Megosztás a következőn keresztül:


Vizsgálatok ütemezése Végponthoz készült Microsoft Defender macOS rendszeren

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

A Végponthoz készült Microsoft Defender beépített vizsgálatának ütemezése macOS rendszeren

Bár a fenyegetésvizsgálatot bármikor elindíthatja a Végponthoz készült Microsoft Defender, a vállalat kihasználhatja az ütemezett vagy időzített vizsgálatokat. Ütemezhet például egy vizsgálatot úgy, hogy minden munkanap vagy hét elején fusson.

Az ütemezett vizsgálatok háromféleképpen konfigurálhatók: óránkénti, napi és heti vizsgálatok. Az óránkénti és a napi ütemezett vizsgálatok mindig gyors vizsgálatként futnak, a heti vizsgálatok gyors vagy teljes vizsgálatra konfigurálhatók. Mindhárom ütemezett vizsgálat egyszerre végezhető el. Tekintse meg a cikkben található mintákat.

Előfeltételek:

Vizsgálat ütemezése Végponthoz készült Microsoft Defender macOS rendszeren

Létrehozhat egy ütemezett vizsgálatot a macOS-hez, amely beépítetten Végponthoz készült Microsoft Defender macOS rendszeren.

Az itt használt fájlformátumról további információt az .plistInformációk tulajdonságlista fájljai című témakörben talál az Apple hivatalos fejlesztői webhelyén.

Az alábbi minta az ütemezett vizsgálat napi és/vagy heti konfigurációját mutatja be macOS rendszeren.

Tipp

Az ütemezések az eszköz helyi időzónáján alapulnak.

Paraméter A paraméter elfogadható értékei a következők:
scheduledScan enabled vagy disabled
scanType quick vagy full
ignoreExclusions true vagy false
lowPriorityScheduledScan true vagy false
dayOfWeek A tartomány és között 08van.
- 0:Mindennapi
- 1:Vasárnap
- 2:Hétfő
- 3:Kedd
- 4:Szerda
- 5:Csütörtök
- 6:Péntek
- 7:Szombat
- 8:Soha
timeOfDay Az ütemezett vizsgálat végrehajtásához a nap időpontját adja meg számként minutes after midnight. Az idő a számítógépen lévő helyi időre vonatkozik. Ha nem ad meg értéket ehhez a paraméterhez, az ütemezett vizsgálat alapértelmezés szerint két órával éjfél után fut le.
interval 0 (soha), every 1 (óra) és every 24 (óra, naponta egy vizsgálat)
randomizeScanStartTime Csak napi gyorsvizsgálatokhoz vagy heti gyors/teljes vizsgálatokhoz alkalmazható. Véletlenszerűsítse a vizsgálat kezdési időpontját megadott számú órával.
Ha például egy vizsgálat délután 2 órára van ütemezve, és randomizeScanStartTime 2-re van állítva, a vizsgálat véletlenszerűen kezdődik 14:00 és 16:00 között.

Az ütemezett vizsgálat a -ben megadott dátumon, időpontban és gyakorisággal plistfut.

1. példa: Napi gyorsvizsgálat és heti teljes vizsgálat ütemezése plist használatával

A következő példában a napi gyorsvizsgálati konfiguráció úgy van beállítva, hogy éjfél után 885 perccel (14:45) fusson. A heti konfiguráció úgy van beállítva, hogy teljes vizsgálatot futtasson szerdán éjfél után 880 perccel (14:40- kor). Úgy van beállítva, hogy figyelmen kívül hagyja a kizárásokat, és alacsony prioritású vizsgálatot futtasson.

Az alábbi kód azt a sémát mutatja be, amelyet a vizsgálatok ütemezéséhez a korábban említett követelményeknek megfelelően kell használnia.

  1. Nyisson meg egy szövegszerkesztőt, és használja ezt a példát útmutatóként a saját ütemezett vizsgálati fájljához.

Intune

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
    <key>PayloadUUID</key>
    <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadOrganization</key>
    <string>Microsoft</string>
    <key>PayloadIdentifier</key>
    <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
    <key>PayloadDisplayName</key>
    <string>Microsoft Defender for Endpoint settings</string>
    <key>PayloadDescription</key>
    <string>Microsoft Defender for Endpoint configuration settings</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
    <key>PayloadEnabled</key>
    <true/>
    <key>PayloadRemovalDisallowed</key>
    <true/>
    <key>PayloadScope</key>
    <string>System</string>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>PayloadUUID</key>
            <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
            <key>PayloadType</key>
            <string>com.microsoft.wdav</string>
            <key>PayloadOrganization</key>
            <string>Microsoft</string>
            <key>PayloadIdentifier</key>
            <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
            <key>PayloadDisplayName</key>
            <string>Microsoft Defender for Endpoint configuration settings</string>
            <key>PayloadDescription</key>
            <string/>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>PayloadEnabled</key>
            <true/>
            <key>features</key> 
            <dict>
                <key>scheduledScan</key> 
                <string>enabled</string> 
            </dict> 
            <key>scheduledScan</key> 
            <dict> 
                <key>ignoreExclusions</key> 
                <true/> 
                <key>lowPriorityScheduledScan</key> 
                <true/> 
                <key>dailyConfiguration</key> 
                <dict> 
                    <key>timeOfDay</key> 
                    <integer>880</integer> 
                </dict> 
                <key>weeklyConfiguration</key> 
                <dict> 
                    <key>dayOfWeek</key> 
                    <integer>4</integer> 
                    <key>timeOfDay</key> 
                    <integer>885</integer> 
                    <key>scanType</key> 
                    <string>full</string>
                </dict>
            </dict> 
        </dict>
    </array>
</dict> 
</plist>
  1. Mentse a fájlt néven com.microsoft.wdav.mobileconfig.

JamF és más külső MDM-ekhez

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
    <key>features</key> 
    <dict> 
        <key>scheduledScan</key> 
        <string>enabled</string> 
    </dict> 
    <key>scheduledScan</key> 
    <dict> 
        <key>ignoreExclusions</key> 
        <true/> 
        <key>lowPriorityScheduledScan</key> 
        <true/> 
        <key>dailyConfiguration</key> 
        <dict> 
            <key>timeOfDay</key> 
            <integer>885</integer> 
        </dict> 
        <key>weeklyConfiguration</key> 
        <dict> 
            <key>dayOfWeek</key> 
            <integer>4</integer> 
            <key>timeOfDay</key> 
            <integer>880</integer> 
            <key>scanType</key> 
            <string>full</string> 
        </dict> 
    </dict> 
</dict> 
</plist> 
  1. Mentse a fájlt néven com.microsoft.wdav.plist.

  2. Ellenőrizze, hogy az ütemezett vizsgálat konfigurálva van-e a "Beállítás beállítása" beállítással

    mdatp health --details scheduled_scan
    

    Az eredmények között meg kell jelennie a [managed] elemnek.

2. példa: Óránkénti gyorsvizsgálat, napi gyorsvizsgálat és heti teljes vizsgálat ütemezése plist használatával

A következő példában egy óránkénti gyorsvizsgálat 6 óránként fog futni, a napi gyorsvizsgálati konfiguráció úgy van beállítva, hogy éjfél után 885 perccel (14:45) fusson, és a heti teljes vizsgálat szerdán éjfél után 880 perccel (14:40- kor) fog futni.

Intune esetén:

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
     <key>PayloadUUID</key>
     <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
     <key>PayloadType</key>
     <string>Configuration</string>
     <key>PayloadOrganization</key>
     <string>Microsoft</string>
     <key>PayloadIdentifier</key>
     <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
     <key>PayloadDisplayName</key>
     <string>Microsoft Defender for Endpoint settings</string>
     <key>PayloadDescription</key>
     <string>Microsoft Defender for Endpoint configuration settings</string>
     <key>PayloadVersion</key>
     <integer>1</integer>
     <key>PayloadEnabled</key>
     <true/>
     <key>PayloadRemovalDisallowed</key>
     <true/>
     <key>PayloadScope</key>
     <string>System</string>
     <key>PayloadContent</key>
     <array>
       <dict>
           <key>PayloadUUID</key>
           <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
           <key>PayloadType</key>
           <string>com.microsoft.wdav</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadDescription</key>
           <string/>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
    <key>features</key> 
    <dict> 
        <key>scheduledScan</key> 
        <string>enabled</string> 
    </dict> 
<key>scheduledScan</key> 
<dict> 
    <key>ignoreExclusions</key> 
    <true/> 
    <key>lowPriorityScheduledScan</key> 
    <true/> 
    <key>dailyConfiguration</key> 
    <dict> 
        <key>timeOfDay</key> 
        <integer>885</integer> 
        <key>interval</key> 
        <string>1</string> 
    </dict> 
    <key>weeklyConfiguration</key> 
    <dict> 
        <key>dayOfWeek</key> 
        <integer>4</integer> 
        <key>timeOfDay</key> 
        <integer>880</integer> 
        <key>scanType</key> 
        <string>full</string> 
        </dict> 
        </dict> 
    </dict> 
</array>
</dict>
</plist> 
  1. Mentse a fájlt néven com.microsoft.wdav.mobileconfig.

JamF és más külső MDM-ekhez

  1. Nyisson meg egy szövegszerkesztőt, és használja ezt a példát.
<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
    <key>features</key> 
    <dict> 
        <key>scheduledScan</key> 
        <string>enabled</string> 
    </dict> 
<key>scheduledScan</key> 
<dict> 
    <key>ignoreExclusions</key> 
    <true/> 
    <key>lowPriorityScheduledScan</key> 
    <true/> 
    <key>dailyConfiguration</key> 
    <dict> 
        <key>timeOfDay</key> 
        <integer>885</integer> 
        <key>interval</key> 
        <string>1</string> 
    </dict> 
    <key>weeklyConfiguration</key> 
    <dict> 
        <key>dayOfWeek</key> 
        <integer>4</integer> 
        <key>timeOfDay</key> 
        <integer>880</integer> 
        <key>scanType</key> 
        <string>full</string> 
        </dict> 
        </dict> 
    </dict> 
</plist> 
  1. Mentse a fájlt néven com.microsoft.wdav.plist.

  2. Ellenőrizze, hogy az ütemezett vizsgálat konfigurálva van-e a "Beállítás beállítása" beállítással

    mdatp health --details scheduled_scan
    

    Az eredmények között meg kell jelennie a [managed] elemnek.

3. lehetőség: Ütemezett vizsgálatok konfigurálása parancssori felületi eszközzel

Az ütemezett vizsgálati funkció engedélyezése:

Verzió Parancs
101.23122.x vagy újabb verzió sudo mdatp config scheduled-scan settings feature --value enabled

Óránkénti gyorsvizsgálatok ütemezése:

Verzió Parancs
101.23122.x vagy újabb verzió sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\>

Képernyőkép az ütemezés óránkénti vizsgálatáról.

Napi gyorsvizsgálatok ütemezése:

Verzió Parancs
101.23122.x vagy újabb verzió sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\>

Képernyőkép a napi gyorsvizsgálat ütemezéséről.

Heti vizsgálatok ütemezése:

Verzió Parancs
101.23122.x vagy újabb verzió sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\>

Képernyőkép a heti vizsgálat ütemezéséről.

Egyéb konfigurációs lehetőségek:

  • A definíciók frissítésének ellenőrzése az ütemezett vizsgálatok előtt:

    sudo mdatp config scheduled-scan settings check-for-definitions --value true

  • Alacsony prioritású szálak használata ütemezett vizsgálathoz:

    sudo mdatp config scheduled-scan settings low-priority --value true

Ellenőrizze, hogy az ütemezett vizsgálat lefutott-e

Használja a következő parancsot:

mdatp scan list

Képernyőkép a futtatott ütemezésről. \<snip\>

Képernyőkép az ütemezés sikeres futásáról.

Fontos

Az ütemezett vizsgálatok nem futnak az ütemezett időpontban, amíg az eszköz alvó állapotban van. Ehelyett az ütemezett vizsgálatok akkor futnak, amikor az eszköz alvó üzemmódból folytatja a munkát. Ha az eszköz ki van kapcsolva, a vizsgálat a következő ütemezett vizsgálati időpontban fut.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.