Hibaelhárítási mód Végponthoz készült Microsoft Defender macOS rendszeren

Érintett szolgáltatás:

• Microsoft Defender XDR
• Végponthoz készült Microsoft Defender 2. csomag
• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender macOS rendszeren

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

Ez a cikk azt ismerteti, hogyan engedélyezheti a hibaelhárítási módot Végponthoz készült Microsoft Defender macOS rendszeren, hogy a rendszergazdák ideiglenesen elháríthassák a különböző Microsoft Defender víruskereső funkciókat, még akkor is, ha a szervezeti szabályzatok kezelik az eszközöket.

Ha például az illetéktelen módosítás elleni védelem engedélyezve van, bizonyos beállítások nem módosíthatók vagy kapcsolhatók ki, de az eszközön a hibaelhárítási mód használatával ideiglenesen szerkesztheti ezeket a beállításokat.

A hibaelhárítási mód alapértelmezés szerint le van tiltva, és korlátozott ideig be kell kapcsolnia egy eszközön (és/vagy eszközcsoporton). A hibaelhárítási mód kizárólag vállalati funkció, és hozzáférést igényel Microsoft Defender portálhoz.

Mit kell tudnia a kezdés előtt?

A hibaelhárítási mód során a következő módokon végezheti el a következőt:

• Használja a Végponthoz készült Microsoft Defender macOS-en működő hibaelhárítási /alkalmazáskompatibilitási (téves pozitív) hibaelhárítást.

• A helyi rendszergazdák a megfelelő engedélyekkel módosíthatják a következő szabályzat zárolt konfigurációit az egyes végpontokon:

  Beállítás	Engedélyezi	Letiltás/eltávolítás
  Real-Time Védelem/ Passzív mód / Igény szerinti	mdatp config real-time-protection --value enabled	mdatp config real-time-protection --value disabled
  Hálózatvédelem	mdatp config network-protection enforcement-level --value block	mdatp config network-protection enforcement-level --value disabled
  realTimeProtectionStatistics	mdatp config real-time-protection-statistics --value enabled	mdatp config real-time-protection-statistics --value disabled
  Címkék	mdatp edr tag set --name GROUP --value [name]	mdatp edr tag remove --tag-name [name]
  groupIds	mdatp edr group-ids --group-id [group]
  Végpont DLP-je	mdatp config data_loss_prevention --value enabled	mdatp config data_loss_prevention --value disabled

A hibaelhárítási mód során nem végezheti el a következőt:

• Tiltsa le az illetéktelen módosítás elleni védelmet Végponthoz készült Microsoft Defender macOS rendszeren.
• Távolítsa el a Végponthoz készült Microsoft Defender macOS rendszeren.

Előfeltételek

• A macOS támogatott verziója Végponthoz készült Microsoft Defender.
• Végponthoz készült Microsoft Defender bérlői regisztrációval kell rendelkeznie, és aktívnak kell lennie az eszközön.
• A "Biztonsági beállítások kezelése a Security Centerben" engedélyekkel a Végponthoz készült Microsoft Defender.
• Platformfrissítés verziója: 101.23122.0005 vagy újabb.

Hibaelhárítási mód engedélyezése macOS rendszeren

1. Nyissa meg a Microsoft Defender portált, és jelentkezzen be.

2. Lépjen arra az eszközoldalra, amelyen be szeretné kapcsolni a hibaelhárítási módot. Ezután válassza a három pontot (...), majd a Hibaelhárítási mód bekapcsolása lehetőséget.

   

   Megjegyzés:

   A Hibaelhárítási mód bekapcsolása lehetőség minden eszközön elérhető, még akkor is, ha az eszköz nem felel meg a hibaelhárítási mód előfeltételeinek.

3. Olvassa el a panelen megjelenő információkat, és ha elkészült, válassza a Küldés lehetőséget annak megerősítéséhez, hogy be szeretné kapcsolni az adott eszköz hibaelhárítási módját.

4. Látni fogja, hogy eltarthat néhány percig, amíg a módosítás érvénybe lép a megjelenő szövegben. Ez idő alatt, amikor ismét kiválasztja a három pontot, a Hibaelhárítás bekapcsolása függőben beállítás szürkén jelenik meg.

5. Ha elkészült, az eszközoldalon látható, hogy az eszköz hibaelhárítási módban van.

   Ha a végfelhasználó bejelentkezett a macOS-eszközön, a következő szöveg jelenik meg:

   A hibaelhárítási mód elindult. Ezzel a móddal ideiglenesen módosíthatja a rendszergazda által kezelt beállításokat. Lejárat: ÉV-MM-DDTHH:MM:SSZ.

   Kattintson az OK gombra.

6. Ha engedélyezve van, tesztelheti a különböző parancssori beállításokat, amelyek hibaelhárítási módban (TS módban) összesíthetők.

   Ha például a parancsot használja mdatp config real-time-protection --value disabled a valós idejű védelem letiltásához, a rendszer kérni fogja, hogy adja meg a jelszavát. A jelszó megadása után kattintson az OK gombra .

   

   Az alábbi képernyőképhez hasonló kimeneti jelentés az mdatp állapotának real_time_protection_enabled futtatásakor "false" (hamis) és tamper_protection "block" (blokk) állapotban jelenik meg.

   

Speciális keresési lekérdezések észleléshez

Vannak előre összeállított speciális veszélyforrás-keresési lekérdezések, amelyek betekintést nyújtanak a környezetben előforduló hibaelhárítási eseményekbe. Ezekkel a lekérdezésekkel észlelési szabályokat hozhat létre riasztások létrehozásához, ha az eszközök hibaelhárítási módban vannak.

Adott eszköz hibaelhárítási eseményeinek lekérése

A következő lekérdezéssel kereshet a megfelelő sorok között deviceId , vagy deviceName megjegyzéseket fűzhet hozzá.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Jelenleg hibaelhárítási módban lévő eszközök

A jelenleg hibaelhárítási módban lévő eszközöket az alábbi lekérdezéssel keresheti meg:

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Hibaelhárítási módú példányok száma eszközönként

Az eszköz hibaelhárítási módú példányainak számát az alábbi lekérdezéssel állapíthatja meg:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Teljes szám

A hibaelhárítási módú példányok teljes számát az alábbi lekérdezéssel ismerheti meg:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Ajánlott tartalom

• Microsoft Defender XDR végponthoz Mac gépen
• Microsoft Defender XDR végpontintegráció a Cloud Appshez készült Microsoft Defender XDR-vel
• Ismerkedés a Microsoft Edge innovatív funkcióival
• A hálózat védelme
• A hálózatvédelem bekapcsolása
• Webes védelem
• Jelzők létrehozása
• Webes tartalom szűrése

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.