מצב פתרון בעיות ב- Microsoft Defender עבור נקודת קצה ב- macOS
חל על:
- Microsoft Defender XDR
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור נקודת קצה ב- macOS
רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
מאמר זה מתאר כיצד להפוך את מצב פתרון הבעיות לזמין ב- Microsoft Defender עבור נקודת קצה ב- macOS כדי שמנהלי מערכת יוכלו לפתור בעיות בתכונות שונות של אנטי-וירוס של Microsoft Defender באופן זמני, גם אם מדיניות ארגונית מנהלת את המכשירים.
לדוגמה, אם ההגנה מפני טיפול שלא כדין זמינה, לא ניתן לשנות או לכבות הגדרות מסוימות, אך באפשרותך להשתמש במצב פתרון בעיות במכשיר כדי לערוך הגדרות אלה באופן זמני.
מצב פתרון בעיות אינו זמין כברירת מחדל, ודורש ממך להפעיל אותו עבור מכשיר (ו/או קבוצת מכשירים) לזמן מוגבל. מצב פתרון בעיות הוא תכונה לארגונים בלבד בלבד ודורש גישה Microsoft Defender לפורטל.
מה עליך לדעת לפני שתתחיל
במהלך מצב פתרון הבעיות, באפשרותך לבצע את הפעולות הבאות:
השתמש Microsoft Defender עבור נקודת קצה בעיות פונקציונליות /תאימות יישומים של macOS (תוצאות חיוביות מוטעות).
מנהלי מערכת מקומיים, בעלי הרשאות מתאימות, יכולים לשנות את תצורות המדיניות הנעולות הבאות ב נקודות קצה בודדות:
הגדרה לאפשר הפוך ללא זמין/הסר Real-Time הגנה/ מצב פאסיבי / לפי דרישה mdatp config real-time-protection --value enabled
mdatp config real-time-protection --value disabled
הגנת רשת mdatp config network-protection enforcement-level --value block
mdatp config network-protection enforcement-level --value disabled
realTimeProtectionStatistics mdatp config real-time-protection-statistics --value enabled
mdatp config real-time-protection-statistics --value disabled
תגיות mdatp edr tag set --name GROUP --value [name]
mdatp edr tag remove --tag-name [name]
מזהה קבוצה mdatp edr group-ids --group-id [group]
DLP של נקודת קצה mdatp config data_loss_prevention --value enabled
mdatp config data_loss_prevention --value disabled
במהלך מצב פתרון בעיות, לא ניתן:
- הפוך הגנה מפני טיפול שלא כדין Microsoft Defender עבור נקודת קצה ב- macOS.
- הסר את ההתקנה Microsoft Defender עבור נקודת קצה ב- macOS.
דרישות מוקדמות
- גירסה נתמכת של macOS עבור Microsoft Defender עבור נקודת קצה.
- Microsoft Defender עבור נקודת קצה להיות רשום לדייר ופעיל במכשיר.
- הרשאות עבור 'ניהול הגדרות אבטחה במרכז האבטחה' Microsoft Defender עבור נקודת קצה.
- גירסת עדכון פלטפורמה: 101.23122.0005 ואילך.
הפיכת מצב פתרון בעיות לזמין ב- macOS
עבור אל Microsoft Defender והיכנס.
נווט אל דף המכשיר שברצונך להפעיל את מצב פתרון בעיות. לאחר מכן, בחר את שלוש הנקודות(...) ובחר הפעל מצב פתרון בעיות.
הערה
האפשרות הפעל מצב פתרון בעיות זמינה בכל המכשירים, גם אם המכשיר אינו עומד בדרישות המוקדמות עבור מצב פתרון בעיות.
קרא את המידע המוצג בחלונית ולאחר שאתה מוכן, בחר שלח כדי לאשר שברצונך להפעיל מצב פתרון בעיות עבור מכשיר זה.
תראה שייתכן שיחלפו כמה דקות עד שהשינוי ייכנס לתוקף של טקסט שמוצג. במהלך זמן זה, כאשר תבחר שוב את שלוש הנקודות, תראה את האפשרות הפעל מצב פתרון בעיות במצב ממתין מופיעה באפור.
לאחר ההשלמה, דף המכשיר מראה שהמכשיר נמצא כעת במצב פתרון בעיות.
אם משתמש הקצה מחובר למכשיר macOS, הוא יוכל לראות את הטקסט הבא:
מצב פתרון בעיות הופעל. מצב זה מאפשר לך לשנות באופן זמני הגדרות המנוהלות על-ידי מנהל המערכת שלך. התוקף יפוג ב- YEAR-MM-DDTHH:MM:SSZ.
בחר אישור.
לאחר ההפעלה, תוכל לבדוק את אפשרויות שורת הפקודה השונות שניתן לעבור שמאלה במצב פתרון בעיות (מצב TS).
לדוגמה, בעת שימוש בפקודה
mdatp config real-time-protection --value disabled
כדי להפוך הגנה בזמן אמת ללא זמינה, תתבקש להזין את הסיסמה שלך. בחר אישור לאחר הזנת הסיסמה שלך.דוח הפלט דומה לצילום המסך הבא יוצג בהפעלת תקינות mdatp
real_time_protection_enabled
עם כ- "false" וtamper_protection
- "block".
שאילתות ציד מתקדמות לזיהוי
קיימות כמה שאילתות ציד מתקדמות שנבנו מראש כדי להעניק לך ניראות לגבי האירועים לפתרון בעיות המתרחשים בסביבה שלך. באפשרותך להשתמש בשאילתות אלה כדי ליצור כללי זיהוי כדי ליצור התראות כאשר מכשירים נמצאים במצב פתרון בעיות.
קבלת אירועי פתרון בעיות עבור מכשיר מסוים
באפשרותך להשתמש בשאילתה הבאה כדי לחפש לפי או על-ידי deviceId
deviceName
הוספת הערות לשורות המתאימות.
//let deviceName = "<deviceName>"; // update with device name
let deviceId = "<deviceID>"; // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
_tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
_tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
_tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource
מכשירים הנמצאים כעת במצב פתרון בעיות
באפשרותך למצוא את המכשירים הנמצאים כעת במצב פתרון בעיות באמצעות השאילתה הבאה:
DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc
ספירת מופעי מצב פתרון בעיות לפי מכשיר
באפשרותך למצוא את מספר המופעים של מצב פתרון בעיות עבור מכשיר באמצעות השאילתה הבאה:
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d) // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_
ספירה כוללת
באפשרותך לדעת את הספירה הכוללת של מופעי מצב פתרון בעיות באמצעות השאילתה הבאה:
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5 // choose your max # of TS mode instances for your time range
תוכן מומלץ
- Microsoft Defender XDR נקודת קצה ב- Mac
- Microsoft Defender XDR עבור שילוב נקודות קצה עם Microsoft Defender XDR עבור יישומי ענן
- למד להכיר את התכונות החדשניות ב- Microsoft Edge
- הגנה על הרשת שלך
- הפעלת הגנת רשת
- הגנה באינטרנט
- יצירת מחוונים
- סינון תוכן באינטרנט
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.
משוב
https://aka.ms/ContentUserFeedback.
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה:שלח והצג משוב עבור