מצב פתרון בעיות ב- Microsoft Defender עבור נקודת קצה ב- macOS

חל על:

• Microsoft Defender XDR
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור נקודת קצה ב- macOS

רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

מאמר זה מתאר כיצד להפוך את מצב פתרון הבעיות לזמין ב- Microsoft Defender עבור נקודת קצה ב- macOS כדי שמנהלי מערכת יוכלו לפתור בעיות בתכונות שונות של אנטי-וירוס של Microsoft Defender באופן זמני, גם אם מדיניות ארגונית מנהלת את המכשירים.

לדוגמה, אם ההגנה מפני טיפול שלא כדין זמינה, לא ניתן לשנות או לכבות הגדרות מסוימות, אך באפשרותך להשתמש במצב פתרון בעיות במכשיר כדי לערוך הגדרות אלה באופן זמני.

מצב פתרון בעיות אינו זמין כברירת מחדל, ודורש ממך להפעיל אותו עבור מכשיר (ו/או קבוצת מכשירים) לזמן מוגבל. מצב פתרון בעיות הוא תכונה לארגונים בלבד בלבד ודורש גישה Microsoft Defender לפורטל.

מה עליך לדעת לפני שתתחיל

במהלך מצב פתרון הבעיות, באפשרותך לבצע את הפעולות הבאות:

• השתמש Microsoft Defender עבור נקודת קצה בעיות פונקציונליות /תאימות יישומים של macOS (תוצאות חיוביות מוטעות).

• מנהלי מערכת מקומיים, בעלי הרשאות מתאימות, יכולים לשנות את תצורות המדיניות הנעולות הבאות ב נקודות קצה בודדות:

  הגדרה	לאפשר	הפוך ללא זמין/הסר
  Real-Time הגנה/ מצב פאסיבי / לפי דרישה	mdatp config real-time-protection --value enabled	mdatp config real-time-protection --value disabled
  הגנת רשת	mdatp config network-protection enforcement-level --value block	mdatp config network-protection enforcement-level --value disabled
  realTimeProtectionStatistics	mdatp config real-time-protection-statistics --value enabled	mdatp config real-time-protection-statistics --value disabled
  תגיות	mdatp edr tag set --name GROUP --value [name]	mdatp edr tag remove --tag-name [name]
  מזהה קבוצה	mdatp edr group-ids --group-id [group]
  DLP של נקודת קצה	mdatp config data_loss_prevention --value enabled	mdatp config data_loss_prevention --value disabled

במהלך מצב פתרון בעיות, לא ניתן:

• הפוך הגנה מפני טיפול שלא כדין Microsoft Defender עבור נקודת קצה ב- macOS.
• הסר את ההתקנה Microsoft Defender עבור נקודת קצה ב- macOS.

דרישות מוקדמות

• גירסה נתמכת של macOS עבור Microsoft Defender עבור נקודת קצה.
• Microsoft Defender עבור נקודת קצה להיות רשום לדייר ופעיל במכשיר.
• הרשאות עבור 'ניהול הגדרות אבטחה במרכז האבטחה' Microsoft Defender עבור נקודת קצה.
• גירסת עדכון פלטפורמה: 101.23122.0005 ואילך.

הפיכת מצב פתרון בעיות לזמין ב- macOS

1. עבור אל Microsoft Defender והיכנס.

2. נווט אל דף המכשיר שברצונך להפעיל את מצב פתרון בעיות. לאחר מכן, בחר את שלוש הנקודות(...) ובחר הפעל מצב פתרון בעיות.

   

   הערה

   האפשרות הפעל מצב פתרון בעיות זמינה בכל המכשירים, גם אם המכשיר אינו עומד בדרישות המוקדמות עבור מצב פתרון בעיות.

3. קרא את המידע המוצג בחלונית ולאחר שאתה מוכן, בחר שלח כדי לאשר שברצונך להפעיל מצב פתרון בעיות עבור מכשיר זה.

4. תראה שייתכן שיחלפו כמה דקות עד שהשינוי ייכנס לתוקף של טקסט שמוצג. במהלך זמן זה, כאשר תבחר שוב את שלוש הנקודות, תראה את האפשרות הפעל מצב פתרון בעיות במצב ממתין מופיעה באפור.

5. לאחר ההשלמה, דף המכשיר מראה שהמכשיר נמצא כעת במצב פתרון בעיות.

   אם משתמש הקצה מחובר למכשיר macOS, הוא יוכל לראות את הטקסט הבא:

   מצב פתרון בעיות הופעל. מצב זה מאפשר לך לשנות באופן זמני הגדרות המנוהלות על-ידי מנהל המערכת שלך. התוקף יפוג ב- YEAR-MM-DDTHH:MM:SSZ.

   בחר אישור.

6. לאחר ההפעלה, תוכל לבדוק את אפשרויות שורת הפקודה השונות שניתן לעבור שמאלה במצב פתרון בעיות (מצב TS).

   לדוגמה, בעת שימוש בפקודה mdatp config real-time-protection --value disabled כדי להפוך הגנה בזמן אמת ללא זמינה, תתבקש להזין את הסיסמה שלך. בחר אישור לאחר הזנת הסיסמה שלך.

   

   דוח הפלט דומה לצילום המסך הבא יוצג בהפעלת תקינות mdatp real_time_protection_enabled עם כ- "false" ו tamper_protection - "block".

   

שאילתות ציד מתקדמות לזיהוי

קיימות כמה שאילתות ציד מתקדמות שנבנו מראש כדי להעניק לך ניראות לגבי האירועים לפתרון בעיות המתרחשים בסביבה שלך. באפשרותך להשתמש בשאילתות אלה כדי ליצור כללי זיהוי כדי ליצור התראות כאשר מכשירים נמצאים במצב פתרון בעיות.

קבלת אירועי פתרון בעיות עבור מכשיר מסוים

באפשרותך להשתמש בשאילתה הבאה כדי לחפש לפי או על-ידי deviceIddeviceName הוספת הערות לשורות המתאימות.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

מכשירים הנמצאים כעת במצב פתרון בעיות

באפשרותך למצוא את המכשירים הנמצאים כעת במצב פתרון בעיות באמצעות השאילתה הבאה:

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

ספירת מופעי מצב פתרון בעיות לפי מכשיר

באפשרותך למצוא את מספר המופעים של מצב פתרון בעיות עבור מכשיר באמצעות השאילתה הבאה:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

ספירה כוללת

באפשרותך לדעת את הספירה הכוללת של מופעי מצב פתרון בעיות באמצעות השאילתה הבאה:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

תוכן מומלץ

• Microsoft Defender XDR נקודת קצה ב- Mac
• Microsoft Defender XDR עבור שילוב נקודות קצה עם Microsoft Defender XDR עבור יישומי ענן
• למד להכיר את התכונות החדשניות ב- Microsoft Edge
• הגנה על הרשת שלך
• הפעלת הגנת רשת
• הגנה באינטרנט
• יצירת מחוונים
• סינון תוכן באינטרנט

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.