Olvasás angol nyelven

Megosztás a következőn keresztül:


Források Végponthoz készült Microsoft Defender macOS rendszeren

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

Diagnosztikai adatok gyűjtése

Ha reprodukálni tud egy problémát, növelje a naplózási szintet, futtassa a rendszert egy ideig, majd állítsa vissza a naplózási szintet az alapértelmezettre.

  1. Naplózási szint növelése:

    mdatp log level set --level debug
    
    Log level configured successfully
    
  2. Reprodukálja a problémát.

  3. Futtassa a parancsot sudo mdatp diagnostic create a Végponthoz készült Microsoft Defender naplók biztonsági mentéséhez. A fájlok egy .zip archívumban vannak tárolva. Ez a parancs a művelet sikeres végrehajtása után a biztonsági mentés fájlelérési útját is megjeleníti.

    Tipp.

    Alapértelmezés szerint a diagnosztikai naplókat a rendszer a következőbe /Library/Application Support/Microsoft/Defender/wdavdiag/menti: . A diagnosztikai naplók mentési könyvtárának módosításához adja át --path [directory] az alábbi parancsot, és cserélje le a elemet [directory] a kívánt könyvtárra.

    sudo mdatp diagnostic create
    
    Diagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"
    
  4. Naplózási szint visszaállítása.

    mdatp log level set --level info
    
    Log level configured successfully
    

Naplózás telepítésével kapcsolatos problémák

Ha a telepítés során hiba történik, a telepítő csak általános hibát jelez. A részletes naplót a rendszer a következőbe menti: /Library/Logs/Microsoft/mdatp/install.log. Ha a telepítés során problémákat tapasztal, küldje el nekünk ezt a fájlt a támogatási eset megnyitásakor, hogy segíthessünk az ok diagnosztizálásában.

A telepítési problémák további hibaelhárításához lásd: A macOS-en Végponthoz készült Microsoft Defender telepítési problémáinak elhárítása.

Konfigurálás a parancssorból

Támogatott kimeneti típusok

Támogatja a táblázatos és JSON formátumú kimeneti típusokat. Minden parancshoz tartozik egy alapértelmezett kimeneti viselkedés. Az alábbi parancsokkal módosíthatja a kimenetet az előnyben részesített kimeneti formátumban:

-output json

-output table

A fontos feladatok, például a termékbeállítások szabályozása és az igény szerinti vizsgálatok elindítása a parancssor használatával végezhetők el:

Csoport Forgatókönyv Parancs
Konfiguráció Víruskereső be- és kikapcsolása passzív módban mdatp config passive-mode --value [enabled/disabled]
Konfiguráció Valós idejű védelem be- és kikapcsolása mdatp config real-time-protection --value [enabled/disabled]
Konfiguráció Viselkedésfigyelés be- és kikapcsolása mdatp config behavior-monitoring --value [enabled/disabled]
Konfiguráció A felhővédelem be- és kikapcsolása mdatp config cloud --value [enabled/disabled]
Konfiguráció Termékdiagnosztikák be- és kikapcsolása mdatp config cloud-diagnostic --value [enabled/disabled]
Konfiguráció Mintaküldés automatikus be- és kikapcsolása mdatp config cloud-automatic-sample-submission --value [enabled/disabled]
Konfiguráció PUA-védelem be-/naplózása/kikapcsolása mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off
Konfiguráció Víruskereső kizárásának hozzáadása/eltávolítása egy folyamathoz mdatp exclusion process [add/remove] --path [path-to-process]vagy mdatp exclusion process [add\|remove] --name [process-name]
Konfiguráció Víruskereső kizárásának hozzáadása/eltávolítása egy fájlhoz mdatp exclusion file [add/remove] --path [path-to-file]
Konfiguráció Víruskereső kizárásának hozzáadása/eltávolítása egy címtárban mdatp exclusion folder [add/remove] --path [path-to-directory]
Konfiguráció Víruskereső kizárásának hozzáadása/eltávolítása fájlkiterjesztéshez mdatp exclusion extension [add/remove] --name [extension]
Konfiguráció Az összes víruskereső kizárásának listázása mdatp exclusion list
Konfiguráció Párhuzamossági fok konfigurálása igény szerinti vizsgálatokhoz mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]
Konfiguráció Vizsgálatok be- és kikapcsolása a biztonságiintelligencia-frissítések után mdatp config scan-after-definition-update --value [enabled/disabled]
Konfiguráció Archív vizsgálat be- és kikapcsolása (csak igény szerinti vizsgálatok esetén) mdatp config scan-archives --value [enabled/disabled]
Konfiguráció Fájlkivonat-számítások be- és kikapcsolása mdatp config enable-file-hash-computation --value [enabled/disabled]
Védelem Elérési út vizsgálata mdatp scan custom --path [path] [--ignore-exclusions]
Védelem Gyorsvizsgálat mdatp scan quick
Védelem Teljes vizsgálat mdatp scan full
Védelem Folyamatban lévő igény szerinti vizsgálat megszakítása mdatp scan cancel
Védelem Biztonságiintelligencia-frissítés kérése mdatp definitions update
Konfiguráció Fenyegetésnév hozzáadása az engedélyezett listához mdatp threat allowed add --name [threat-name]
Konfiguráció Fenyegetésnév eltávolítása az engedélyezett listából mdatp threat allowed remove --name [threat-name]
Konfiguráció Az összes engedélyezett fenyegetésnév listázása mdatp threat allowed list
Védelmi előzmények A teljes védelmi előzmények nyomtatása mdatp threat list
Védelmi előzmények Fenyegetés részleteinek lekérése mdatp threat get --id [threat-id]
Karanténkezelés Az összes karanténba helyezett fájl listázása mdatp threat quarantine list
Karanténkezelés Az összes fájl eltávolítása a karanténból mdatp threat quarantine remove-all
Karanténkezelés A karantén fenyegetéseként észlelt fájl hozzáadása mdatp threat quarantine add --id [threat-id]
Karanténkezelés Fenyegetésként észlelt fájl eltávolítása a karanténból mdatp threat quarantine remove --id [threat-id]
Karanténkezelés Fájl visszaállítása a karanténból. A Végponthoz készült Defender 101.23092.0012 előtti verziójában érhető el. mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
Karanténkezelés Fájl visszaállítása a karanténból fenyegetésazonosítóval. A Végponthoz készült Defender 101.23092.0012-es vagy újabb verziójában érhető el. mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder]
Karanténkezelés Fájl visszaállítása a karanténból a Threat Original Path (Fenyegetés eredeti elérési útja) használatával. A Végponthoz készült Defender 101.23092.0012-es vagy újabb verziójában érhető el. mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder]
Hálózatvédelmi konfiguráció A Hálózatvédelem kényszerítési szintjének konfigurálása mdatp config network-protection enforcement-level --value [Block/Audit/Disabled]
Hálózatvédelem kezelése Ellenőrizze, hogy a hálózatvédelem sikeresen elindult-e mdatp health --field network_protection_status
Eszközvezérlés kezelése Engedélyezve van az eszközvezérlés, és mi az alapértelmezett kényszerítés? mdatp device-control policy preferences list
Eszközvezérlés kezelése Milyen eszközvezérlési szabályzat van engedélyezve? mdatp device-control policy rules list
Eszközvezérlés kezelése Milyen eszközvezérlési szabályzatcsoportok vannak engedélyezve? mdatp device-control policy groups list
Konfiguráció Adatveszteség-megelőzés be- és kikapcsolása mdatp config data_loss_prevention --value [enabled/disabled]
Diagnosztika A naplószint módosítása mdatp log level set --level [error/warning/info/verbose]
Diagnosztika Diagnosztikai naplók létrehozása mdatp diagnostic create --path [directory]
Állapot A termék állapotának ellenőrzése mdatp health
Állapot Adott termékattribútum keresése mdatp health --field [attribute: healthy/licensed/engine_version...]
EDR EDR-lista kizárásai (gyökér) mdatp edr exclusion list [processes|paths|extensions|all]
EDR Címke beállítása/eltávolítása, csak a GROUP támogatott mdatp edr tag set --name GROUP --value [name]
EDR Csoportcímke eltávolítása az eszközről mdatp edr tag remove --tag-name [name]
EDR Csoportazonosító hozzáadása mdatp edr group-ids --group-id [group]

Az automatikus kiegészítés engedélyezése

Ha engedélyezni szeretné az automatikus kiegészítést a Bashben, futtassa a következő parancsot, és indítsa újra a terminálmunkamenetet:

echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile

Az automatikus kiegészítés engedélyezése a zsh-ban:

  • Ellenőrizze, hogy az automatikus kiegészítés engedélyezve van-e az eszközön:

    cat ~/.zshrc | grep autoload
    
  • Ha az előző parancs nem hoz létre kimenetet, az alábbi paranccsal engedélyezheti az automatikus kiegészítést:

    echo "autoload -Uz compinit && compinit" >> ~/.zshrc
    
  • Futtassa a következő parancsokat a Végponthoz készült Microsoft Defender automatikus kiegészítésének engedélyezéséhez macOS rendszeren, majd indítsa újra a terminálmunkamenetet:

    sudo mkdir -p /usr/local/share/zsh/site-functions
    
    sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
    

Ügyfél Végponthoz készült Microsoft Defender karanténkönyvtár

/Library/Application Support/Microsoft/Defender/quarantine/ A a által mdatpkaranténba helyezett fájlokat tartalmazza. A fájlok neve a fenyegetéskövetési azonosító után található. Az aktuális nyomkövetési azonosítók a következővel mdatp threat listjelennek meg: .

Eltávolítás

A Végponthoz készült Microsoft Defender többféleképpen is eltávolíthatja macOS rendszeren. Bár a központilag felügyelt eltávolítás elérhető a JAMF-en, Microsoft Intune még nem érhető el.

Az Végponthoz készült Microsoft Defender macOS rendszeren történő eltávolításához a következők szükségesek:

  1. Hozzon létre egy eszközcímkét, nevezze el a címkét leszerelve, és rendelje hozzá ahhoz a macOS-hez, ahol a macOS-Microsoft Defender eltávolítása folyamatban van.

  2. Hozzon létre egy eszközcsoportot , nevezze el (például leszerelt macOS), és rendeljen hozzá egy felhasználói csoportot , amely látni tudja őket.

    Megjegyzés: Az 1. és a 2. lépés nem kötelező, ha nem szeretné látni azokat az eszközöket, amelyek 180 napig szerepelnek az "Eszközleltárban".

  3. Távolítsa el az illetéktelen módosítás elleni védelmet tartalmazó "Beállítások megadása" szabályzatokat vagy a manuális konfigurációt.

  4. Az egyes eszközök kivezetése nem Windows rendszerű eszközökönként.

  5. A macOS-alkalmazások Végponthoz készült Microsoft Defender eltávolítása

  6. Távolítsa el az eszközt a rendszerbővítmény-szabályzatokcsoportjából, ha egy MDM-et használtak a beállításukhoz.

Interaktív eltávolítás

  • Nyissa meg a Finder-alkalmazásokat>. Kattintson a jobb gombbal a Végponthoz készült Microsoft Defender, majd válassza az Áthelyezés a kukába lehetőséget.

A parancssorból

  • sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'

A JAMF Pro használata

Ha el szeretné távolítani Végponthoz készült Microsoft Defender macOS rendszeren a JAMF Pro használatával, töltse fel a kivezetési profilt.

A kivezetési profilt módosítások nélkül kell feltölteni, és a Preference Domain name (Beállítási tartomány neve) értékre com.microsoft.wdav.atp.offboardingvan állítva, az alábbi képen látható módon:

Képernyőkép a JAMF kivezetési képernyőről

Megjegyzés

Ha problémákat tapasztal a Végponthoz készült Defender maces eltávolításakor, és a jelentésekben megjelenik egy elem a Microsoft Defender Endpoint Security-bővítményhez, kövesse az alábbi lépéseket:

  1. Telepítse újra a Microsoft Defender alkalmazást.
  2. Húzza Microsoft Defender.app a Kukába.
  3. Futtassa a következő parancsot: sudo /Library/Application Support/Microsoft/Defender/uninstall/install_helper execute --path '/Library/Application Support/Microsoft/Defender/uninstall/uninstall' --args --post-uninstall-hook.
  4. Indítsa újra az eszközt.

A Microsoft Defender portál

Fenyegetések észlelésekor a biztonsági csapat megtekintheti az észleléseket, és szükség esetén reagálhat egy eszközön a Microsoft Defender portálon (https://security.microsoft.com). A Microsoft Defender egy központi helyen egyesíti a fenyegetések elleni védelmet, észlelést, vizsgálatot és reagálást. További információt a következő források tartalmaznak:

Tipp.

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.