Források Végponthoz készült Microsoft Defender macOS rendszeren
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra
Ha reprodukálni tud egy problémát, növelje a naplózási szintet, futtassa a rendszert egy ideig, majd állítsa vissza a naplózási szintet az alapértelmezettre.
Naplózási szint növelése:
mdatp log level set --level debug
Log level configured successfully
Reprodukálja a problémát.
Futtassa a parancsot
sudo mdatp diagnostic create
a Végponthoz készült Microsoft Defender naplók biztonsági mentéséhez. A fájlok egy.zip
archívumban vannak tárolva. Ez a parancs a művelet sikeres végrehajtása után a biztonsági mentés fájlelérési útját is megjeleníti.Tipp.
Alapértelmezés szerint a diagnosztikai naplókat a rendszer a következőbe
/Library/Application Support/Microsoft/Defender/wdavdiag/
menti: . A diagnosztikai naplók mentési könyvtárának módosításához adja át--path [directory]
az alábbi parancsot, és cserélje le a elemet[directory]
a kívánt könyvtárra.sudo mdatp diagnostic create
Diagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"
Naplózási szint visszaállítása.
mdatp log level set --level info
Log level configured successfully
Ha a telepítés során hiba történik, a telepítő csak általános hibát jelez. A részletes naplót a rendszer a következőbe menti: /Library/Logs/Microsoft/mdatp/install.log
. Ha a telepítés során problémákat tapasztal, küldje el nekünk ezt a fájlt a támogatási eset megnyitásakor, hogy segíthessünk az ok diagnosztizálásában.
A telepítési problémák további hibaelhárításához lásd: A macOS-en Végponthoz készült Microsoft Defender telepítési problémáinak elhárítása.
Támogatja a táblázatos és JSON formátumú kimeneti típusokat. Minden parancshoz tartozik egy alapértelmezett kimeneti viselkedés. Az alábbi parancsokkal módosíthatja a kimenetet az előnyben részesített kimeneti formátumban:
-output json
-output table
A fontos feladatok, például a termékbeállítások szabályozása és az igény szerinti vizsgálatok elindítása a parancssor használatával végezhetők el:
Csoport | Forgatókönyv | Parancs |
---|---|---|
Konfiguráció | Víruskereső be- és kikapcsolása passzív módban | mdatp config passive-mode --value [enabled/disabled] |
Konfiguráció | Valós idejű védelem be- és kikapcsolása | mdatp config real-time-protection --value [enabled/disabled] |
Konfiguráció | Viselkedésfigyelés be- és kikapcsolása | mdatp config behavior-monitoring --value [enabled/disabled] |
Konfiguráció | A felhővédelem be- és kikapcsolása | mdatp config cloud --value [enabled/disabled] |
Konfiguráció | Termékdiagnosztikák be- és kikapcsolása | mdatp config cloud-diagnostic --value [enabled/disabled] |
Konfiguráció | Mintaküldés automatikus be- és kikapcsolása | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
Konfiguráció | PUA-védelem be-/naplózása/kikapcsolása | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
Konfiguráció | Víruskereső kizárásának hozzáadása/eltávolítása egy folyamathoz |
mdatp exclusion process [add/remove] --path [path-to-process] vagy mdatp exclusion process [add\|remove] --name [process-name] |
Konfiguráció | Víruskereső kizárásának hozzáadása/eltávolítása egy fájlhoz | mdatp exclusion file [add/remove] --path [path-to-file] |
Konfiguráció | Víruskereső kizárásának hozzáadása/eltávolítása egy címtárban | mdatp exclusion folder [add/remove] --path [path-to-directory] |
Konfiguráció | Víruskereső kizárásának hozzáadása/eltávolítása fájlkiterjesztéshez | mdatp exclusion extension [add/remove] --name [extension] |
Konfiguráció | Az összes víruskereső kizárásának listázása | mdatp exclusion list |
Konfiguráció | Párhuzamossági fok konfigurálása igény szerinti vizsgálatokhoz | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
Konfiguráció | Vizsgálatok be- és kikapcsolása a biztonságiintelligencia-frissítések után | mdatp config scan-after-definition-update --value [enabled/disabled] |
Konfiguráció | Archív vizsgálat be- és kikapcsolása (csak igény szerinti vizsgálatok esetén) | mdatp config scan-archives --value [enabled/disabled] |
Konfiguráció | Fájlkivonat-számítások be- és kikapcsolása | mdatp config enable-file-hash-computation --value [enabled/disabled] |
Védelem | Elérési út vizsgálata | mdatp scan custom --path [path] [--ignore-exclusions] |
Védelem | Gyorsvizsgálat | mdatp scan quick |
Védelem | Teljes vizsgálat | mdatp scan full |
Védelem | Folyamatban lévő igény szerinti vizsgálat megszakítása | mdatp scan cancel |
Védelem | Biztonságiintelligencia-frissítés kérése | mdatp definitions update |
Konfiguráció | Fenyegetésnév hozzáadása az engedélyezett listához | mdatp threat allowed add --name [threat-name] |
Konfiguráció | Fenyegetésnév eltávolítása az engedélyezett listából | mdatp threat allowed remove --name [threat-name] |
Konfiguráció | Az összes engedélyezett fenyegetésnév listázása | mdatp threat allowed list |
Védelmi előzmények | A teljes védelmi előzmények nyomtatása | mdatp threat list |
Védelmi előzmények | Fenyegetés részleteinek lekérése | mdatp threat get --id [threat-id] |
Karanténkezelés | Az összes karanténba helyezett fájl listázása | mdatp threat quarantine list |
Karanténkezelés | Az összes fájl eltávolítása a karanténból | mdatp threat quarantine remove-all |
Karanténkezelés | A karantén fenyegetéseként észlelt fájl hozzáadása | mdatp threat quarantine add --id [threat-id] |
Karanténkezelés | Fenyegetésként észlelt fájl eltávolítása a karanténból | mdatp threat quarantine remove --id [threat-id] |
Karanténkezelés | Fájl visszaállítása a karanténból. A Végponthoz készült Defender 101.23092.0012 előtti verziójában érhető el. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
Karanténkezelés | Fájl visszaállítása a karanténból fenyegetésazonosítóval. A Végponthoz készült Defender 101.23092.0012-es vagy újabb verziójában érhető el. | mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder] |
Karanténkezelés | Fájl visszaállítása a karanténból a Threat Original Path (Fenyegetés eredeti elérési útja) használatával. A Végponthoz készült Defender 101.23092.0012-es vagy újabb verziójában érhető el. | mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
Hálózatvédelmi konfiguráció | A Hálózatvédelem kényszerítési szintjének konfigurálása | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
Hálózatvédelem kezelése | Ellenőrizze, hogy a hálózatvédelem sikeresen elindult-e | mdatp health --field network_protection_status |
Eszközvezérlés kezelése | Engedélyezve van az eszközvezérlés, és mi az alapértelmezett kényszerítés? | mdatp device-control policy preferences list |
Eszközvezérlés kezelése | Milyen eszközvezérlési szabályzat van engedélyezve? | mdatp device-control policy rules list |
Eszközvezérlés kezelése | Milyen eszközvezérlési szabályzatcsoportok vannak engedélyezve? | mdatp device-control policy groups list |
Konfiguráció | Adatveszteség-megelőzés be- és kikapcsolása | mdatp config data_loss_prevention --value [enabled/disabled] |
Diagnosztika | A naplószint módosítása | mdatp log level set --level [error/warning/info/verbose] |
Diagnosztika | Diagnosztikai naplók létrehozása | mdatp diagnostic create --path [directory] |
Állapot | A termék állapotának ellenőrzése | mdatp health |
Állapot | Adott termékattribútum keresése | mdatp health --field [attribute: healthy/licensed/engine_version...] |
EDR | EDR-lista kizárásai (gyökér) | mdatp edr exclusion list [processes|paths|extensions|all] |
EDR | Címke beállítása/eltávolítása, csak a GROUP támogatott | mdatp edr tag set --name GROUP --value [name] |
EDR | Csoportcímke eltávolítása az eszközről | mdatp edr tag remove --tag-name [name] |
EDR | Csoportazonosító hozzáadása | mdatp edr group-ids --group-id [group] |
Ha engedélyezni szeretné az automatikus kiegészítést a Bashben, futtassa a következő parancsot, és indítsa újra a terminálmunkamenetet:
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
Az automatikus kiegészítés engedélyezése a zsh-ban:
Ellenőrizze, hogy az automatikus kiegészítés engedélyezve van-e az eszközön:
cat ~/.zshrc | grep autoload
Ha az előző parancs nem hoz létre kimenetet, az alábbi paranccsal engedélyezheti az automatikus kiegészítést:
echo "autoload -Uz compinit && compinit" >> ~/.zshrc
Futtassa a következő parancsokat a Végponthoz készült Microsoft Defender automatikus kiegészítésének engedélyezéséhez macOS rendszeren, majd indítsa újra a terminálmunkamenetet:
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
/Library/Application Support/Microsoft/Defender/quarantine/
A a által mdatp
karanténba helyezett fájlokat tartalmazza. A fájlok neve a fenyegetéskövetési azonosító után található. Az aktuális nyomkövetési azonosítók a következővel mdatp threat list
jelennek meg: .
A Végponthoz készült Microsoft Defender többféleképpen is eltávolíthatja macOS rendszeren. Bár a központilag felügyelt eltávolítás elérhető a JAMF-en, Microsoft Intune még nem érhető el.
Az Végponthoz készült Microsoft Defender macOS rendszeren történő eltávolításához a következők szükségesek:
Hozzon létre egy eszközcímkét, nevezze el a címkét leszerelve, és rendelje hozzá ahhoz a macOS-hez, ahol a macOS-Microsoft Defender eltávolítása folyamatban van.
Hozzon létre egy eszközcsoportot , nevezze el (például leszerelt macOS), és rendeljen hozzá egy felhasználói csoportot , amely látni tudja őket.
Megjegyzés: Az 1. és a 2. lépés nem kötelező, ha nem szeretné látni azokat az eszközöket, amelyek 180 napig szerepelnek az "Eszközleltárban".
Távolítsa el az illetéktelen módosítás elleni védelmet tartalmazó "Beállítások megadása" szabályzatokat vagy a manuális konfigurációt.
Az egyes eszközök kivezetése nem Windows rendszerű eszközökönként.
A macOS-alkalmazások Végponthoz készült Microsoft Defender eltávolítása
Távolítsa el az eszközt a rendszerbővítmény-szabályzatokcsoportjából, ha egy MDM-et használtak a beállításukhoz.
- Nyissa meg a Finder-alkalmazásokat>. Kattintson a jobb gombbal a Végponthoz készült Microsoft Defender, majd válassza az Áthelyezés a kukába lehetőséget.
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
Ha el szeretné távolítani Végponthoz készült Microsoft Defender macOS rendszeren a JAMF Pro használatával, töltse fel a kivezetési profilt.
A kivezetési profilt módosítások nélkül kell feltölteni, és a Preference Domain name (Beállítási tartomány neve) értékre com.microsoft.wdav.atp.offboarding
van állítva, az alábbi képen látható módon:
Megjegyzés
Ha problémákat tapasztal a Végponthoz készült Defender maces eltávolításakor, és a jelentésekben megjelenik egy elem a Microsoft Defender Endpoint Security-bővítményhez, kövesse az alábbi lépéseket:
- Telepítse újra a Microsoft Defender alkalmazást.
- Húzza Microsoft Defender.app a Kukába.
- Futtassa a következő parancsot:
sudo /Library/Application Support/Microsoft/Defender/uninstall/install_helper execute --path '/Library/Application Support/Microsoft/Defender/uninstall/uninstall' --args --post-uninstall-hook
. - Indítsa újra az eszközt.
Fenyegetések észlelésekor a biztonsági csapat megtekintheti az észleléseket, és szükség esetén reagálhat egy eszközön a Microsoft Defender portálon (https://security.microsoft.com). A Microsoft Defender egy központi helyen egyesíti a fenyegetések elleni védelmet, észlelést, vizsgálatot és reagálást. További információt a következő források tartalmaznak:
- A végpontészlelés és -válasz áttekintése
- Tech Community blog: Megérkezett a macOS EDR-képességei
- Microsoft Defender portál áttekintése
Tipp.
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.