משאבים עבור Microsoft Defender עבור נקודת קצה macOS
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender XDR
רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
איסוף מידע אבחון
אם באפשרותך לשחזר בעיה, הגדל את רמת הרישום, הפעל את המערכת במשך זמן מה ושחזר את רמת הרישום לברירת המחדל.
הגדלת רמת הרישום:
mdatp log level set --level debugLog level configured successfullyשחזור הבעיה
הפעל
sudo mdatp diagnostic createכדי לגבות את Microsoft Defender עבור נקודת קצה הרישום. הקבצים יאוחסנו בתוך ארכיון .zip שלך. פקודה זו תדפיס גם את נתיב הקובץ לגיבוי לאחר שהפעולה תצליח.עצה
כברירת מחדל, יומני אבחון נשמרים ב-
/Library/Application Support/Microsoft/Defender/wdavdiag/. כדי לשנות את מדריך הכתובות שבו נשמרים יומני אבחון,--path [directory]עבור אל הפקודה שלהלן, תוך החלפה[directory]במדריך הכתובות הרצוי.sudo mdatp diagnostic createDiagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"שחזר רמת רישום:
mdatp log level set --level infoLog level configured successfully
בעיות בהתקנת רישום
אם מתרחשת שגיאה במהלך ההתקנה, תוכנית ההתקנה תדווח על כשל כללי בלבד.
יומן הרישום המפורט יישמר ב- /Library/Logs/Microsoft/mdatp/install.log. אם אתה נתקל בבעיות במהלך ההתקנה, שלח לנו קובץ זה כדי שנוכל לעזור באבחון הסיבה.
לפתרון בעיות התקנה נוספות, עיין בפתרון בעיות התקנה עבור Microsoft Defender עבור נקודת קצה ב- macOS
הסרת התקנה
הערה
לפני הסרת Microsoft Defender עבור נקודת קצה ב- macOS, הסר את ההתקנה לכל מכשיר שאינו מכשיר Windows.
קיימות כמה דרכים להסרת ההתקנה Microsoft Defender עבור נקודת קצה ב- macOS. שים לב כי למרות שהסרת התקנה המנוהלת באופן מרכזי זמינה ב- JAMF, היא עדיין אינה זמינה עבור Microsoft Intune.
הסרת התקנה אינטראקטיבית
- פתח את יישומי Finder>. לחץ באמצעות לחצן העכבר הימני Microsoft Defender עבור נקודת קצה > Move to Trash (העבר לאשפה).
סוגי פלט נתמכים
תומך בסוגי פלט של טבלה ותבנית JSON. עבור כל פקודה, קיים אופן פעולה המהווה ברירת מחדל של פלט. באפשרותך לשנות את הפלט בתבנית הפלט המועדפת עליך באמצעות הפקודות הבאות:
-output json
-output table
משורת הפקודה
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
שימוש ב- JAMF Pro
כדי להסיר Microsoft Defender עבור נקודת קצה ב- macOS באמצעות JAMF Pro, העלה את פרופיל ההסרה.
יש להעלות את פרופיל ההסתטבה ללא שינויים, כאשר Preference Domain name מוגדר ל- com.microsoft.wdav.atp.offboarding:
קביעת תצורה משורת הפקודה
ניתן לבצע משימות חשובות, כגון שליטה בהגדרות המוצר והפעלת סריקות לפי דרישה, משורת הפקודה:
| קבוצה | תרחיש | הפקודה |
|---|---|---|
| תצורה | הפעלה/ביטול של מצב אנטי-וירוס פאסיבי | mdatp config passive-mode --value [enabled/disabled] |
| תצורה | הפעלה/ביטול של הגנה בזמן אמת | mdatp config real-time-protection --value [enabled/disabled] |
| תצורה | הפעלה/כיבוי של הגנה בענן | mdatp config cloud --value [enabled/disabled] |
| תצורה | הפעלה/כיבוי של אבחון מוצרים | mdatp config cloud-diagnostic --value [enabled/disabled] |
| תצורה | הפעלה/ביטול של שליחת דוגמאות אוטומטית | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
| תצורה | הפעלה/ביקורת/כיבוי של הגנת PUA | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
| תצורה | הוספה/הסרה של אי הכללה של אנטי-וירוס עבור תהליך | mdatp exclusion process [add/remove] --path [path-to-process]או mdatp exclusion process [add\|remove] --name [process-name] |
| תצורה | הוספה/הסרה של אי הכללה של אנטי-וירוס עבור קובץ | mdatp exclusion file [add/remove] --path [path-to-file] |
| תצורה | הוספה/הסרה של אי הכללה של אנטי-וירוס עבור ספריה | mdatp exclusion folder [add/remove] --path [path-to-directory] |
| תצורה | הוספה/הסרה של אי הכללה של אנטי-וירוס עבור סיומת קובץ | mdatp exclusion extension [add/remove] --name [extension] |
| תצורה | הצג רשימה של כל הפריטים שאינם נכללים באנטי-וירוס | mdatp exclusion list |
| תצורה | קביעת תצורה של מידת מקביליות לסריקה לפי דרישה | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| תצורה | הפעלה/ביטול של סריקות לאחר עדכוני בינת אבטחה | mdatp config scan-after-definition-update --value [enabled/disabled] |
| תצורה | הפעלה/ביטול של סריקת ארכיון (סריקות לפי דרישה בלבד) | mdatp config scan-archives --value [enabled/disabled] |
| תצורה | הפעלה/ביטול של חישוב Hash של קבצים | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| הגנה | סריקת נתיב | mdatp scan custom --path [path] [--ignore-exclusions] |
| הגנה | בצע סריקה מהירה | mdatp scan quick |
| הגנה | בצע סריקה מלאה | mdatp scan full |
| הגנה | ביטול סריקה מתמשכת לפי דרישה | mdatp scan cancel |
| הגנה | בקש עדכון בינת אבטחה | mdatp definitions update |
| תצורה | הוספת שם איום לרשימה המותרת | mdatp threat allowed add --name [threat-name] |
| תצורה | הסרת שם איום מהרשימה המותרת | mdatp threat allowed remove --name [threat-name] |
| תצורה | הצג רשימה של כל שמות האיומים המותרים | mdatp threat allowed list |
| היסטוריית הגנה | הדפסת היסטוריית ההגנה המלאה | mdatp threat list |
| היסטוריית הגנה | קבל פרטי איום | mdatp threat get --id [threat-id] |
| ניהול הסגר | רשימת כל הקבצים שהועברו להסגר | mdatp threat quarantine list |
| ניהול הסגר | הסרת כל הקבצים מהסגר | mdatp threat quarantine remove-all |
| ניהול הסגר | הוספת קובץ שזוהה כאיום להסגר | mdatp threat quarantine add --id [threat-id] |
| ניהול הסגר | הסרת קובץ שזוהה כאיום מהסגר | mdatp threat quarantine remove --id [threat-id] |
| ניהול הסגר | שחזר קובץ מהסגר. זמין ב- Defender עבור גירסת נקודת קצה נמוכה מ- 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| ניהול הסגר | שחזר קובץ מהסגר באמצעות מזהה איום. זמין ב- Defender עבור נקודת קצה גירסה 101.23092.0012 ואילך. | mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder] |
| ניהול הסגר | שחזר קובץ מהסגר באמצעות נתיב מקורי של איום. זמין ב- Defender עבור נקודת קצה גירסה 101.23092.0012 ואילך. | mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| תצורת הגנת רשת | קביעת התצורה של רמת אכיפת ההגנה על הרשת | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
| ניהול הגנת רשת | בדוק שההגנה על הרשת הופעלה בהצלחה | mdatp health --field network_protection_status |
| ניהול בקרת מכשירים | האם 'בקרת מכשירים' זמינה ומהי אכיפת ברירת המחדל? | mdatp device-control policy preferences list |
| ניהול בקרת מכשירים | איזו מדיניות בקרת מכשיר זמינה? | mdatp device-control policy rules list |
| ניהול בקרת מכשירים | אילו קבוצות מדיניות של בקרת מכשירים זמינות? | mdatp device-control policy groups list |
| תצורה | הפעלה/ביטול של מניעת אובדן נתונים | mdatp config data_loss_prevention --value [enabled/disabled] |
| אבחון | שינוי רמת יומן הרישום | mdatp log level set --level [error/warning/info/verbose] |
| אבחון | יצירת יומני אבחון | mdatp diagnostic create --path [directory] |
| תקינות | בדוק את תקינות המוצר | mdatp health |
| תקינות | בדוק אם קיימת תכונת מוצר ספציפית | mdatp health --field [attribute: healthy/licensed/engine_version...] |
| EDR (EDR) | אי הכללות ברשימת EDR (בסיס) | mdatp edr exclusion list [processes|paths|extensions|all] |
| EDR (EDR) | הגדר/הסר תג, רק GROUP נתמך | mdatp edr tag set --name GROUP --value [name] |
| EDR (EDR) | הסר תגית קבוצה מהמכשיר | mdatp edr tag remove --tag-name [name] |
| EDR (EDR) | הוספת מזהה קבוצה | mdatp edr group-ids --group-id [group] |
כיצד להפוך השלמה אוטומטית לזמינה
כדי להפוך השלמה אוטומטית לזמינה ב- bash, הפעל את הפקודה הבאה והפעל מחדש את הפעלת המסוף:
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
כדי להפוך השלמה אוטומטית לזמינה ב- zsh:
בדוק אם השלמה אוטומטית זמינה במכשיר שלך:
cat ~/.zshrc | grep autoloadאם הפקודה הקודמת אינה מפיקה פלט כלשהו, באפשרותך להפוך השלמה אוטומטית לזמינה באמצעות הפקודה הבאה:
echo "autoload -Uz compinit && compinit" >> ~/.zshrcהפעל את הפקודות הבאות כדי להפוך את ההשלמה האוטומטית לזמינה עבור Microsoft Defender עבור נקודת קצה ב- macOS והפעל מחדש את הפעלת המסוף:
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
ספריית Microsoft Defender עבור נקודת קצה להסגר של לקוח
/Library/Application Support/Microsoft/Defender/quarantine/ מכיל את הקבצים שהועברו להסגר על-ידי mdatp. הקבצים נקראים על שם מזהה המעקב של האיומים. מזהה המעקב הנוכחי מוצג עם mdatp threat list.
Microsoft Defender עבור נקודת קצה מפורט
The Microsoft Defender עבור נקודת קצה blog, EDR capabilities for macOS have now arrived provides detailed guidance on what to expect.
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור