינה מפיקה פלט כלשהו, באפשרותך להפוך השלמה אוטומטית לזמינה באמצעות הפקודה הבאה:
echo "autoload -Uz compinit && compinit" >> ~/.zshrcהפעל את הפקודות הבאות כדי להפוך את ההשלמה האוטומטית לזמינה עבור Microsoft Defender עבור נקודת קצה ב- macOS והפעל מחדש את הפעלת המסוף:
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
ספריית Microsoft Defender עבור נקודת קצה להסגר של לקוח
/Library/Application Support/Microsoft/Defender/quarantine/ מכיל את הקבצים שהועברו להסגר על-ידי mdatp. הקבצים נקראים על שם מזהה המעקב של האיומים. מזהה המעקב הנוכחי מוצג עם mdatp threat list.
מסיר התקנה
קיימות כמה דרכים להסרת ההתקנה Microsoft Defender עבור נקודת קצה ב- macOS. למרות שהסרת התקנה המנוהלת באופן מרכזי זמינה ב- JAMF, היא עדיין אינה זמינה עבור Microsoft Intune.
כל הסרת ההתקנה של Microsoft Defender עבור נקודת קצה ב- macOS מחייבת את הפעולות הבאות:
צור תג התקן, תן שם לתגית שהופסקה משירות והקצה אותה ל- macOS Microsoft Defender הסרת ההתקנה של Microsoft Defender עבור macOS.
צור קבוצת מכשירים ותן לה שם (לדוגמה, macOS שהושק משירות) והקצה קבוצת משתמשים שתוכל לראות אותם.
הערה: שלבים 1 ו- 2 הם אופציונליים אם אינך מעוניין לראות מכשירים אלה שהופצו ב"מלאי מכשירים" למשך 180 יום.
הסר את פריטי המדיניות "הגדר העדפות" המכילים הגנה מפני טיפול שלא כדין או באמצעות התצורה הידנית.
כבה כל מכשיר לכל מכשיר שאינו מכשיר Windows.
הסרת ההתקנה Microsoft Defender עבור נקודת קצה עבור יישומי macOS
הסר את המכשיר מהקבוצה עבור מדיניותהרחבות מערכת אם נעשה שימוש ב- MDM כדי להגדיר אותם.
הסרת התקנה אינטראקטיבית
- פתח את יישומי Finder>. לחץ באמצעות לחצן העכבר Microsoft Defender עבור נקודת קצה מכן בחר העבר לאשפה.
משורת הפקודה
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
שימוש ב- JAMF Pro
כדי להסיר Microsoft Defender עבור נקודת קצה ב- macOS באמצעות JAMF Pro, העלה את פרופיל ההסרה.
יש להעלות את פרופיל הה offboarding ללא שינויים, כאשר Preference Domain name com.microsoft.wdav.atp.offboardingמוגדר ל- , כפי שמוצג בתמונה הבאה:
הערה
אם אתה נתקל בבעיות בהסרת ההתקנה של Defender for Endpoint ב- Mac, ואתה רואה בדוחות פריט עבור הרחבת האבטחה של נקודת הקצה של Microsoft Defender, בצע את הפעולות הבאות:
- התקן מחדש את Microsoft Defender האפליקציה.
- גרור Microsoft Defender.app אלTrash (אשפה).
- הפעל פקודה זו:
sudo /Library/Application Support/Microsoft/Defender/uninstall/install_helper execute --path '/Library/Application Support/Microsoft/Defender/uninstall/uninstall' --args --post-uninstall-hook. - הפעל מחדש את המכשיר.
פורטל Microsoft Defender'
כאשר מזוהים איומים, צוות האבטחה שלך יכול להציג זיהויים, וב במידת הצורך, לבצע פעולות תגובה במכשיר בפורטל Microsoft Defender (https://security.microsoft.com). הטבלה Microsoft Defender משלבת הגנה, זיהוי, חקירה ותגובה לאיומים במיקום מרכזי. לקבלת פרטים נוספים, עיינו במקורות הבאים:
- מבט כולל על זיהוי נקודות קצה ותגובה
- בלוג הקהילה הטכנית: יכולות EDR עבור macOS הגיעו עכשיו
- Microsoft Defender כללית של פורטל
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.